IDA静态分析与动态调式so层问题

vipahjk

用frIDA脚本hook到native函数在so层的基址偏移后，用ida打开这个so找到对应的地址，可以按p识别到具体的函数就是我要找的native函数在so层的实现（如图1），然后我想动态调试看看，在加载的so中，通过基址加偏移找到对应的地址后，无法用p识别，就算我按c强行转汇编，得到的也根本和静态分析中的不一样，请问这是什么原因造成的，有大佬帮忙看看么。

无闻无问

动态调试偏移+基址了吗？静态都能看到，一般动态应该不会有问题……

wasm2023

估计是还没加载这个so?

vipahjk

无闻无问 发表于 2024-11-24 11:06
动态调试偏移+基址了吗？静态都能看到，一般动态应该不会有问题……

肯定的，而且我还对比了两边的16进制，确实是一样的

vipahjk

wasm2023 发表于 2024-11-24 12:28
估计是还没加载这个so?

你是说java层还没load么，但我感觉就算是没load，静态分析都能得到函数，所以我感觉跟有没有load没什么太大关系。

vipahjk

无闻无问 发表于 2024-11-24 11:06
动态调试偏移+基址了吗？静态都能看到，一般动态应该不会有问题……

请问有什么手段可以干扰动态调试过程中，ida的代码识别，我还处于学习ida的阶段，不太明白ida是如何实现这些的

无闻无问

16进制都一样，静态能反编译伪代码，动态应该可以，可以尝试设置一下函数，先按c，再按p，或者直接Alt +p编程一下函数……

vipahjk

无闻无问 发表于 2024-11-24 13:09
16进制都一样，静态能反编译伪代码，动态应该可以，可以尝试设置一下函数，先按c，再按p，或者直接Alt +p编 ...

怪就怪在，我在动态调试这边按c得到的跟静态那边不一样，而且只能c这些，下面的根本没办法c，也不能p。
还有就是静态分析函数在0x7A670，动态调试应该是基址加上0x7A670吧？我不确定，但我是这么算的

vipahjk

图片在这里

vipahjk

无闻无问 发表于 2024-11-24 13:09
16进制都一样，静态能反编译伪代码，动态应该可以，可以尝试设置一下函数，先按c，再按p，或者直接Alt +p编 ...

9楼上了动调的图