Android逆向安全-无侵入找关键call之trace日志分析大法

逆向分析之trace法
最新推荐文章于 2025-09-11 10:33:09 发布
原创 最新推荐文章于 2025-09-11 10:33:09 发布 · 置顶 · 3.7k 阅读 · 11 ·
CC 4.0 BY-SA版权
本文为博主原创文章,未经博主允许不得转载。网易内推职位:www.zhupite.com

本文介绍了一种基于trace文件的逆向分析方法,通过分析Android App运行时的函数调用顺序和频率,定位关键call。该方法无需修改App源码,侵入性低,适用于各种加固或未加固的App。

标题

找关键call是逆向的基本技能和分析目标,找到关键call后便可以进一步利用。在安卓App的逆向分析中,人肉逆向分析虽说不难,但是繁琐,特别是现在App体积动辄几十MB甚至几百MB,反编译出的jar或者smali文件相当多,找关键call无疑是大海捞针。

那么有什么方法可以快速找关键call呢?

之前介绍过两个方法:
一个是插桩日志分析法,一个是借助加固的方法。

插桩日志分析法,理解起来比较简单,就是反编译App文件,对smali代码里的每个函数入口都插入一条日志输出语句,最后回编译出新的App包,安装运行后通过捕获并分析日志找出关键call。

该方法理解起来比较简单,早期实现门槛较低,可以通过编写工具来自动插桩。但是随着App体积变得越来越大,保护强度的提高,这种操作方法的工作量也变得很大,特别是分析体积较大的App时并不是那么方便,而且一旦App自身有签名校验、文件完整性校验等保护逻辑,这种方法就会失效。而现实是,现在App的保护强度的确在增加,有的甚至会加固保护,因此这种方法的限制性也越来越多。该方法是一个“笨”方法,有时在没有更好的方法的时候,也是一个选择。

借助加固的方法,这个门槛较高,主要是利用App加固技术来实现找关键call的目的。可以在加固的时候对每个函数进行native化处理,接管函数调用,接管函数负责打印出函数签名信息,加固后的App在运行时便会输出日志,通过分析日志找出关键call。该方法实现起来不是那么容易,笔者早期在dalvik模式下通过函数签名过滤实现过一个找新版微信骰子的关键call,只是证明该方法是可行的。在具体实践中,也没有人会对所有的函数进行加固处理,这会拖慢App的运行效率,而且该方法也有弊端:实现门槛过高;对App有侵入性,App自身有签名校验、文件完整性校验等保护逻辑,这种方法就会失效。

我们现在先对比下两种方法:

插桩日志分析法 借助加固
实现难度
本质 日志分析 日志分析或签名过滤
限制条件 App无校验无保护,可反编译且可回编译 App无校验无保护
侵入性 略高

总体可以看出,这两种方法对App都有侵入性,且有一定限制条件,但其本质都是通过函数调用日志的分析方法。那么我们就会想,有没有其他方法可以减小对App的侵入性来做分析呢?例如安卓系统本身有没有这么一套机制,使得App在运行时的每个函数调用都可以有一次拦截或记录?

这个问题很早的时候就考虑过,且在2016年的时候有过类似的笔记思考:如何快速定位Android APP中的关键函数?_android,app_大星星的专栏-优快云博客

这个问题一直拖了几年,后来2019年的时候在GitHub上翻到这个项目:AppMethodOrder,号称是:“一个能让你了解所有函数调用顺序以及函数耗时的Android库(无需侵入式代码)”,看其介绍感觉就是我想要的效果。

但是该项目没有明确说明可以用来做逆向分析,但通过与作者沟通知道,这个思路确实是可以用在逆向领域的,但是怎么操作作者也不愿透露。但是有了这个确实可行的信息之后,便开始自行摸索了。

新方法探索

第一步要完成的工作是:对三方App(非自己开发的App)生成trace文件。如果项目是自己开发的,是可以通过AndroidStudio的调试功能来监控App性能分析,进而导出trace文件,这个不是难事。难就难在我们逆向App的时候,用的都是他人的App,不是自己的项目,这个要怎么生成trace文件呢?

笔者试了很多手机和模拟器,很多都不支持对其他进程的监控,只有雷电模拟器是可以的。真机可能需要root吧,但是没有找到合适的root机,这个就没验证了。但是雷电模拟器的安卓系统版本略低,在分析的时候可能也会有一些问题。这个profiler监控在安卓9.0、10.0系统上会有更好的支持。
在这里插入图片描述

能跑起来就不错,试试UI上点击 5 次之后的trace:
在这里插入图片描述
摸索着跑了两次trace,一次UI上点击了5次,一次UI上点击了7次,最后根据函数调用次数过滤,最后求交集,得出以下函数:

com.tencent.mm.view.SmileySubGrid$b.run()V
android.widget.AbsListView.performItemClick(Landroid/view/View;IJ)Z
android.widget.AdapterView.performItemClick(Landroid/view/View;IJ)Z
com.tencent.mm.view.SmileyGrid$1.onItemClick(Landroid/widget/AdapterView;Landroid/view/View;IJ)V
com.tencent.mm.view.SmileyGrid.a(Lcom/tencent/mm/view/SmileyGrid;Lcom/tencent/mm/storage/emotion/EmojiInfo;)V
com.tencent.mm.cc.a.n(Lcom/tencent/mm/storage/emotion/EmojiInfo;)Lcom/tencent/mm/storage/emotion/EmojiInfo;
com.tencent.mm.plugin.emoji.e.h.n(Lcom/tencent/mm/storage/emotion/EmojiInfo;)Lcom/tencent/mm/storage/emotion/EmojiInfo;
com.tencent.mm.ui.chatting.v.B(Lcom/tencent/mm/storage/emotion/EmojiInfo;)V
com.tencent.mm.plugin.emoji.e.h.a(Ljava/lang/String;Lcom/tencent/mm/storage/emotion/EmojiInfo;Lcom/tencent/mm/storage/bi;)V
com.tencent.mm.plugin.emoji.model.c.a(Ljava/lang/String;Lcom/tencent/mm/storage/emotion/EmojiInfo;Lcom/tencent/mm/storage/bi;)V
com.tencent.mm.model.bf.qp(Ljava/lang/String;)J
com.tencent.mm.plugin.emoji.f.r.doScene(Lcom/tencent/mm/network/e;Lcom/tencent/mm/ak/f;)I
com.tencent.mm.plugin.emoji.f.k.doScene(Lcom/tencent/mm/network/e;Lcom/tencent/mm/ak/f;)I
com.tencent.mm.ak.s$2.run()V
com.tencent.mm.plugin.emoji.f.r.onGYNetEnd(IIILjava/lang/String;Lcom/tencent/mm/network/q;[B)V
com.tencent.mm.storage.bj.ab(Lcom/tencent/mm/storage/bi;)I
com.tencent.mm.plugin.emoji.model.c.onSceneEnd(IILjava/lang/String;Lcom/tencent/mm/ak/m;)V
com.tencent.mm.model.u.a(Ljava/lang/String;Landroid/database/Cursor;)I
com.tencent.mm.plugin.fts.b.a$1.a(ILcom/tencent/mm/sdk/e/n;Ljava/lang/Object;)V

事实上里面并没有我们想要的关键call,问题出在哪里?

方法不会错,出错的只可能是工具。中间经过不断试错判断,才知道原来是trace文件捕获的有问题。

正确trace

默认的“Sample Java Methods”和“Trace Java Methods”不能满足需求:“Sample Java Methods”是随机采样,统计的不全。“Trace Java Methods”虽说是全部采集,但是默认是8MB大小,也是不够的。

需要创建自定义的捕获。勾选“Trace Java Methods”,File size limit这里选择大一点,默认是8MB是远远不够的,也不要太大,建议小于200MB吧,我这里设置了198MB。

在这里插入图片描述
一共统计了两次:

  • 第一次投 1 次骰子。
  • 第二次投 3 次骰子。
    在这里插入图片描述
    日志处理过程:
    在这里插入图片描述

相关命令

  • trace文件文本化:dmtracedump -ho xxx.trace > xxx.txt
  • trace文件文本化且按条件过滤:dmtracedump -ho xxx.trace | grep “.* ent .*”
  • 只保留目标包名的函数:grep -o ‘com.tencent.*’ xxx.txt > yyy.txt
  • 只保留函数签名:sawk ‘{print ($1) ($2)}’ xxx.txt > yyy.txt
  • 去重:sort xxx.txt | uniq -c | sort > yyy.txt
  • 取两者交集:cat a.txt b.txt | sort | uniq -d

因为去重的那个环节处理后,函数的调用顺序被打乱了,函数的调用顺序在日志分析中非常重要,往往能看出核心函数的大概范围。写了个脚本重新把顺序理了一下,简单的处理方法是:从log日志中查询某函数字符串出现的位置,最后按字符串位置排下序列:

def find_pos_sort(file_name, file_name2):
    ret = ''
    d = {}
    s = read(file_name2, False)
    lines = None
    with open(file_name, 'r') as file:
        lines = file.readlines()
    for line in lines:
        pos = s.find(line)
        d[line] = pos
    l = sorted(d.items()
最低0.47元/天 解锁文章
日志消息级别及其详解:5个级别的日志消息
UerxDebug的博客
09-26 1440
日志是软件开发中常用的一种工具,用于记录应用程序的运行状态、错误信息和其他相关事件。通过适当的日志级别,可以对日志消息进行分类和过滤,以便更好地理解应用程序的行为和故障排查。常见的日志级别分为5个级别,分别是:TRACE、DEBUG、INFO、WARN和ERROR。通过适当的选择和使用这些不同级别的日志消息,开发人员可以更好地理解和调试应用程序的运行状态和问题。可以根据具体的需求和场景选择适当的日志级别,并在开发和生产环境中进行配置和管理。以上是对日志消息级别的详细解释和相应的源代码示例。
Android逆向分析
qq_51598534的博客
09-12 5710
Android 逆向开发是指对已发布的 Android 应用进行分析和破解,以了解应用程序的内部工作原理,获取应用程序的敏感信息,或者修改应用程序的行为。Android应用 Java编写的,利用Android SDK编译代码,并并且把所有的数据和资源文件打包成一个APK(Android Package)文件这是一个后缀名为.apk的压缩文件,apk文件中包含了一个Anddroid应用程序的所有内容,是Android平台用于安装应用程序的文件。
模拟游戏CALL,F8CALL01-04
08-12
模拟游戏CALL,F8CALL01-04
安卓日志分析与崩溃拦截实战指南
最新发布
weixin_35903223的博客
09-11 786
安卓应用开发中,日志系统是保障应用稳定性和可维护性的核心工具之一。通过系统化的日志记录,开发者可以快速定位运行时错误、捕捉异常堆栈信息,并有效拦截应用崩溃(Crash)和无响应(ANR)问题。日志不仅在调试阶段起到关键作用,在上线后的稳定性优化和用户体验分析中也具有不可替代的价值。本章将从日志系统的基础概念入手,逐步深入到崩溃与ANR的拦截机制,帮助开发者构建系统的异常处理思维,并为后续章节的技术实践打下坚实基础。为了更灵活地控制日志输出,可以编写自定义日志过滤器。
一文叫你使用trace查看函数调用关系|分析Linux性能
youzhangjing_的博客
12-05 1703
抓取函数调用流程关系抓取函数耗时抓取代码片耗时抓取函数里每个子函数时间戳抓取事件信息trace是内核自带的工具,相比于perf工具,trace只管抓trace数据并没有分析,perf在trace数据分析方面做出了很多成果。 但是我们现在就想看一下底层多调用关系,所以使用trace抓一下数据是非常有必要的,还可以分析一下驱动性能。因为trace工具是内核自带的,所以我们配置一下内核就可以使用了:trace 通过 debugfs 向用户态提供了访问接口,所以还需要将 debugfs 编译进内核。激活对 debu
Linux Call Trace原理分析
lcw_202的专栏
02-24 1554
Linux Call Trace原理分析 分类: Linux 2011-01-03 21:01 1891人阅读 评论(0) 收藏 举报 本文介绍了在Linux环境下根据EABI标准进行call trace调试的一般性原理。 本文所说的call trace是指程序出问题时能把当前的函数调用栈打印出来。 本文只介绍了得到函数调用栈的一般性原理,没有涉及Linux的core dum
android trace分析
qq_32671919的博客
03-10 2060
1、进入systrace目录:cdC:\Users\Tao\AppData\Local\Android\Sdk\platform-tools\systrace 2、执行命令:python systrace.py -t 15 -o recycleview14.html -a com.lite.lanxin.alpha sched freq idle am wm gfx view sync 3、在chrome浏览器打开:chrome://tracing/ 4、将生成的文件拖入 5、具体分析查文档trace查看.
ESP-IDF调试利器组合拳:日志+trace精准定位任务阻塞的5个关键
传统调试手段如`printf`日志粒度粗糙,难以精确定位阻塞点,且缺乏上下文关联性,给问题复现与根因分析带来显著挑战。 # 2. 日志系统在任务异常分析中的核心作用 在嵌入式实时操作系统(RTOS)开发中,尤其是基于...
无代理调试新范式:eBPF+Firmware Trace实现轻量监控的5大场景
[无代理调试新范式:eBPF+Firmware Trace实现轻量监控的5大场景](https://blogs.manageengine.com/wp-content/uploads/2020/05/Memory-Utilization.png) # 1. 无代理调试的演进与eBPF技术崛起 传统系统级调试长期...
无示波器也能Debug:日志驱动调试法破解硬件异常的4种隐藏模式
![无示波器也能Debug:日志驱动调试法破解硬件异常的4种隐藏模式]...# 1. 日志驱动调试法的核心理念与硬件异常挑战 在嵌入式系统开发中,硬件资源受限、调试接口封闭等问题使得传统调试手段(如断点调试)难以施展。...
逆向工程与恶意软件分析的基本原理
逆向工程在诸多领域具有广泛的应用,包括但不限于软件开发、安全研究、产品逆向设计、知识产权保护、竞争情报收集等。 ## 1.3 逆向工程的基本原理 逆向工程的基本原理包括反汇编、反编译、调试等技术手段,通过这些...
Android日志分析工具-V3.5.2
05-27
软件版本:V3.5.2。 Android常用开发工具Eclipse和Android Studio本身自带有日志查看工具LogCat,一般性使用基本满足要求。但若长期处于Android的深度开发,会发现自带的工具内容缓冲区有限,会造成历史数据的丢失,且无法进行信息过滤和日志头自动提取分类。为了解决这些问题,故而开发了此款软件,该软件不仅解决了上述问题,而且还支持对日志文件进行离线分析和导出备份,支持对日志内容的横向过滤和纵向过滤,且可通过ADB工具直连物理设备进行日志的监控和分析,无需依赖开发工具。另外,软件为完全自主开发,对后期若有新的功能需求可以很方便的进行功能扩展和维护。 欢迎反馈意见到964195140@qq.com
Android日志分析工具-V3.6.3
08-22
软件版本:V3.6.3。 Android常用开发工具Eclipse和Android Studio本身自带有日志查看工具LogCat,一般性使用基本满足要求。但若长期处于Android的深度开发,会发现自带的工具内容缓冲区有限,会造成历史数据的丢失,且无法进行信息过滤和日志头自动提取分类。为了解决这些问题,故而开发了此款软件,该软件不仅解决了上述问题,而且还支持对日志文件进行离线分析和导出备份,支持对日志内容的横向过滤和纵向过滤,且可通过ADB工具直连物理设备进行日志的监控和分析,无需依赖开发工具。另外,软件为完全自主开发,对后期若有新的功能需求可以很方便的进行功能扩展和维护。 欢迎反馈意见到964195140@qq.com
Android日志分析工具-V3.6.4
07-14
软件版本:V3.6.4。 Android常用开发工具Eclipse和Android Studio本身自带有日志查看工具LogCat,一般性使用基本满足要求。但若长期处于Android的深度开发,会发现自带的工具内容缓冲区有限,会造成历史数据的丢失,且无法进行信息过滤和日志头自动提取分类。为了解决这些问题,故而开发了此款软件,该软件不仅解决了上述问题,而且还支持对日志文件进行离线分析和导出备份,支持对日志内容的横向过滤和纵向过滤,且可通过ADB工具直连物理设备进行日志的监控和分析,无需依赖开发工具。另外,软件为完全自主开发,对后期若有新的功能需求可以很方便的进行功能扩展和维护。 欢迎反馈意见到964195140@qq.com
安卓逆向教程
10-12
1、负责安卓程序的加解密和数据传输分析、拆解、逆向等工作; 2 、逆向APK,了解运行过程; 3 、Andorid本地提权获得root权限; 4 、熟练掌握软件逆向静态分析、动态调试、代码跟踪等; 5 、熟悉Android开发,了解打包、反编译、破解流程; 6 、so破解。
Android日志分析工具--V3.4.2
05-05
软件版本:V3.4.2。 Android常用开发工具Eclipse和Android Studio本身自带有日志查看工具LogCat,一般性使用基本满足要求。但若长期处于Android的深度开发,会发现自带的工具内容缓冲区有限,会造成历史数据的丢失,且无法进行信息过滤和日志头自动提取分类。为了解决这些问题,故而开发了此款软件,该软件不仅解决了上述问题,而且还支持对日志文件进行离线分析和导出备份,支持对日志内容的横向过滤和纵向过滤,且可通过ADB工具直连物理设备进行日志的监控和分析,无需依赖开发工具。另外,软件为完全自主开发,对后期若有新的功能需求可以很方便的进行功能扩展和维护。 欢迎反馈意见到964195140@qq.com
Android逆向-Android基础逆向(2)
王嘟嘟的博客
01-26 2670
0x00前言不知道所以然的看Android逆向-Android基础逆向(1)1.本次学习内容(1)APK文件伪加密 (2)资源文件防反编译 (3)apk打包流程 (4)apk反编译流程 (5)apk回编译流程0x01 APK文件伪加密之前说道,APK文件类似于ZIP文件,ZIP文件有一项技术是伪加密,就是让ZIP变成加密的状态,但是它自己其实并没有什么密码,所以叫做伪加密。原理就是把密码标志
Android 分析Trace文件步骤
工宗浩生财指南针
05-22 3535
与“KeyDispatchingTimeout”和“InputDispatchingTimeout”等关键字相关的线程信息,以定位 ANR 的具体原因。在堆栈信息中,到应用程序的主线程信息。通过查看时间戳信息,可以确定 ANR 事件发生的时间,进而出在该时刻发生的事件,从而确定 ANR 的根本原因。总之,通过分析 ANR 日志文件中的关键字、线程信息、堆栈信息和时间戳等信息,我们可以确定 Android 应用程序中 ANR 的具体原因,并在此基础上进行相关的优化和改进。
Android中logcat日志、ANR日志、trace日志的介绍与分析方法
m0_46368082的博客
04-17 6196
Android开发中,日志是开发者在应用程序中添加的一种输出信息的记录方式,用于查看应用程序在运行时的状态、调试信息、错误信息等。通过分析logcat日志,开发者可以到应用程序中可能存在的问题和错误,从而优化应用程序的性能和稳定性。总结起来,通过获取和分析Android设备的trace日志,开发者可以到应用程序中的性能问题和瓶颈,从而优化应用程序的性能和稳定性。总结起来,通过使用Android的logcat日志,开发者可以到应用程序中的问题和错误,从而优化应用程序的性能和稳定性。
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

asmcvc

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值