文章目录
- 一些资料
- IDA调试命令
- IDA调试安卓的10个技巧
- objection基本使用+ Wallbreaker1
- frida源码阅读之frida-java
- 第一个实例EasyJNI
- 第二个实例
- objection
- 资料
- art_trace2.py
- art_trace2.js
IDA+Frida分析CTF样本和Frid源码和objection模块
一些资料
IDA调试命令
adb devices
adb push d:\as /data/local/tmp/asadb shell
suchmod 777 /data/local/tmp/as/data/local/tmp/as
/data/local/tmp/as -p31928再开一个cmd窗口
adb forward tcp:23946 tcp:23946
adb forward tcp:31928 tcp:31928adb shell am start -D -n com.yaotong.crackme/.MainActivity
adb shell am start -D -n com.wolf.ndktest/.MainActivity
adb shell am start -D -n com.faloo.BookReader4Android/com.faloo.app.activity.LogoPageActivity
adb shell am start -D -n com.example.helloworld/com.example.helloworld.MainActivity
adb shell am start -D -n com.pingan.peanut/com.pingan.peanut.activity.GuideActivity
adb shell am start -D -n com.lalamove.huolala.driver/.main.mvp.ui.SplashActivity打开DDMS或者执行adb forward tcp:8700 jdwp:7319jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8616如果出现错误
查看serverSocket所监听的端口
netstat -naostatic main(void)
{
auto fp, dexAddress, end, size;
dexAddress = 0xD9B18000;
size = 0xBF000;
end = dexAddress + size;
fp = fopen("C:\\Users\\Administrator\\Desktop\\upx.so", "wb");
for ( ; dexAddress < end; dexAddress++ )
fputc(Byte(dexAddress), fp);
}动态调式本身就是很复杂的,和APP本身,安卓系统,IDA软件,电脑环境,要下断的函数等都有联系,
任何一个因素都可能影响动态调试的成败。大部分错误都在JDB启动那一步,网上没有好的解决或原因
分析,下面就做一些小结:
1.不满足动态调试条件,安卓系统配置文件build.prop的ro.debugable或APP的Androidmainfest.xml中的android:debugable,必须两个有1个为true。
2.使用jdb前的步骤出现错误:如android_server文件权限不够,没有am start启动目标程序等。
3.一般来说,使用jdb连接前后都是可以下断的,但确实会出现,有的必须jdb连接前下断,有的必须jdb连接后下断,否则可能出现错误。
4.虽然说jdb连接前后都可以下断,但在jdb连接前,一定要先用IDA附加,这个次序是一定的。
5.jdb属于电脑的JDK,如果JDK出错,JDB也可能出错。有关so层逆向分析的问题
问题解决:
1.加密方法在一个叫libmt2.so的so文件中,然后用ida动态调试附加之后,
发现搜不到这个libmt2.so的so文件,这种类型问题怎么解决?第一步:要先判断so文件是否已经加载到内存中 如果在IDA里面搜索不到第二步:cat /proc/$pid/maps 执行该命令获取模块列表信息获取指定应用程序的进程pidps 获取当前存在进程信息补充:|grep 特征字符串ida工具里面搜索不到? 如何下段调试?解决方法:
b3cfe000-b3d0c000 r-xp 00000000 b3:17 521239 /data/app/bin.mt.plus-2/lib/arm/libmt2.so
b3d0c000-b3d0d000 r--p 0000d000 b3:17 521239 /data/app/bin.mt.plus-2/lib/arm/libmt2.so
b3d0d000-b3d0e000 rw-p 0000e000 b3:17 521239 /data/app/bin.mt.plus-2/lib/arm/libmt2.sob3cfe000 模块起始地址+偏移地址(ida静态分析时在反汇编窗口中的左边的地址栏)dd if=/dev/zero of=/data/local/tmp/info.txt bs=1 count=1if 代表输入文件。如果不指定if,默认就会从stdin中读取输入,/dev/zero 是一个字符设备,会不断返回0值字节(\0)。
of 代表输出文件。如果不指定of,默认就会将stdout作为默认输出。
bs 代表字节为单位的块大小。
count 代表被复制的块数。 获取指定进程模块信息
cat /proc/6594/maps >info.txtdex是看0x20处找大小,odex是看0x32处就有
dd if=/proc/7081/mem of=/data/local/tmp/dump.so skip=3421749248 bs=1 count=16384tcpdump+Wireshark:
adb shell tcpdump -p -vv -s 0 -w /sdcard/capture.pcap 开始抓包
ctrl+c 结束抓包
adb pull /sdcard/capture.pcap 导出文件tcpdump下载地址
https://www.androidtcpdump.com/android-tcpdump/downloads孤挺花(Armariris)基于LLVM的支持多平台多语言的混淆器开源工程:https://github.com/GoSSIP-SJTU/ArmaririsControl Flow Flattening(-fla,控制流程平坦化)
Bogus Control Flow(-bcf,虚假控制流程)
Instructions Substitution & SplitBasicBlock (-sub,指令替换)
字符串加密Pass
函数名称加密Pass分析技巧:
分析被ollvm混淆的算法的时候,关心的参数的加密过程,以及结果的生成过程。Android源码在线阅读:http://androidxref.com/http://aospxref.com/系统源码下载地址
链接:https://pan.baidu.com/s/1IW-UR2UaDQaEQKB8DRa_bg 提取码:n5sb seLinux安全机制:adb shell getenforce adb shell setenforce 0当系统引导程序启动Linux内核,内核会加载各种数据结构,和驱动程序,
加载完毕之后,Android系统开始启动并加载第一个用户级别的进程,
即init进程。
1.启动电源以及系统启动当电源按下时引导芯片代码从预定义的地方(固化在ROM)开始执行加载引导程序BootLoader到ARM,然后执行
2.引导程序bootloader引导程序BootLoader是在Android操作系统运行前的一个小程序,它的主要作用是把系统OS拉起来并运行
3.Linux内核启动当内核启动时,设置换成、被好好存储器、计划列表、加载驱动当内核完成系统设置时,它首先在系统文件中寻找init.rc文件,并启动init进程
4.init进程启动创建和挂载启动需要的文件目录初始化和启动属性服务解析init.rc配置文件并启动zygote进程
5.zygote进程启动创建AndroidRuntime并调用其start函数,启动zygote进程创建java虚拟机并为java虚拟机注册JNI函数通过JNI调用ZygoteInit的main方法进入zygote的java框架层通过registerServerSocket方法创建服务器端socket,并通过runSelectLoop方法等待AMS的请求来创建新的应用程序进程启动SystemServer进程,该进程主要用来创建系统服务
6.systemserver进程启动启动binder线程池,这样就可以与其他进程进行通信创建SystemServiceManager,其用于对系统的服务进行创建、启动和生命周期管理启动各种系统方法(引导服务、核心服务、其他服务)
7.launcher启动Android 8.1.0 libart.so 32 JNI_onLoad
.text:0024F88C
.text:0024F88C loc_24F88C ; CODE XREF: .text:0024FD9Cj
.text:0024F88C ; .text:0024FE10j
.text:0024F88C MOV R0, R6
.text:0024F88E MOVS R1, #0
.text:0024F890 BLX R5
.text:0024F892 MOV R7, R0
.text:0024F894 LDR R0, [R6,#4]
.text:0024F896 LDR.W R0, [R0,#0x2D4]
.text:0024F89A CBZ R0, loc_24F8A6
.text:0024F89C CMP R0, #0x15
.text:0024F89E BGT loc_24F8A6
.text:0024F8A0 MOVS R0, #0xBAndroid 8.1.0 libart.so 64 JNI_onLoad
.text:0000000000300F68 loc_300F68 ; CODE XREF: art::JavaVMExt::LoadNativeLibrary(_JNIEnv *,std::__1::basic_string<char,std::__1::char_traits<char>,std::__1::allocator<char>> const&,_jobject *,_jstring *,std::__1::basic_string<char,std::__1::char_traits<char>,std::__1::allocator<char>>*)+FAC↓j
.text:0000000000300F68 ; art::JavaVMExt::LoadNativeLibrary(_JNIEnv *,std::__1::basic_string<char,std::__1::char_traits<char>,std::__1::allocator<char>> const&,_jobject *,_jstring *,std::__1::basic_string<char,std::__1::char_traits<char>,std::__1::allocator<char>>*)+1030↓j
.text:0000000000300F68 MOV X0, X22
.text:0000000000300F6C MOV X1, XZR
.text:0000000000300F70 BLR X27
.text:0000000000300F74 LDR X8, [X22,#8]
.text:0000000000300F78 MOV W24, W0
.text:0000000000300F7C LDR W8, [X8,#0x4A8]
.text:0000000000300F80 CBZ W8, loc_300F94
.text:0000000000300F84 CMP W8, #0x15
.text:0000000000300F88 B.GT loc_300F94
.text:0000000000300F8C MOV W0, #0xBAndroid 8.1.0 linker 32 function
.text:00013562 LDR R1, =(aLinker - 0x13572)
.text:00013564 ADR R2, aCallingCTorSPF ; "[ Calling c-tor %s @ %p for '%s' ]"
.text:00013566 MOVS R0, #4
.text:00013568 MOV R3, R4
.text:0001356A STRD.W R6, R5, [SP]
.text:0001356E ADD R1, PC ; "linker"
.text:00013570 BL __dl_async_safe_format_log
.text:00013574
.text:00013574 loc_13574 ; CODE XREF: __dl__ZL13call_functionPKcPFviPPcS2_ES0_+18↑j
.text:00013574 LDR R0, =(__dl_g_envp_ptr - 0x1357A)
.text:00013576 ADD R0, PC ; __dl_g_envp_ptr
.text:00013578 LDR R0, [R0] ; __dl_g_envp
.text:0001357A LDR R2, [R0]
.text:0001357C LDR R0, =(__dl_g_argv_ptr - 0x13582)
.text:0001357E ADD R0, PC ; __dl_g_argv_ptr
.text:00013580 LDR R0, [R0] ; __dl_g_argv
.text:00013582 LDR R1, [R0]
.text:00013584 LDR R0, =(__dl_g_argc_ptr - 0x1358A)
.text:00013586 ADD R0, PC ; __dl_g_argc_ptr
.text:00013588 LDR R0, [R0] ; __dl_g_argc
.text:0001358A LDR R0, [R0]
.text:0001358C BLX R6
.text:0001358E LDR R0, =(__dl_g_ld_debug_verbosity - 0x13594)
.text:00013590 ADD R0, PC ; __dl_g_ld_debug_verbosity
.text:00013592 LDR R0, [R0]Android 8.1.0 linker 64 function
.text:0000000000020838 ADRP X2, #aCallingCTorSPF@PAGE ; "[ Calling c-tor %s @ %p for '%s' ]"
.text:000000000002083C MOV W0, #4
.text:0000000000020840 MOV X1, X23
.text:0000000000020844 ADD X2, X2, #aCallingCTorSPF@PAGEOFF ; "[ Calling c-tor %s @ %p for '%s' ]"
.text:0000000000020848 MOV X3, X26
.text:000000000002084C MOV X4, X28
.text:0000000000020850 MOV X5, X19
.text:0000000000020854 BL __dl_async_safe_format_log
.text:0000000000020858
.text:0000000000020858 loc_20858 ; CODE XREF: __dl__ZL10call_arrayIPFviPPcS1_EEvPKcPT_mbS5_+D0↑j
.text:0000000000020858 ADRP X8, #__dl_g_argc_ptr@PAGE
.text:000000000002085C LDR X8, [X8,#__dl_g_argc_ptr@PAGEOFF]
.text:0000000000020860 LDR W0, [X8]
.text:0000000000020864 ADRP X8, #__dl_g_argv_ptr@PAGE
.text:0000000000020868 LDR X8, [X8,#__dl_g_argv_ptr@PAGEOFF]
.text:000000000002086C LDR X1, [X8]
.text:0000000000020870 ADRP X8, #__dl_g_envp_ptr@PAGE
.text:0000000000020874 LDR X8, [X8,#__dl_g_envp_ptr@PAGEOFF]
.text:0000000000020878 LDR X2, [X8]
.text:000000000002087C BLR X28
.text:0000000000020880 LDR W8, [X25,#__dl_g_ld_debug_verbosity@PAGEOFF]
.text:0000000000020884 CMP W8, #2.text:0000000000020AE0 ADRP X1, #__dl_$d.20_0@PAGE ; "linker"
.text:0000000000020AE4 ADRP X2, #aCallingCTorSPF@PAGE ; "[ Calling c-tor %s @ %p for '%s' ]"
.text:0000000000020AE8 ADRP X3, #aDtInit@PAGE ; "DT_INIT"
.text:0000000000020AEC ADD X1, X1, #__dl_$d.20_0@PAGEOFF ; "linker"
.text:0000000000020AF0 ADD X2, X2, #aCallingCTorSPF@PAGEOFF ; "[ Calling c-tor %s @ %p for '%s' ]"
.text:0000000000020AF4 ADD X3, X3, #aDtInit@PAGEOFF ; "DT_INIT"
.text:0000000000020AF8 MOV W0, #4
.text:0000000000020AFC MOV X4, X20
.text:0000000000020B00 MOV X5, X21
.text:0000000000020B04 BL __dl_async_safe_format_log
.text:0000000000020B08
.text:0000000000020B08 loc_20B08 ; CODE XREF: __dl__ZN6soinfo17call_constructorsEv+1C0↑j
.text:0000000000020B08 ADRP X8, #__dl_g_argc_ptr@PAGE
.text:0000000000020B0C ADRP X9, #__dl_g_argv_ptr@PAGE
.text:0000000000020B10 ADRP X10, #__dl_g_envp_ptr@PAGE
.text:0000000000020B14 LDR X8, [X8,#__dl_g_argc_ptr@PAGEOFF]
.text:0000000000020B18 LDR X9, [X9,#__dl_g_argv_ptr@PAGEOFF]
.text:0000000000020B1C LDR X10, [X10,#__dl_g_envp_ptr@PAGEOFF]
.text:0000000000020B20 LDR W0, [X8]
.text:0000000000020B24 LDR X1, [X9]
.text:0000000000020B28 LDR X2, [X10]
.text:0000000000020B2C BLR X20
.text:0000000000020B30 LDR W8, [X23,#__dl_g_ld_debug_verbosity@PAGEOFF]
.text:0000000000020B34 CMP W8, #2IDA调试安卓的10个技巧
objection基本使用+ Wallbreaker1
frida源码阅读之frida-java
第一个实例EasyJNI
发现只有32位的so
运行64位的frida
常见的ps命令及输出格式
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.1 168448 9776 ? Ss Aug28 0:03 /usr/lib/systemd/systemd --system --deserialize 19
root 2 0.0 0.0 0 0 ? S Aug28 0:00 [kthreadd]
...第二个实例
jadx先看java代码,看调用的时机
复制这个代码
找到偏移地址
因为我的手机是64位的,将64位的so库放入到IDA工具中
选中我们要调试的函数
如何看64位的指令
arm64位指令集
将Graph View切换成TextView
目标要得到的结果
IDA导入头文件
- 步骤一:点击IDA Pro 菜单项“File->Load file->Parse c header file ” 选择jni.h头文件
- 步骤二:点击IDA Pro 主界面上的“Structures”选项卡 然后按下Insert键打开“Create structure/union”对话框,点击界面上的"Add standard structure"按钮,在打开的结构体选择对话框中选择JNINativeInterface并点击OK返回,同理JNIInvokeInterface结构体也导入进来
- 步骤四:在0x29C等调用env的地方右键,出现jni函数
输出一个结果
使用下面的脚本
// HOOK未导出函数
function Test02() {// 绝对地址=so模块起始地址(基地址)+偏移地址let baseAddr = Module.findBaseAddress("libcyberpeace.so");send("baseAddr:" + baseAddr);// 指令集 分为ARM指令、thumb指令// ARM指令地址不变 thumb指令地址+1 sub_ 开头的函数 这种函数只能使用这种方式来进行Interceptor.attach(baseAddr.add(0x840), {onEnter: function (args) {send("============CheckString===============");send(args[0]); // 第一个参数send(args[1]); // 第二个参数send(args[2]); // 第三个参数// 获取JNIEnv*let env = Java.vm.tryGetEnv();// 将jstring 转换 const char*let str = env.getStringUtfChars(args[2], 0);send(str.readCString());console.log(hexdump(str, {offset: 0,length: 32,header: true,ansi: false}));},onLeave: function (retval) {send("============result===============");send(retval);// 获取JNIEnv*let env = Java.vm.tryGetEnv();// 将jstring 转换 const char*let str = env.getStringUtfChars(retval, 0);send(str.readCString());}});
}Java.perform(function () {Test02();
})
能得到正确的结果
返回结果是0x0,并不是我们想要的结果,所以要使用IDA调试一下
关闭frida-server
使用64位的android_server64
选择一个进程
搜索模块
双击进入, 并找到我们要找到的函数
跳转到你想要看指定寄存器的位置
老师又返回看了看静态分析的函数
拿数据
分析后的结果
objection
资料
Windows/Ubuntu安装frida和objection 原创
kali Linux 逆向环境pyenv、Frida、objection、jadx、的安装
先运行frida-sever
端口转发
跳转到指定的界面
生成Hook样例代码
监控类
art_trace2.py
# -*- coding: utf-8 -*-import os
import sys
import frida
import codecsdef message(message, data):if message["type"] == 'send':print("[*] {0}".format(message['payload']))else:print(message)# process = frida.get_remote_device().attach('Transformers')
# if not os.path.isfile('./art_trace2.js'):
# raise TypeError("./art_trace2.js does not exist")
# with codecs.open('./art_trace2.js', 'r', 'UTF-8') as file:
# js_code = file.read()
# script = process.create_script(js_code)
# script.on("message", message)
# script.load()
# sys.stdin.read()
rdev = frida.get_remote_device()
pid = rdev.spawn(["com.zhuotong.crackme"])
process = rdev.attach(pid)
if not os.path.isfile('art_trace2.js'):raise TypeError("./art_trace2.js does not exist")
with codecs.open('art_trace2.js', 'r', 'UTF-8') as file:js_code = file.read()
script = process.create_script(js_code)
script.on('message', message)
script.load()
rdev.resume(pid)
sys.stdin.read()art_trace2.js
Java.perform(function () {let symbols = Module.enumerateSymbolsSync("libart.so");let addrRegisterNatives = null;for (let i = 0; i < symbols.length; i++) {let symbol = symbols[i];//_ZN3art3JNI15RegisterNativesEP7_JNIEnvP7_jclassPK15JNINativeMethodiif (symbol.name.indexOf("art") >= 0 &&symbol.name.indexOf("JNI") >= 0 && symbol.name.indexOf("RegisterNatives") >= 0 && symbol.name.indexOf("CheckJNI") < 0) {addrRegisterNatives = symbol.address;console.log("RegisterNatives is at ", symbol.address, symbol.name);}}if (addrRegisterNatives != null) {Interceptor.attach(addrRegisterNatives, {onEnter: function (args) {console.log("[RegisterNatives] method_count:", args[3]);let java_class = args[1];let class_name = Java.vm.tryGetEnv().getClassName(java_class);let methods_ptr = ptr(args[2]);let method_count = parseInt(args[3]);for (let i = 0; i < method_count; i++) {let name_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3));let sig_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3 + Process.pointerSize));let fnPtr_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3 + Process.pointerSize * 2));let name = Memory.readCString(name_ptr);let sig = Memory.readCString(sig_ptr);let find_module = Process.findModuleByAddress(fnPtr_ptr);console.log("[RegisterNatives] java_class:", class_name, "name:", name, "sig:", sig, "fnPtr:", fnPtr_ptr, "module_name:", find_module.name, "module_base:", find_module.base, "offset:", ptr(fnPtr_ptr).sub(find_module.base));// console.log("[RegisterNatives] java_class:", class_name, "name:", name, "sig:", sig, "fnPtr:", fnPtr_ptr);}}});}
});
