在逆向时有时不可避免需要调试app,比如调试so。
一般调试so有两种方式:
方式1:app已经启动运行了,使用调试器比如IDA附加到app进程上调试进行调试。
方式2:以调试方式启动app, 被调试app启动时会弹出一个框,等待调试器来附加。
如果app有些功能是在app启动时完成的,那么我们需要选择方式2来调试,因为方式1,app已经启动运行了,相应的代码可能已经执行完了。
很久没有调试App,很多步骤都不记得了。为了复习下调试步骤,也希望能帮助到刚接触到无源码调试App的新同学。特意写下这边文章,记录下调试过程。
一、新建一个Android项目(注意是新的项目,不是新建一个Module),勾选Include C++ suppot。因为我打算调试下so
说明:
1 因为勾选了Include C++ support IDE会自动生成jni的代码。
2 模块的build.gradle部分参数如下:
这只是一个练习Demo,所以使用了-O0选项,禁止编译器优化C/C++代码,另外只生成32位arm汇编
3 对App进行了签名
对app进行签名,只是为了模拟正常的逆向app,因为逆向时的app肯定是签名过的
4 minifest中并没有debugable = true属性。添加这个只是为了证明。如果你的手机是debug版本的,所有的app都是可以调试的
只要手机是debug版本的,那么所有的app都是可以调试的。在windows下执行adb shell getprop | findstr debuggable,
看输出:[ro.debuggable]: [1] , 1 表示手机是可以调试的
二、编译得到签名后的没有debugable的app,截图如下:
三、安装app
app安装成功了
四、以调试方式启动app
1 执行 adb shell am start -D -n com.reverse.debug/com.reverse.debug.MainActivity
执行上述命令后,app启动,并弹框如下:
等待调试器来附加,当调试器附加上之后,这个框自动消失
2 此时在cmd中执行,monitor.bat脚本。安装了AndrodStudio都有这个脚本。执行这个脚本启动DDMS,并选中要调试的App。
选中后可以看到左边边有个虫子的ICON。右边显示8700端口。我们用这个端口来附加java调试器
注意:执行monitor.bat脚本前,前先关闭Android Studio。否则会有冲突。我也搞不懂为什么会这样
3 cmd中执行jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700
使用jdb调试器,附加到调试app上,执行这一步后,前面弹出的提示框就没有了。其实在第一步执行:adb shell am start -D -n com.reverse.debug/com.reverse.debug.MainActivity 程序是暂停在ActivityThread.java的如下代码处,等待调试器。当执行jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700后,调试器附加上了,waitForDebugger返回,程序可以继续执行。进入正常的app启动流程
总结:
通过这个小测试,我们可以看到,一个app,不管你是什么版本的,release/debug,不管你minifest是否有debugale属性。只要手机是debug版本的。那么这个app都可以被调试。要获得一个debug版本的手机,通常需要编译源码刷机。验证是否是debug版本的手机可以执行如下命令:
adb shell getprop | findstr debuggable。
另外执行jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700命令时正常的输出是:
如果提示如下东西:
java.net.ConnectException: Connection refused: connect
at java.net.DualStackPlainSocketImpl.connect0(Native Method)
at java.net.DualStackPlainSocketImpl.socketConnect(DualStackPlainSocketImpl.java:79)
at java.net.AbstractPlainSocketImpl.doConnect(AbstractPlainSocketImpl.java:350)
at java.net.AbstractPlainSocketImpl.connectToAddress(AbstractPlainSocketImpl.java:206)
at java.net.AbstractPlainSocketImpl.connect(AbstractPlainSocketImpl.java:188)
at java.net.PlainSocketImpl.connect(PlainSocketImpl.java:172)
at java.net.SocksSocketImpl.connect(SocksSocketImpl.java:392)
at java.net.Socket.connect(Socket.java:589)
at com.sun.tools.jdi.SocketTransportService.attach(SocketTransportService.java:222)
at com.sun.tools.jdi.GenericAttachingConnector.attach(GenericAttachingConnector.java:116)
at com.sun.tools.jdi.SocketAttachingConnector.attach(SocketAttachingConnector.java:90)
at com.sun.tools.example.debug.tty.VMConnection.attachTarget(VMConnection.java:519)
at com.sun.tools.example.debug.tty.VMConnection.open(VMConnection.java:328)
at com.sun.tools.example.debug.tty.Env.init(Env.java:63)
at com.sun.tools.example.debug.tty.TTY.main(TTY.java:1082)
致命错误:
无法附加到目标 VM。
请先关闭android studio,执行monitor.bat脚本,启动ddms。选中要调试的进程。再执行:jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700。网上部分文章漏了这一步,大家要注意下。
后记:
之前一直要用DDMS选中那个进程,然后才能jdb connect成功。最近在android官网看到一篇文章:
https://source.android.google.cn/devices/tech/debug/gdb。发现可以不执行monitor.bar脚本。无需启动DDMS。
新的已调试方式启动App方法如下:
linxu环境下执行:
1 adb shell am start -D -n com.reverse.debug/com.reverse.debug.MainActivity (以调试方式启动,App弹框等待调试器)
2 adb shell ps | grep debug 输出信息如下。
u0_a67 4920 639 1628988 29612 futex_wait_queue_me 0 S com.reverse.debug
3 adb forward tcp:12345 jdwp:4920 //4920是进程ID
4 jdb -attach localhost:12345
输出如下:
Set uncaught java.lang.Throwable
Set deferred uncaught java.lang.Throwable
Initializing jdb ...
>
执行完步骤四,java调试器附加上去了。App弹框消失
windows环境下类似(最后一步有点区别):
1 adb shell am start -D -n com.reverse.debug/com.reverse.debug.MainActivity
2 adb shell ps | findstr debug 输出如下
u0_a67 4965 639 1628988 29636 futex_wait_queue_me 0 S com.reverse.debug
3 adb forward tcp:12345 jdwp:4965
jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=12345
采用这种方式,不需要去启动DDMS,选中要调试的进程。感觉更简单些。而且不用关闭AndrodStudio。
网友评论