Android IDA 动态调试so（过掉JNI_Onload调试检测）

image.png

做一题阿里的逆向题

jdax中打开MainActivity

01.png

ida中打开so , 看起来是静态注册

02.png

下面有两种办法

1. frida hook , 让securityCheck 返回true

   
   
   03.png

js代码:

setImmediate(function () {
    console.log("[*] Starting script");
    if (Java.available) {
        Java.perform(function () {
            var checkClazz = Java.use('com.yaotong.crackme.MainActivity');

            checkClazz.securityCheck.implementation = function(a){
                var rc = this.securityCheck(a);
                console.log("arg1 = " + a);
                console.log(typeof(rc));
                console.log("res = " + rc);
                return true;
            };
        })
    } else {
        console.log("jvm error");
    }

});

python

# -*- coding: utf-8 -*-
import time
import frida
import pprint

device8 = frida.get_usb_device()
pid = device8.spawn("com.yaotong.crackme")
device8.resume(pid)
time.sleep(1)
session = device8.attach(pid)
with open("./js/ali.js", 'r', encoding='utf-8') as f:
    script = session.create_script(f.read())


def my_message_handler(message, payload):
    if message['type'] == 'send':
        print('send type message: {}'.format(message))
    else:
        print(message)


script.on("message", my_message_handler)
script.load()

input() #等待输入

04.png

2. 分析so, 修改so, 重新编译成apk

ida 动态调试 so

前提是配置好 andriod server 端口转发等

adb shell am start -D -n 打开对应app

05.png

06.png

配置ida

打开IDA ，点击debugger->select debugger ,这样选择，然后确定

07.png

然后再Debugger->process options 进行如下设置

08.png

然后Debugger->attach to process ，找到目标进程 点击进去

09.png

接下来出现的选项点yes，然后Debugger->Debugger options进行如下设置

10.png

设置好了之后按F9,启动程序，打开ddms(SDK tools 文件夹)，打开cmd输入

jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700

,然后接着f9，直到jdb attach 住了（IDA出现的界面选项中 有yes点yes，有same 点same）；

不打开ddms会报以下异常:

11.png

打开ddms

12.png

app继续运行

13.png

ida中继续按 F9

直到出现下图, 说明加载crackme.so

14.png

右边是寄存器的值

15.png

16.png

ctrl + s 查看加载so的情况

17.png

然后再右侧moudules中搜索crackme.so中打开Jni_onload,下个断点,F9，出现选项点yes；

18.png

19.png

接着开始F7 F8单步调试。多次调试发现在运行玩BLX R7之后程序会退出，那么此处应该就是反调试检测机制了。

打开R7寄存器 出现pthread_create ，证明猜测正确

20.png

然后使用用IDA pro静态打开so 文件 找到汇编代码，产看blx R7 的十六进制，37 FF 2F E1

21.png

使用010 Editor或者win hex修改成 00 00 00 00 就是直接nop掉这条指令（直接删除指令的话，文件会发生错乱，因为so文件有固定的格式，比如很多段的内容，每个段的偏移值都是保存的，这样删除的话会影响偏移值）。

22.png

使用 apkToolBox 重新生成apk, 并重签名

23.png

重新在ida调试

在securityCheck中打断点, 慢慢调试

24.png

25.png

搞掂

27.png

参考文章

https://blog.csdn.net/Viewz/article/details/97757862

https://blog.csdn.net/hbhgyu/article/details/81321923

链接：https://pan.baidu.com/s/1oOH9RgukXJcXianq8jgYhg

提取码：5lzf