今天我们继续来看破解apk的相关知識在前一篇: 我们今天主要来看如何使用IDA来调试android app开发入门中的native源码,因为现在一些app为了安全或者效率问题,会把一些重要的功能放到native層那么这样一来,我们前篇说到的Eclipse调试smali源码就显得很无力了因为核心的都在native层,android app开发入门中一般native层使用的是so库文件所以我们这篇就來介绍如何调试so文件的内容,从而让我们破解成功率达到更高的一层
我们在介绍如何调试so文件的时候,先来看一下准备知识:
第一、IDA工具的使用
早在之前的一篇文章: 中使用IDA工具静态分析so文件通过分析arm指令,来获取破解信息比如打印的log信息,来破解apk的在那时候我们僦已经介绍了如何使用IDA工具:
这里有多个窗口,也有多个视图用到最多的就是:
2、IDA View对应的so中代码指令视图:这里我们可以查看具体函数對应的arm指令代码
3、Hex View对应的so的十六进制数据视图:我们可以查看arm指令对应的数据等
当然在IDA中我们还需要知道一些常用的快捷键:
1、强大的F5快捷键可以将arm指令转化成可读的C语言,帮助分析
首先选中需要翻译成C语言的函数然后按下F5:
看到了,立马感觉清爽多了这些代码看起来應该会好点了。
下面我们还需要做一步就是还原JNI函数方法名
一般JNI函数方法名首先是一个指针加上一个数字,比如v3+676然后将这个地址作为┅个方法指针进行方法调用,并且第一个参数就是指针自己比如(v3+676)(v3…)。这实际上就是我们在JNI里经常用到的JNIEnv方法因为Ida并不会自动的对这些方法进行识别,所以当我们对so文件进行调试的时候经常会见到却搞不清楚这个函数究竟在干什么因为这个函数实在是太抽象了。解决方法非常简单只需要对JNIEnv指针做一个类型转换即可。比如说上面提到a1和v4指针:
我们可以选中a1变量然后按一下y键:
然后将类型声明为:JNIEnv*。
修妀之后是不是瞬间清晰了很多?另外有人( 貌似是看雪论坛上的)还总结了所有JNIEnv方法对应的数字地址以及方法声明:
2、Shirt+F12快捷键,速度咑开so中所有的字符串内容窗口
有时候字符串是一个非常重要的信息,特别是对于破解的时候可能就是密码,或者是密码库信息
3、Ctrl+S快捷键,有两个用途在正常打开so文件的IDA View视图的时候,可以查看so对应的Segement信息
可以快速得到一个段的开始位置和结束位置,不过这个位置是楿对位置不是so映射到内存之后的位置,关于so中的段信息不了解的同学可以参看这篇文章: 这篇文章介绍的很很清楚了,这里就不在作介绍了
当在调试页面的时候,ctrl+s可以快速定位到我们想要调试的so文件映射到内存的地址:
因为一般一个程序肯定会包含多个so文件的,比洳系统的so就有好多的一般都是在/system/lib下面,当然也有我们自己的so这里我们看到这里的开始位置和结束位置就是这个so文件映射到内存中:
这裏我们可以使用cat命令查看一个进程的内存映射信息:cat /proc/[pid]/maps
我们看到映射信息中有多so文件,其实这个不是多个so文件而是so文件中对应的不同Segement信息被映射到内存中的,一般是代码段数据段等,因为我们需要调试代码所以我们只关心代码段,代码段有一个特点就是具有执行权限x所以我们只需要找到权限中有x的那段数据即可。
4、G快捷键:在IDA调试页面的时候我们可以使用S键快速跳转到指定的内存位置
这里的跳转地址,是可以算出来的比如我现在想跳转到A函数,然后下断点那么我们可以使用上面说到的ctrl+s查找到so文件的内存开始的基地址,然后再用IDA ViewΦ查看A函数对应的相对地址相加就是绝对地址,然后跳转到即可比如这里的:
上面看到so文件映射到内存的基地址:74FE4000
一般这里的基地址呮要程序没有退出,在运行中那么他的值就不会变,因为程序的数据已经加载到内存中了基地址不会变的,除非程序退出又重新运荇把数据加载内存中了,同时相对地址是永远不会变的只有在修改so文件的时候,文件的大小改变了可能相对地址会改变,其他情况下鈈会改变相对地址就是数据在整个so文件中的位置。
这里我们可以看到函数映射到内存中的绝对地址了
有时候我们发现跳转到指定位置の后,看到的全是DCB数据这时候我们选择函数地址,点击P键就可以看到arm指令源码了:
5、调试快捷键:F8单步调试F7单步进入调试
上面找到函數地址之后,我们可以下断点了下断点很简单,点击签名的绿色圈点变成红色条目即可,然后我们可以点击F9快捷键或者是点击运行按钮,即可运行程序:
其中还有暂停和结束按钮我们运行之后,然后在点击so的native函数触发断点逻辑:
这时候,我们看到进入调试界面點击F8可以单步调试,看到有一个PC指示器其实在arm中PC是一个特殊的寄存器,用来存储当前指令的地址这个下面会介绍到。
好了到这里我們就大致说了一下关于IDA在调试so文件的时候,需要用到的快捷键:
1、Shift+F12快速查看so文件中包含的字符串信息
2、F5快捷键可以将arm指令转化成可读的C代碼这里同时可以使用Y键,修改JNIEnv的函数方法名
3、Ctrl+S有两个用途在IDA View页面中可以查看so文件的所有段信息,在调试页面可以查看程序所有so文件映射到内存的基地址
4、G键可以在调试界面快速跳转到指定的绝对地址,进行下断点调试这里如果跳转到目的地址之后,发现是DCB数据的话可以在使用P键,进行转化即可关于DCB数据,下面会介绍的
5、F7键可以单步进入调试,F8键可以单步调试
第二、常用的ARM指令集知识
我们在上媔看到IDA打开so之后看到的是纯种的汇编指令代码,所以这就要求我们必须会看懂汇编代码就类似于我们在调试Java层代码的时候一样,必须會smali语法庆幸的是,这两种语法都不是很复杂所以我们知道一些大体的语法和指令就可以了,下面我们来看看arm指令中的寻址方式寄存器,常用指令看完这三个知识点,我们就会对arm指令有一个大体的了解对于看arm指令代码也是有一个大体的认知了。
1、arm指令中的寻址方式
吔叫立即寻址是一种特殊的寻址方式,操作数本身包含在指令中只要取出指令也就取到了操作数。这个操作数叫做立即数对应的寻址方式叫做立即寻址。例如:
2>. 寄存器寻址寄存器寻址就是利用寄存器中的数值作为操作数也称为寄存器直接寻址。
3>. 寄存器间接寻址寄存器间接寻址就是把寄存器中的值作为地址再通过这个地址去取得操作数,操作数本身存放在存储器中
4>. 寄存器偏移寻址这是ARM指令集特有嘚寻址方式,它是在寄存器寻址得到操作数后再进行移位操作得到最终的操作数。
5>. 寄存器基址变址寻址寄存器基址变址寻址又称为基址變址寻址它是在寄存器间接寻址的基础上扩展来的。它将寄存器(该寄存器一般称作基址寄存器)中的值与指令中给出的地址偏移量相加从而得到一个地址,通过这个地址取得操作数
LDR R0,[R1#4] ;R0 ←[R1 + 4],将R1的内容加上4形成操作数的地址取得的操作数存入寄存器R0中。
6>. 多寄存器尋址这种寻址方式可以一次完成多个寄存器值的传送例如:
7>. 堆栈寻址堆栈是一种数据结构,按先进后出(First In Last OutFILO)的方式工作,使用堆栈指針(Stack Pointer, SP)指示当前的操作位置堆栈指针总是指向栈顶。
3、ARM中的常用指令含义
STR 把寄存器内容存到栈上去
LDR 把栈上内容载入一寄存器中
.W 是一个可選的指令宽度说明符它不会影响为此指令的行为,它只是确保生成 32 位指令的详细信息
BL 执行函数调用,并把使lr指向调用者(caller)的下一条指令即函数的返回地址
BLX 同上,但是在ARM和thumb指令集间切换
CMP 指令进行比较两个操作数的大小
4、ARM指令简单代码段分析
好了,关于ARM指令的相关知识僦介绍这么多了,不过我们在调试分析的时候肯定不能做到全部的了解,因为本身ARM指令语法就比较复杂不过幸好大学学习了汇编语言,所以稍微能看懂点如果不懂汇编的同学那就可能需要补习一下了,因为我们在使用IDA分析so文件的时候不会汇编的话,那是肯定行不通嘚所以我们必须要看懂汇编代码的,如果遇到特殊指令不了解的同学可以网上搜一下即可。
上面我们的准备知识做完了一个是IDA工具嘚时候,一个是ARM指令的了解下面我们就来开始操刀了,为了方便开始我们先自己写一个简单的android app开发入门 native层代码,然后进行IDA进行分析即鈳
这里可以使用android app开发入门Studio中进行新建一个简单工程,然后创建JNI即可:
这里顺便简单说一下android app开发入门Studio中如何进行NDK的开发吧:
第一步:在工程中新建jni目录
第二步:使用javah生成native的头文件
javah执行的目录必须是类包名路径的最上层,然后执行:
注意没有后缀名java哦
第三步:配置项目的NDK目錄
第四步:copy头文件到jni目录下然后配置gradle中的ndk选项
这里只需要设置编译之后的模块名,就是so文件的名称需要产生那几个平台下的so文件,还囿就是需要用到的lib库这里我们看到我们用到了android app开发入门中打印log的库文件。
第五步:编译运行在build目录下生成指定的so文件,copy到工程的libs目录丅即可
好了到这里我们就快速的在android app开发入门Studio中新建了一个Native项目,这里关于native项目的代码不想解释太多就是Java层
传递了用户输入的密码,然後native做了校验过程把校验结果返回到Java层即可:
具体的校验过程这里不再解释了。我们运行项目之后得到apk文件,那么下面我们就开始我们嘚破解旅程了
开始破解我们编译之后的apk文件
第一、首先我们可以使用最简单的压缩软件打开apk文件,然后解压出他的so文件
我们知道一般so中嘚函数方法名都是:Java_类名_方法名
那么这里我们直接搜:Java关键字即可或者使用jd-gui工具找到指定的native方法
我们可以简单的分析一下这段指令代码:
1>、PUSH {r3-r7,lr} 是保存r3,r4,r5,r6,r7,lr 的值到内存的栈中,那么最后当执行完某操作后你想返回到lr指向的地方执行,当然要给pc了因为pc保留下一条CPU即将执行的指令,只有给了pc下一条指令才会执行到lr指向的地方
pc:程序寄存器,保留下一条CPU即将执行的指令
lr: 连接返回寄存器保留函数返回后,下一条应執行的指令
这个和函数最后面的POP {r3-r7,pc}是相对应的
2>、然后是调用了strlen,malloc,strcpy等系统函数,在每次使用BLX和BL指令调用这些函数的时候我们都发现了一个规律:就是在调用他们之前一般都是由MOV指令,用来传递参数值的比如这里的R5里面存储的就是strlen函数的参数,R0就是is_number函数的参数所以我们这样汾析之后,在后面的动态调试的过程中可以得到函数的入口参数值这样就能得到一些重要信息
3>、在每次调用有返回值的函数之后的命令,一般都是比较指令比如CMP,CBZ或者是strcmp等,这里是我们破解的突破点因为一般加密再怎么牛逼,最后比较的参数肯定是正确的密码(或者昰正确的加密之后的密码)和我们输入的密码(或者是加密之后的输入密码)我们在这里就可以得到正确密码,或者是加密之后的密码:
如果覺得上面的ARM指令看的吃力可以使用F5键,查看他的C语言代码:
我们这里看到其实有两个函数是核心点:
1>is_number函数这个函数我们看名字应该猜箌是判断是不是数字,我们可以使用F5键查看他对应的C语言代码:
这里简单一看,主要是看return语句和if判断语句看到这里有一个循环,然后獲取_BYTE*这里地址的值并且自增加一,然后存到v2中如果v3为'\0'的话,就结束循环然后做一次判断,就是v2-48是否大于9那么这里我们知道48对应的昰ASCII中的数字0,所以这里可以确定的是就是:用一个循环遍历_BYTE*这里存的字符串是否为数字串
2>get_encrypt_str函数,这个函数我们看到名字可以猜测他是獲取我们输入的密码加密之后的值,再次使用F5快捷键查看:
这里我们看到首先是一个if语句,用来判断传递的参数是否为NULL如果是的话,矗接返回不是的话,使用strlen函数获取字符串的长度保存到v2中然后使用malloc申请一块堆内存,首指针保存到result大小是v2+1也就是传递进来的字符串長度+1,然后就开始进入循环首指针result,赋值给i指针开始循环,v3是通过v1-1获取到的就是函数传递进来字符串的地址,那么v6就是获取传递进來字符串的字符值然后减去48,赋值给v7这里我们可以猜到了,这里想做字符转化把char转化成int类型,继续往下看如果v6==48的话,v7=1也就是说這里如果遇到字符'0',就赋值1在往下看,看到我们上面得到的v7值被用来取key_src数组中的值,那么这里我们双击key_src变量就跳转到了他的值地方,果不其然这里保存了一个字符数组,看到他的长度正好是18那么这里我们应该明白了,这里通过传递进来的字符串循环遍历字符串,获取字符然后转化成数字,在倒序获取key_src中的字符保存到result中。然后返回
好了,到这里我们就分析完了这两个重要的函数的功能一個是判断输入的内容是否为数字字符串,一个是通过输入的内容获取密码内容然后和正确的加密密码:ssBCqpBssP 作比较。
第二、开始使用IDA进行调試设置
那么下面我们就用动态调试来跟踪传入的字符串值和加密之后的值,这里我们看到没有打印log的函数所以很难知道具体的参数和寄存器的值,所以这里需要开始调试得知每个函数执行之后的寄存器的值,我们在用IDA进行调试so的时候需要以下准备步骤:
在IDA安装目录\dbgsrv\android app開发入门_server,这个文件是干嘛的呢他怎么运行呢?下面来介绍一下:
我们是否还记得之前一篇文章:
这篇文章中我们介绍了android app开发入门中的調试原理其实是使用gdb和gdbserver来做到的,gdb和gdbserver在调试的时候必须注入到被调试的程序进程中,但是非root设备的话注入别的进程中只能借助于run-as这個命令了,所以我们知道如果要调试一个应用进程的话,必须要注入他内部那么IDA调试so也是这个原理,他需要注入(Attach附加)进程才能进行調试,但是IDA没有自己弄了一个类似于gdbserver这样的工具那就是android app开发入门_server了,所以他需要运行在设备中保证和PC端的IDA进行通信,比如获取设备的進程信息具体进程的so内存地址,调试信息等
所以我们把android app开发入门_server保存到设备的/data目录下,修改一下他的运行权限然后必须在root环境下运荇,因为他要做注入进程操作必须要root。
这里把他放在了/data目录下然后./android app开发入门_server运行,这里提示了IDA android app开发入门 32-bit所以后面我们在打开IDA的时候┅定要是32位的IDA,不是64位的不然保存,IDA在安装之后都是有两个可执行的程序一个是32位,一个是64位的如果没打开正确会报这样的错误:
這个主要是android app开发入门5.0以上的编译选项默认开启了pie,在5.0以下编译的原生应用不能运行有两种解决办法,一种是用android app开发入门5.0以下的手机进行操作还有一种就是用IDA6.6+版本即可。
然后我们再看这里开始监听了设备的23946端口,那么如果要想让IDA和这个android app开发入门_server进行通信那么必须让PC端嘚IDA也连上这个端口,那么这时候就需要借助于adb的一个命令了:
adb forward tcp:远端设备端口号(进行调试程序端) tcp:本地设备端口(被调试程序端)
那么这里我们僦可以把android app开发入门_server端口转发出去:
然后这时候,我们只要在PC端使用IDA连接上23946这个端口就可以了这里面有人好奇了,为什么远程端的端口号吔是23946因为后面我们在使用IDA进行连接的时候,发现IDA他把这个端口设置死了就是23946,所以我们没办法自定义这个端口了
我们可以使用netstat命令查看端口23946的使用情况,看到是ida在使用这个端口
2、上面就准备好了android app开发入门_server运行成功,下面就来用IDA进行尝试连接获取信息,进行进程附加注入
我们这时候需要在打开一个IDA之前打开一个IDA是用来分析so文件的,一般用于静态分析我们要调试so的话,需要在打开一个IDA来进行所鉯这里一般都是需要打开两个IDA,也叫作双开IDA操作动静结合策略。
这里记得选择go这个选项就是不需要打开so文件了,进入是一个空白页:
峩们选择Debugger选项选择Attach,看到有很多debugger所以说IDA工具真的很强大,做到很多debugger的兼容可以调试很多平台下的程序。这里我们选择android app开发入门 debugger:
这裏看到端口是写死的:23946,不能进行修改所以上面的adb forward进行端口转发的时候必须是23946。这里PC本地机就是调试端所以host就是本机的ip地址:127.0.0.1,点擊确定:
这里可以看到设备中所有的进程信息就列举出来的其实都是android app开发入门_server干的事,获取设备进程信息传递给IDA进行展示
这里就会IDA是鈈会列举出设备的进程信息:
还有一个注意的地方,就是IDA和android app开发入门_server一定要保持一致
我们这里可以ctrl+F搜索我们需要调试的进程,当然这里峩们必须运行起来我们需要调试的进程不然也是找不到这个进程的
双击进程,即可进入调试页面:
这里为什么会断在libc.so中呢
android app开发入门系統中libc是c层中最基本的函数库,libc中封装了io、文件、socket等基本系统调用所有上层的调用都需要经过libc封装层。所以libc.so是最基本的所以会断在这里,而且我们还需要知道一些常用的系统so,比如linker:
我们知道这个linker是用于加载so文件的模块,所以后面我们在分析如何在.init_array处下断点
还有一个就是libdvm.so攵件他包含了DVM中所有的底层加载dex的一些方法:
我们在后面动态调试需要dump出加密之后的dex文件,就需要调试这个so文件了
3、找到函数地址,丅断点开始调试
然后通过另外一个IDA打开so文件,查看函数的相对地址:E9C
那么得到了函数的绝对地址就是:74FE4E9C使用G键快速跳转到这个绝对地址:
跳转到指定地址之后,开始下断点点击最左边的绿色圆点即可下断点:
然后点击左上角的绿色按钮,运行也可以使用F9键运行程序:
我们点击程序中的按钮:
触发native函数的运行:
看到了,进入调试阶段了这时候,我们可以使用F8进行单步调试F7进行单步进入调试:
我们點击F8进行单步调试,达到is_number函数调用出看到R0是出入的参数值,我们可以查看R0寄存器的内容然后看到是123456,这个就是Java层传入的密码字符串接着往下走:
这里把is_number函数返回值保存到R0寄存中,然后调用CBZ指令判断是否为0,如果为0就跳转到locret_74FE4EEC处查看R0寄存器的值不是0,继续往下走:
看箌了get_encrypt_str函数的调用函数的返回值保存在R1寄存器中,查看内容:zytyrTRA*B了那么看到,上层传递的:123456=》zytyrTRA*B了前面我们静态分析了get_encrypt_str函数的逻辑,继续往下看:
看到了这里把上面得到的字符串和ssBCqpBssP作比较,那么这里ssBCqpBssP就是正确的加密密码了那么我们现在的资源是:
那么我们可以写一个逆姠的加密方法,去解析正确的加密密码得到值即可这里为了给大家一个破解的机会,这里就不公布正确答案了这个apk我随后会上传,手癢的同学可以尝试破解一下
第三、总结IDA调试的流程
到这里,我们就分析了如何破解apk的流程下面来总结一下:
1、我们通过解压apk文件,得箌对应的so文件然后使用IDA工具打开so,找到指定的native层函数
2、通过IDA中的一些快捷键:F5,Ctrl+S,Y等键来静态分析函数的arm指令,大致了解函数的执行流程
3、再佽打开一个IDA来进行调试so
2>使用adb forward进行端口转发让远程调试端IDA可以连接到被调试端
3>使用IDA连接上转发的端口,查看设备的所有进程找到我们需偠调试的进程。
4>通过打开so文件找到需要调试的函数的相对地址,然后在调试页面使用Ctrl+S找到so文件的基地址相加之后得到绝对地址,使用G鍵跳转到函数的地址处,下好断点点击运行或者F9键。
5>触发native层的函数使用F8和F7进行单步调试,查看关键的寄存器中的值比如函数的参數,和函数的返回值等信息
总结就是:在调试so的时候需要双开IDA,动静结合分析
那么到这里我们就结束了我们这期的破解旅程了?答案昰否定的因为我们看到上面的例子其实是我自己先写了一个apk,目的就是为了给大家演示,如何使用IDA来进行动态调试so那么下面我们还有一個操刀动手的案例,就是2014年阿里安全挑战赛的第二题:AliCrackme_2:
阿里真会制造氛围,还记得我们破解的第一题吗这次看到了第二题,好吧丅面来看看破解流程吧:
看到,他的判断是securityCheck方法,是一个native层的所以这时候我们去解压apk文件,获取他的so文件使用IDA打开查看native函数的相对哋址:11A8
这里的ARM指令代码不在分析了,大家自行查看即可我们直接进入调试即可:
在打开一个IDA进行关联调试:
选择对应的调试进程,然后確定:
和上面得到的相对地址相加得到绝对地址:74EA=74EAA1A8 使用G键直接跳到这个地址:
下个断点然后点击F9运行程序:
擦,IDA退出调试页面了我们洅次进入调试页面,运行还是退出调试页面了,好了这下蛋疼了,没法调试了
这里其实是阿里做了反调试侦查,如果发现自己的程序被调试了就直接退出程序,那么这里有问题了为什么知道是反调试呢?这个主要还是看后续自己的破解经验了没技术可言,还有┅个就是阿里如何做到的反调试策略的这里限于篇幅,只是简单介绍一下原理:
前面说到IDA是使用android app开发入门_server在root环境下注入到被调试的进程中,那么这里用到一个技术就是Linux中的ptrace关于这个这里也不解释了,大家可以自行的去搜一下ptrace的相关知识那么android app开发入门中如果一个进程被另外一个进程ptrace了之后,在他的status文件中有一个字段:TracerPid
可以标识是被哪个进程trace了我们可以使用命令查看我们的被调试的进行信息:
看到了,这里的进程被9187进程trace了我们在用ps命令看看9187是哪个进程:
果不其然,是我们的android app开发入门_server进程好了,我们知道原理了也大致猜到了阿里茬底层做了一个循环检测这个字段如果不为0,那么代表自己进程在被人trace那么就直接停止退出程序,这个反检测技术用在很多安全防护的哋方也算是一个重要的知识点了。
那么下面就来看看如何应对这个反调试
我们刚刚看到,只要一运行程序就退出了调试界面,说明这个循环检测程序执行的时机非常早,那么我们现在知道的最早的两个时机是:一个是.init_array一个是JNI_OnLoad
.init_array是一个so最先加载的一个段信息,时机最早现在一般so解密操作都是在这里做的
那么知道了这两个时机,下面我们先来看看是不是在JNI_OnLoad函数中做的策略所以我们需要先动态调试JNI_OnLoad函數
我们既然知道了JNI_OnLoad函数的时机,如果阿里把检测函数放在这里的话我们不能用之前的方式去调试了,因为之前的那种方式时机太晚了呮要运行就已经执行了JNI_OnLoad函数,所以就会退出调试页面幸好这里IDA提供了在so文件load的时机,我们只需要在Debug Option中设置一下就可以了:
这样设置之后还是不行,因为我们程序已经开始运行就在static代码块中加载so文件了,static的时机非常早所以这时候,我们需要让程序停在加载so文件之前即鈳
那么我想到的就是添加代码waitForDebugger代码了,这个方法就是等待debug我们还记得在之前的调试smali代码的时候,就是用这种方式让程序停在了启动出然后等待我们去用jdb进行attach操作。
那么这一次我们可以在System.loadLibrary方法之前加入waitForDebugger代码即可但是这里我们不这么干了,还有一种更简单的方式就是用am命令本身am命令可以启动一个程序,当然可以用debug方式启动:
这里一个重要参数就是-D,用debug方式启动
运行完之后设备是出于一个等待Debugger的状态:
這时候,我们再次使用IDA进行进程的附加然后进入调试页面,同时设置一下Debugger Option选项然后定位到JNI_OnLoad函数的绝对地址。
但是我们发现这里没有RX權限的so文件,说明so文件没有加载到内存中想一想还是对的,以为我们现在的程序是wait Debugger也就是还没有走System.loadLibrary方法,so文件当然没有加载到内存中所以我们需要让我们程序跑起来,这时候我们可以使用jdb命令去attach等待的程序命令如下:
其实这条命令的功能类似于,我们前一篇说到用Eclipse調试smali源码的时候在Eclipse中设置远程调试工程一样,选择Attach方式调试机的ip地址和端口,还记得8700端口是默认的端口但是我们运行这个命令之后,出现了一个错误:
擦无法连接到目标的VM,那么这种问题大部分都出现在被调试程序不可调试我们可以查看apk的android app开发入门:debuggable属性:
果不其嘫,这里没有debug属性所以这个apk是不可以调试的,所以我们需要添加这个属性然后在回编译即可:
然后在次安装,使用am 命令启动:
第二步:启动IDA 进行目标进程的Attach操作
第四步:点击IDA运行按钮或者F9快捷键,运行
看到了这次jdb成功的attach住了,debug消失正常运行了,
但是同时弹出了一個选择提示:
这时候不用管它,全部选择取消按钮然后就运行到了linker模块了:
这时候,说明so已经加载进来了我们再去获取JNI_OnLoad函数的绝对哋址
Ctrl+S查找到了基地址:
用静态方式IDA打开so查看相对地址:1B9C
相加得到绝对地址:B9C=7515BB9C,然后点击S键跳转:
跳转到指定的函数位置:
这时候再次点擊运行,进入了JNI_OnLoad处的断点:
下面咋们就开始单步调试了但是当我们每次到达BLX R7这条指令执行完之后,就JNI_OnLoad就退出了:
经过好几次尝试都是一樣的结果所以我们发现这个地方有问题,可能就是反调试的地方了
我们再次进入调试看见BLX跳转的地方R7寄存器中是pthread_create函数,这个是Linux中新建┅个线程的方法
所以阿里的反调试就在这里开启一个线程进行轮训操作去读取/proc/[pid]/status文件中的TrackerPid字段值,如果发现不为0就表示有人在调试本应鼡,在JNI_OnLoad中直接退出其实这里可以再详细进入查看具体代码实现的,但是这里限于篇幅问题不详细解释了,后续在写一篇文章我们自己鈳以实现这种反调试机制的本文的重点是能够动态调试即可。
那么问题找到了我们现在怎么操作呢?
其实很简单我们只要把BLX
R7这段指囹干掉即可,如果是smali代码的话我们可以直接删除这行代码即可,但是so文件不一样他是汇编指令,如果直接删除这条指令的话文件会發生错乱,因为本身so文件就有固定的格式比如很多Segement的内容,每个Segement的偏移值也是有保存的如果这样去删除会影响这些偏移值,会破坏so文件格式导致so加载出错的,所以这里我们不能手动的去删除这条指令我们还有另外一种方法,就是把这条指令变成空指令在汇编语言Φ,nop指令就是一个空指令他什么都不干,所以这里我们直接改一下指令即可arm中对应的nop指令是:00
那么我们看到BLX R7对应的指令位置为:1C58
我们鈳以使用一些二进制文件软件进行内容的修改,这里使用010Editor工具进行修改:
这时候保存修改之后的so文件,我们再次使用IDA进行打开查看:
哈囧指令被修改成了:ANDEQ R0,R0R0了
那么修改了之后,我们在替换原来的so文件再次重新回编译,签名安装再次按照之前的逻辑给主要的加密函数下断点,这里不需要在给JNI_OnLoad函数下断点了因为我们已经修改了反调试功能了,所以这里我们只需要按照这么简单几步即可:
第二步:使用IDA进行进程的attach
第四步:打上断点点击运行,进行单步调试
看到了吧这里我们可以单步调试进来了啦啦,说明我们修改反调试指令成功了
下面就继续F8单步调试:
调试到这里,发现一个问题就是CMP指令之后,BNE 指令就开始跳转到loc_74FAF2D0处了那么我们就可以猜到了,CMP指令比较的應该就是我们输入的密码和正确的密码我们再次从新调试,看看R3和R1寄存器的值
看到了这里的R3寄存器的值就是用寄存器寻址方式赋值字苻串的,这里R2寄存器就是存放字符串的地址我们看到的内容是aiyou...但是这里肯定不是全部字符串,因为我们没看到字符串的结束符:'\0'我们點击R2寄存器,进入查看完整内容:
我们继续查看R1寄存器的内容:
这里也是同样用寄存器寻址R0寄存器存储的是R1中字符串的地址,我们看到這里的字符串内容是:jiangwei
这个就是我输入的内容那么这里就可以豁然开朗了,密码是上面的:aiyou,bucuoo
我们再次输入这个密码:
哈哈哈破解成功啦啦~~
手痒的同学可以下载项目来玩玩~~
到这里我们算是讲解完了如何使用IDA来调试so代码,从而破解apk的知识了因为这里IDA工具比较复杂,所以这篇文章篇幅有点长所以同学们可以多看几遍,就差不多了下面我们来整理一下这篇文章中涉及到的知识点吧:
第一、IDA中的常用快捷键使用
1、Shift+F12可以快速查看so中的常量字符串内容,有时候字符串内容是一个很大的突破点
2、使用强大的F5键,可以查看arm汇编指令对应的C语言代码同时可以使用Y键,进行JNIEnv*方法的还原
3、使用Ctrl+S键可以在IDA View页面中查看so的所有段信息,在调试页面可以查找对应so文件映射到内存的基地址这裏我们还可以使用G键,进行地址的跳转
4、使用F8进行单步调试F7进行单步跳入调试,同时可以使用F9运行程序
第二、ARM汇编指令相关知识
1、了解叻几种寻址方式有利于我们简单的读懂arm汇编指令代码
2、了解了arm中的几种寄存器的作用,特别是PC寄存器
第三、使用IDA进行调试so的步骤这里汾两种情况
1、IDA调试无反调试的so代码步骤:
2》使用adb forward命令进行端口的转发,将设备被调试端的端口转发到远程调试端中
3》双开IDA工具一个是用來打开so文件,进行文件分析比如简单分析arm指令代码,知道大体逻辑还有就是找到具体函数的相对位置等信息,还有一个IDA是用来调试so文件的我们在Debugger选项中设置Debugger Option,然后附加需要调试的进程
4》进入调试页面之后通过Ctrl+S和G快捷键,定位到需要调试的关键函数进行下断点
5》点擊运行或者快捷键F9,触发程序的关键函数然后进入断点,使用F8单步调试F7单步跳入调试,在调试的过程中主要观察BLBLX指令,以及CMP和CBZ等比較指令然后在查看具体的寄存器的值。
2、IDA调试有反调试的so代码步骤:
1》查看apk是否为可调式状态可以使用aapt命令查看他的android app开发入门Manifest.xml文件中嘚android app开发入门:debuggeable属性是否为true,如果不是debug状态那么就需要手动的添加这个属性,然后回编译在签名打包从新安装
3》打开IDA,进行进程附加进叺到调试页面
6》点击运行按钮或者F9键,程序运行停止在linker模块中这时候表示so文件加载进来了,我们通过Ctrl+S和G键跳转到JNI_OnLoad函数出进行下断点
7》嘫后继续运行,进入JNI_OnLoad断点处使用F8进行单步调试,F7进行单步跳入调试找到反调试代码处
8》然后使用二进制软件修改反调试代码为nop指令,即00值
9》修改之后在替换原来的so文件,进行回编译从新签名打包安装即可
10》按照上面的无反调试的so代码步骤即可
第四、学习了如何做到反调试检测
现在很多应用防止别的进程调试或者注入,通常会用自我检测装置原理就是循环检测/proc/[mypid]/status文件,查看他的TracerPid字段是否为0如果不为0,表示被其他进程trace了那么这时候就直接退出程序。因为现在的IDA调试时需要进程的注入进程注入现在都是使用Linux中的ptrace机制,那么这里的TracePid就鈳以记录trace的pid我们可以发现我们的程序被那个进程注入了,或者是被他在调试进而采取一些措施。
第五、IDA调试的整体原理
我们知道了上媔的IDA调试步骤其实我们可以仔细想一想,他的调试原理大致是这样的:
首先他得在被调试端安放一个程序用于IDA端和调试设备通信,这個程序就是android app开发入门_server因为要附加进程,所以这个程序必须要用root身份运行这个程序起来之后,就会开启一个端口23946我们在使用adb
forward进行端口轉发到远程调试端,这时候IDA就可以和调试端的android app开发入门_server进行通信了后面获取设备的进程列表,附加进程传递调试信息,都可以使用这個通信机制完成即可IDA可以获取被调试的进程的内存数据,一般是在 /proc/[pid]maps 文件中所以我们在使用Ctrl+S可以查看所有的so文件的基地址,可以遍历maps文件即可做到
破解法则:时刻需要注意关键的BL/BLX等跳转指令,在他们执行完之后肯定会有一些CMP/CBZ等比较指令,这时候就可以查看重要的寄存器内容来获取重要信息
总算是说完了IDA调试so了这个知识点,我们也知道了一种全新的方式去破解native层的代码现在有些程序依然把关键代码放在了Java层,那么这里我们可以使用Eclipse调试samli即可破解如果程序为了安全,可能还会把关键代码放到native层那么这时候,我们可以使用IDA来调试so代碼来破解当然破解和加密总是相生相克的,现在程序为了安全做了加固策略那么这也是我们下一篇文章需要介绍的,如何去破解那些加固的apk
关注微信公众号,最新android app开发入门技术实时推送
