Android逆向之动态分析so篇

本期，斗哥将给大家带来Android逆向的动态分析，简述Android动态分析环境配置与IDA调试so文件。

学习Android逆向动态分析前，一定要有基础环境支持，比如sdk、jdk等，所以在动态分析前先要进行一波基础配置。

0X01 基础环境配置

1、配置adb命令：

adb是android sdk里的一个工具，用这个工具可以直接操作管理android模拟器或者真实的andriod设备。 主要功能有: 1.运行设备的shell 2.管理模拟器或设备的端口映射 3.主机和设备之间上传/下载文件 4.将本地apk软件安装至模拟器或android设备 下载SDK Platform-Tools地址：https://pan.baidu.com/s/1sj4ZfTb?utm_source=androiddevtools&utm_medium=website

（如果你的主机已经有sdk就不需要下载，直接添加）。

将文件解压后将adb.exe所在的Platform-Tools目录绝对路径添加到path环境变量。 启动终端就能使用adb命令，输入adb就能查看版本与参数介绍。

2、配置设备：

准备一个android设备或者模拟器，用来调试apk，下面介绍是夜神模拟器的配置。 打开开发者模式(默认不开)，设置->关于手机。

点击版本号五下，手机将进入开发者模式，手机设置多出开发者选项一栏。

进入开发者选项，打开USB调试。

真实的android设备到这步就能结束，模拟器的话还要打开IP端口。 先启动夜神模拟器，然后运行cmd命令，cd到夜神安装目录，执行命令：nox_adb.exe connect 127.0.0.1:62001 打开端口。

adb connect 127.0.0.1:62001 主机就能连接到模拟器。

查看连接的设备。

adb shell 进入连接上的设备。

接下来就可以愉快的调试程序了。

0X02 动态分析

这里的动态分析主要使用IDA和adb命令配合Android模拟器来分析so

1.动态环境配置

将IDA安装目录E:\IDA 7.0\dbgsrv下 符合Android安装系统位数的android_server push到Android目录下(本系统是X86)

修改文件权限为777或者755，运行服务。 chmod 777 android_x86_server 修改文件权。

服务器(pc)转发端口。 adb forward tcp:23946 tcp:23946。

启动IDA，进行程序调试。 启动IDA的32bit程序，点击：Debugger-Run-RemoteArmLinux/Android debugger，打开调试程序的设置对话框： Application：对应调试程序所在的路径 Directory：对应调试程序所在的目录路径 HostName：输入localhost，Port：PC端口

2.加载程序调试

加载成功。

加载不成功情况： 1.配置主机和路径错误。 2.主机无法连接。 3.程序与IDA位数不对(如x86)。

3.IDA远程调试

在分析加壳程序的壳时，应以调试方式来启动调试程序(adb shell am start-D -n packagename/activityname) ida--->Debugger--->Attacth---->Remote GDB Debugger

查看到Android的进程。

双击要调试的进程，IDA将加载到so,IDA进行动态分析。

双击可以为相应的代码打上断点，F9重新开始调试，程序将停在断点处，就能开始调试so文件。

IDA动态调试的小技巧： ①调试快捷键： F2设置断点，F4运行到鼠标位置，F7单步步入，F8单步步过，F9运行程序。 F5/Tab 将相应的简单汇编代表粗略转换为C/C++代码。

0X03 小小总结

Android逆向之动态分析so篇就介绍到这里啦！下期我们将进入Android逆向之动态分析smail篇的学习。若在文章的学习过程中遇到问题，欢迎给斗哥留言。