В теме обсуждаются вопросы взлома под андроид и соответствующие тулзы.
ТУТОРИАЛЫ:
--> Тутор от chelpa<--
--> От аффтора antilvl<--
--> дебаг .so<--

ТУЛЗЫ:
JEB
ApkAnalyser
--> Android Reverse Engineering (A.R.E.) <--
--> Apktool <--
--> Smali/baksmali <--
--> APKRecovery <--
--> Dex2Jar <--
--> APKInspector <--
--> Lucky Patcher 1.2.0 <--
--> Crack Assist 0.3 <--
--> ART <--
--> JD-GUI <--
--> DexInspector <--
--> Android unpacker <--
GikDbg


В аттаче fernflower, очень годный жава декомпилер.
0ece_06.12.2012_EXELAB.rU.tgz - fernflower.jar

-----
SaNX

| Сообщение посчитали полезным: 4kusNick, WmLiM, gsx3000, Maximus, CoolMax_86, Rustem, Oott, streit, t0ShA, BAHEK, sooqa, Ara, VodoleY, vden, Thegodofviruses, SDFnik, Soso, ff0h, RAMZEZzz, quency, XroM_N70, Alinator3500, Coderess, samtehnik, Isaev, dgyst, ALSSL, dosprog, omeh2003, d0wn, ELF_7719116, Bad_guy

r_e пишет:
Второй ребейз более долгий потому что ремапится уже специфичный модуль.
Это понятно, непонятно, почему так долго?
Если модуль будет более-менее нормального размера - он уже часами будет ремапится?

Странно что при этом меняется состав экспорта. Это вы по Ctrl+E смотрите или в окне экспорта модуля?По двойному клику на /data/app/ida.debug.hellojni2-2/lib/arm/libhello-jni.so в окне Module.
Новой окно "Module: libhello-jni.so" появляется в том же доке, что и окно "Module".
Приеду домой - проверю.

Надо бы для писюшных DLL-ей тоже проверить, можно ли добраться до результатов анализа?

| Сообщение посчитали полезным:

Apokrif
Некоторые защиты и модули по несколько раз могут ремап вызывать. Я успеваю поужинать пока грузится )))
По Ctrl+E тебе показывает точки входа модуля, который ты в статике грузил.
По Modules - то что ида смогла распарсить в экспорте на удаленной системе.
Отличия могут быть, но если их много, то вопрос а тот ли ты модуль вообще грузишь?
Попробуй по Ctrl+E перейти на какое-нибудь имя и посмотреть куда тебя отмапило.

-----
старый пень

| Сообщение посчитали полезным:

r_e пишет:
По Ctrl+E тебе показывает точки входа модуля, который ты в статике грузил.

Проверил.
По Сtrl-E открывается окно с 38 функциями
окно "Module: libhello-jni.so" – 44 (все те же и еще несколько)
при анализе было 69
По Сtrl-E одинаково при открытии libhello-jni.idb и после Attach process (как и должно быть)
Моей переименованной функции там нет (XXX_Java_ida_debug_hellojni2_MainActivity_stringFromJNI)
А есть её оригинальное имя.
И найти её XXX_Java_* тоже нельзя (очевидно)
Подскажите, что еще можно поменять при анализе, чтобы это было видно после Attach process?

| Сообщение посчитали полезным:

Apokrif пишет: А есть её оригинальное имя.
Пишу по памяти, могут быть ошибки.
В окнах модуля и экспорта должно быть оригинальное имя, которое публичный экспорт.
А то что ты переименовывал в базе ты, по идее, должен видеть уже при переходе на эту функцию.
Еще можешь попробовать Shift+F4 вроде (окно Names что ли) и там уже поискать твое назначенное имя.

Если я правильно понял то проблема в том что просле аттача ты не можешь найти свою функцию?
Можешь еще такой трюк попробовать. До аттача перейди на свою функцию и Alt+M, Enter - будет назначена метка с именем. После аттача нажми Ctrl+M и выбери эту метку чтоб быстро перейти на нее.
Хз то ли это что тебе нужно )))

-----
старый пень

| Сообщение посчитали полезным: Apokrif

Сейчас проверю...

| Сообщение посчитали полезным:

r_e пишет:
Можешь еще такой трюк попробовать.
Вообще мы писали, что после аттача ида не видит наш анализ функций и это доставляет неудобства при отладке. Ведь код во многих местах становится красным снова (это было убрано в процессе ручного анализа).
Кстати как поставить бряк на доступ на всю память либы, то есть как в оллудбг когда хотят поймать момент вызова в либу, но не знают конкретно на что бряк ставить. Вот хочу таким методом выловить функции в либе, которые динамически экспортируются.

Кстати они обязательно через registernatives() в JNI или может есть еще способы сделать, беглым просмотром по коду не нашел просто эту функцию.

| Сообщение посчитали полезным:

Посмотрел, что либа грузиться по
9B709000: loaded /data/app/ida.debug.hellojni2-2/lib/arm/libhello-jni.so
Сделал Rebase для проанализированной либы (типа думал сэкономить)
Моя функция сидит на 9BC39C68

Вот что получается после Attach process
1: Если либа НЕ загружена:
Rebasing program to 0xB6F82BA0... (15 сек)
Debugger: attached to process /system/bin/app_process32_original (pid=16487)
Загружаем либу...
Rebasing program to 0x9B709BA0... (5 мин)
9B709000: loaded /data/app/ida.debug.hellojni2-2/lib/arm/libhello-jni.so
Моя функция на 9BC39C68, установленные на ней бряки работают.
Зачем было делать 1-й Rebasing на 0xB6F82BA0 непонятно, но это привело к длинному 2-ому Rebasing

2: Если либа уже загружена:
Rebasing program to 0x9BBDFBA0...
9BBDF000: loaded /data/app/ida.debug.hellojni2-2/lib/arm/libhello-jni.so
70652000: loaded /data/dalvik-cache/arm/system@framework@boot.oat
B6F72000: loaded /system/bin/linker
Rebasing program to 0xB6F82BA0...
Debugger: attached to process /system/bin/app_process32_original (pid=16940)
Т.е. два Rebasing program поменялись местами!
Либа загрузилась на 9BBDF000
Функция из неё оказалась на 9BBDFC68
А моя проанализированная и переименованная функция оказалась на B6F82C68
Т.е. модули разъехались!
При этом в окне "Module: libhello-jni.so" осталось всего 2 функции!

В 1-ом варианте, Shift+F4 вроде (окно Names) есть все мои проанализированные и переименованные функции!
Огромное спасибо!

А вот что делать со 2-м вариантом, когда либа уже загружена, совсем непонятно...

До кучи, попробовал сделать disable aslr способом для 4.0.3 на 5.0
Не вышло - всё время грузит либу по разным адресам...

два apk и сорцы тут, должны пролежать 90 дней.

| Сообщение посчитали полезным:

А как так может быть, что в либе около 5000 скрытых функций имеется, но в ида после ручного анализа, когда вся полоска синяя, только 450 функций есть. Это самомодифицируемый код ?

| Сообщение посчитали полезным:

idb надо показывать, это не кружек поэтов, угадывать слова никто не умеет
откуда взялась цифра про 5тыс скрытых ? что значит скрытые ? где видно 450 не скрытых ? одни догадки

| Сообщение посчитали полезным:

mixer632 пишет:
А как так может быть, что в либе около 5000 скрытых функций имеется

r_e точно описал как проверить, подхватился ли и правильно ли за-Rebase-ился наш анализ или нет:
По шагам:
Открываем в IDA нашу проанализированную либу.
Делаем Attach process.
(Для примера, наша либа называется libhello-jni.so)
В окне Module делаем двойной клик на libhello-jni.so
Открывается "Module: libhello-jni.so"
В нём двойной клик по любой функции
Запоминаем адрес

Нажимаем Сtrl-E
Открывается "Names"
В нём двойной клик по ТОЙ ЖЕ функции
Если перешла на тот же адрес - наша проанализированная либа и загруженная из Attach process совпали, можно радоваться и дебажить.

Если нет - то
Почему могут не совпасть - я писал чуть выше.
Глюк это IDA или фига я не знаю.
Хорошо бы если кто-то проверил на 6.9

Еще один косвенный индикатор, если Rebase прошел слишком быстро - то точно не совпало.

| Сообщение посчитали полезным:

reversecode пишет:
idb надо показывать
Прикрепил. http://rgho.st/6NxhbwPMQ

Добавлено спустя 6 минут
reversecode пишет:
откуда взялась цифра про 5тыс скрытых ?
Из смали файла, в котором описаны прототипы нативных методов. Скрытые - то есть в экспорте отсутствуют до запуска. Вот этот смали http://rgho.st/8gMVBssSl в нем около 3500 фунок нативных, а в ида показывается только 523 после анализа.
А где сидят оставшиеся 3000 получается ?

| Сообщение посчитали полезным:

ну так а как теперь понять что там 5 тыс скрытых функций ?
позже отписал

Добавлено спустя 9 минут
mixer632 пишет:
в нем около 3500 фунок нативных, а в ида показывается только 523 после анализа.
это все не экспортируемые функции, к нейтиву от явы вообще отношения не имеют как я вижу,
либо у вас ида не правильно сошку распарсила, но экспорт там только одна функция JNI_OnLoad
mixer632 пишет:
А где сидят оставшиеся 3000 получается ?
получается что не 3000, а все 3500, потому что те 523 к ним отношения не имеют))

| Сообщение посчитали полезным:

reversecode пишет:
либо у вас ида не правильно сошку распарсила
Вот посмотрите, прикрепил либу. Я думаю jni_onload() где-то в своем коде их экспортирует видимо скрытно вызывая registernatives().
Там еще после загрузки либы защита вызывает эту функцию:

А после уже передает управление в пользовательский код, из которого уже запускаются остальные нативы, но если ту первую пропустить, то при вызове других будет ошибка, что не найдена реализация в logcat. То есть как я понял при загрузке registernatives() добалвяет ead() функцию, а она при вызове все те 3500.


Добавлено спустя 3 часа 24 минуты
Я нашел вот сам вызов Registernatives(), но не пойму куда адрес функции в его параметрах указывает.

По докам структура вида:

То есть 3 дворд там 4da21409 адрес функции, но этот адрес отсутствует в секции либы, он указывает в секцию debug357. Может я неправильно тут смотрю, вроде ведь должен указывать в либу этот адрес ?

2357_30.06.2016_EXELAB.rU.tgz - testdex.so

| Сообщение посчитали полезным:

Apokrif пишет:
Взял простейший код отсюда
http://www.hexblog.com/?p=809
вот засел тоже покурить эту траву.. есть просьба.. для особо одаренных.. можно скомпиленный ida.debug.hellojni выложить?
PS касательно ребейза.. у меня ида просы высыпается в креш. правда либа 17 метров..
PSS для себя заметки делаю. может комуто тоже сгодится
jmp -2
FE E7 ->jmp short -2
FE FF FF EA ->jmp long -2

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY пишет:
вот засел тоже покурить эту траву.. есть просьба.. для особо одаренных.. можно скомпиленный ida.debug.hellojni выложить
PS касательно ребейза.. у меня ида просы высыпается в креш. правда либа 17 метров..
Сейчас выложу пару.
В одном либа с debug info, в другом - без.
Оба с debug=true в AndroidManifest.xml
Это не C, а С++ (более реальный пример)
Либа грузиться НЕ при старте, а по кнопке, чтобы сравнить, что получается при attach с уже загруженной либой и без.
Все сорцы в комплекте.
Подойдёт?

Добавлено спустя 3 минуты
VodoleY пишет:
PS касательно ребейза.. у меня ида просы высыпается в креш. правда либа 17 метров..
По моему, что-то там не так с этим ребейзом… Не вашим, а вообще. Надо бы что-бы кто-то на более новой версии проверил.

| Сообщение посчитали полезным:

Прошу помощи в след. вопросах:

1. Какой выбрать и купить девайс для отладки в IDA apk на мобиле?
2. Не совсем понятно, что нужно сделать для отладки в IDA?

Про первый вопрос:

У меня есть apk внутри которого есть lib\armeabi\libc2ssmon.so . Открыв этот файл в Hiew вижу:


Что мне еще нужо посмотреть для выбора мобилы, чтобы быть уверенным в том, что apk запустится и позволит дебажить в IDA?

По второму вопросу читаю комментарий от SaNX

В его комментарии непонятны слова: "Заливаешь отладчик". Может быть под ними имеется ввиду установка Android SDK с установкой ADB или что?

P.S.: Сильно не пинать ;) В андроид-реверсе можно сказать новичок

-----
My love is very cool girl.

| Сообщение посчитали полезным:

theCollision по телефонам.. я хз.. ща дебажу на Gigabyte mike M3 и на LG L60i дешевые картонки..
почитай статьи.. которые я на этой и на предыдущих страничках в своих постах скидывал.. для начала. НО телефон должен быть рутован.. иначе ничего не выйдет

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

theCollision пишет:
2. Не совсем понятно, что нужно сделать для отладки в IDA?

Do once
----
From your PC run (from C:\Program Files (x86)\IDA 6.8\dbgsrv) From Android shell run
To start debugging, run from Android shell: You’ll see:
IDA Android 32-bit remote debug server(ST) v1.17. Hex-Rays (c) 2004-2013
Listening on port #23946...

From IDA do:
To connect via WiFi/Network

Debugger | Attach | Remote ARM Linux/Android debugger
Address: 192.168.1.100 (your Android IP)
Port: 23946

To connect via USB Debugger | Attach | Remote ARM Linux/Android debugger
Address: localhost
Port: 23946

И тут тоже можно посмотреть...

| Сообщение посчитали полезным:

Apokrif пишет:
Address: localhost
Port: 23946
у меня локал хость не конектится.. ток на 127.0.0.1

+ надо еще во 2ой консоли прокинуть порты (специально пишу, тоже затормозил изначально. в одной консоли запускаем сервер, во 2ой добавляем форвард)
adb forward tcp:23946 tcp:23946

вобщем сдублирую. мне помогло 3 мануала
https://habrahabr.ru/post/151192/
https://habrahabr.ru/post/232531/
http://forum.xda-developers.com/showthread.php?t=2050393
и еще.. на разных девайсах разные разрешения стоят.. не во всех папках можно права менят.. пол дня про..бся.. в конце концов заливал все в /data/local/tmp/
ЗЫ. ща наверно буду эксперементировать еще с gdbserver чтото андроидный меня вываливает постоянно.. типа..


хотя so по идее зациклина.. хз .. по таймауту его убивает чтоли

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY пишет:
у меня локал хость не конектится.. ток на 127.0.0.1

А он у вас случайно не на IP6 резолвиться?

По умолчанию, adbd запускается только при подключении USB и НЕ слушает network.
Когда слушает, его видно:
Для этого adbd можно стартовать вручную или взять из GP любой adb wireless app

надо еще во 2ой консоли прокинуть порты (специально пишу, тоже затормозил изначально. в одной консоли запускаем сервер, во 2ой добавляем форвард)
adb forward tcp:23946 tcp:23946

adb forward можно сделать и на писюке.
А android_server лучше запускать в background: Т.е. делайте как вам удобнее!

| Сообщение посчитали полезным:

VodoleY Apokrif, у вас браки в android_server работают? У меня после первого бряка всё слетает, приходится через gdb отлаживать

| Сообщение посчитали полезным:

vovanre пишет:
у вас браки в android_server работают
У меня работают на 6.8 и на 6.6 тоже рабоатали.

У меня после первого бряка всё слетает, приходится через gdb отлаживать
А после первого бряка у вас никаких Rebasing не происходит случайно?

| Сообщение посчитали полезным:

А после первого бряка у вас никаких Rebasing не происходит случайно?
Я руками его делаю до аттача, в других случаях ида не верно находит либу в памяти.

У меня работают на 6.8 и на 6.6 тоже работали.
Через usb отладка или черeз wi-fi?

| Сообщение посчитали полезным:

vovanre пишет:
Я руками его делаю до аттача, в других случаях ида не верно находит либу в памяти.

Тогда у нас одинаково работает, у вас получатся вариант №2
А если вы используете gdb, то №1, и всё работает.

Можно использовать gdb и android_server одновременно как описано тут.

Весь смысл балагана, сделать attach process ДО загрузки либы, которую вы дебажите.
Уверен, что подтолкнуть процесс можно с помощью IDA + gdb, вместо

Через usb отладка или черeз wi-fi?
Д.б. без разницы.
Но честно говоря, я использовал только wi-fi, для usb все эти телодвижения я не делал...

VodoleY пишет:

Code:

1. 400F8B18: got SIGXCPU signal (CPU limit exceeded) (exc.code 18, tid 18005)
2. 400F8B18: got SIGPWR signal (Power failure restart) (exc.code 1e, tid 17974)

хотя so по идее зациклина.. хз .. по таймауту его убивает чтоли
А не может прибиваться именно из-за "CPU limit exceeded"?

| Сообщение посчитали полезным:

Apokrif пишет:
А не может прибиваться именно из-за "CPU limit exceeded"?
а бог его знает. суть в том.. что после аттача я вываливаюсь в системную либу.. (хотя по идее должен падать в зациклинную so) зацикл работает нормально.. ибо прога подвисает.. ну и после попытки продолжить дебаг.. меня терминейтит.. ща буду пробовать gdb и если и тут будут косяки буду gikdbg.art пробовать
ЗЫ к слову.. такие же (подобные) вываливания иды(по сигналам) у меня были когда я дебажил по сетке линуксовые приложения. я хз с чем это связано

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

vovanre
VodoleY,
Если есть идеи, аpk с native code запилить для проверки чего-нибудь - пишите.
А то у меня вообще идей никаких нет...

А кстати, никому еще не попадались аpk-шки со 100% native code ?
С ними по идее, вообще никак не справиться (с предварительным анализом), т.к. весь native code будет уже загружен при старте?

Добавлено спустя 42 минуты
Для проверки собрал native-activity которая идёт в примерах NDK, classes.dex в apk нет
Выложил тут.

| Сообщение посчитали полезным:

Apokrif ну вобщем.. чем я больше смотрю на этот цирк.. тем больше у меня складывается уверенность.. что надо писать мануалы на отладку в
1. adnroid_server (IDA)
2. gdbserver (gdb.arm gdb.win gdb.ida)
3. gikdbg.art
ибо на разных девайсах с разным софтом, с разными прошивками.. цирк разный

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY пишет:
чем я больше смотрю на этот цирк.. тем больше у меня складывается уверенность.. что надо писать мануалы на отладку

Начните потихоньку, я постараюсь присоедениться.
Для унификации девайсов может на Genimotion x86 делать, чтобы у всех одинаково было?
А потом смотреть, что на конкретных устройствах получается.

| Сообщение посчитали полезным:

Apokrif пишет:
Для унификации девайсов может на Genimotion x86 делать, чтобы у всех одинаково было?
А как там заставить андроид-сервер работать от иды я так и не понял. Тот патч арм не помогает. Хотел попробовать отлаживать на genimotion либу x86 архитектуры, но серв не удается запустить там.

Добавлено спустя 12 минут
Ида еще любит отваливаться, когда долго трассирую нативный код, а по выходу из него в смали вываливается, выдавая, что таймаут истек. Если быстро пройти, то все норм. Не знаете как это лечится, а то нудный баг такой.

| Сообщение посчитали полезным:

mixer632 пишет:
Хотел попробовать отлаживать на genimotion либу x86 архитектуры, но серв не удается запустить там.
А что, разве можно запустить android_server ARM и отлаживать либу x86?

И точно, это я размечтался. На 6.8 android_server только ARM, x86 и ARM64 нэту...
На 6.6 проверяли, в SDK не хватало файлов, чтобы перекомпилить или собрать под другую архитектуру. Скорее всего и на 6.8 тоже самое, если никто баг не зарепортил...

mixer632 пишет:
Ида еще любит отваливаться, когда долго трассирую нативный код, а по выходу из него в смали вываливается, выдавая, что таймаут истек. Если быстро пройти, то все норм. Не знаете как это лечится, а то нудный баг такой.
Да видел… Ужас как неудобно, даже подумать не дает, а что делать не знаю...

| Сообщение посчитали полезным: