本文涉及到的apk。请在github下载https://github.com/jltxgcy/AliCrack/AliCrackme_2.apk

0x00

怎样在JNI_ONLOAD下断点。參考安卓逆向学习笔记(5) - 在JNI_Onload 函数处下断点避开针对IDA Pro的反调试。最好使用模拟器调试,确保 Attach to process后,相应进程在DDMS中出现小红蜘蛛。

以下将怎样在init_array下断点,首先要找到so的init_array端。把so拖入ida,然后按Crtl+s,会出现该so的全部段。例如以下:

进入.init_array。例如以下:

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="" />

当中sub_2378就是init_array的代码。

我们在这里下断点,详细调试的步骤和在JNI_ONLOAD下断点调试是一样的。參考安卓逆向学习笔记(5) - 在JNI_Onload 函数处下断点避开针对IDA Pro的反调试。网上有非常多其它方法在init_array下断点。比如Android安全–linker载入so流程。在.init下断点。我还是认为上面的方法比較方便。

调试时使用jdb -connect com.sun.jdi.SocketAttach:port=8700,hostname=localhost,有时会报例如以下错误:

此时,我们先观察DDMS。

使用jdb -connect com.sun.jdi.SocketAttach:port=8622,hostname=localhost就可以。

0x01

也讲一下ida静态分析so。

首先列出C++源代码:

#include "com_example_jnidemo_JniGg.h"

int switch1(int a, int b, int i, int j, int k,int q){

	char *w = "i am winner in this year";

	switch (i){

	case 1:

		return a + b + j + k;

		break;

	case 2:

		return a - b;

		break;

	case 3:

		return a * b;

		break;

	case 4:

		return a / b;

		break;

	default:

		return a + b;

		break;

	}

}

JNIEXPORT jstring JNICALL Java_com_example_jnidemo_JniGg_ggPrintHello

  (JNIEnv * env, jobject this)

{

     return (*env)->NewStringUTF(env, "Current Coin is --  ");

}

JNIEXPORT jint JNICALL Java_com_example_jnidemo_JniGg_getCoin

  (JNIEnv * env, jobject this)

{

	return switch1(1,2,1,4,5,6);

}

编译成so。然后拖进ida进行分析。 

.text:00000E38                 EXPORT Java_com_example_jnidemo_JniGg_getCoin

.text:00000E38 Java_com_example_jnidemo_JniGg_getCoin

.text:00000E38

.text:00000E38 var_10          = -0x10

.text:00000E38 var_C           = -0xC

.text:00000E38

.text:00000E38                 PUSH    {LR}

.text:00000E3A                 SUB     SP, SP, #0xC

.text:00000E3C                 MOVS    R3, #5

.text:00000E3E                 STR     R3, [SP,#0x10+var_10]

.text:00000E40                 MOVS    R3, #6

.text:00000E42                 STR     R3, [SP,#0x10+var_C]

.text:00000E44                 MOVS    R0, #1

.text:00000E46                 MOVS    R1, #2

.text:00000E48                 MOVS    R2, #1

.text:00000E4A                 MOVS    R3, #4

.text:00000E4C                 BL      switch1

.text:00000E50                 ADD     SP, SP, #0xC

.text:00000E52                 POP     {PC}

.text:00000E52 ; End of function Java_com_example_jnidemo_JniGg_getCoin

arm的參数传递规范,和函数中的局部变量定义规范,请參考ARM子函数定义中的參数放入寄存器的规则

这里使用R0,R1。R2,R3来传递前4个參数,使用堆栈来传递后两个參数。 

.text:00000DEC

.text:00000DEC                 EXPORT switch1

.text:00000DEC switch1                                 ; CODE XREF: Java_com_example_jnidemo_JniGg_getCoin+14p

.text:00000DEC

.text:00000DEC arg_0           =  0

.text:00000DEC

.text:00000DEC                 PUSH    {R4,LR}

.text:00000DEE ; 6:   v5 = a3 - 1;

.text:00000DEE                 SUBS    R2, #1

.text:00000DF0 ; 7:   v6 = a1;

.text:00000DF0                 MOVS    R4, R0

.text:00000DF2 ; 8:   result = a1 + a2;

.text:00000DF2                 ADDS    R0, R0, R1

.text:00000DF4 ; 9:   if ( (unsigned int)v5 <= 3 )

.text:00000DF4                 CMP     R2, #3          ; switch 4 cases

.text:00000DF6                 BHI     def_DFA         ; jumptable 00000DFA default case

.text:00000DF8 ; 11:     result = v5;

.text:00000DF8                 MOVS    R0, R2

.text:00000DFA ; 12:     switch ( v5 )

.text:00000DFA                 BL      __gnu_thumb1_case_uqi ; switch jump

.text:00000DFA ; ---------------------------------------------------------------------------

.text:00000DFE jpt_DFA         DCB 2                   ; jump table for switch statement

.text:00000DFF                 DCB 0xA

.text:00000E00                 DCB 7

.text:00000E01                 DCB 0xC

.text:00000E02 ; ---------------------------------------------------------------------------

.text:00000E02 ; 15:         result = v6 + a2 + a4 + a5;

.text:00000E02

.text:00000E02 loc_E02                                 ; CODE XREF: switch1+Ej

.text:00000E02                 LDR     R2, [SP,#8+arg_0] ; jumptable 00000DFA case 0

.text:00000E04                 ADDS    R4, R4, R1

.text:00000E06                 ADDS    R3, R4, R3

.text:00000E08 ; 16:         break;

.text:00000E08                 ADDS    R0, R3, R2

.text:00000E0A

.text:00000E0A def_DFA                                 ; CODE XREF: switch1+Aj

.text:00000E0A                                         ; switch1+24j ...

.text:00000E0A                 POP     {R4,PC}         ; jumptable 00000DFA default case

.text:00000E0C ; ---------------------------------------------------------------------------

.text:00000E0C ; 18:         result = a2 * v6;

.text:00000E0C

.text:00000E0C loc_E0C                                 ; CODE XREF: switch1+Ej

.text:00000E0C                 MOVS    R0, R1          ; jumptable 00000DFA case 2

.text:00000E0E                 MULS    R0, R4

.text:00000E10 ; 19:         break;

.text:00000E10                 B       def_DFA         ; jumptable 00000DFA default case

.text:00000E12 ; ---------------------------------------------------------------------------

.text:00000E12 ; 21:         result = v6 - a2;

.text:00000E12

.text:00000E12 loc_E12                                 ; CODE XREF: switch1+Ej

.text:00000E12                 SUBS    R0, R4, R1      ; jumptable 00000DFA case 1

.text:00000E14 ; 22:         break;

.text:00000E14                 B       def_DFA         ; jumptable 00000DFA default case

.text:00000E16 ; ---------------------------------------------------------------------------

.text:00000E16 ; 24:         result = v6 / a2;

.text:00000E16

.text:00000E16 loc_E16                                 ; CODE XREF: switch1+Ej

.text:00000E16                 MOVS    R0, R4          ; jumptable 00000DFA case 3

.text:00000E18                 BLX     __divsi3

.text:00000E1C ; 25:         break;

.text:00000E1C ; 26:       default:

.text:00000E1C                 B       def_DFA         ; jumptable 00000DFA default case

.text:00000E1C ; End of function switch1

在这个函数中因为使用了R4作为局部变量,所以在開始时要把R4放入堆栈,为了返回后程序能够继续执行,所以把LR也压入了堆栈。

这样堆栈地址就减去了8个字节(R4,LR都被压入堆栈)。所以取第一个參数要使用指令LDR R2, [SP,#8+arg_0]。

ida动态调试so,在init_array和JNI_ONLOAD处下断点的更多相关文章

  1. 在Android so文件的.init、.init_array上和JNI_OnLoad处下断点

    本文博客地址:http://blog.csdn.net/qq1084283172/article/details/54233552 移动端Android安全的发展,催生了各种Android加固的诞生, ...

  2. 【转】安卓逆向实践5——IDA动态调试so源码

    之前的安卓逆向都是在Java层上面的,但是当前大多数App,为了安全或者效率问题,会把一些重要功能放到native层,所以这里通过例子记录一下使用IDA对so文件进行调试的过程并对要点进行总结. 一. ...

  3. ida动态调试笔记

    ida动态调试笔记 目标文件:阿里安全挑战赛的第二题 点击打开链接 使用环境:ida6.8点击打开链接,adt bundle点击打开链接 首先打开avd安卓模拟器,界面如下: 在dos下运行adb命令 ...

  4. 逆向分析-IDA动态调试WanaCrypt0r的wcry.exe程序

    0x00 前言 2017年5月12日全球爆发大规模蠕虫勒索软件WanaCrypt0r感染事件,各大厂商对该软件做了深入分析,但针对初学者的分析教程还比较少,复现过程需要解决的问题有很多,而且没有文章具 ...

  5. 转:使用IDA动态调试WanaCrypt0r中的tasksche.exe

    逆向分析——使用IDA动态调试WanaCrypt0r中的tasksche.exe 转:http://www.4hou.com/technology/4832.html 2017年5月19日发布 导语: ...

  6. IDA动态调试技术及Dump内存

    IDA动态调试技术及Dump内存 来源 https://blog.csdn.net/u010019468/article/details/78491815 最近研究SO文件调试和dump内存时,为了完 ...

  7. 学汇编的时候可以拿IDA之类的反汇编工具辅助学习,再用gdb或者IDA动态调试,跟踪每条指令的 执行结果。都不难

    作者:潘安仁链接:https://www.zhihu.com/question/40720890/answer/87926792来源:知乎著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明 ...

  8. IDA动态调试Android的DEX文件

    Android程序的dex文件的动态调试确实是个大问题,网上也有一些教程但是不是特别的详细,今天用到了IDA动态调试Android的DEX文件,特此记录一下. IDA 6.6新添加了对dex文件的调试 ...

  9. IDA 动态调试

    感谢南邮,让我把ida动态调试,给搞定了,困扰了很久,之前下的ubuntu的源,好像有问题,ifconfig这个命令一直装不上,突然想起来了我的服务器很久没用了,重装了下系统,换成ubuntu,这里记 ...

随机推荐

  1. hdoj 5092 Seam Carving 【树塔DP变形 + 路径输出】 【简单题】

    Seam Carving Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536/65536 K (Java/Others) Tot ...

  2. PECL轻松安装PHP扩展

    搭建PHP环境的时候,我们通常不会把全部的扩展都安装,随着需求不断添加,可能须要安装新的扩展,以下介绍一种简便的安装方法. 此处以ev.so扩展为例. 1.进入php安装文件夹bin文件夹.cd /A ...

  3. insmod hello.ko -1 Invalid module format最简单的解决的方法

    在下也是从网上搜索到的这样的解决的方法. 遇到这样的情况后,通过dmesg看一下内核日志. 假设发现有例如以下日志.那就好办了. hello: version magic '2.6.33.3 ' sh ...

  4. 重构版机房收费系统之分层、接口、数据库连接、反射+工厂(vb.net)

    分层 分层是为了减少层与层之间的依赖,添加程序的可读性,让整个系统结构清晰明白.还可大大减少维护成本,可是分层也有一定的缺点,有些能够直接訪问数据库的层,却要通过负责訪问数据库的层进行訪问.这样,在訪 ...

  5. 错误 'Cannot run program "/home/uv/IDE/adt/sdk/platform-tools/adb": error=2, No such file or directory

    转 Linux下Android SDK中adb找不到的解决方案 2013年04月22日 20:41:48 阅读数:7621 在Linux平台下配置Android SDK开发环境过程中,Eclipse会 ...

  6. sql server 数据库展开变慢

    https://social.msdn.microsoft.com/Forums/sqlserver/en-US/99bbcb47-d4b5-4ec0-9e91-b1a23a655844/ssms-2 ...

  7. 深入理解Oracle索引(1):INDEX SKIP SCAN 和 INDEX RANGE SCAN

    ㈠ Index SKIP SCAN                当表有一个复合索引,而在查询中有除了索引中第一列的其他列作为条件,并且优化器模式为CBO,这时候查询计划就有可能使用到SS       ...

  8. mysql授予IP远程访问访问语句

    mysql -u root -p; GRANT ALL PRIVILEGES ON *.* TO '用户名'@'你的IP地址' IDENTIFIED BY '密码' WITH GRANT OPTION ...

  9. ubuntu DNS 出错,用以下命令可以解决

    具体的错误为:DNS_PROBE_FINISHED_BAD_CONFIG 命令为: sudo rm /etc/resolv.conf sudo ln -s ../run/resolvconf/reso ...

  10. Ubuntu 16.04或14.04里下安装搜狗输入法(图文详解)(全网最简单)

    不多说,直接上干货! 其实啊,很简单 分三步走 1.添加fcitx的键盘输入法系统,因为sogou是基于fcitx的,而系统默认的是iBus: 2.安装sogou输入法: 3.设置系统参数及一些注意点 ...