IDA静态动态逆向分析基础
1.JDB和IDA调试步骤2
(1).JDB调试步骤2
(2).IDA调试步骤2
(3).定位函数2
(4).开始调试2
2.动态调试Android so库函数的方法2
3.strace查看系统调用3
4.IDA静态动态分析的快捷键3
5.gdb调试4
(1).准备调试4
(2).修改权限5
(3).端口转发5
(4).ps命令查询PID5
(5).gdbserver attach调试进程5
(6).运行gdb.exe5
6.常见工具5
(1).命令工具5
7.OAT/DEX/ELF的文件格式
8.在线加解密5
(1).二维码解码器5
(2).在线JSON校验格式化工具5
(3).在线解密6
1.JDB和IDA调试步骤
(1).JDB调试步骤
①adb shell am start -D -n {pkgname}/{Activity}
②ida android_server放到手机,以root身份运行,PC端idapro远程连接、 attach、下断点
③adb forward tcp:8700 jdwp:{pid}
④jdb -connect “com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700”
(2).IDA调试步骤
①adb shell am start -D -n {pkgname}/{Activity}
②adb forward tcp:23946 tcp:23946
③ida android_server放到手机,以root身份运行,PC端idapro远程连接、 attach、下断点
④打开DDMS,查看端口
⑤jdb -connect “com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700”
(3).定位函数
①使用快捷键Ctrl+S打开segment窗口,选择so文件,这里可以使用Ctrl+F进行搜索;同时这里需要记下so文件的起始地址(A8924000)用另一个IDA打开so文件,找到对应函数的偏移位置,在上面的图可以看到偏移为(00000E9C)
绝对地址=基址+偏移地址=A8924000+00000E9C=A8924E9C
②按下快捷键G,输入A8924E9C即可跳转到正确的函数,然后使用F2或者点击前面的小圆点下一个断点
(4).开始调试
①按F9或点击绿色三角形按钮运行程序,触发断点,接着按F7/F8进行调试
2.动态调试Android so库函数的方法
./android_server p2345
p端口号
adb shell ps | grep 包名
netstat -ano | findstr "8900"
tasklist | findstr "1220"
可以通过命令强制杀死pid为2816的进程
taskkill /f /pid 1220
adb forward tcp:23946 tcp:23946
adb forward tcp:8700 jdwp:25631
jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700
3.strace查看系统调用
strace -f -p PID -o file.txt
4.IDA静态动态分析的快捷键
(1).F2下断点
(2).F7,f8单步步入
(3).N重名
(4).G跳到地址和函数名
(5).U取消把函数汇编变成机器码
(6).C就是把机器码变成汇编
(7).F5--->刷新
(8).P分析函数,把机器码那些东西翻译成函
(9).Ctrl+S看见系统所有的模块
(10).Ctrl+F搜索
(11).单步调试注意右上角,寄存器变蓝色表示被改了
(12).otions->number of opcode bytes可以查看机器码,填入4一行看4个机器码
(13).在hex view-1按F2可以修改机器码,再次按F2确定修改
(14).Alt+G看是THUMB还是ARM指令(寄存器ARM与THUMB转换)
(15).在函数名上按X可以看见上层调用
(16).在F5伪C/C++代码的情况下,注释是/,汇编情况下注释是;
(17).F4移动到光标处
(18).在寄存器窗口按E可以修改寄存器的值
(19).在内存窗口F2可以修改内存的值
(20).搜索特征字符串,具体操作为
①快捷键Ctrl+S,打开搜索类型选择对话框-->双击Strings,跳到字符串段-->菜单项“Search-->Text”
②快捷键Alt+T,打开文本搜索对话框,在String文本框中输入要搜索的字符串点击OK即可
(21).Tab查看函数
(22).Ctrl+1,Spance
(23).Alt+Q
(24).Alt+S
(25).G-转到一个Jump Address
(26).Create function--->P
(27).Data--->D
(28).X--->追踪某函数
(29).C--->转成代码--->N-重命名函数,多看汇编,少看伪代码
(30).H--->16进制转换
(31).A--->生成一个字符串
(32).U--->转成原数据
(33).*--->重新定义数组长度
5.gdb调试
(1).准备调试
android-ndk-r10e\prebuilt\android-arm\gdbserver
android-ndk-r10e\prebuilt\android-arm64\gdbserver
手机或模拟机已经root
adb remount
adb push gdbserver /system/bin
android-ndk-r10e\toolchains\arm-linux-androideabi-4.9\prebuilt\windows-x86_64\bin\arm-linux-androideabi-gdb.exe
android-ndk-r10e\toolchains\aarch64-linux-android-4.9\prebuilt\windows-x86_64\bin\aarch64-linux-android-gdb.exe
arm-linux-androideabi-gdb.exe修改为gdb.exe
(2).修改权限
adb shell chmod 777 /system/bin/gdbserver
(3).端口转发
adb forward tcp:23946 tcp:23946
(4).ps命令查询PID
adb shell ps | grep 包名
(5).gdbserver attach调试进程
adb shell gdbserver :23946 –attach [PID]
(6).运行gdb.exe
显示汇编代码
set disassemble-next on
打开单步调试
set step-mode on
在gdb界面输入如下命令,连接上gdbserver
target remote 127.0.0.1:23946
6.常见工具
(1).命令工具
tmux: 可以关闭窗口将程序放在后台运行
jnettop: 监测网络流量,得到通讯IP、端口、URL、速率信息
netstat -tunlp:端口对应进程号、监听、收发包端口
htop: top 的增强版,当前系统负载、前台活跃进程、线程和占用
apt install tmux jnettop htop
ps -e |grep -i termux
入门Android逆向
https://mp.weixin.qq.com/s/K1tvKOzDRwiO8uDON4u_MA
7.OAT/DEX/ELF的文件格式
8.在线加解密
(1).二维码解码器
https://cli.im/deqr/
(2).在线JSON校验格式化工具
http://www.bejson.com/
http://www.jsons.cn/
(3).在线解密
https://www.ssleye.com/
http://www.ttmd5.com/rang.php
https://cmd5.com/
https://jwt.io/
https://the-x.cn/cryptography/Aes.aspx
http://tool.chacuo.net/cryptdes
您好,该公众号专注于打造服务于大众的哆啦社群/社区生活圈,陆续也会分享Java、Android、C#、Qt、Web、前端Nodejs/Python/JavaScript/lua/go、嵌入式、C/C++、Android系统定制、一键新机、安全开发等软件开发相关的技术文章,也会分享二进制安全、区块链安全、IOT安全、Web安全、移动安全Android/IOS/小程序/游戏(逆向、加固、脱壳、混淆、Hook、反调试、反作弊、安全防护、安全风控、渗透、漏洞、病毒分析等安全研究相关的技术文章),以及广告变现、网站搭建、服务器环境搭建和配置、服务器安全配置方法及维护、开发类、安全类学习研究资料共享,提供给对软件开发/安全研究有兴趣的初学者/爱好者学习研究。
搭建的网站地址:
https://duolashq.com/
如果您需要远程支撑、商务合作可以联系作者,希望能与大家一起学习交流,感谢您的关注!