IDA调试 android so文件的10个技巧

在android调试过程中,经常会遇到一些小问题以及解决的方法分享给大家,抛砖引玉。。。
        

1、使用模拟器调试可能经常遇到异常,然后就进行不下去了,最好换成手机。


2、即使用手机时,也可能会遇到异常造成单步或RUN卡死在一条指令上的问题。这样可以手动的执行这条指令,然后将PC指针设置成为下一条指令位置,开始执行。


3、IDA多线程调试方法

      在IDA中如果已经启动了多个线程,并且设置在多个线程设置断点后,此时单步执行时,经常会线程乱跳,造成调试非常不方便。可以采用的方法是比如当前从主线程跳到某个其他线程,在主线程下一条指令设置断点,然后在线程窗口中将主线程supend,这时就不会再跳回到主线程了。如果想回到主线程,RUN后就会断点之前设置的断点。

4、IDA调试界面配置保存

      配置好的调试界面,可以通过如下方法保存起来:点击windows—>save destop..,下次启动后直接点击windows—>load destop..即可。


5、arm指令集分为arm指令和thumb指令等,在IDA中对于一个函数或地址判断是否是ARM还是thrumb看调用的地址是否为奇数,如果为奇数则为thrumb指令,如果是4字节对齐则为ARM指令。

将代码设置为thumb指令方法如下,按alt+G,然后让value=1 为thumb指令,= 0为arm指令。




6、出现异常,经常手动bypass, 可以采用下面方法,一劳永逸:

打开IDA安装目录\cfg\exceptions.cfg,并在liunux条目下面按照如下方式修改:


7、如何定位到执行so文件的init或init_array函数

1)从手机或虚拟机中pull出来linker

2)搜索字符串” [ Calling %s @ %p for '%s' ]”,见下图:



3)查找引用此字符串的地址:


4)到sub_271C处,见下图 :


8 如何定位到jni_load

1)直接在SO文件中查找jni_load设置断点的弊端:

     a) 如果SO文件被处理了,可能是找不到的

     b) 如果对应jni_onload被加密了,直接设置断点,会引起解密失败

2) 从手机或虚拟机中pull出来libdvm.so

3) 查找函数dvmLoadNativeCode

见下图:



往下看,其中调用dlopen为加载so,返回时so已经加载,同时已经执行了init等初始化函数。 


再往下看:


9 如何定位到RegisterNatives函数

1)从手机或虚拟机中pull出来libdvm.so

2)搜索字符串“Registering JNI native methods for class %s”见下图


3)查看引用“Registering JNI native methods for class %s”地址


4)到sub_4D424函数看看如下图:


sub_4D424即为RegisterNatives函数地址 

10 如何定位加载到内存中的dex/jar等的地址

方法一:直接在IDA中按ctrl+S 从已加载中查找,但是可能找不到(对应动态加载)。

方法二:直接在加载dex/jar的返回结构体中获取

1) 当dex/jar加载时调用的libdvm.so中的函数openDexFileNative。此函数源码(android4.4)见下图:


对于dex文件调用dvmRawDexFileOpen(sourceName, outputName, &pRawDexFile, false),并将加载的信息放入到pRawDexFile中。

对于jar文件调用dvmJarFileOpen(sourceName, outputName, &pJarFile, false),并将加载后的信息放入pJarFile中。

2) 定位openDexFileNative :搜索字符串“Refusing to reopen boot DEX '%s'”查看引用地址就可以定位,看下图:



sub_64798即为函数openDexFileNative地址。

3)对于apk/jar等类型 在下图位置下断点。其中堆栈sp的内容对应的就是JarFile* pJarFile






通过上面的结构,获取DEX对应公式如下:Dex addr = [[[sp]+0x28]+4]

4)对于dex类型文件断在如下位置: 



通过上面的结构,获取DEX对应公式如下:Dex addr = [[[sp]+0x4]+4](此方面暂时没找到dex测试,没有验证哦,不过大体方法类似)。


移动安全逆向研究:

QQ群:211730239


<think>好的,用户想要了解IDA分析Android SO技巧,我需要整理相关的内容。首先,我应该从基础开始,确保覆盖静态分析和动态调试的常用方法。然后考虑用户可能的实际需求,比如逆向工程、漏洞挖掘或者安全分析,所以需要包括一些实用技巧。 首先,SO文件的结构是关键,ELF格式的头部、节区信息需要解释清楚,用户可能需要知道如何快速定位关键函数。然后是静态分析部分,IDA的常用功能如重命名、注释、交叉引用,这些是基本操作,必须提到。此外,识别JNI函数的方法,比如符号恢复和JNI函数命名规则,对分析很有帮助。 动态调试部分,需要介绍如何配置IDA进行远程调试,包括android_server的启动和端口转发。用户可能遇到反调试的情况,所以需要提到检测和绕过的方法,比如检查TracerPid或使用Frida脚本。 还有字符串混淆和加密处理,比如如何识别加密字符串以及使用IDAPython脚本解密,这对实际分析很有用。结构体和枚举的创建,能帮助理解复杂数据结构,这也是提高分析效率的技巧。 用户可能对自动化分析感兴趣,所以IDAPython和插件的使用应该包括进来,比如使用FindCrypt插件检测加密算法。此外,常见反编译问题如变量识别错误,需要给出解决方法,比如手动调整栈变量。 最后,补充一些高级技巧,比如比较二进制差异、Hook关键函数,以及ARM汇编的优化指令,帮助用户更深入分析。总结时强调结合静态和动态分析,使用工具提升效率,并保持更新知识库,这样用户能得到全面的指导。 需要检查是否有遗漏的重要技巧,比如调用约定、ARM与Thumb模式切换,或者处理混淆代码的方法。确保语言通俗易懂,结构清晰,分点列出方便阅读。同时注意避免过于技术化的术语,必要时举例说明,让不同水平的用户都能理解。</think>好的,以下是用中文总结的IDA分析Android SO文件的实用技巧,分点说明便于理解: --- ### **一、前期准备** 1. **文件结构分析** - 使用`readelf -h libxxx.so`查看ELF头部信息,确认架构(ARM/Thumb, x86, ARM64)。 - 通过`IDA View-A`快速浏览`.text`(代码)、`.rodata`(只读数据)、`.plt`(导入函数)等关键节区。 2. **JNI函数定位** - 若符号未剥离,搜索`Java_`前缀的函数(如`Java_com_example_MainActivity_init`)。 - 符号丢失时,通过`JNI_OnLoad`函数交叉引用追溯动态注册的Native方法。 --- ### **二、静态分析技巧** 1. **关键函数标记** - **重命名函数**:`右键函数名 → Rename`(如`sub_1234 → encrypt_data`)。 - **添加注释**:`快捷键 ;` 标注算法逻辑或关键参数。 - **交叉引用追踪**:`Xrefs to` 查看函数调用关系,定位入口点。 2. **字符串解密** - 搜索加密字符串引用(如`mov r0, offset encrypted_str`)。 - 编写IDAPython脚本模拟解密过程,例如: ```python for addr in XrefsTo(0x1234): decrypted = xor_decrypt(get_bytes(addr, 20), key=0x55) set_cmt(addr, f"Decrypted: {decrypted}", 0) ``` 3. **结构体重建** - 按`Shift+F1`创建结构体(如`typedef struct { int id; char name[32]; } User;`)。 - 对内存访问指令(如`ldr r3, [r0, #0x10]`)应用结构体偏移,提升代码可读性。 --- ### **三、动态调试技巧** 1. **调试环境配置** - 推送`android_server`到设备:`adb push android_server /data/local/tmp`。 - 端口转发:`adb forward tcp:23946 tcp:23946`。 - IDA中选择`Debugger → Remote ARM Linux/Android debugger`。 2. **绕过反调试** - **检测TracerPid**:Hook `openat`函数,过滤`/proc/self/status`读取操作。 - **代码注入**:使用Frida修改`ptrace`返回值,或直接NOP关键检测指令。 3. **关键断点设置** - 在`JNI_OnLoad`、`System.loadLibrary`或特定加密函数(如`AES_encrypt`)下断点。 - 条件断点:例如当`R0=0xABCD`时暂停(`Edit breakpoint → Condition: r0==0xABCD`)。 --- ### **四、高级逆向技巧** 1. **ARM指令优化识别** - **Thumb模式**:注意指令对齐(2字节),使用`Alt+G`设置`T=1`切换模式。 - **批量NOP填充**:识别花指令后,选择`Edit → Patch program → Change byte`填充`00 00`(Thumb)或`00 00 00 00`(ARM)。 2. **算法逆向** - 识别标准算法特征(如AES的Te表、RC4的256次循环初始化)。 - 使用插件**FindCrypt**检测加密常量(MD5/SHA1魔数)。 3. **自动化分析** - **IDAPython脚本**:批量重命名、绘制控制流图。 ```python for func in Functions(): if get_func_attr(func, FUNCATTR_FLAGS) & FUNC_LIB: set_name(func, "lib_"+get_func_name(func)) ``` - **二进制对比**:使用`BinDiff`比对SO版本差异,快速定位补丁位置。 --- ### **五、常见问题解决** 1. **栈变量识别错误** - 手动调整`Edit → Functions → Stack variables`,修复错误的局部变量偏移。 2. **SO内存加载基址** - 调试时通过`/proc/<pid>/maps`查看模块基址,IDA中`Edit → Segments → Rebase program`修正。 --- ### **总结** - **静态+动态结合**:先静态分析梳理流程,再动态调试验证关键逻辑。 - **工具链配合**:IDA + Frida + IDAPython + JEB 多工具联动。 - **持续学习**:关注ARM指令优化模式(如NEON指令集)、OLLVM混淆对抗等高级话题。 如果需要某个方向(如OLLVM去混淆、Frida联动调试)的深入说明,可以进一步讨论!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值