Android IDA 动态调试so(过掉JNI_Onload调试检测)笔记

最新推荐文章于 2023-10-11 21:27:17 发布
最新推荐文章于 2023-10-11 21:27:17 发布
阅读量2.1k 收藏 14
点赞数 1
分类专栏: android逆向学习笔记 文章标签: 动态调试so android逆向 android反调试检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Viewz/article/details/97757862
版权

链接:https://pan.baidu.com/s/1oOH9RgukXJcXianq8jgYhg 
提取码:5lzf 
这个是我调试的样本APK,是阿里逆向前几年的一道题。

拿到APK,先用apktool 解包

apktool d ali.apk ,解包之后打开文件夹发现存在so文件,于是用JEB或者android killer打开APK

先查找入口主类,发现是com.yaotong.crackme.MainActivity 

然后看到android:bebuggable ="true"这个属性并没有在APK里面,想要动态调试APK的话,那么待会我就需要添加这段代码 。

先点开主类查看函数

 

主界面只有一个Button,所以button点击的函数事件就是检测密码,然后这个函数securityCheck()是注册在so文件里面的, 使用IDA 打开so文件,查看securityCheck()函数 

然后F5反汇编,其中这段代码是说输入密码和正确密码逐位对比,所以我们可以动态调试so输出正确密码

 

但是这题不可能有这么简单,CTRL+S查看init_array,没发现什么异常,再检测JNI_Onload,看到里面有一大堆代码,猜测应该是用来反调试用的(反调试手段不可能就只有个android:debuggable="false"或者不加这个属性这么简单,大多数情况会在init_array或者JNI_Onload开启线程检测TracePid或者端口23946之类的,因为程序启动的时候最先JNI_Onload和init_array是在主界面启动之前响应,所以在这里面加入反调试代码最好)

然后修改 AndroidManifest.xml添加android:debuggable="true",打包APK:apktool b ali -o ll.apk,使用签名工具对ll.apk进行签名,这里我用的是android killer进行签名,使用adb 命令将APK安装到手机 adb install C:\Users\a1046\Desktop\SecretJungle\ll_sign.apk

想要动态调试so文件,需要将IDA pro里面的android_server push 到手机 /data/local/tmp文件夹下,并赋予777权限

adb push XXXXX(路径)\android_server /data/local/tmp 

adb shell 

su 

cd /data/local/tmp

chmod -R 777 android_server,然后ls -al 查看,然后./android_server启动,重开一个cmd,输入adb forward tcp:23946 tcp:23946,然后以调试模式启动程序 adb shell am start -D -n com.yaotong.crackme/.MainActivity

打开IDA ,点击debugger->select debugger ,这样选择,然后确定

然后再Debugger->process options 进行如下设置

然后Debugger->attach to process ,找到目标进程 点击进去

 

接下来出现的选项点yes,然后Debugger->Debugger options进行如下设置

设置好了之后按F9,启动程序,打开ddmx(SDK tools 文件夹),打开cmd输入jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700,然后接着f9,直到jdb attach 住了(IDA出现的界面选项中 有yes点yes,有same 点same);

再linker加载进来之后ctrl+s搜索目标so ,看到so已经加载进来

cancel,然后再右侧moudules中搜索so 打开Jni_onload,下个断点,F9,出现选项点yes;

 

 

接着开始F7 F8单步调试。多次调试发现在运行玩BLX R7之后程序会退出,那么此处应该就是反调试检测机制了。

打开R7寄存器 出现pthread_create ,证明猜测正确

然后使用用IDA pro静态打开so 文件 找到汇编代码,产看blx R7 的十六进制,37 FF 2F E1

使用010 Editor或者win hex修改成 00 00 00 00 就是直接nop掉这条指令(直接删除指令的话,文件会发生错乱,因为so文件有固定的格式,比如很多段的内容,每个段的偏移值都是保存的,这样删除的话会影响偏移值)。

然后重新打包,签名,安装到手机,之后就是正常的动态调试了,启动程序,启动android_server ,转发端口

打开IDA->Debugger ->attach->Remote Armlinux/Android Debugger ,确定

找到com.yaotong.crackme进程点击进去。在modules查看crackme.so 打开SecurityCheck函数,下个断点,F9在手机上随便输入密码:crackSample,开始单步调试

调试到这的时候,点击R0寄存器查看 发现是我输入的密码

那么R2应该就是正确密码了,为aiyou,bucuoo(0x61为a)

打开程序检测 输入 ,正确 搞定

 

 

 

ida动态调试so,在init_array和JNI_ONLOAD处下断点
jltxgcy的专栏
01-28 7072
0x00    如何在JNI_ONLOAD下断点,参考安卓逆向学习笔记(5) - 在JNI_Onload 函数处下断点避开针对IDA Pro的反调试。最好使用模拟器调试,确保 Attach to process后,对应进程在DDMS中出现小红蜘蛛。    下面将如何在init_array下断点,首先要找到so的init_array端,把so拖入ida,然后按Crtl+s,会出现该so的所有段。如下
ida动态调试笔记
热门推荐
woyaojinqu的专栏
01-04 1万+
目标文件:阿里安全挑战赛的第二题 点击打开链接 使用环境:ida6.8点击打开链接,adt bundle点击打开链接 首先打开avd安卓模拟器,界面如下: 在dos下运行adb命令,查看当前连接的设备: adb devices得到结果如下: 上图显示了本机连接的安卓模拟设备。 然后用adb命令安装上面的阿里测试文件: adb install 阿里测试路径/文件名 出现上
Android IDA 动态调试so(过JNI_Onload调试检测笔记-附件资源
03-05
Android IDA 动态调试so(过JNI_Onload调试检测笔记-附件资源
No JNI_OnLoad问题解决
tianqingtz的专栏
10-31 8627
报错问题如下: 04-29 13:53:12.184: D/dalvikvm(361): Trying to load lib /data/data/com.conowen.helloworld/lib/libHelloWorld.so 0x44edea98 04-29 13:53:12.204: D/dalvikvm(361): Added shared lib /data/data/com
JNI_OnLoadso的加载
stven_king的专栏
07-29 1368
前言 最近在看 Flutter 中 Dart 和 Java 使用 MethodChannel 进行通信相关的代码,有上层一直跟到了底层。最后看到了 MethodChannel 的注册是在 JNI_OnLoad 的方法中。这个方法是在 so 被加载的时候调用的。今天主要从so 的加载看一下 JNI_OnLoad 的调用。 Flutter的so加载 我们先从 Application 的代码看起: Fl...
【iOS逆向与安全】越狱检测与过检测ida伪代码
六桥风月IT随笔
10-11 2250
放入项目运行,用 ida 打开后 F5 得到下面的。首先在网上查找一些检测代码。用 frida hook。
逆向学习笔记: APK过签名包So校验 (一)
深秋黄金甲的博客
07-24 3072
如何破解so中的签名校验。
IDA调试检测
Codeoooo 博客
06-16 1672
查看 /proc/pid/status 目录下的 tracePid 是否为0 若为0 则未被调试 若不为0 则被调试。time()函数 time_t结构体 clock()函数 clock_t结构体 gettimeofday()函数。比如说:我们写了一个demo apk 来调用so文件(调试的apk比较大 环境比较复杂 调试的时候容易跑蹦)如果IDA动态调试走到此断点处 IDA会正常的处理此断定指令 但是我们的信号处理函数已经将此指令处理完毕。有可能在内联汇编中做此反调试 反调试设置的地方在其周围。
ubuntu 编译移植库总结
what, when, why, how...
02-16 466
Ubuntu 版本的命名规则和开发代号等科普 https://www.jianshu.com/p/5ce0dc0525c4 Linux 下编译安装软件,找不到共享库 xx.so 的分析 解决 办法 https://www.cnblogs.com/digdeep/p/4801467.html Ubuntu设置和查看环境变量 https://blog.csdn.net/white...
小型游戏《笑傲江湖之精忠报国》全过程源代码
08-13
小型游戏《笑傲江湖之精忠报国》全过程源代码
IDA调试android so文件.init_array和JNI_OnLoad
weixin_30249203的博客
08-04 245
我们知道so文件在被加载的时候会首先执行.init_array中的函数,然后再执行JNI_OnLoad()函数。JNI_Onload()函数因为有符号表所以非常容易找到,但是.init_array里的函数需要自己去找一下。首先打开view ->Open subviews->Segments。然后点击.init.array就可以看到.init_array中的函数了。 但一般...
JNI_OnLoad调用时机
weixin_33749242的博客
02-07 567
终于建了一个自己个人小站:https://huangtianyu.gitee.io,以后优先更新小站博客,欢迎进站,O(∩_∩)O~~ JNI_OnLoad是在加载so的时候调用的,也就是System.loadLibrary("test")时候调用的。具体调用步骤如下: System.loadLibrary(libName)->Ru...
一分钟 搞定你的混淆加密
svenWang_的专栏
04-28 8320
最近一个项目 发现之前的 混淆加密不好使了。总结了一下既往对大家有用 废话少说直接 上步骤。(把大象放冰箱里) 1.看下面项目图片 应该都有这两个文件吧。反正我是没有config.cfg。网上都说有 。随意了 2.配置  project.properties. 发现了吧这两个是一样的。直接复制好了。 3.配置proguard-project.txt  这是没配置过得
android检测so被篡改,Android逆向so修改
weixin_28881989的博客
05-27 971
前言本文将详细介绍在二进制层面修改androidso库,以实现so逻辑的修改。为了用最短的文字把问题说的最透彻,我们尽可能的简化,这里采用可执行程序来作为例子,需要修改的可执行程序main很简单,代码如下:void say(char* name){printf("Hello %s , let`s hurt each other!\n" , name);}int main(int argc, ch...
Android逆向之旅---破解某应用加密算法(动态调试so和frida hook so代码)
尼古拉斯.赵四的博客
04-19 9784
一、样本静态分析 最近有位同学发了一个样本给我,主要是有一个解密方法,把字符串加密了,加解密方法都放在so中,所以之前也没怎么去给大家介绍arm指令和解密算法等知识,正好借助这个样本给大家介绍一些so加密方法的破解,首先我们直接在Java层看到加密信息,这个是这位同学直接告诉我这个类,我没怎么去搜了: ​ 这个应用不知道干嘛的,但是他的防护做的还挺厉害的,之前我们介绍过小黄车应用内部也用了这...
android so 签名校验,安卓逆向-调用第三方so文件过签名效验
weixin_32187037的博客
05-27 1297
逆向过程中经常会遇到各种加密,如果在java层还好说,大部分都是在so层,而且自定义的算法较多,加壳,混淆,这时候我们就可以尝试调用它们app的so文件,其中常见的手段就是签名验证,首先打开jadx-gui分析出java层加密调用so层方法顺着找上去发现调用so文件直接找到加载so文件的地方将so文件copy到我们demo中开启一个http服务,直接调用下encyptString方法发现并没有返...
安卓逆向学习笔记(5) - 在JNI_Onload 函数处下断点避开针对IDA Pro的反调试
蜗牛
02-28 9549
在上篇文章中,我们介绍了如何利用IDA Pro来动态调试so文件。在移动安全领域有攻就有防,为了防止apk中的so文件被动态调试,开发者往往会使用一些反调试手段来干扰黑客的动态调试。 其中最常见的就是在so文件中检测TracerPid值,详情请见这篇博客:爱加密脱壳 本文以2015阿里巴巴移动安全大赛中的第二道题为例,IDA Pro版本为6.5 。 这里只介绍如何通过在JNI_Onload
ida jni_onload
最新发布
02-05
### 如何在 IDA 中处理 JNI_OnLoad 函数 #### 定位 JNI_OnLoad 函数 为了定位 `JNI_OnLoad` 函数,可以利用已知的偏移量来计算其实际地址。对于给定的例子,如果 `libcrackme.so` 文件中的 `JNI_OnLoad` 函数相对于起始位置有固定的偏移,则可以通过简单的加法运算找到该函数的具体地址[^3]。 例如,假设 SO 文件加载基址为 AA238000H 并且 `JNI_OnLoad` 的 RVA (Relative Virtual Address) 是 00001B9CH, 那么真实的内存地址将是: ```assembly AA238000H + 00001B9CH = AA239B9CH ``` 一旦获得了这个确切的位置,在 IDA Pro 中就可以通过按 G 键并输入上述地址来进行导航;接着使用 F2 设置断点以便于后续调试操作。 #### 动态调试准备 为了让动态调试更加顺利,建议先让应用处于等待状态直到连接上外部调试工具再继续运行。这通常涉及到修改 Android 应用启动参数使其支持远程调试模式[^4]。具体做法是在命令行中执行如下指令: ```bash adb shell am start -D -n com.example.app/.MainActivity ``` 这里的 `-D` 参数指示系统暂停应用程序直至有一个合适的调试器被挂载上去为止。 #### 调试过程中注意事项 值得注意的是,尽管 `JNI_OnLoad` 常用于初始化 Java Native Interface 扩展功能,但它并非总是最先被执行的部分。实际上,在某些情况下,操作系统可能会优先调用 ELF 文件内的 `.init` 或者 `.init_array` 段里的其他代码片段[^2]。这意味着仅依赖于 `JNI_OnLoad` 来部署保护机制可能不够安全可靠,开发者应当考虑更全面的安全策略。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值