Xhy's Blog

Reverse and Think

0%

发表于

概述

如果想要在so加载时就下断点的话,需要以调试模式运行,并使用ddms进行jdb的连接。

准备

一部打开了调试开关(ro.debuggable=1)的手机或可调试的apk, IDA及android_server, 已启动的ddms(启动AndroidSDK\tools\monitor.bat

具体步骤

1. 开启端口转发并启动android_server

1
2
adb forward tcp:12345 tcp:12345
adb shell su -c "/data/as"

这里使用的是修改过的android_server,默认端口为12345

2. 以调试模式启动app

1
adb shell am start -D -n xyz.sysorem.cokey/.CokeyActivity

这时手机会显示Waiting For Debugger

3. 使用IDA附加及下断点

点击确定前先修改Debug options,把Event下前三个Suspend都勾选上,然后连接。
选定要调试的app进程后,在模块列表中找到libart.so,并在目标函数位置下断点
然后点击运行

4. 使用jdb附加,使程序继续运行

1
jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700

此处的8700即ddms中显示的对应端口
正常情况下就会在libc.so处暂停了

5. dump

在OpenMemory断下时,按shift+F2,运行dump脚本

1
2
3
4
5
6
7
static main(void){
    auto fp, dex_addr, end_addr;
    fp = fopen("D:\\dump.dex", "wb");
    end_addr = r0 + r1;
    for ( dex_addr = r0; dex_addr < end_addr; dex_addr ++ )
        fputc(Byte(dex_addr), fp);
}

参考

安卓 smali启动就附加调试 的正确步骤

发表于

概述

有的反调试会检测23946端口是否占用,使用其他端口即可绕过此反调试。
可以使用./android_server -p12345指定端口,也可以使用IDA逆向,修改默认端口。

测试版本

IDA 7.0

patch

使用IDA打开android_server,搜索字符串Listening on,定位到引用位置。
按下F5反编译,重命名端口号变量。按下x,向上搜索找到赋值位置(可能有多处),patch即可。
附上偏移值:

1
2
0xAFE0 LDR     R2, =23946
0xB220 LDR     R1, =23946

参考

浅谈android反调试之 转发端口

发表于

概述

修改安卓内核源码,绕过对/proc/$pid/stateStateTracerPid字段,以及/proc/$pid/wchan的反调试检测

目标文件

打开内核源码目录,/fs/proc下的base.carray.c

修改点

base.c

proc_pid_wchan函数

最后一个else分支改成

1
2
3
4
5
6
else
    {   //修改部分
        if(strstr(symname,"trace"))
            return sprintf(buffer, "%s", "sys_epoll_wait");
        return sprintf(buffer, "%s", symname);
    }

因为/proc/pid/wchan 和 /proc/pid/task/pid/wchan在调试状态下,里面内容为ptrace_stop, 非调试的状态下为ep_poll

array.c

1. task_state_array字符数组

将4和8对应的字符("T (stopped)""t (tracing stop)"
都改成"S (sleeping)"

2. task_state函数

与前文(逆向修改安卓内核 x64 过TracerPID反调试)目的一致,置TracerPid为0
将参数tpid改为0即可

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
seq_printf(m,
		"State:\t%s\n"
		"Tgid:\t%d\n"
		"Pid:\t%d\n"
		"PPid:\t%d\n"
		"TracerPid:\t%d\n"
		"Uid:\t%d\t%d\t%d\t%d\n"
		"Gid:\t%d\t%d\t%d\t%d\n",
		get_task_state(p),
		task_tgid_nr_ns(p, ns),
		pid_nr_ns(pid, ns),
		//修改部分
		ppid, /*tpid*/0,
		from_kuid_munged(user_ns, cred->uid),
		from_kuid_munged(user_ns, cred->euid),
		from_kuid_munged(user_ns, cred->suid),
		from_kuid_munged(user_ns, cred->fsuid),
		from_kgid_munged(user_ns, cred->gid),
		from_kgid_munged(user_ns, cred->egid),
		from_kgid_munged(user_ns, cred->sgid),
		from_kgid_munged(user_ns, cred->fsgid));

效果

使用调试器附加后,cd到/proc/$pid/,执行以下命令:
head -8 status
cat wchan

参考

Android反调试——从源码入手

发表于

建议在git bash下操作

由于解压kernel.gz时使用的不是命令行,导致没有看到输出信息gzip trailing garbage ignored,进而没有对这些数据进行处理,浪费了很多时间。

概述

直接修改内核,降维打击绕过反调试。
如果有内核源码以及环境,当然可以通过直接修改源码的方式生成boot.img
在无内核源码(或者还没配置安卓源码编译环境)的情况下则只能通过逆向来修改内核。

阅读全文 »

发表于

步骤

src/main目录下新建jniLibs文件夹 ,添加cpu架构文件夹,如armeabi-v7a,把so文件复制进去即可。
编译时会自动打包。

配置build.gradleandroid.defaultConfig中的ndk.abiFilters

1
2
3
4
5
6
android {
    defaultConfig {
        ndk {
            abiFilters  'armeabi-v7a'
        }
    }

参考

Android studio添加第三方库和so

发表于

Reverse

Very easy

得到一个pyc文件,在线反编译得到python源码。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
 import base64
correct = 'VlxRV2uAiXOPeSWPhiOCaY91JGOJj4Qgj4JVhlVigyNt'
def encode(message):
    s = ''
    for i in message:
        x = ord(i) ^ 32
        print ord(i)
        x = x + 16
        s += chr(x)
    return base64.b64encode(s)


flag = ''
decode()
print 'Input flag:'
flag = raw_input()
if encode(flag) == correct:
    print 'correct'
else:
    print 'wrong'

逻辑是将输入的字符串逐位与32异或,再加十六,转回ascii码。

阅读全文 »

发表于

概述

在模板类中使用输出流重载发现报错,g++提示

warning: friend declaration ‘std::ostream& operator<<(std::ostream&, const A&)’ declares a non-template function
note: (if this is not what you intended, make sure the function template has already been declared and add <> after the function name here)
增加<>后依旧报错,遂百度之,解决。

原因

定义的友元函数还是一个模版,要实例化为参数变元后才能使用。也就是说,即使上面的友元看起来像函数定义,但是若没有经过参数化,编译器就不会生成该函数的代码
关于操作符的友元模版函数重载
个人理解是由于友元函数还没有给出声明(或者说是定义),编译器识别不出来。所以可以在类之前预先声明,而又因为该函数使用了类名,所以类名也要预先声明。

解决方法

1.在类内部加上友元函数体(不推荐)

2.在类的定义之前对类和友元函数进行预声明,并在内部加上<>

即在类定义前加上如下代码:

1
2
template <typename T> class A;
template <typename T> ostream &operator<< (ostream &out, const A<T> &a);

在类定义中给输出流重载函数加上<>:

1
2
public:
    friend ostream &operator<< <>(ostream &, const A<T> &);

注意:重载函数定义时不需要加上<>

与其他友元函数定义类似:

1
2
3
4
5
6
7
8
9
10
template <typename T>
ostream &operator<< (ostream &out, const A<T> &a)
{
	for (int i = 0; i < a.length; i++)
	{
		out << a[i] << " ";
	}
	return out;
}

3.在类中再使用一次模板(自用)

参考关于操作符的友元模版函数重载
直接修改类定义中的输出流重载函数为:

1
2
3
public:
    template <typename T1>
    friend ostream &operator<<(ostream &, const A<T1> &);

重载函数定义不需要修改为T1(当然改也行)

参考

C++ 模板类友元之输出流操作符重载
关于操作符的友元模版函数重载

发表于

获取指针

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
class A
{
public:
	static void staticmember() { cout << "static" << endl; }	 //static member
	void nonstatic() { cout << "nonstatic" << endl; }			 //nonstatic member
	virtual void virtualmember() { cout << "virtual" << endl; }; //virtual member
};
int main()
{
	A a;
	//static成员函数,取得的是该函数在内存中的实际地址,而且因为static成员是全局的,所以不能用A::限定符
	void (*ptrstatic)() = &A::staticmember;
	//nonstatic成员函数 取得的是该函数在内存中的实际地址
	void (A::*ptrnonstatic)() = &A::nonstatic;
	//虚函数取得的是虚函数表中的偏移值,这样可以保证能过指针调用时同样的多态效果
	void (A::*ptrvirtual)() = &A::virtualmember;
	//函数指针的使用方式
	ptrstatic();
	(a.*ptrnonstatic)();
	(a.*ptrvirtual)();
}

在map中使用指针

直接使用对应类型也是可以的,比如:

1
map<string, void (A::*)()> zeroParmsFuns;

不过为了方便起见,还是自定义类型吧

1
2
typedef void (A::*func)();
map<string, func> zeroParmsFuns;

使用迭代器来遍历map,funcName是函数名,对应map的key

1
2
3
4
5
map<string, func>::iterator iter = zeroParmsFuns.find(funcName);
       if (iter != zeroParmsFuns.end())
       {
           (this->*(iter->second))();
       }

参考

C++中怎么获取类的成员函数的函数指针?
C++ 类内函数指针的使用的使用

发表于

概述

中文字符串在编辑界面正常显示,编译生成的exe中文乱码。源文件编码为UTF-8,设置输出的可执行文件编码为GB2312后正常显示。
解决方案:添加编译参数-fexec-charset=GB2312

修改方法

1. tasks.json中直接使用g++的情况

具体方法:
在tasks[args]中添加"-fexec-charset=GB2312"

1. tasks.json中使用make的情况

在makefile中添加-fexec-charset=GB2312
比如上一篇博文中的makefile,则在CCOBJFLAG后添加该参数,变为

1
CCOBJFLAG := $(CCFLAG) -c -fexec-charset=GB2312