安卓APP動態調試-IDA實用攻略

標籤：pac   navig   令行   keyword   檔案的   crackme   windows   download   轉寄   

隨著智能手機的普及，移動APP已經貫穿到人們生活的各個領域。越來越多的人甚至已經對這些APP應用產生了依賴，包括手機QQ、遊戲、導航地圖、微博、、手機支付等等，尤其2015年春節期間各大廠商推出的搶紅包活動，一時讓移動支付應用變得異常火熱。

然後Mobile Security問題接憧而至，主要分為移動斷網路安全和用戶端應用安全。目前移動APP軟體保護方面還處於初級階段，許多廠商對APP安全認識不夠深入，產品未經過加密處理，使得逆向分析者能夠通過逆向分析、動態調試等技術來破解APP，這樣APP原本需要帳號密碼的功能可以被破解者順利繞過，使得廠商利益嚴重受損。

對未加殼的APP進行動態調試，通常可以非常順利且快速地繞過一些登陸限制或功能限制。本文將以安卓APP為例，來詳細介紹一下移動APP動態調試技術。

0x01 調試環境搭建

1.1 安裝JDK

JAVA環境的搭建請自行尋找資料，這裡不做詳述。

1.2 安裝Android SDK

：http://developer.android.com/sdk/index.html。

下載完安裝包後解壓到任意一目錄，然後點擊運行SDK Manager.exe，然後選擇你需要的版本進行安裝，

1.3 安裝Eclipse整合式開發環境

：http://www.eclipse.org/downloads。選擇Eclipse for Mobile Developers，解壓到任意目錄即可。

1.4 建立Android Virtual Device

動態調試可以用真實的手機來做調試環境，也可以用虛擬機器來做調試環境，本文採用虛擬機器環境。因此建立虛擬機器步驟如下：

1開啟Eclipse –>windows->Android Virtual Device

2點擊Create，然後選擇各個參數

這裡Target 就是前面步驟中安裝的SDK 選擇任意你覺得喜歡的版本就可以。點擊OK 就建立完畢。

1.5 安裝 APK改之理

這個是一個很好用的輔助調試的軟體，請自行搜尋下載。

1.6 安裝 IDA6.6

IDA6.6開始支援安卓APP指令的調試，現該版本已經提供免費下載安裝，請自行搜搜。

0x02 Dalvik指令動態調試2.1 準備工作

安卓APP應用程式尾碼為apk，實際上是一個壓縮包，我們把它改尾碼為rar開啟

其中classes.dex是應用的主要執行程式，包含著所有Dalvik指令。我們用APK改之理開啟apk，軟體會自動對其進行反編譯。反編譯後會有很多smail檔案，這些檔案儲存的就是APP的Dalvik指令。

在APK改之理裡雙擊開啟AndroidManifest.xml，為了讓APP可調試，需要在application 標籤裡添加一句android:debuggable="true"

然後點擊儲存按鈕，然後編譯產生新的apk檔案。接著開啟Eclipse –>windows->Android Virtual Device，選擇剛才建立的虛擬機器，然後點擊start，虛擬機器便開始運行。偶爾如果Eclipse啟動失敗，報錯，可以同目錄下修改設定檔：

把配置參數原本為512的改為256 原本為1024的改為512，然後再嘗試啟動。

在SDK安裝目錄有個命令列下的調試工具adb shell，本機所在目錄為E:\adt-bundle-windows-x86-20140702\sdk\platform-tools，把adb.exe註冊到系統內容變數中，開啟dos命令列視窗執行adb shell 就可以進入APP命令列調試環境，或者切換到adb所在目錄來執行adb shell。

這裡先不進入adb shell，在DOS命令列下執行命令：adb install d:\1.apk 來安裝我們剛才重新編譯好的APK檔案。安裝完畢會有成功提示。

2.2 利用IDA動態調試

將APP包裡的classes.dex解壓到任意一目錄，然後拖進IDA。等待IDA載入分析完畢，點擊Debugger->Debugger Options

按圖所示勾選在進程入口掛起，然後點擊Set specific options 填入APP包名稱和入口activity

其中包的名稱和入口activity 都可以通過APK改之理裡的AndroidManifest.xml 檔案擷取：

123

<manifest xmlns:android="http://schemas.android.com/apk/res/android" package="com.example.simpleencryption">    <application android:allowBackup="true" android:debuggable="true" android:icon="@drawable/creakme_bg2" android:label="@string/app_name" android:theme="@style/AppTheme">        <activity android:label="@string/app_name" android:name=".MainActivity">

然後在IDA點擊Debugger->Process Options

其他預設不變，連接埠這裡改為8700。這裡預設連接埠是23946，我在這裡困擾了很久，就是因為這個連接埠沒有改為8700所致。然後我們看看這個8700連接埠是怎麼來的。在Android SDK裡提供了一款工具DDMS，用來監視APP的運行狀態和結果。在SDK的TOOLS目錄有個DDMS.BAT的腳步，運行後就會啟動DDMS。由於我的本機安裝了SDK的ADT外掛程式，DDMS整合到了Eclips中，開啟Eclips->Open perspective->ddms就啟動了DDMS。

：

在DDMS選中某個進程後面就會注釋出它的調試連接埠,本機這裡是8700。

到此所有的工作就準備就緒，然後就可以下斷點來調試該APP了。我們在APK改之理中在com目錄下查看smali檔案 發現MainActivity.smali裡有一個感興趣的函數getPwdFromPic()，那麼我們就對它下斷以跟蹤APP的運行。

在IDA裡搜尋字串getPwdFromPic，發現onClick有調用該函數

我們在onClick 函數開始位置按F2下斷

然後點擊中綠色三角形按鈕啟動調試

調試過程中有一個問題出現了很多次，浪費了我大量的時間，就在寫文章的時候，操作時還是遇到了這樣的問題。就是點擊啟動後IDA提示can’t bind socket，琢磨了很久終於找到原因了，當開啟過一次DDMS後 每次啟動Eclips都會啟動DDMS 而8700連接埠正是被這個DDMS給佔用了，然後每次都會啟動失敗，解決辦法就是 虛擬機器運行起來後關閉掉Eclips，這時一切就正常了！

案例中是一個APP crackme 提示輸入密碼才能進入正確介面。這個時候我們輸入123，點擊登陸，IDA中斷在了我們設定斷點的地方，這時選中ida->debugger->use source level debugger，然後點擊ida->debugger->debugger windows->locals開啟本地變數視窗，

然後按F7或F8單步跟蹤程式流程，同時可以觀察到變數值的變化，也可以在IDA右鍵選擇圖形視圖，可以看到整個APP執行的流程圖:

如所示 變數視窗中我們輸入了123 被轉化成的密碼是麼廣亡，pw變數也顯示出了正確的密碼，其實這個時候已經很容易判斷出正確密碼了。

0x03 Andoid原生動態連結程式庫動態調試

通常為了加密保護等措施，有時dex執行過程中會調用動態連結程式庫檔案，該檔案以so為尾碼，存在於APP檔案包裡。

這裡我們以動態附加的方式來調試原生庫。

3.1 準備工作

1、將IDA->dbgsrv目錄下的android_server拷貝到虛擬機器裡，並賦予可執行許可權

DOS命令分別為：

adb shell pull d:\ android_server /data/data/svadb shell chmod 755 /data/data/sv

2、啟動調試伺服器android_server

命令：adb shell /data/data/sv

伺服器預設監聽23946連接埠。

3、重新開啟DOS視窗進行連接埠轉寄，命令：

adb forward tcp:23946 tcp:23946 

3.2 利用IDA進行動態調試

1、虛擬機器裡啟動要調試的APP 2、啟動IDA，開啟debugger->attach->remote Armlinux/andoid debugger

連接埠改為23946 其他保持不變，點擊OK

如，選中要調試的APP 的資料包名，然後點擊OK。

正常情況下，IDA會把APP進程掛起。

3、由於當前程式不是在動態連結程式庫領空，這時我們要重新開啟一個IDA，用它開啟需要調試的so檔案，找到需要下斷的位置的檔案位移，並做記錄，然後關閉後面開啟的這個IDA。

4、在原IDA介面按下ctrl+s鍵，找到並找到需要調試的so，同時記錄該檔案的載入基址。然後點擊OK 或者cancel按鈕關閉對話方塊。

5、按下快速鍵G 輸入基址+檔案位移所得地址，點擊OK 就跳轉到SO檔案需要下斷的地方，這時按下F2鍵設定斷點。當APP執行到此處時便可以斷下來。

3.3 在反調試函數運行前進行動態調試

程式載入so的時候，會執行JNI_OnLoad函數，做一系列的準備工作。通常反調試函數也會放到JNI_OnLoad函數裡。進行4.2中第2步時也許會遇到如下情況：

這時APP檢測到了調試器，會自動結束，那麼這時調試策略需要有所改變。

接著4.1第3步後，在DOS命令列執行命令：

adb shell am start -D -n com.yaotong.crackme/com.yaotong.crackme.MainActivity    

來以偵錯模式啟動APP

com.yaotong.crackme是APP包名稱，com.yaotong.crackme.MainActivity是執行入口 這些可以用APK改之理查看。

這時由於APP還未運行，那麼反調試函數也起不了作用，按照4.2中第2步把APP掛起。這時IDA會中斷在某個位置

然後點擊debugger->debugger opions設定如下：

點擊OK 後按F9運行APP，然後再DOS命令下執行命令：

jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700

這時APP會斷下來，然後按照4.2中的3、4、5補找到JNI_OnLoad函數的地址並下斷，然後按F9 會中斷下來。然後便可以繼續動態跟蹤調試分析。

0x04 主要參考資料

1、《Andoroid 軟體安全與逆向分析》

2、看雪論壇安卓安全版

3、吾愛破解論壇安卓版

安卓APP動態調試-IDA實用攻略