吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 108580|回复: 102
收起左侧

[Android 原创] 吾爱破解安卓逆向入门教程(七)--- 了解JEB和IDA使用

    [复制链接]
qtfreet00 发表于 2015-9-21 10:40
本帖最后由 世事繁华皆成空 于 2015-9-21 10:46 编辑

距离上次的教程帖已经过去很久了,一直没心思码帖子,关键也不知道该写什么,这次给大家普及下jeb和IDA的初步使用教程,具体深入的还是得靠大家自己,所谓师傅领进门,修行靠自身,在下给各位师傅请安了。
本次课程样本:http://www.52pojie.cn/thread-313869-1-2.html


0x0 jeb是什么
JEB是Android应用静态分析的de facto standard,除去准确的反编译结果、高容错性之外,JEB提供的API也方便了我们编写插件对源文件进行处理,实施反混淆甚至一些更高级的应用分析来方便后续的人工分析.(摘自乌云)
jeb凭借其牛X的保护措施和高昂的售价,使得诸多普通逆向爱好者望而却步,当然ida也是,目前网络上仅流传着jeb 1.5和ida 6.6的破解版,虽是旧版,面对很多情况依然是绰绰有余


0x1 使用jeb
第一次使用jeb一般是需要配置一下java环境的
QQ截图20150921095651.png
如上图配置,JAVA_HOME根据自己的jre环境设定,之后就可以运行jeb_wincon.bat了,打开jeb后,将apk或者dex文件拖入到jeb窗体中,经过耐心的等待后,就可以看到jeb已经反编译完成了,针对一些加密的apk,apktool反编译不了的,往往jeb能够成功,但不代表所有都能成功,这也是jeb的牛逼之处,安卓加密商针对的更多的是apktool自身的漏洞,反编译完成后,我们就看到程序的smali代码了,

QQ截图20150921100125.png
可以点击string查看dex中的字符串,ctrl+f就可以进行搜索了
QQ截图20150921100301.png QQ截图20150921100417.png
搜索到需要的字符串后双击就可以来到smali代码处,如果看不懂smali,按下tab就可以看到java代码了,是不是很神奇?
QQ截图20150921100532.png
当我们来到一个java文件后,想快速定位到一个命令调用的方法时,可以直接在这条命令上双击即可
QQ截图20150921100815.png QQ截图20150921100821.png
还是很方便的吧,点击上方的后退按钮可以快速回到上一级,即返回这条命令的地方
QQ截图20150921100947.png

那jeb的使用呢,差不多就这些,其它的自己琢磨吧,切记jeb是无法修改代码的哦(小提示,在代码中右键点击comment可以快速添加备注,点击rename item可以修改函数名哦,在代码被混淆时,这个非常有用)
QQ截图20150921101628.png

0x2 ida是什么
交互式反汇编器专业版(Interactive Disassembler Professional),人们常称其为IDA Pro,或简称为IDA,是总部位于比利时列日市(Liège)的Hex-Rayd公司的一款产品。开发IDA的是一位编程天才,名叫Ilfak Guilfanov。
ida的强势之处在于其强大的静态分析能力,不管什么格式的文件,不管此文件是否能够正常打开,都不会影响它的静态分析,配合更加牛逼的f5插件(目前只有ida 6.5版本的插件),可以轻松的看到c的伪代码,对于看不懂汇编的人,这无疑很大程度上帮助他理解代码
PS:当然我们都是盗版用户拉,目前正版版本6.8
在安卓上面,我们使用ida主要是分析so,lua,dll此类文件,dex什么的交给android killer这类软件即可,本次主要讲了解静态分析,不涉及动态
样本依然是鬼哥的apk文件,我们提取出其中的so文件,用ida打开,默认选项ok等待其分析完成即可
QQ截图20150921102208.png
在exports选项卡中可以看到所有调用的函数,我们定位到需要分析的方法,首先我们需要知道怎么知道方法名,在编写jni的时候,每调用一个nativie方法,都会使用这类语句进行调用

public static native 类型 方法名(参数类型)

样本中如下图
QQ截图20150921102448.png

那我们可以在ida中快速搜索ggPrintHello即可,回到ida,alt+t可以进行搜索方法名(如果需要搜索字符串,只需要先shift+f12切换到string选项卡,再次alt+t即可),输入后回车就可以定位到该方法,双击进入后

映入我们眼帘的肯定就是汇编代码了
QQ截图20150921102808.png
那看不懂怎么办,只需要f5一下即可
QQ截图20150921104331.png

是不是相当于汇编来说直观多了,当然ida也支持重命名方法名和参数类型等等

不过ida对中文的支持很不好,除了添加备注外,其余情况下基本不能添加或者修改为中文,那ida分析so的时候也是只能看不能改,怎么才能改呢,这就要借助到16进制编辑器了,定位到我们需要修改的代码
QQ截图20150921103431.png
然后切换到HEX VIEW-A就可以看到16进制了,记下当前的地址,
QQ截图20150921103538.png
使用如010Eiditor此类软件打开,ctrl+G来到00000BBA地址,修改16进制后保存即可,具体的进制转换自己查资料吧


免费评分

参与人数 36威望 +1 吾爱币 +7 热心值 +36 收起 理由
fydxxztj + 1 + 1 谢谢@Thanks!
娶名字真难 + 1 + 1 谢谢@Thanks!
quan脑残 + 1 + 1 谢谢@Thanks!
zsyhn + 1 + 1 谢谢@Thanks!
clay- + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
iceplumblossom + 1 用心讨论,共获提升!
hehe408 + 1 + 1 谢谢@Thanks!
yibeizifd1 + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
siuhoapdou + 1 谢谢@Thanks!
woshidc523 + 1 热心回复!
___Mario + 1 谢谢@Thanks!
supperlitt + 1 我很赞同!
卷卷de小白 + 1 谢谢@Thanks!
butterfly.super + 1 谢谢@Thanks!
我爱逆向 + 1 谢谢@Thanks!
威少xwy + 1 我很赞同!
Heroday + 1 谢谢@Thanks!
土豆牛肉 + 1 谢谢@Thanks!
爱浩树 + 1 52有你更精彩 !!!!!!!!!!!!!.
sunfly + 1 谢谢@Thanks!
ぁмǐηɡ玥夜 + 1 我很赞同!
zhangthe9 + 1 谢谢@Thanks!
iamernie8199 + 1 我很赞同!
追风筝的骇纸 + 1 谢谢@Thanks!
单色 + 1 为何那么吊? 小白路过
Catshark + 1 我很赞同!
cr7890 + 1 谢谢@Thanks!
XhyEax + 1 我很赞同!
superu + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
Hmily + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
罒_罒 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
Godfather.Cr + 1 空空妞好厉害!
就爱玩玩 + 1 我很赞同!
悲伤的异灵魂 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
victory石头 + 1 谢谢@Thanks!
UUY + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

zzage 发表于 2015-9-21 18:02
最后那个修改16进制的步骤,IDA6.6本身就支持直接修改,点击你要修改那一行asm代码,然后菜单Edit->Patch program->Change bytes就可以修改,修改完Edit->Patch program->Apply patches to input file就可以保存了。{:1_903:},而且可以更方便的是,可以在IDA里面修改16进制,修改完可以直接F5,看修改后的代码逻辑。

点评

15个精华,你牛B。。。  发表于 2015-9-24 08:32

免费评分

参与人数 2吾爱币 +2 热心值 +2 收起 理由
zhaotianrun + 2 + 1 谢谢@Thanks!
boyving + 1 谢谢@Thanks!

查看全部评分

暮清 发表于 2016-9-26 18:08
mmzxc120 发表于 2015-9-23 12:25
为什么我打开JEB 是这样的,,,然后打开jeb_wincon.bat。也是出现cmd命令框, 一闪就没有了,打不开,

我看完去测试也是遇到你这样的问题。但我慢慢调试发现了问题,并解决了。我的问题是在使用的电脑是32位4G内存的电脑,bat文件中的%JAVA% -Xmx4096m -XX:-UseParallelGC -XX:MinHeapFreeRatio=15 -jar %DECOMPILER% %*,4096太大了。需要修改为1024m,另外如果是32位的还需要下载swt-win32-4.4.jar放在bin目录下。你可以jeb_wincon.bat文件中不同地方增加dos"等待输入的指令",这样就能在窗口关闭前停下来,然后你再看报的什么错。有需要帮助可以找我。
UUY 发表于 2015-9-21 10:43
本帖最后由 UUY 于 2015-9-21 19:15 编辑

支持大牛精品中的精品啊...
wakichie 发表于 2015-9-21 10:48
MT也不错啊
syrmb 发表于 2015-9-21 11:04
谢谢版主大神
就爱玩玩 发表于 2015-9-21 11:46
多谢楼主分享
头像被屏蔽
Da丨梦 发表于 2015-9-21 11:51
提示: 作者被禁止或删除 内容自动屏蔽
KGforyou 发表于 2015-9-21 12:00 来自手机
谢谢大神
2314902431 发表于 2015-9-21 12:10
ida都是大神用的东东,我一直没用过
头像被屏蔽
嘉文 发表于 2015-9-21 12:28
提示: 作者被禁止或删除 内容自动屏蔽
阿di达思 发表于 2015-9-21 12:33

前排膜拜牛大
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-23 16:19

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表