安卓应用调试

最近学习了一下安卓应用的调试方法,觉得可能对于部分初学者而言会有一定帮助,所以在这里把整个调试过程记录下来。

调试环境

android 7.1(userdebug版本,可以在不重打包的条件下调试应用。ps. 使用sdk下载的镜像默认就是这种版本)
IDA 6.8(没有的同学可以到52pojie上下载)

测试对象

whctf2017的安卓逆向题loopcrypto

程序分析

反调试

在init_array里面定义了一个函数sub_83DC


image.png

通过反编译不难发现,这是一个反调试函数,需要patch后才能调试


image.png

PS. 不知道调用fork函数算不算一种反调试方法,但是总会遇到fork之后断开调试的情况。这种反调试很容易解决,因为我们采用的是动态patch,所以直接修改pc到return的指令上就可以了。解决这个反调试后就可以正常的调试了。
函数注册

IDA在进行分析的过程中并没有吧JNI_OnLoad函数识别出来,但我们可以在export视图里面找到它。

image.png
image.png

通过分析,不难发现JNI_Onload注册的check函数对应的真实函数为sub_87FC(为了方便分析jni函数调用,我们可以导入jni.h函数定义,快键键Ctrl+F9)

image.png

调试过程

因为应用加载so库的过程有反调试代码,因此需要在应用加载so库之前attach到应用程序上,并patch相关反调试代码。这里我们采用实时patch的方法,这样的话可以省去重打包的麻烦,同时也可以不用处理java层的签名检测。

第一步

以调试模式启动应用(调试模式启动可以使得应用程序停止在程序入口点)

adb shell am start -D -n com.a.sample.loopcrypto/.MainActivity
第二步

使用IDA attach到目标应用。在此之前我们可能需要先push一个android_server(android7.1上需要使用pie编译的版本)到手机内部

λ file android_server
android_server: ELF 32-bit LSB shared object, ARM, EABI5 version 1 (SYSV), dynamically linked, interpreter /system/bin/linker, stripped

λ adb push android_server /data/local/tmp
android_server: 1 file pushed...MB/s (523480 bytes in 0.108s)

λ adb shell chmod 777 /data/local/tmp/android_server

使用root权限启动android_server

λ adb shell
angler:/ # id
uid=0(root) gid=0(root) groups=0(root),1004(input),1007(log),1011(adb),1015(sdcard_rw),1028(sdcard_r),3001(net_bt_admin),3002(net_bt),3003(inet),3006(net_bw_stats),3009(readproc) context=u:r:su:s0
angler:/ # cd /data/local/tmp
/android_server    < IDA Android 32-bit remote debug server(ST) v1.19. Hex-Rays (c) 2004-2015
Listening on port #23946...

开启端口转发

adb forward tcp:23946 tcp:23946

准备工作完成之后就可以开心的调试了。首先选择Android debugger


image.png

然后attach目标应用

image.png
image.png

设置调试选项为加载动态库时挂起,然后恢复运行。

image.png

事实上这个时候我们还不能调试,因为java层代码还处于等待调试状态,需要使用jdb恢复运行,但命令行的方式不是特别好用,所以我们这里使用Android Studio来解决这个问题(需要创建一个应用)。

image.png

这个时候我们就会发现IDA停在了加载so库的位置,只不过不是加载libcheck.so。

image.png

恢复运行,程序再次会再次断下来,通过output window可以看到即将加载libcheck.so。

image.png

这个时候我们可以给init_array里面定义的函数下断点(Ctrl+S查看内存map)。

image.png
image.png

恢复运行,程序会在刚下断点的地方停下来。因为整个函数除了反调之外没有实际功能,所以我们可以修改pc让其直接返回(为了保证栈平衡,我们需要完整的执行一对push和pop指令,所以执行完13DC处的push指令后再修改pc使其指向下图中标识的指令)

image.png
image.png

到这儿,关于这个函数的反调试就已经结束了。这个时候我们就可以给check函数下断点了

image.png

恢复运行,在手机上随便输入一个flag,程序就是停在check函数入口处

image.png

到这里的话安卓应用调试方法就已经介绍完了,如果大家对于调试java代码感兴趣的话可以参考这篇文章。对于这道题后续的分析的话就没有什么难度了,所以不再赘述。

总结

本文简要地介绍了安卓应用调试方法,但为了方便大家分析,整个操作过程采用手动完成。事实上,IDAPython提供了丰富的调试接口,这部分工作完全可以放到脚本里面自动化完成。

补充

室友写的IDAPython脚本,懒得重写,直接粘过来了

from idaapi import *
from idc import *
from idautils import *


class DbgHook(DBG_Hooks):
    def dbg_library_load(self, pid, tid, ea, modinfo_name, modinfo_base, modinfo_size):
        print "%#x %s %#x" %(ea, modinfo_name, modinfo_base)
        if "libcheck.so" in modinfo_name:
            self.libcheck = modinfo_base
            print "libcheck addr is 0x%08x" % self.libcheck

            self.init_pop = self.libcheck + 0x8440
            self.init_addr = self.libcheck + 0x83e0
            add_bpt(self.init_addr,0,BPT_SOFT)
            #enable_bpt(self.init_addr,True)
            SetBptAttr( self.init_addr, BPTATTR_FLAGS, BPT_ENABLED|BPT_TRACE)

            self.check_ptrace = self.libcheck + 0x86f6
            self.check_fork = self.libcheck + 0x86b0
            add_bpt(self.check_fork,0,BPT_SOFT)
            #enable_bpt(self.check_fork,True)
            SetBptAttr( self.check_fork, BPTATTR_FLAGS, BPT_ENABLED|BPT_TRACE)

            self.key_addr = self.libcheck + 0x8728
            add_bpt(self.key_addr,0,BPT_SOFT)
            enable_bpt(self.key_addr,True)

        return


    def dbg_bpt(self, tid, bptea):
        print "[*] Hit: 0x%08x" % bptea
        
        if bptea == self.init_addr:
            print "Set Reg Value:"
            SetRegValue(self.init_pop,"PC")
        elif bptea == self.check_fork:
            print "Set Reg Value:"
            SetRegValue(self.check_ptrace,"PC")
        return

    def dbg_step_over(self):
        eip = GetRegValue("PC")
        print("MyDbgHook : 0x%x %s" % (eip, GetDisasm(eip)))
        return


num_breakpoints = GetBptQty()    
print "[*] Set %d breakpoints." % num_breakpoints  

debugger = DbgHook()
debugger.hook()
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 151,688评论 1 330
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 64,559评论 1 273
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 101,749评论 0 226
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 42,581评论 0 191
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 50,741评论 3 271
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 39,684评论 1 192
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,122评论 2 292
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 29,847评论 0 182
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 33,441评论 0 228
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 29,939评论 2 232
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 31,333评论 1 242
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 27,783评论 2 236
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 32,275评论 3 220
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 25,830评论 0 8
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,444评论 0 180
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 34,553评论 2 249
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 34,618评论 2 249

推荐阅读更多精彩内容