作者:10651s | 来源:互联网 | 2023-10-10 15:11
最近好几天来一直在看动态调试。首先是这一篇(http:www.52pojie.cnforum.php?modviewthread&tid293648
最近好几天来一直在看动态调试。首先是这一篇(http://www.52pojie.cn/forum.php?mod=viewthread&tid=293648)里面介绍了多种IDA动态调试的情形,比如调试JNICALL,调试JNI_Onload等等。步骤大概都是这样:
执行android_server
端口转发 adb forward tcp:23946 tcp:23946
调试模式启动程序 adb shell am start -D -n 包名/类名
IDA附加
静态找到目标函数对应所在模块的偏移地址
Ctrl+S找到对应模块的基地址,两个地址相加得到最终地址
G跳转至地址,然后下断
F9运行
执行jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700
断下,进行调试。
但我一直不太懂,接下来说的「进行调试」是干什么。
后来又看了http://1.xbalien.sinaapp.com/?p=342这篇,assest目录下存在两个jar包,分析说可能是dex加密保存在了这里。执行真正代码的时候会进行解密那就可以直接dump出明文dex了。(修复结构、反调试在这题并不考虑)
文中介绍了两种初级dump的方法,第一种是gcoredump。第二种是通过在dvmDexFileOpenPartial断点dump。
关于dvmDexFileOpenPartial:
int dvmDexFileOpenPartial(const void* addr, int len, DvmDex** ppDvmDex);
第一个参数就是dex内存起始地址,第二个参数就是dex大小。所以在这个函数下断点可以直接dump出明文dex。
我脑补一下原理,大概就是说它解密完了之后在内存里打开这个明文dex,然后我们要拿到它的这两个参数,就可以保存成解密后的dex了!(还是不太明白它的适用性)
用这种方法调试的步骤跟前面列出的步骤基本一致,过程中遇到很多问题,首当其冲是输入jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700的时候,提示「致命错误,无法附加到指定VM」。我看到很多人都没有用到这个jdb指令,也不知道这个指令到底什么时候用。后来看到一些文章他们没用这个命令,而且不用算地址。比如:http://blog.sina.com.cn/s/blog_92b6d74d0102uyds.html#cmt_3043762
我提问:
请问你是怎么在G中填写dvmDexFileOpenPartial就跳转到dvmDexFileOpenPartial函数的?是不是应该先在libdvm.so中找到dvmDexFileOpenPartial函数的偏移地址,再用偏移地址加上调试程序的libdvm.so的基址,再用G跳转,下断吗?
人家说他用的是正版IDA6.6。我用的是IDA6.5。
操作jni_onload是成功了,但我仍不知道下面该怎么调试。因为jni_onload里面保存了一些信息所以也去dump出来?可那个不是dex吧。
为什么无法附加指定VM,我还是觉得自己的地址算错了,因为在调试Jni_Onload的时候,jdb就成功attach了,这里却不行。但是,我分别用了2.3(Ray),4.0.4(Ray),4.2.2(Nexus 4)和4.4.4(L36h)的不同的libdvm.so测试,皆不行。回想调试Jni_Onload的时候,跟这个的区别是1.开了Eclipse,2.先F9+JDB 再下的断点。等会儿再试试。
刚才试了一下,这次我像调试jni_onload一样,步骤是F9 ——JDB命令(成功attach后程序中断)——G到目标地址下断点——再按一次F9触发断点,断在了下的那个断点的地方。这时候之前下断点的地方呈现出libdvm.so中那个方法调用的地方一样的汇编代码,为什么之前同样的地址什么都没有呢。但是,这时候对应R0的地址是0,显然是错误的。
而帖子中的顺序是:下断点,F9,JDB(附加后程序会中断)。
还有个疑点,出现了这个:
destination可以指定就算了,source竟然也可以指定。。醉了。暂时不弄了。感觉好蠢,纠结于各个IDA各个版本和android各个版本的细微差别之间,试图将所有的耦合全部尝试一遍,却仍然拿不到想要的东西。百度上没有任何相关的资料。
好的,我假装自己已经定位到那个dex的起始位置了,下面开始dump:
{
auto fp, dex_addr, end_addr;
fp = fopen("F:\\dump.dex", "wb");
end_addr = r0 + r1;
for ( dex_addr = r0; dex_addr )
fputc(Byte(dex_addr), fp);
}
下面用smailview看dex。对于:http://1.xbalien.sinaapp.com/?p=342这道题,后面要学一下webview。
---------------------------------------
adb forward tcp:<本地机器的端口号> tcp:<模拟器或是真机的端口号>
例:adb [-d|-e|-s ] forward tcp:6100 tcp:7100 表示把本机的6100端口号与模拟器的7100端口建立起相关,
当模拟器或真机向自己的7100端口发送了数据,那们我们可以在本机的6100端口读取其发送的内容,这是一个很关键的命令,
以后我们使用jdb调式apk之前,就要用它先把目标进程和本地端口建立起关联。
jdb是一个支持java代码级调试的工具,它是由java jdk提供的,存在于xxx\Java\jdk1.6.0_21\bin之下
通过attach方式进行调试
adb jdwp显示所有可供调试的用户进程
adb forward tcp:xxx jdwp:
jdb -connect com.sun.jdi.SocketAttach:hostname=localhost,port=xxx
调试模式启动intent,手机上显示waiting for the debugger to attach,这时候attach的时候ida显示:
protocol version is 14 expected 17。
我是这样做的,把android_server重新push到手机里,权限改成777,运行。
这时候用64bit的IDA打开提示类似address 4 epected 4
我是这样做的,用32bitIDA打开。可以attach了。
----------一些摘自书上的内容----------
DDMS
DDMS(Dalvik Debug Monitor Server)就是动态调试的一个工具(不知Android L之后会不会改名--!)。DDMS提供文件浏览、Logcat、Method Profiling等功能。
定位关键代码
1.代码注入法
用Apktool反编译得到smali,查找onClick(),比如要找程序注册码,仔细阅读之后发现比对注册码与用户输入的函数
invoke-virtual {v1, v0},Ljava/lang/String;->equalsIgnoreCase(Ljava/lang/String;)Z
move=result v3
if-eqz v3, :cond_2
那么加入Log.v()来输出v0寄存器:
const-string v3, "SN"
invoke-static {v3, v0},Landroid/util/Log;->v(Ljava/lang/String;Ljava/lang/String;)I
然后用Apktool打包、签名,
用"adb logcat -s SN:v"输出SN。
2.栈追踪法
代码注入配合Logcat好用但是需要阅读大量反汇编代码来找「输出点」。
栈追踪法也属于注入的范畴。
比如要找一个Toast是啥时候被调用的,不用阅读太多反汇编代码,而是定位到Toast,然后在这一段之后加入
new Exception("print trace").printStackTrace();
对应smali在书上就不写了。
然后打包签名运行,
在CMD输入"adb logcat -s System.err:V *:W"
会以堆栈的方式,先输出java.lang.Exception print trace
然后输出从程序启动到printStackTrace()执行期间所有被调用过的方法。
3.Method Profiling 4.AndBug 5.IDA Pro..
另外参考:http://www.blogbus.com/riusksk-logs/271566148.html