IDA Android 64-bit remote debug server(ST) v1.22. Hex-Rays (c) 2004-2017Listening on 0.0.0.0:23946...
3. 执行端口转发
adb forward tcp:23946 tcp:23946
4. IDA附加到调试进程
选择远程ARMLinux/Android debugger:
填写 hostname为 127.0.0.1或localhost:
附加到调试进程:
成功附加到调试进程:
配置调试选项,勾选“Suspend on library load/unload”,以在目标SO加载时进程能够停下来:
5. Jdb连接到调试进程的VM
DDMS查看调试进程端口号,假设为55555,在host机器上执行:
C:Usersreverser>jdb -connect com.sun.jdi.SocketAttach:hostname=localhost,port=55555设置未捕获的java.lang.Throwable设置延迟的未捕获的java.lang.Throwable正在初始化jdb...>
IDA中按F9进程继续运行,直到目标SO被加载。
IDA output窗口显示目标SO文件被加载:
PDBSRC: loading symbols for'/data/app/com.outdoor.debugtest-iQxBx29FyKFuLtnU6wwQag==/lib/arm64/libnative-lib.so'...
6. 在目标SO上下断点
在IDA Modules模块中搜索目标SO库并双击选中,找到目标函数下断,即可开启调试流程。
以上便是IDA远程调试Android SO的关键步骤,针对如上步骤,我现在提出如下几个疑问供大家思考:
a. DDMS展示的端口号,是怎么得来的?有没有更加便捷的方式获取这个端口号?
b. Jdb connect命令是Java VM调试相关的命令,在SO调试中为什么要用它?它在和哪个模块进行通信?IDA附加上进程之后为什么不能直接开始调试?
c. Adb、android_server、IDA之间的关系是什么?IDA与应用进程之间的调试连接到底是如何建立的?IDA调试Android SO的技术原理是什么?
以上问题由浅入深,从对操作技巧层面的思考,到对背后调试原理的思考,这也是我自己探索这个问题的一个过程。在回答这些问题之前,我们需要做一些关于调试原理的铺排工作,以帮助大家全面、深入地理解问题。
五、Android调试模型分析
本小节对Android调试模型的介绍,主要参考自源码文件/ system/core/adb/jdwp_service.cpp中的相关注释。因为这一部分注释详细阐述了Android调试模型是如何建立起来的,所以我会首先翻译这个模型的建立过程,然后进行一个抽象的总结,以帮助大家更好地理解Android的调试模型。
1. Android源码对调试模型建立的描述
(1)当adbd启动之后,它会创建一个unix类型的server socket套接字,名字叫@jdwp-control;
(2)当一个新的JDWP守护线程在一个新的VM进程中启动时,这个新启动的JDWP线程会创建一个到@jdwp-control的连接,以宣告它自己的可用性:
50 JDWP thread @jdwp-control51 | |52 |-------------------------------> |53 | hello I'm in process |54 | |55 | |
上面这个连接一直保持着,直到JDWP线程所在的进程结束;
(3)因此,adbd维护着一个JDWP列表,记录着每个活跃的进程。Adbd可以通过“device:debug-ports”服务同每一个客户进程进行通信;
(4)当有调试器想要连接时,调试器执行“adb forward tcp: jdwp:”命令,“jdwp:”用来指定设备上的目标JDWP进程。
(5)Adbd收到命令后,执行如下操作:
调用socketpair创建一对“equivalent sockets”;
将第一个socket附加到本地socket,本地socket本身又连接到远程socket;
使用sendmsg将第二个socket的文件描述符直接发送给JDWP进程。
JDWP thread @jdwp-control| ||
(6)接着,JDWP线程使用这个新的socket描述符作为它与调试器的通信通道(接收JDWP-Handshake消息,应答调试器的消息等等)。
整个过程建立起来后,可以用下面这个图表示:
____________________________________| || ADB Server (host) || |Debugger LocalSocket RemoteSocket || ^^ ||___________________________||_______|||Transport ||(TCP for emulator - USB for device) ||||___________________________||_______| || || ADBD (device) || || VV |JDWP <======> LocalSocket RemoteSocket || ||____________________________________|
2. 对Android调试模型的总结
对于如上内容,我要明确阐述的第一个点是,以上调试模型是针对Android VM的调试模型,这个模型的顶层形式如下图,其中,调试器通过JDWP协议与Android虚拟机进行通信。
而IDA对android的支持,是在整个进程的层面,并不局限于Android虚拟机。这其中的区别可以用如下方法简单区分,IDA能够支持对原生程序进程的调试,如linker、init进程等等,而基于JDWP协议的这一套原生调试框架并不支持。
归纳而言之,原生基于JDWP的调试框架与IDA的android调试框架,是两个层面上的调试实现,前者是虚拟机层面的实现,后者是整个进程层面的实现。理解这一点对理解Android逆向调试的原理至关重要。
六、逆向调试关键步骤解密
有了以上知识的铺垫,我们就可以开始研究第四章中提出的几个问题了。
1. DDMS展示的端口号,是怎么得来的?有没有更加便捷的方式获取这个端口号?
根据前一章的阐述,调试器通过执行“adb forward tcp: jdwp:”命令将host机器上的hostport端口转发到Android上的调试进程,以便调试器通过这个端口连接到目标进程。所以这个hostport是调试器指定的,据此推测,DDMS便是通过这种转发方式获取到这个端口并展示到界面上。
因此,我们可以通过“adb forward tcp: jdwp:”命令,替代使用DDMS的方式。
与问题1相关的进一步思考
当我们以调试模式启动应用时,应用会输出如下形式的日志信息:
--------- beginning of system03-08 10:01:05.709 6761 6761 W ActivityThread: Application com.outdoor.appcomvulbypassactivityperm is waiting for the debugger on port 8100...
日志信息表明应用在端口8100处等待调试连接,那是不是表明我们可以直接将hostport转发至Android 8100端口呢,尝试后你会发现不会成功。原因如下:
Android应用的调试模式有“dt_socket”和“dt_android_adb”两种,即通过socket或者adb连接到JDWP线程。所以理论上,通过将hostport转发到8100也是可以实现的。但进一步分析源码之后发现,Android虚拟机默认以“dt_android_adb”的模式启动,并且这个启动参数硬编码在源文件之中,不可手动配置的。
frameworks/base/core/jni/AndroidRuntime.cpp
601 int AndroidRuntime::startVm(JavaVM** pJavaVM, JNIEnv** pEnv, bool zygote)602 {……772773 /*774 * Enable debugging only for apps forked from zygote.775 * Set suspend=y to pause during VM init and use android ADB transport.776 */777 if (zygote) {778 addOption("-agentlib:jdwp=transport=dt_android_adb,suspend=n,server=y");779 }
……995 if (JNI_CreateJavaVM(pJavaVM, pEnv, &initArgs) < 0) {996 ALOGE("JNI_CreateJavaVM failedn");997 return -1;998 }9991000 return 0;1001 }
所以直接转发8100端口会失败,因为Android VM的启动模式是“dt_android_adb”,JDWP线程也没有监听8100端口,这条日志给很多人带来了困扰。
最后,如果想要实现通过socket直接连接到JDWP线程,有没有办法呢?答案是有的。有两种可行的方式,一种是安装hook框架直接修改参数,但这种做法意义不大;另外一种是通过操作动态库的方式(dlopen、dlsym),修改调试启动参数,然后重启JDWP线程,这种适合实现生产环境下的远程调试。
2. Jdb connect命令是Java VM调试相关的命令,在SO调试中为什么要用它?它在和哪个模块进行通信?IDA附加上进程之后为什么不能直接开始调试?
在前面一章中,我们明确了通过原生JDWP的方式调试与使用IDA调试是两个层面的调试手段。
使用Jdb的目的,是为了通知VM继续运行,因为应用以调试模式启动(以调试模式启动的原因是为了在程序早期下断点),启动之后一直在等待调试连接,Jdb通过“dt_android_adb”的方式,连接到了目标进程的VM,VM继续运行,这样IDA才可以在运行着的进程上进行调试。
归纳而言之,对JDWP调试手段的运用,是一种辅助手段,这种辅助手段使得我们能够在进程早期下断点。
3. Adb、android_server、IDA之间的关系是什么?IDA与应用进程之间的调试连接到底是如何建立的?IDA调试A ndroid SO的技术原理是什么?
根据前两个小节的内容,我们知道了adb套件实际上是在辅助建立调试连接:
a. 在JDWP调试连接中,提供“dt_android_adb”模式所需的通信功能;
b. 在IDA调试连接中,提供端口转发、远程启动进程的手段。
而android_server、IDA之间的关系,基本上与原生调试模型保持着一致,它是IDA对android逆向调试的实现:
____________________________________| || IDA (host) || || RemoteSocket || ^^ ||___________________________||_______|||Transport ||(TCP for emulator - USB for device) ||||___________________________||_______| || || android_server (device) || || VV |PROCESS <======> ptrace RemoteSocket || ||____________________________________|
android_server的作用类似于adbd,区别在于,adbd通过本地socket与JDWP进行通信,以转发调试信号;而android_server此处实际上是基于ptrace实现的一个调试器,它一端通过socket与IDA相连接,传输调试指令和数据,另一端通过ptrace直接操控调试进程。
七、总结
经 过以上几个章节的阐述,我希望已经讲清楚我提出的那些问题,也希望这篇文章能够达到它的目的。
- 结尾 -
看雪ID:kxliping
*这里由看雪论坛 kxliping原创,转载请注明来自看雪社区。返回搜狐,查看更多