保护代码通常放在so文件中.

正常的应用

android机的准备工作

找到ida目录下的/dbgsrv/android_server文件,push进android机,启动android_server:

1
2
3
4
5
6
adb push android_server /data/local/tmp/
adb shell
su
cd data/local/tmp
chmod 755 android_server
./android_server

出现:

1
2
3
root@android:/data/local/tmp # ./android_server
IDA Android 32-bit remote debug server(ST) v1.19. Hex-Rays (c) 2004-2015
Listening on port #23946...

另开命令行进行tcp端口转发:
adb forward tcp:23946 tcp:23946

[注意事项]

  1. 此android_server需和ida是配套的
  2. 出现bind: Address already in use错误
    这是因为手机中可能已经在运行android_server,使用ps | grep android_server看一下,有的话杀掉.
    如下:(14061是pid)
1
2
3
root@android:/ # ps | grep android_server
root      14061 13574 11180  9504  ffffffff 40183da0 S /data/local/tmp/android_server
127|root@android:/ # kill -s 9 14061

ida 的准备

打开ida,打开so文件,记录so文件中感兴趣的函数的文件偏移.

手机打开app.

另开一个ida,菜单栏设置Debugger -> Attach -> Remote ARMLinux/Android debugger如下:

点击ok,弹出进程列表,例如:

注意
如果此时进程列表中只有一两个进程,可能是因为上一步启动android_server时你使用了这样的命令:
adb shell /data/local/tmp/android_server
只要先进入adb shell再执行就没问题了.

选择要调试的进程,等待分析完毕.

ctrl+s打开segment列表,找到要调试的so文件,选择class属性为CODE的那个就ok了.记得记下so的基址(start属性).
基址加上刚刚记录的函数的文件偏移即得函数的地址,按快捷键G输入地址跳转,下断点运行即可.

不正常的应用

(此步骤也适用于给系统函数下断点)
so文件在被加载的时候会首先执行.init_array中的函数,然后再执行JNI_OnLoad()函数。如果在这中间加了反调试代码,那么我们一旦开始调试app可能就会退出.所以我们需要在so文件被加载之前就断下来.

启动app

使用am start命令启动app:
adb shell am start -D -n com.yaotong.crackme/com.yaotong.crackme.MainActivity
com.yaotong.crackme 为包名,com.yaotong.crackme.MainActivity 为主activity名.

此时手机上会弹出:

ida准备

同样是设置Debugger -> Attach -> Remote ARMLinux/Android debugger再选择进程.
之后需要设置调试器调试选项为:

F9运行.
在控制台使用jdb恢复进程运行:
jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700

正常情况会出现:

1
2
3
4
设置未捕获的java.lang.Throwable
设置延迟的未捕获的java.lang.Throwable
正在初始化jdb...
>

错误:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
java.net.ConnectException: Connection refused: connect
        at java.net.DualStackPlainSocketImpl.connect0(Native Method)
        at java.net.DualStackPlainSocketImpl.socketConnect(DualStackPlainSocketImpl.java:79)
        at java.net.AbstractPlainSocketImpl.doConnect(AbstractPlainSocketImpl.java:345)
        at java.net.AbstractPlainSocketImpl.connectToAddress(AbstractPlainSocketImpl.java:206)
        at java.net.AbstractPlainSocketImpl.connect(AbstractPlainSocketImpl.java:188)
        at java.net.PlainSocketImpl.connect(PlainSocketImpl.java:172)
        at java.net.SocksSocketImpl.connect(SocksSocketImpl.java:392)
        at java.net.Socket.connect(Socket.java:589)
        at com.sun.tools.jdi.SocketTransportService.attach(SocketTransportService.java:222)
        at com.sun.tools.jdi.GenericAttachingConnector.attach(GenericAttachingConnector.java:116)
        at com.sun.tools.jdi.SocketAttachingConnector.attach(SocketAttachingConnector.java:90)
        at com.sun.tools.example.debug.tty.VMConnection.attachTarget(VMConnection.java:519)
        at com.sun.tools.example.debug.tty.VMConnection.open(VMConnection.java:328)
        at com.sun.tools.example.debug.tty.Env.init(Env.java:63)
        at com.sun.tools.example.debug.tty.TTY.main(TTY.java:1066)
致命错误:
无法附加到目标 VM。
  • 打开ddms尝试.
  • 检查调试的app配置文件中是否有android:debuggable="true",导致不能调试。
    若无则在清单文件的application中加上,重新打包即可.

接下来就可以在.initarray和JNI_OnLoad下断点了.

番外

.initarray

静态分析so文件时,按ctrl+s出现segment列表,进入.initarray即可看到列表.

如何dump so文件

dump时务必确保so文件已经加载.
python脚本:

1
2
3
4
5
import idaapi
data = idaapi.dbg_read_memory(start_addr,file_len)
f = open(r'C:\Users\...\Desktop\dump.so','wb')
f.write(data)
f.close()

ida的api函数地址:https://www.hex-rays.com/products/ida/support/idapython_docs/idaapi-module.html

以上.