IDA 调试 Android 方法及简单的脱壳实现

2016-05-24 14:24 9286人阅读 评论(3) 收藏 举报
分类:
原创(25) Android(5) 学习(9) 逆向(4)

版权声明:本文为博主原创文章,未经博主允许不得转载。

目录(?)[+]

本文参考了一些网络文章,对大大们的技术分享表示感谢。小弟刚刚开始深入去搞Android的逆向不久,写一下学习笔记,希望能抛砖引玉,给新手同学们带来方便。文笔比较烂,这不重要,重要的是按自己思路整理出来的资料以后自己看起来快一些。文中如有不对的地方还请留言指正。

前置环境

JDK,IDA PRO,Android NDK,Android Killer,JEB,Root并开启开发者模式USB调试的手机

动态启动调试

Android Killer 反编译 x.apk,取出 classes.dex Dalvik文件,记录包名和启动类名。

修改 AndroidManifest.xml 文件,在<application>标签里添加属性 android:debuggable="true"  这一步越早修改越好,防止忘记改。

可以查看一下AndroidManifest.xml 他们的对应关系,加深理解。

 

用AndroidKiller 重新编译修改过的x_fix.apk。

adb install x_fix.apk 安装到手机
将 IDA 安装目录 dbgsrv 目录下的 android_server 文件拷入手机
adb push dbgsrv\android_server /data/data/android_server
接着执行
adb shell chmod 655 /data/data/android_server添加可执行权限
adb shell /data/data/android_server 将其运行起来
 
在实际环境中可能会遇到上图中的一些错误,图中也给出了解决方法。
需要额外说明的是,当 adb root 失败时,需要在手机中安装一下“超级adbd”打开应用选择启用超级adbd ,再执行adb root 就可以了。
运行后可以看到 Listening on port #23946 … 字样就说明 server 运行成功了,并且已经打开了手机端的 23946 端口等待接收命令。
为了方便PC端IDA 连接调试手机,可以在本机做端口转发。另起一个cmd,输入:
adb forward tcp:23946 tcp:23946

将之前保存出的 classes.dex 托入 IDA。在IDA菜单中选择 【Debugger】-> 【Debugger Options…】添加以下选项
 
再点击 Set specific options,添加adb 路径及刚刚保存的包名和入口名,如图

【Debugger】-> 【Process Options…】的配置如图


接下来就可以按IDA上的启动键,启动手机端的APP进行调试了,如图
 
你可以在【View】->【open subviews】->【functions】调出函数列表,再配合Android killer 或 JEB 分析的代码位置进行下断调试了。

动态附加调试

正常流程


 
在手机端运行程序后,按上图的步骤直接附加就可以了。

如果出现 Bogus or irresponsive remote server 的错误提示

修改 SELinux安全策略限制
adb shell su -c setenforce 0

再重新运行 android_server 重新转发,再试。

反调试/解密函数运行前进行动态调试

很多程序加入了反调试机制,或者是伪dex文件在程序运行时解密真正的dex文件以壳的方式保护APP。针对此两种方法可采用在程序运行前挂起程序,再用IDA挂载,在关键位置下断,来破解类此防护。
举一个网上的例子。
下载 ori.apk 按之前的操作记录包名等,加入Debug属性,安装到手机
运行调试启动命令
adb shell am start –D –n loading.androidmanual/loading.androidmanual.BeginningActivity
这时程序会被挂起,等待调试器接入。
用IDA 载入,调试选项如下
 
加载时可记录一下该应用的pid 之后会用到,忘记记录也没关系,附加后在IDA 的输出log里可以找到pid的信息
 
运行 adb forward tcp:7788 jdwp:977
命令,转发要调试的进程到端口7788(随便写),
运行 jdb -connect com.sun.jdi.SocketAttach:hostname=localhost,port=7788 使用jdb 载入调试。
此时程序处于阻塞状态,没关系,返回IDA,在Modules窗口查找libdvm.so,双击进入Module: libdvm.so 窗口,查找_Z21dvmDexFileOpenPartialPKviPP6DvmDex 函数,双击定位过去,在函数头部下断。
 
因为要Load Dex 文件都要经过此函数就像 LoadLibrary同样的道理。
接下来点击IDA继续运行程序就会在此断点断下来。
 
R0 寄存器中的地址就是 Dex 的起始地址。点击旁边的回车图标跳转到相应的位置。在 View-PC 窗口中右键,选择Jump in a new hex window 可以更好的观察内存中的信息
 
这就是壳中释放出来的程序真正的dex文件了。根据Dex 文件结构,我们知道从起始位置偏移0x20字节是这个文件的大小,在这里也就是
0x0FAEB4。有了起始位置和文件大小就可以Dump了。我们直接写IDA 的脚本来dump。【file】->【Script
Command…】。输入以下代码:

  1. auto fp, dexAddress ,endAddr;
  2. dexAddress = 0x54d4c41c;    //起始地址
  3. endAddr = 0x54E472D0;       //结束地址=起始地址+文件大小
  4. fp = fopen("d:\\dump.dex", "wb");       //打开文件
  5. for (; dexAddress < endAddr; dexAddress++)       //循环写入
  6. fputc(Byte(dexAddress), fp);
  7. fclose(fp);

Dex文件保存后就可以丢进JEB进行分析了……

如果是反调试机制,那么就从一开始加载的so文件入手进行分析。同样用IDA挂载起来

按照上面的步骤找到JNI_OnLoad函数并下断,F9运行起来后就可以跟踪分析了。

最新文章

  1. rhel7系统破root开机密码
  2. android Camera 结构
  3. iOS开发——语法OC篇&amp;BOOL / bool / Boolean / NSCFBoolean
  4. O-C浮点数转化整数
  5. kafka原理和实践(二)spring-kafka简单实践
  6. go语言nsq源码解读二 nsqlookupd、nsqd与nsqadmin
  7. 八问WebSocket协议:为你快速解答WebSocket热门疑问
  8. 团队选题报告(bull beer)
  9. 当 “HTTP” 先生遇上“S”小姐
  10. 【XSY2851】蛋糕 数学
  11. 第十三次作业——回归模型与房价预测&amp;第十一次作业——sklearn中朴素贝叶斯模型及其应用&amp;第七次作业——numpy统计分布显示
  12. python3 re模块
  13. 挖坑:hive集成kerberos
  14. 将 Azure 文件共享用于 Windows VM
  15. python redirect和render的区别
  16. 深入剖析ConcurrentHashMap
  17. android怎么抓取双向认证https的包
  18. Django使用多数据库
  19. 学习笔记之TensorFlow
  20. Oracle删除重复记录只保留一条数据的几种方法

热门文章

  1. 关于linux系统下 无法解析主机的问题
  2. OC-2-字符串
  3. PLSQL快捷键设置
  4. mysql explain22222 system &gt; const &gt; eq_ref &gt; ref &gt; fulltext &gt; ref_or_null &gt; index_merge &gt; unique_subquery &gt; index_subquery &gt; range &gt; index &gt; ALL
  5. Ext扩展的QQ表情选择面板
  6. 使用Salt-ssh部署Salt-minion之源码安装(二)
  7. Unity3D学习笔记——NGUI之Localization system
  8. android-support-v7使用
  9. Android开发:《Gradle Recipes for Android》阅读笔记1.5
  10. jmeter 响应数据更换显示类型(json、html、text)