IDAPython脚本分享 - 自动在JNI_OnLoad下断点

最新推荐文章于 2025-07-05 22:00:00 发布
原创 最新推荐文章于 2025-07-05 22:00:00 发布 · 3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #脚本 #IDAPython #逆向 #JNI-OnLoad

本文介绍了一种使用IDAPython脚本自动定位并调试Android应用中JNI_OnLoad函数的方法,提高了逆向分析So模块的效率。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

自动在JNI_OnLoad下断点

脚本背景
  • 在Android逆向的过程中,一个很常见的场景就是我们需要分析So模块的JNI_OnLoad函数,每次我们使用IDA进行调试的时候,都要手动的找一次 libart.so(ART虚拟机)中调用JNI_OnLoad函数的位置,重复又麻烦,于是就用脚本把这个相对固定的过程用IDA Python脚本固化下来,提高效率,顺便跟大家分享一下。
脚本使用注意事项
  • IDA载入分析 libart.so 完毕之后(实时附加调试的时候,可以在IDA切换到这个模块)
  • 针对于ART虚拟机的,Dalvik虚拟机的需要对应修改一下(Dalvik虚拟机渐渐远去,我就不提供修改版本了)
  • 开发测试环境为Nexus 5X AOSP 6.0.0_r1
脚本思路
  • 通过阅读 libart.so 相关源码可知,在调用So模块的JNI_OnLoad函数之前,代码中会有日志输出,有参考字符串 “[Calling JNI_OnLoad in”
  • 通过 IDAPython 接口API,在 .rodata 段搜索上述的字符串,找到偏移地址
  • 通过 IDAPython 接口API,对上述偏移地址进行交叉引用参考,发现有2处引用参考,其中第二处是字符串定义处,因此取第一处
  • 通过交叉引用地址,使用IDAPython API 接口开始遍历整个函数(art::JavaVMExt::LoadNativeLibrary), 为了增加准确性,从上述找到的字符串参考位置开始进行 特征指令匹配
    1. 读取第二处的字节码 0xE494,根据 Thumb-2 指令的B指令编码规则(请参考我的另一篇博文),计算出目标跳转地址 0x24EBA0
    2. 跟踪进计算出来的地址 0x24EBA0,继续搜索特征指令 BLX R12
    3. 使用 IDAPython API接口直接在这个地址下断点即可
思路总结
  • 通过阅读对应部分源码,然后结合 IDA反汇编结果,先手工在IDA里面找一遍,然后考虑结合实际的一些特征值,配合 IDAPython API来进行脚本自动化 ~..~
脚本源码
JNI_onload函数处下断点避开针对IDA的反调试
武天旭的博客
10-03 1337
一、在JNI_onload函数处下断点避开针对IDA的反调试 为了防止apk中的so文件被动态调试,开发者往往会使用一些反调试手段来干扰黑客的动态调试。其中最常见的就是在so文件中检测TracerPid值。通过在JNI_onload断点即可避开反调试。 二、反调试原理 1、ptrace:是系统调用的一个方法
ida导入jni头文件_IDA远程调试so库JNI_Onload函数
weixin_39997194的博客
12-24 646
JNI_OnLoad函数大概功能就是在程序加载so的时候,会执行JNI_OnLoad函数,做一系列的准备工作。很多时候,程序猿们会将一些重要信息放在此函数中,而不是通过某种事件来重复触发。包括说将反调试函数放置在此函数中。因此,调试手段发生了改变,上述调试方法基本上被淘汰。1.静态分析,找到JNI_OnLoad函数的偏移2.执行android_server3.端口转发4.以调试模式启动程序adb...
ida python 条件断点奇淫技巧
qq_26394845的博客
04-20 1022
import idc try: mes_ptr = str(hex(idc.get_reg_value("R6"))) len_mes = str(idc.get_reg_value("R5")) mes = idc.get_strlit_contents(idc.get_reg_value("R6"), int(len_mes), -1) # mes_txt = hex(GetRegValue("R6")) # print(mes) try: .
Frida RPC高级应用:动态模拟执行Android so文件实战指南
最新发布
KE17RS的博客
07-05 882
Frida RPC高级应用:动态模拟执行Android so文件实战指南
IDA远程调试so库JNI_Onload函数
weixin_33816300的博客
04-23 245
JNI_OnLoad函数大概功能就是在程序加载so的时候,会执行JNI_OnLoad函数,做一系列的准备工作。很多时候,程序猿们会将一些重要信息放在此函数中,而不是通过某种事件来重复触发。包括说将反调试函数放置在此函数中。因此,调试手段发生了改变,上述调试方法基本上被淘汰。 1.静态分析,找到JNI_OnLoad函数的偏移 2.执行android_server ...
Android动态调试so库JNI_Onload函数-----基于IDA实现
Fly20141201. 的专栏
04-11 7013
之前看过吾爱破解论坛一个关于Android'逆向动态调试的经验总结帖,那个帖子写的很好,对Android的脱壳和破解很有帮助,之前我们老师在上课的时候也讲过集中调试的方法,但是现在不太实用。对吾爱破解论坛的该贴,我也是看了很多遍,自己也查了不少资料,但是自己动手的时候总觉比较繁琐,并且很多细节的地方没有注意到,按照那个帖子尝试了几遍但是却出现了错误(后面会提到),今天周末重新拾起来试了试,终于把遇
Android IDA 动态调试so(过掉JNI_Onload调试检测)笔记-附件资源
03-02
Android IDA 动态调试so(过掉JNI_Onload调试检测)笔记-附件资源
ida动态调试so,在init_array和JNI_ONLOAD处下断点
jltxgcy的专栏
01-28 7121
0x00    如何在JNI_ONLOAD断点,参考安卓逆向学习笔记(5) -JNI_Onload 函数处下断点避开针对IDA Pro的反调试。最好使用模拟器调试,确保 Attach to process后,对应进程在DDMS中出现小红蜘蛛。    下面将如何在init_array下断点,首先要找到so的init_array端,把so拖入ida,然后按Crtl+s,会出现该so的所有段。如下
安卓逆向_16 --- ARM 静态分析( 使用 IDA Pro 分析 ARM 汇编【java_ 和 JNI_OnLoad】 )...
墨鱼菜鸡
07-11 922
菜鸟总结 so 分析,arm 汇编,IDA 静态分析:https://www.52pojie.cn/thread-695063-1-1.html JNI 静态注册 so 和 IDA 导入的 JNI.h 文件.zip:https://download.youkuaiyun.com/download/freeking101/12571373 ARM静态分析: 代...
安卓逆向_21 --- Java层和so层的反调试( IDA 动态调试 JNI_OnLoad、init_array下断)
墨鱼菜鸡
07-11 1540
1. 安卓程序动态调试条件 安卓程序动态调试条件 ( 2个满足1个即可 ): 1. 在 AndroidMainfest.xml ---> application 标签下,设置或者添加属性android:debuggable="true" 2. 系统默认模式,在 build.prop(boot.img),ro.debuggable=1 And...
AndroidJNI_OnLoad简介与应用
热门推荐
北雨南萍
11-29 2万+
一、JNI_OnLoad简介  Java JNI有两种方法,一种是通过javah,获取一组带签名函数,然后实现这些函数。 这种方法很常用,也是官方推荐的方法。 还有一种就是JNI_OnLoad方法。 ​ 当Android的VM(Virtual Machine)执行到C组件(即*so档)里的System.loadLibrary()函数时, 首先会去执行C组件里的JNI_OnLoad()函
IDAPython脚本分享 - 自动在.preinit_array .init .init_array下断点
小蓝人敌法的专栏
11-28 953
自动在.preinit_array .init .init_array下断点脚本背景 在Android逆向的过程中,一个很常见的场景就是我们需要分析So模块的init函数(很多加固方案初始化的地方),每次我们使用IDA进行调试的时候,都要手动的找一次 linker 中调用init函数的位置,重复又麻烦,于是就用脚本把这个相对固定的过程用IDA Python脚本固化下来,提高效率,顺便跟大家分享一下。
android 动态字符串数组初始化,IDA 动态调试Android8 SO .init .init_array JNI_Onload
weixin_32019577的博客
05-26 400
前言网上已经有很多在Android4中IDA如何调试.init .init_array JNI_Onload等文章,比如下面给出的参考,写的也非常详细,所以今天我们不讨论Android4。我们以Android8为例子。查找关键函数的偏移地址想要调试.init .init_array必须找到,call_function函数中的function(g_argc, g_argv, g_envp);地址,和...
JNI调用(github有代码可下载)
weixin_34191845的博客
03-26 332
2019独角兽企业重金招聘Python工程师标准>>> ...
IDAPRO的python插件-IDAPython
LUCKYOJ
10-21 1万+
IDAPythonIDA的一款插件。将python和ida结合起来,利用python语言就可以更加自动化的分析程序。 IDA5版本里没有带这个插件,需要自己装,并且目前不支持python2.6+。所以还是用IDA6吧,内置自带IDAPython。 这个插件内部的脚本放在ida主目录的python目录里,里面有4个py,idaapi.py,idautils.py,idc.py,init
Android libdvm.so 与 libart.so
可夫小子的频道
03-31 2万+
Android libdvm.so 与 libart.so 系统升级到5.1之后,发现system/lib/下面没有libdvm.so了,只剩下了libart.so。对于libart模式,从4.4就在Developer optins里面就可以手动选择,到5.1算是转正了。 1,什么是libdvm,libart。 Android KK里引入了ART虚拟机作为Dalvik虚拟机的
《深入理解 Android ART 虚拟机》笔记
川峰的博客
12-13 3162
另外,ART 还借助一种称之为 Lock Hierarchies 的方法来解决线程同步时经常出现的因为使用锁的顺序不一样导致死锁的问题(即线程应该按相同的顺序抢占互斥锁,比如先锁住互斥锁A,接着再锁住互斥锁B,否则极易出现死锁的情况)。很多人以为 Java 字节码编译成机器码后就能和那些 C/C++ 编译得到的机器码一样无所羁绊地直接在OS上运行了,殊不知在Java字节码编译为机器码的过程中,虚拟机会添加一些必要和特殊的指令,使得得到的机器码在运行过程中实际上离不开虚拟机的管控。笔者称这种双字节元素为。
Frida查找Native函数地址和所属SO模块的方法
m0_59162559的博客
04-03 2661
动态注册的Native函数, 一般会调用RegisterNatives来注册Native函数。 从libart.so中查找RegisterNatives函数的指针地址, 然后使用 Interceptor.attach 来hook.
IDA6.8 爱加密脱壳简单示例
PLA12147111的博客
09-10 5437
第一步:将手机的/system/lib/libart.so 文件拷贝出来. 注:↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓ 5.0以下的系统是/system/lib/libdvm.so 5.0级5.0以上的是/system/lib/libart.so adb pull /system/lib/libart.so C:\Users\Administrator\Desk...
ida jni_onload
02-05
### 如何在 IDA 中处理 JNI_OnLoad 函数 #### 定位 JNI_OnLoad 函数 为了定位 `JNI_OnLoad` 函数,可以利用已知的偏移量来计算其实际地址。对于给定的例子,如果 `libcrackme.so` 文件中的 `JNI_OnLoad` 函数相对于起始位置有固定的偏移,则可以通过简单的加法运算找到该函数的具体地址[^3]。 例如,假设 SO 文件加载基址为 AA238000H 并且 `JNI_OnLoad` 的 RVA (Relative Virtual Address) 是 00001B9CH, 那么真实的内存地址将是: ```assembly AA238000H + 00001B9CH = AA239B9CH ``` 一旦获得了这个确切的位置,在 IDA Pro 中就可以通过按 G 键并输入上述地址来进行导航;接着使用 F2 设置断点以便于后续调试操作。 #### 动态调试准备 为了让动态调试更加顺利,建议先让应用处于等待状态直到连接上外部调试工具再继续运行。这通常涉及到修改 Android 应用启动参数使其支持远程调试模式[^4]。具体做法是在命令行中执行如下指令: ```bash adb shell am start -D -n com.example.app/.MainActivity ``` 这里的 `-D` 参数指示系统暂停应用程序直至有一个合适的调试器被挂载上去为止。 #### 调试过程中注意事项 值得注意的是,尽管 `JNI_OnLoad` 常用于初始化 Java Native Interface 扩展功能,但它并非总是最先被执行的部分。实际上,在某些情况下,操作系统可能会优先调用 ELF 文件内的 `.init` 或者 `.init_array` 段里的其他代码片段[^2]。这意味着仅依赖于 `JNI_OnLoad` 来部署保护机制可能不够安全可靠,开发者应当考虑更全面的安全策略。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值