热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

动态调试Android程序

最近好几天来一直在看动态调试。首先是这一篇(http:www.52pojie.cnforum.php?modviewthread&tid293648

最近好几天来一直在看动态调试。首先是这一篇(http://www.52pojie.cn/forum.php?mod=viewthread&tid=293648)里面介绍了多种IDA动态调试的情形,比如调试JNICALL,调试JNI_Onload等等。步骤大概都是这样:

执行android_server
端口转发 adb forward tcp:23946 tcp:23946
调试模式启动程序 adb shell am start -D -n 包名/类名
IDA附加
静态找到目标函数对应所在模块的偏移地址
Ctrl+S找到对应模块的基地址,两个地址相加得到最终地址
G跳转至地址,然后下断
F9运行
执行jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700
断下,进行调试。

但我一直不太懂,接下来说的「进行调试」是干什么。

后来又看了http://1.xbalien.sinaapp.com/?p=342这篇,assest目录下存在两个jar包,分析说可能是dex加密保存在了这里。执行真正代码的时候会进行解密那就可以直接dump出明文dex了。(修复结构反调试在这题并不考虑)

文中介绍了两种初级dump的方法,第一种是gcoredump。第二种是通过在dvmDexFileOpenPartial断点dump。

 

关于dvmDexFileOpenPartial:

int dvmDexFileOpenPartial(const void* addr, int len, DvmDex** ppDvmDex);

第一个参数就是dex内存起始地址,第二个参数就是dex大小。所以在这个函数下断点可以直接dump出明文dex。


我脑补一下原理,大概就是说它解密完了之后在内存里打开这个明文dex,然后我们要拿到它的这两个参数,就可以保存成解密后的dex了!(还是不太明白它的适用性

 

用这种方法调试的步骤跟前面列出的步骤基本一致,过程中遇到很多问题,首当其冲是输入jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700的时候,提示「致命错误,无法附加到指定VM」。我看到很多人都没有用到这个jdb指令,也不知道这个指令到底什么时候用。后来看到一些文章他们没用这个命令,而且不用算地址。比如:http://blog.sina.com.cn/s/blog_92b6d74d0102uyds.html#cmt_3043762

我提问:

请问你是怎么在G中填写dvmDexFileOpenPartial就跳转到dvmDexFileOpenPartial函数的?是不是应该先在libdvm.so中找到dvmDexFileOpenPartial函数的偏移地址,再用偏移地址加上调试程序的libdvm.so的基址,再用G跳转,下断吗?

人家说他用的是正版IDA6.6。我用的是IDA6.5。

 

操作jni_onload是成功了,但我仍不知道下面该怎么调试。因为jni_onload里面保存了一些信息所以也去dump出来?可那个不是dex吧。

为什么无法附加指定VM,我还是觉得自己的地址算错了,因为在调试Jni_Onload的时候,jdb就成功attach了,这里却不行。但是,我分别用了2.3(Ray),4.0.4(Ray),4.2.2(Nexus 4)和4.4.4(L36h)的不同的libdvm.so测试,皆不行。回想调试Jni_Onload的时候,跟这个的区别是1.开了Eclipse,2.先F9+JDB 再下的断点。等会儿再试试。

 

刚才试了一下,这次我像调试jni_onload一样,步骤是F9 ——JDB命令(成功attach后程序中断)——G到目标地址下断点——再按一次F9触发断点,断在了下的那个断点的地方。这时候之前下断点的地方呈现出libdvm.so中那个方法调用的地方一样的汇编代码,为什么之前同样的地址什么都没有呢。但是,这时候对应R0的地址是0,显然是错误的。

而帖子中的顺序是:下断点,F9,JDB(附加后程序会中断)。

还有个疑点,出现了这个:

动态调试Android程序

destination可以指定就算了,source竟然也可以指定。。醉了。暂时不弄了。感觉好蠢,纠结于各个IDA各个版本和android各个版本的细微差别之间,试图将所有的耦合全部尝试一遍,却仍然拿不到想要的东西。百度上没有任何相关的资料。

 

好的,我假装自己已经定位到那个dex的起始位置了,下面开始dump:

{
    auto fp, dex_addr, end_addr;
    fp = fopen("F:\\dump.dex", "wb");
    end_addr = r0 + r1;
    for ( dex_addr = r0; dex_addr  )
        fputc(Byte(dex_addr), fp);
}

下面用smailview看dex。对于:http://1.xbalien.sinaapp.com/?p=342这道题,后面要学一下webview。

 

 

 

 

 

---------------------------------------

 

adb  forward  tcp:<本地机器的端口号>  tcp:<模拟器或是真机的端口号>

例:adb [-d|-e|-s ] forward tcp:6100 tcp:7100 表示把本机的6100端口号与模拟器的7100端口建立起相关,

当模拟器或真机向自己的7100端口发送了数据,那们我们可以在本机的6100端口读取其发送的内容,这是一个很关键的命令,

以后我们使用jdb调式apk之前,就要用它先把目标进程和本地端口建立起关联。

 

jdb是一个支持java代码级调试的工具,它是由java jdk提供的,存在于xxx\Java\jdk1.6.0_21\bin之下

通过attach方式进行调试

adb jdwp显示所有可供调试的用户进程
adb forward tcp:xxx jdwp:
jdb -connect com.sun.jdi.SocketAttach:hostname=localhost,port=xxx

 

调试模式启动intent,手机上显示waiting for the debugger to attach,这时候attach的时候ida显示:

protocol version is 14 expected 17。

我是这样做的,把android_server重新push到手机里,权限改成777,运行。

这时候用64bit的IDA打开提示类似address 4 epected 4

我是这样做的,用32bitIDA打开。可以attach了。

 

 

----------一些摘自书上的内容----------

DDMS  

DDMS(Dalvik Debug Monitor Server)就是动态调试的一个工具(不知Android L之后会不会改名--!)。DDMS提供文件浏览、Logcat、Method Profiling等功能。

 

定位关键代码

1.代码注入法

用Apktool反编译得到smali,查找onClick(),比如要找程序注册码,仔细阅读之后发现比对注册码与用户输入的函数

invoke-virtual {v1, v0},Ljava/lang/String;->equalsIgnoreCase(Ljava/lang/String;)Z

move=result v3

if-eqz v3, :cond_2

那么加入Log.v()来输出v0寄存器:

const-string v3, "SN"

invoke-static {v3, v0},Landroid/util/Log;->v(Ljava/lang/String;Ljava/lang/String;)I

然后用Apktool打包、签名,

用"adb logcat -s SN:v"输出SN。

  

2.栈追踪法

代码注入配合Logcat好用但是需要阅读大量反汇编代码来找「输出点」。

栈追踪法也属于注入的范畴。

比如要找一个Toast是啥时候被调用的,不用阅读太多反汇编代码,而是定位到Toast,然后在这一段之后加入

new Exception("print trace").printStackTrace();

对应smali在书上就不写了。

然后打包签名运行,

在CMD输入"adb logcat -s System.err:V *:W"

会以堆栈的方式,先输出java.lang.Exception print trace

然后输出从程序启动到printStackTrace()执行期间所有被调用过的方法。

 

3.Method Profiling 4.AndBug 5.IDA Pro..

 

 

 另外参考:http://www.blogbus.com/riusksk-logs/271566148.html


推荐阅读
  • 本文介绍了在解决Hive表中复杂数据结构平铺化问题后,如何通过创建视图来准确计算广告日志的曝光PV,特别是针对用户对应多个标签的情况。同时,详细探讨了UDF的使用方法及其在实际项目中的应用。 ... [详细]
  • 本文介绍了多种Eclipse插件,包括XML Schema Infoset Model (XSD)、Graphical Editing Framework (GEF)、Eclipse Modeling Framework (EMF)等,涵盖了从Web开发到图形界面编辑的多个方面。 ... [详细]
  • 本教程旨在指导开发者如何在Android应用中通过ViewPager组件实现图片轮播功能,适用于初学者和有一定经验的开发者,帮助提升应用的视觉吸引力。 ... [详细]
  • 本文介绍了一个基本的同步Socket程序,演示了如何实现客户端与服务器之间的简单消息传递。此外,文章还概述了Socket的基本工作流程,并计划在未来探讨同步与异步Socket的区别。 ... [详细]
  • 本文介绍了基于Java的在线办公工作流系统的毕业设计方案,涵盖了MyBatis框架的应用、源代码分析、调试与部署流程、数据库设计以及相关论文撰写指导。 ... [详细]
  • 转自:http:blog.sina.com.cnsblog_67419c420100vmkt.html 1.为什么要使用blocks将一个blocks作为函数或者方法的参数传递,可 ... [详细]
  • CSS技巧:创建带有背景图的按钮
    本文详细探讨了使用CSS创建带有背景图片的按钮的方法,并提供了具体的实例代码,帮助开发者解决实际开发中的相关问题。 ... [详细]
  • 本文详细介绍了一种实现PopupWindow全屏显示且能有效隐藏虚拟按键的技术方案,适用于Android开发。此方法经过实际测试,表现良好,兼容性优秀。 ... [详细]
  • 本文探讨了 Boost 库中的 Program Options 组件,这是一个强大的工具,用于解析命令行参数和配置文件。文章介绍了如何正确设置和使用该组件,包括处理复杂选项和负数值的方法。 ... [详细]
  • 本文详细解析了Java中流的概念,特别是OutputStream和InputStream的区别,并通过实际案例介绍了如何实现Java对象的序列化。文章不仅解释了流的基本概念,还探讨了序列化的重要性和具体实现步骤。 ... [详细]
  • GCC(GNU Compiler Collection)是GNU项目下的一款功能全面且高效的多平台编译工具,广泛应用于Linux操作系统中。本文将详细介绍GCC的特点及其基本使用方法。 ... [详细]
  • 行为设计模式:命令模式详解
    命令模式是一种行为设计模式,它通过将请求封装为对象,使得可以使用不同的请求来参数化客户端,支持请求的排队、日志记录以及提供命令的撤销和恢复功能。 ... [详细]
  • 详解MyBatis二级缓存的启用与配置
    本文深入探讨了MyBatis二级缓存的启用方法及其配置细节,通过具体的代码实例进行说明,有助于开发者更好地理解和应用这一特性,提升应用程序的性能。 ... [详细]
  • 使用IntelliJ IDEA高效开发与运行Shell脚本
    本文介绍了如何利用IntelliJ IDEA中的BashSupport插件来增强Shell脚本的开发体验,包括插件的安装、配置以及脚本的运行方法。 ... [详细]
  • 本文详细介绍了Java API中文文档的位置、用途及其查看方法,帮助开发者更高效地利用这一资源。 ... [详细]
author-avatar
10651s
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有