最进届面咋wwW678kz不管了，包含结目的678kzCoM所有页面_parametexbxb_新浪博客
最进届面咋wwW678kz不管了，包含结目的678kzCoM所有页面
“大多数人都想要改造這个世界，但却很少有人想改造自己，为什么呢？因为幻想去改变世界，比真实地改变自己，要容易得多，要让人激动得多，但却毫无用处。恒佳肯定有很多可以改进的问题，但这些问题，需要大家在经过兢兢业业的工作后，一点点地去发现它们，然后经过认真思考，再提出改进意见。我不希望有人下车伊始，就哇哩哇啦地发表意见，就既是对公司不负责任，也是对自己不负责任。希望大家在提出问题之前，一定要想想提问题的目的，而在回答问题之前，一定要先想一想，不要告诉别人无用的答案。
　　“恒佳既然不是一个封闭的组织，也希望每一个员工不是封闭的个人。在这里，我还想谈谈恒佳的批评与自我批评文化。应该说，这种相互的批评是很深刻的，而不是停留在表面上的。我们在恒佳，需要的是实事求是的人，而不仅仅是谦虚的人。人大多把谦虚想错了，他们常常在口头上贬低自己，但实际上却以此来维护脆弱的自我，把自己封闭起来，这不是谦虚，而只是一种虚伪。
　　“真正的谦虚是眼里只有事情，只按照规律办事，而没有想到自己的毁誉。它不是把自己说得很糟，而是不去想自己过于敏感的心理感受。”
　　为了让气氛更轻松一点，范胜轩特别在讲话中安排了一个故事：
　　美国一所中学的门口，有一匹剥了皮的马的雕象，它告诉人们这样一个故事：一匹马嫌它的第一位主人—磨坊老板给的活多，就乞求上帝把它换到农夫家；然后又嫌农夫给的饲料少，最后到了皮匠家，不干活，饲料又多，好不惬意；然而没过几天，它的皮就被剥下来做了皮料。
　　“虽然各位在大学里被称为天之骄子，但在实际生活中，你们并没有太多的选择，如果你们对工作挑三拣四的话，最后就可能象那匹马一样，成为你们大学班级里的失败标本。等到往昔的校友们聚会时，你只能躲在一边，品味因为自己不努力而酿成的苦酒。
　　“永远不要幻想跌倒后还能爬起来，要坚信每一次都是最后一次！
　　“当然，如果你真的跌倒了，你得好好吸引教训，看看到底是什么，让你在前进的道路上摔了筋斗，以后再小心在意。我希望大家切记：看得见的力量比看不见的力量有用得多，如果你有能力，就得通过工作成果表现出来，而且得快。
　　接下来，范胜轩又谈到了恒佳的培训：
　　“我们这些培训，可能比各位在大学中所受的训练要更加严格一些，也许有些人会问：有必要这样吗？我在这里说明一下，恒佳能够有今天的发展，就是我们基于一些共同的理念，认认真真地去做了一些事情。这些理念构筑成恒佳今天的企业文化，而这种培训是从恒佳文化生长出来的一个流程。如果大家今天到这里来，是因为认可恒佳的成功，是想和恒佳一起创造更大的成功，那么也请大家毫无保留地认真参加这些培训。
　　“所以大家如果在今后的培训或实际工作中，有什么心理不适的话，请多想想我今天说的话。谢谢大家！”
　　严格的军训开始了，和学校的军训相比，这些新来的员工们终于明白了为何恒佳是“狼”文化了。据说曾国藩有句名言：吃得苦，耐得烦，霸得蛮，最后他统领的湘军就称雄，那也是一种“狼性”。恒佳并不需要员工做太多的体力活，但却需要他们作出极大的心智努力，这集中表现在“耐得烦”三个字上。
　　最典型的方法就是在军训中的整理内务，如何把被子叠得有棱有角，或在正步走时表现得一丝不苟。
　　这种训练要求他们学会把事情一次做好，否则就不得不把它们一做再做，直到做好为止。
　　但并不是所有的不耐烦的人，都会得到不佳的评价，如果一个人被认为有较强的创造性，那么他在耐心、适应性方面的不足，就会得到宽容。
　　因为创造性是一种最难得的素质，在长期的应试教育中，绝大多数的创造性，都被老师和父母“好心”地、毫不留情地扼杀了。
　　每一个人在恒佳都会有一份完备的档案，你在每一个岗位的业绩，在每一件重大事情上的表现，你在每个时期的考核，都会记入档案，以供后来的用人者参考。
　　“哇噻，这不和以前单位的人事档案一样啊，乖乖，可怕。”王强吐了吐舌头，张欣怡朝他瞪了一眼，他不作声了。
　　原来，恒佳的培训项目中曾经有一项：城市求生训练。即由一个老师带领一个十个学员的，投放到一个完全陌生的城市，每个学员只带一个手机和十元钱，而手机只能拔通导师的手机号码，要让这些新人在举目无亲的城市生活三天。这当然是一个比较严酷的考验，需要学员有综合的社会生存能力，但由于这种训练的风险不易控制，可能会导致一些麻烦的法律问题，因此在实施了几期后，就停止了。
　　　　为了学会快速适应环境，培训科目中有当众演讲和当众表演，尤其是当众表演，这一项训练是如此的重要，因此占用了大量的培训时间。
　　在当众表演前，老师会在一个盒子里，装大约五百张纸条，而每一张纸条，都有一个特定的角色，如：平时不用功，临时抱佛脚的学生；菜市场卖肉的男人；出外视察的首长；失恋的恋人等等，当然最多的是和电信运营有关的各种角色，如运营商的老总、财务、装机人员，恒佳的客户代表等，然后要学员随机抽签，每一个人在伸手到盒子里抽出纸条前，并不知道下一秒钟他应该是一个什么样的角色。而他的同班同学则在“不友善”地等着挑刺，这是一种对抗性很强的训练，台上的“演员”努力想演好自己的角色，而台下的“观众”为了挑出对方的弱点，免得他们在得分上高过自己，只要不给对方造成永久性的心理伤害，什么让他们难堪的方法都可以使用，试试他们的心理承受力，看他们在压力下的表现，让“演员”去体现自己在压力下的心理反应，在什么样的压力和委屈下，还能做到不哭鼻子，不放弃。
　　张欣怡和王强这次抽到的角色，是要扮演一个赖帐的包工头，和一个讨要工钱的建筑民工。当她上台表演的时候，她那个则有十多个人在台下品头论足，想着法子挑她的刺，让她面子上下不来。
　　准备时间非常短，只有三分钟供他们讨论角色、设计剧情，而整个表演时间却有七分钟，她们的同学在台下为她们打分。压力是显然的。每个内向的同学都会受到心理震撼，而外向的同学也会认真地思考，在面临一场对话前，如何好好准备自己该说什么，如何去说才有最好的效果。
　　如果这不算紧张，演好了演砸了都无所谓，那么所有的表演都有人全程进行评分，而这些评分都会记入每个人的档案，供用人部门查阅，这就让学员们不得不重视起来了。
　　恒佳的学员在培训期间，都必须到深圳义工联做一周的义工
　　深圳义工联是全国最大的义工组织，在深圳这个生活节奏最快的城市，有那么多人愿意花费自己宝贵的时间，参加为他人无偿服务的义工组织，也许是基于二个原因，一是深圳本地的经济条件较好，人们有较多的资源去挥洒他们的爱心；二是深圳是一个年轻的城市，年轻人总是有更多的活力和爱心。因为做义工在帮助他人的同时，也可以让自己有一些提高，并交到更多的朋友。
　　恒佳就利用这种机会，系统地让员工接受多方面的练习。
　　做义工的工作内容也是五花八门的，女生可能要到街头、社区去，做预防艾滋病、性病的宣传，男生呢，可能在街头做义务献血的宣传，交通违规的劝阻等等。当然也有轻松的义工活动，如到大梅沙或梧桐山去拣垃圾，但这些轻松活动，恒佳的培训中心是不会考虑用于训练员工的。
　　如果说当众表演只是一种训练的话，那么义工活动则都是真刀实枪的，工作量很大，为的是考验他们吃苦耐劳的能力。
　　张欣怡在恒佳的应聘方向是技术秘书，这是一个琐碎而需要耐心的工作，因此分配给她做义工的任务是：为一个香港来深圳治病的癌症晚期重病患者，作临终关怀。
　　对一个如花似玉的年青姑娘来说，这确实是一个令人难以接受的工作，因此在宣布这个任务时，培训老师自己都显得有点犹豫，看着这个文静的姑娘，她似乎有点下不了这个狠心：
　　“你有什么问题吗？要不换一个别的工作。”
　　听到这个安排，张欣怡的鼻子顿时有点发酸，但她还是忍住了，虽然面对的是一个“晚癌”患者，但毕竟没有传染性，而且也就是五天的时间，她觉得这是一个考验，“豁出去了，就当是自己的亲人好了。”她心里这样想，就轻轻摇了摇头，算接下了这个任务。
　　实际上，恒佳要考验的，确实也是一个人能否豁得出去的问题，因此不说张欣怡的义工做得如何，至少这个态度就让老师能给她一个高分了。
　　王强接到的任务，则是到深圳龙岗戒毒所去进行一对一的帮教工作。
parametexbxb
博客等级：
博客积分：0
博客访问：32
关注人气：0
荣誉徽章：Android逆向之旅---动态方式破解apk进阶篇(IDA调试so源码)
一、前言今天我们继续来看apk的相关知识，在前一篇：破解apk我们今天主要来看如何使用IDA来调试中的native源码，因为现在一些app，为了安全或者效率问题，会把一些重要的功能放到native层，那么这样一来，我们前篇说到的Eclipse调试smali源码就显得很无力了，因为核心的都在native层，Android中一般native层使用的是so库文件，所以我们这篇就来介绍如何调试so文件的内容，从而让我们破解成功率达到更高的一层。二、知识准备我们在介绍如何调试so文件的时候，先来看一下准备知识：第一、IDA工具的使用早在之前的一篇文章：中使用IDA工具静态分析so文件，通过分析arm指令，来获取破解信息，比如打印的log信息，来破解apk的，在那时候我们就已经介绍了如何使用IDA工具：这里有多个窗口，也有多个视图，用到最多的就是：1、Function Window对应的so函数区域：这里我们可以使用ctrl+f进行函数的搜索2、IDA View对应的so中代码指令视图：这里我们可以查看具体函数对应的arm指令代码3、Hex View对应的so的十六进制数据视图：我们可以查看arm指令对应的数据等当然在IDA中我们还需要知道一些常用的快捷键：1、强大的F5快捷键可以将arm指令转化成可读的C语言，帮助分析首先选中需要翻译成C语言的函数，然后按下F5：vcD48cD48aW1nIHNyYz0="https://www.2cto.com/uploadfile/Collfiles/86.png" alt="\" />看到了，立马感觉清爽多了，这些代码看起来应该会好点了。下面我们还需要做一步，就是还原JNI函数方法名一般JNI函数方法名首先是一个指针加上一个数字，比如v3+676。然后将这个地址作为一个方法指针进行方法调用，并且第一个参数就是指针自己，比如(v3+676)(v3…)。这实际上就是我们在JNI里经常用到的JNIEnv方法。因为Ida并不会自动的对这些方法进行识别，所以当我们对so文件进行调试的时候经常会见到却搞不清楚这个函数究竟在干什么，因为这个函数实在是太抽象了。解决方法非常简单，只需要对JNIEnv指针做一个类型转换即可。比如说上面提到a1和v4指针：我们可以选中a1变量，然后按一下y键：然后将类型声明为：JNIEnv*。确定之后再来看：修改之后，是不是瞬间清晰了很多？另外有人（ 貌似是看雪论坛上的）还总结了所有JNIEnv方法对应的数字，地址以及方法声明：2、Shirt+F12快捷键，速度打开so中所有的字符串内容窗口有时候，字符串是一个非常重要的信息，特别是对于破解的时候，可能就是密码，或者是密码库信息。3、Ctrl+S快捷键，有两个用途，在正常打开so文件的IDA View视图的时候，可以查看so对应的Segement信息可以快速得到，一个段的开始位置和结束位置，不过这个位置是相对位置，不是so映射到内存之后的位置，关于so中的段信息，不了解的同学可以参看这篇文章：这篇文章介绍的很很清楚了，这里就不在作介绍了。当在调试页面的时候，ctrl+s可以快速定位到我们想要调试的so文件映射到内存的地址：因为一般一个程序，肯定会包含多个so文件的，比如系统的so就有好多的，一般都是在/system/lib下面，当然也有我们自己的so，这里我们看到这里的开始位置和结束位置就是这个so文件映射到内存中：这里我们可以使用cat命令查看一个进程的内存映射信息：cat /proc/[pid]/maps我们看到映射信息中有多so文件，其实这个不是多个so文件，而是so文件中对应的不同Segement信息被映射到内存中的，一般是代码段，数据段等，因为我们需要调试代码，所以我们只关心代码段，代码段有一个特点就是具有执行权限x，所以我们只需要找到权限中有x的那段数据即可。4、G快捷键：在IDA调试页面的时候，我们可以使用S键快速跳转到指定的内存位置这里的跳转地址，是可以算出来的，比如我现在想跳转到A函数，然后下断点，那么我们可以使用上面说到的ctrl+s查找到so文件的内存开始的基地址，然后再用IDA View中查看A函数对应的相对地址，相加就是绝对地址，然后跳转到即可，比如这里的：Java_cn_wjdiankong_encryptdemo_MainActivity_isEquals 函数的IDA View中的相对地址(也就是so文件的地址)：E9C上面看到so文件映射到内存的基地址：74FE4000那么跳转地址就是：74FEFE4E9C注意：一般这里的基地址只要程序没有退出，在运行中，那么他的值就不会变，因为程序的数据已经加载到内存中了，基地址不会变的，除非程序退出，又重新运行把数据加载内存中了，同时相对地址是永远不会变的，只有在修改so文件的时候，文件的大小改变了，可能相对地址会改变，其他情况下不会改变，相对地址就是数据在整个so文件中的位置。这里我们可以看到函数映射到内存中的绝对地址了。注意：有时候我们发现跳转到指定位置之后，看到的全是DCB数据，这时候我们选择函数地址，点击P键就可以看到arm指令源码了：5、调试快捷键：F8单步调试，F7单步进入调试上面找到函数地址之后，我们可以下断点了，下断点很简单，点击签名的绿色圈点，变成红色条目即可，然后我们可以点击F9快捷键，或者是点击运行按钮，即可运行程序：其中还有暂停和结束按钮。我们运行之后，然后在点击so的native函数，触发断点逻辑：这时候，我们看到进入调试界面，点击F8可以单步调试，看到有一个PC指示器，其实在arm中PC是一个特殊的寄存器，用来存储当前指令的地址，这个下面会介绍到。好了到这里，我们就大致说了一下关于IDA在调试so文件的时候，需要用到的快捷键：1、Shift+F12快速查看so文件中包含的字符串信息2、F5快捷键可以将arm指令转化成可读的C代码，这里同时可以使用Y键，修改JNIEnv的函数方法名3、Ctrl+S有两个用途，在IDA View页面中可以查看so文件的所有段信息，在调试页面可以查看程序所有so文件映射到内存的基地址4、G键可以在调试界面，快速跳转到指定的绝对地址，进行下断点调试，这里如果跳转到目的地址之后，发现是DCB数据的话，可以在使用P键，进行转化即可，关于DCB数据，下面会介绍的。5、F7键可以单步进入调试，F8键可以单步调试第二、常用的ARM指令集知识我们在上面看到IDA打开so之后，看到的是纯种的汇编指令代码，所以这就要求我们必须会看懂汇编代码，就类似于我们在调试Java层代码的时候一样，必须会smali语法，庆幸的是，这两种语法都不是很复杂，所以我们知道一些大体的语法和指令就可以了，下面我们来看看arm指令中的寻址方式，寄存器，常用指令，看完这三个知识点，我们就会对arm指令有一个大体的了解，对于看arm指令代码也是有一个大体的认知了。1、arm指令中的寻址方式1>. 立即数寻址也叫立即寻址，是一种特殊的寻址方式，操作数本身包含在指令中，只要取出指令也就取到了操作数。这个操作数叫做立即数，对应的寻址方式叫做立即寻址。例如：MOV R0,#64
；R0 ← 642>. 寄存器寻址寄存器寻址就是利用寄存器中的数值作为操作数，也称为寄存器直接寻址。例如：ADD R0，R1， R2
；R0 ← R1 + R23>. 寄存器间接寻址寄存器间接寻址就是把寄存器中的值作为地址，再通过这个地址去取得操作数，操作数本身存放在存储器中。例如：LDR R0，[R1] ；R0 ←[R1]4>. 寄存器偏移寻址这是ARM指令集特有的寻址方式，它是在寄存器寻址得到操作数后再进行移位操作，得到最终的操作数。例如：MOV R0，R2，LSL #3
；R0 ← R2 * 8 ，R2的值左移3位，结果赋给R0。5>. 寄存器基址变址寻址寄存器基址变址寻址又称为基址变址寻址，它是在寄存器间接寻址的基础上扩展来的。它将寄存器（该寄存器一般称作基址寄存器）中的值与指令中给出的地址偏移量相加，从而得到一个地址，通过这个地址取得操作数。例如：LDR R0，[R1，#4] ；R0 ←[R1 + 4]，将R1的内容加上4形成操作数的地址，取得的操作数存入寄存器R0中。6>. 多寄存器寻址这种寻址方式可以一次完成多个寄存器值的传送。例如：LDMIA R0，{R1，R2，R3，R4}
；R1←[R0]，R2←[R0+4]，R3←[R0+8]，R4←[R0+12]7>. 堆栈寻址堆栈是一种数据结构，按先进后出（First In Last Out，FILO）的方式工作，使用堆栈指针（Stack Pointer, SP）指示当前的操作位置，堆栈指针总是指向栈顶。堆栈寻址举例如下：STMFD SP！，｛R1－R7, LR｝
；将R1－R7, LR压入堆栈。满递减堆栈。LDMED SP！，｛R1－R7, LR｝
；将堆栈中的数据取回到R1－R7, LR寄存器。空递减堆栈。2、ARM中的寄存器R0-R3:用于函数参数及返回值的传递R4-R6, R8, R10-R11:没有特殊规定，就是普通的通用寄存器R7:栈帧指针(Frame Pointer).指向前一个保存的栈帧(stack frame)和链接寄存器(link register， lr)在栈上的地址。R9:操作系统保留R12:又叫IP(intra-procedure scratch )R13:又叫SP(stack pointer)，是栈顶指针R14:又叫LR(link register)，存放函数的返回地址。R15:又叫PC(program counter)，指向当前指令地址。3、ARM中的常用指令含义ADD
加指令SUB 减指令STR
把寄存器内容存到栈上去LDR
把栈上内容载入一寄存器中.W
是一个可选的指令宽度说明符。它不会影响为此指令的行为，它只是确保生成 32 位指令。Infocenter.arm.com的详细信息BL
执行函数调用，并把使lr指向调用者(caller)的下一条指令，即函数的返回地址BLX
同上，但是在ARM和thumb指令集间切换。CMP
指令进行比较两个操作数的大小4、ARM指令简单代码段分析C代码：#include int func(int a, int b, int c, int d, int e, int f){
int g = a + b + c + d + e +}对应的ARM指令：add r0, r1 将参数a和参数b相加再把结果赋值给r0ldr.w r12, [sp] 把最的一个参数f从栈上装载到r12寄存器add r0, r2 把参数c累加到r0上ldr.w r9, [sp, #4] 把参数e从栈上装载到r9寄存器add r0, r3 累加d累加到r0add r0, r12 累加参数f到r0add r0, r9 累加参数e到r0三、构造so案例好了，关于ARM指令的相关知识，就介绍这么多了，不过我们在调试分析的时候，肯定不能做到全部的了解，因为本身ARM指令语法就比较复杂，不过幸好大学学习了汇编语言，所以稍微能看懂点，如果不懂汇编的同学那就可能需要补习一下了，因为我们在使用IDA分析so文件的时候，不会汇编的话，那是肯定行不通的，所以我们必须要看懂汇编代码的，如果遇到特殊指令不了解的同学，可以网上搜一下即可。上面我们的准备知识做完了，一个是IDA工具的时候，一个是ARM指令的了解，下面我们就来开始操刀了，为了方便开始，我们先自己写一个简单的Android native层代码，然后进行IDA进行分析即可。这里可以使用AndroidStudio中进行新建一个简单工程，然后创建JNI即可：这里顺便简单说一下AndroidStudio中如何进行NDK的开发吧：第一步：在工程中新建jni目录第二步：使用javah生成native的头文件注意：javah执行的目录，必须是类包名路径的最上层，然后执行：javah 类全名注意没有后缀名java哦第三步：配置项目的NDK目录选择模块的设置选线：Open Module Settings：设置NDK目录即可第四步：copy头文件到jni目录下，然后配置gradle中的ndk选项这里只需要设置编译之后的模块名，就是so文件的名称，需要产生那几个平台下的so文件，还有就是需要用到的lib库，这里我们看到我们用到了Android中打印log的库文件。第五步：编译运行，在build目录下生成指定的so文件，copy到工程的libs目录下即可好了，到这里我们就快速的在AndroidStudio中新建了一个Native项目，这里关于native项目的代码不想解释太多，就是Java层传递了用户输入的密码，然后native做了校验过程，把校验结果返回到Java层即可：具体的校验过程这里不再解释了。我们运行项目之后，得到apk文件，那么下面我们就开始我们的破解旅程了四、开始破解so文件开始破解我们编译之后的apk文件第一、首先我们可以使用最简单的压缩软件，打开apk文件，然后解压出他的so文件我们得到libencrypt.so文件之后，使用IDA打开它：我们知道一般so中的函数方法名都是：Java_类名_方法名那么这里我们直接搜：Java关键字即可，或者使用jd-gui工具找到指定的native方法双击，即可在右边的IDA View页面中看到Java_cn_wjdiankong_encryptdemo_MainActivity_isEquals 函数的指令代码：我们可以简单的分析一下这段指令代码：1>、PUSH {r3-r7,lr} 是保存r3,r4,r5,r6,r7,lr 的值到内存的栈中，那么最后当执行完某操作后，你想返回到lr指向的地方执行，当然要给pc了，因为pc保留下一条CPU即将执行的指令，只有给了pc，下一条指令才会执行到lr指向的地方pc：程序寄存器，保留下一条CPU即将执行的指令lr: 连接返回寄存器，保留函数返回后，下一条应执行的指令这个和函数最后面的POP {r3-r7,pc}是相对应的。2>、然后是调用了strlen,malloc,strcpy等系统函数，在每次使用BLX和BL指令调用这些函数的时候，我们都发现了一个规律：就是在调用他们之前一般都是由MOV指令，用来传递参数值的，比如这里的R5里面存储的就是strlen函数的参数，R0就是is_number函数的参数，所以我们这样分析之后，在后面的动态调试的过程中可以得到函数的入口参数值，这样就能得到一些重要信息3>、在每次调用有返回值的函数之后的命令，一般都是比较指令，比如CMP，CBZ，或者是strcmp等，这里是我们破解的突破点，因为一般加密再怎么牛逼，最后比较的参数肯定是正确的密码(或者是正确的加密之后的密码)和我们输入的密码(或者是加密之后的输入密码)，我们在这里就可以得到正确密码，或者是加密之后的密码：到这里，我们就分析完了native层的密码比较函数：Java_cn_wjdiankong_encryptdemo_MainActivity_isEquals如果觉得上面的ARM指令看的吃力，可以使用F5键，查看他的C语言代码：我们这里看到其实有两个函数是核心点：1>is_number函数，这个函数我们看名字应该猜到是判断是不是数字，我们可以使用F5键，查看他对应的C语言代码：这里简单一看，主要是看return语句和if判断语句，看到这里有一个循环，然后获取_BYTE*这里地址的值，并且自增加一，然后存到v2中，如果v3为"\0'的话，就结束循环，然后做一次判断，就是v2-48是否大于9，那么这里我们知道48对应的是ASCII中的数字0，所以这里可以确定的是就是：用一个循环遍历_BYTE*这里存的字符串是否为数字串。2>get_encrypt_str函数，这个函数我们看到名字可以猜测，他是获取我们输入的密码之后的值，再次使用F5快捷键查看：这里我们看到，首先是一个if语句，用来判断传递的参数是否为NULL，如果是的话，直接返回，不是的话，使用strlen函数获取字符串的长度保存到v2中，然后使用malloc申请一块堆内存，首指针保存到result，大小是v2+1也就是传递进来的字符串长度+1，然后就开始进入循环，首指针result，赋值给i指针，开始循环，v3是通过v1-1获取到的，就是函数传递进来字符串的地址，那么v6就是获取传递进来字符串的字符值，然后减去48，赋值给v7，这里我们可以猜到了，这里想做字符转化，把char转化成int类型，继续往下看，如果v6==48的话，v7=1，也就是说这里如果遇到字符"0'，就赋值1，在往下看，看到我们上面得到的v7值，被用来取key_src数组中的值，那么这里我们双击key_src变量，就跳转到了他的值地方，果不其然，这里保存了一个字符数组，看到他的长度正好是18，那么这里我们应该明白了，这里通过传递进来的字符串，循环遍历字符串，获取字符，然后转化成数字，在倒序获取key_src中的字符，保存到result中。然后返回。好了，到这里我们就分析完了这两个重要的函数的功能，一个是判断输入的内容是否为数字字符串，一个是通过输入的内容获取密码内容，然后和正确的加密密码：ssBCqpBssP 作比较。第二、开始使用IDA进行调试设置那么下面我们就用动态调试来跟踪传入的字符串值，和加密之后的值，这里我们看到没有打印log的函数，所以很难知道具体的参数和寄存器的值，所以这里需要开始调试，得知每个函数执行之后的寄存器的值，我们在用IDA进行调试so的时候，需要以下准备步骤：1、在IDA安装目录下获取android_server命令文件在IDA安装目录\dbgsrv\android_server，这个文件是干嘛的呢？他怎么运行呢？下面来介绍一下：我们是否还记得之前一篇文章： 这篇文章中我们介绍了Android中的调试原理，其实是使用gdb和gdbserver来做到的，gdb和gdbserver在调试的时候，必须注入到被调试的程序进程中，但是非root设备的话，注入别的进程中只能借助于run-as这个命令了，所以我们知道，如果要调试一个应用进程的话，必须要注入他内部，那么IDA调试so也是这个原理，他需要注入(Attach附加)进程，才能进行调试，但是IDA没有自己弄了一个类似于gdbserver这样的工具，那就是android_server了，所以他需要运行在设备中，保证和PC端的IDA进行通信，比如获取设备的进程信息，具体进程的so内存地址，调试信息等。所以我们把android_server保存到设备的/data目录下，修改一下他的运行权限，然后必须在root环境下运行，因为他要做注入进程操作，必须要root。注意：这里把他放在了/data目录下，然后./android_server运行，这里提示了IDA Android 32-bit，所以后面我们在打开IDA的时候一定要是32位的IDA，不是64位的，不然保存，IDA在安装之后都是有两个可执行的程序，一个是32位，一个是64位的，如果没打开正确会报这样的错误：同样还有一类问题：error: only position independent executables (PIE) are supported这个主要是Android5.0以上的编译选项默认开启了pie，在5.0以下编译的原生应用不能运行，有两种解决办法，一种是用Android5.0以下的手机进行操作，还有一种就是用IDA6.6+版本即可。然后我们再看，这里开始监听了设备的23946端口，那么如果要想让IDA和这个android_server进行通信，那么必须让PC端的IDA也连上这个端口，那么这时候就需要借助于adb的一个命令了：adb forward tcp:远端设备端口号(进行调试程序端) tcp:本地设备端口(被调试程序端)那么这里，我们就可以把android_server端口转发出去：然后这时候，我们只要在PC端使用IDA连接上23946这个端口就可以了，这里面有人好奇了，为什么远程端的端口号也是23946，因为后面我们在使用IDA进行连接的时候，发现IDA他把这个端口设置死了，就是23946，所以我们没办法自定义这个端口了。我们可以使用netstat命令查看端口23946的使用情况，看到是ida在使用这个端口2、上面就准备好了android_server，运行成功，下面就来用IDA进行尝试连接，获取信息，进行进程附加注入我们这时候需要在打开一个IDA，之前打开一个IDA是用来分析so文件的，一般用于静态分析，我们要调试so的话，需要在打开一个IDA来进行，所以这里一般都是需要打开两个IDA，也叫作双开IDA操作。动静结合策略。这里记得选择go这个选项，就是不需要打开so文件了，进入是一个空白页：我们选择Debugger选项，选择Attach，看到有很多debugger，所以说IDA工具真的很强大，做到很多debugger的兼容，可以调试很多平台下的程序。这里我们选择Android debugger：这里看到，端口是写死的：23946，不能进行修改，所以上面的adb forward进行端口转发的时候必须是23946。这里PC本地机就是调试端，所以host就是本机的ip地址：127.0.0.1，点击确定：这里可以看到设备中所有的进程信息就列举出来的，其实都是android_server干的事，获取设备进程信息传递给IDA进行展示。注意：如果我们当初没有用root身份去运行android_server:这里就会IDA是不会列举出设备的进程信息：还有一个注意的地方，就是IDA和android_server一定要保持一致。我们这里可以ctrl+F搜索我们需要调试的进程，当然这里我们必须运行起来我们需要调试的进程，不然也是找不到这个进程的双击进程，即可进入调试页面：这里为什么会断在libc.so中呢？android系统中libc是c层中最基本的函数库，libc中封装了io、文件、socket等基本系统调用。所有上层的调用都需要经过libc封装层。所以libc.so是最基本的，所以会断在这里，而且我们还需要知道一些常用的系统so,比如linker：我们知道，这个linker是用于加载so文件的模块，所以后面我们在分析如何在.init_array处下断点还有一个就是libdvm.so文件，他包含了DVM中所有的底层加载dex的一些方法：我们在后面动态调试需要dump出加密之后的dex文件，就需要调试这个so文件了。3、找到函数地址，下断点，开始调试我们使用Ctrl+S找到需要调试so的基地址：74FE4000然后通过另外一个IDA打开so文件，查看函数的相对地址：E9C那么得到了函数的绝对地址就是：74FE4E9C，使用G键快速跳转到这个绝对地址：跳转到指定地址之后，开始下断点，点击最左边的绿色圆点即可下断点：然后点击左上角的绿色按钮，运行，也可以使用F9键运行程序：我们点击程序中的按钮：触发native函数的运行：看到了，进入调试阶段了，这时候，我们可以使用F8进行单步调试，F7进行单步进入调试：我们点击F8进行单步调试，达到is_number函数调用出，看到R0是出入的参数值，我们可以查看R0寄存器的内容，然后看到是123456，这个就是Java层传入的密码字符串，接着往下走：这里把is_number函数返回值保存到R0寄存中，然后调用CBZ指令，判断是否为0，如果为0就跳转到locret_74FE4EEC处，查看R0寄存器的值不是0，继续往下走：看到了get_encrypt_str函数的调用，函数的返回值保存在R1寄存器中，查看内容：zytyrTRA*B了，那么看到，上层传递的：123456=》zytyrTRA*B了，前面我们静态分析了get_encrypt_str函数的逻辑，继续往下看：看到了，这里把上面得到的字符串和ssBCqpBssP作比较，那么这里ssBCqpBssP就是正确的加密密码了，那么我们现在的资源是：正确的加密密码：ssBCqpBssP，加密密钥库：zytyrTRA*BniqCPpVs，加密逻辑get_encrypt_str那么我们可以写一个逆向的加密方法，去解析正确的加密密码得到值即可，这里为了给大家一个破解的机会，这里就不公布正确答案了，这个apk我随后会上传，手痒的同学可以尝试破解一下。加密apk下载地址：第三、总结IDA调试的流程到这里，我们就分析了如何破解apk的流程，下面来总结一下：1、我们通过解压apk文件，得到对应的so文件，然后使用IDA工具打开so,找到指定的native层函数2、通过IDA中的一些快捷键：F5,Ctrl+S,Y等键来静态分析函数的arm指令，大致了解函数的执行流程3、再次打开一个IDA来进行调试so1>将IDA目录中的android_server拷贝到设备的指定目录下，修改android_server的运行权限，用Root身份运行android_server2>使用adb forward进行端口转发，让远程调试端IDA可以连接到被调试端3>使用IDA连接上转发的端口，查看设备的所有进程，找到我们需要调试的进程。4>通过打开so文件，找到需要调试的函数的相对地址，然后在调试页面使用Ctrl+S找到so文件的基地址，相加之后得到绝对地址，使用G键，跳转到函数的地址处，下好断点。点击运行或者F9键。5>触发native层的函数，使用F8和F7进行单步调试，查看关键的寄存器中的值，比如函数的参数，和函数的返回值等信息总结就是：在调试so的时候，需要双开IDA，动静结合分析。五、使用IDA来解决反调试问题那么到这里我们就结束了我们这期的破解旅程了？答案是否定的，因为我们看到上面的例子其实是我自己先写了一个apk,目的就是为了给大家演示，如何使用IDA来进行动态调试so，那么下面我们还有一个操刀动手的案例，就是2014年，阿里安全挑战赛的第二题：AliCrackme_2：阿里真会制造氛围，还记得我们破解的第一题吗，这次看到了第二题，好吧，下面来看看破解流程吧：首先使用aapt命令查看他的AndroidManifest.xml文件，得到入口的Activity类：然后使用dex2jar和jd-gui查看他的源码类：com.yaotong.crackme.MainActivity：看到，他的判断，是securityCheck方法，是一个native层的，所以这时候我们去解压apk文件，获取他的so文件，使用IDA打开查看native函数的相对地址：11A8这里的ARM指令代码不在分析了，大家自行查看即可，我们直接进入调试即可：在打开一个IDA进行关联调试：选择对应的调试进程，然后确定：使用Ctrl+S键找到对应so文件的基地址：74EA9000和上面得到的相对地址相加得到绝对地址：74EA=74EAA1A8 使用G键直接跳到这个地址：下个断点，然后点击F9运行程序：擦，IDA退出调试页面了，我们再次进入调试页面，运行，还是退出调试页面了，好了，这下蛋疼了，没法调试了。这里其实是阿里做了反调试侦查，如果发现自己的程序被调试了，就直接退出程序，那么这里有问题了，为什么知道是反调试呢？这个主要还是看后续自己的破解经验了，没技术可言，还有一个就是阿里如何做到的反调试策略的，这里限于篇幅，只是简单介绍一下原理：前面说到，IDA是使用android_server在root环境下注入到被调试的进程中，那么这里用到一个技术就是Linux中的ptrace，关于这个这里也不解释了，大家可以自行的去搜一下ptrace的相关知识，那么Android中如果一个进程被另外一个进程ptrace了之后，在他的status文件中有一个字段：TracerPid 可以标识是被哪个进程trace了，我们可以使用命令查看我们的被调试的进行信息：status文件在：/proc/[pid]/status看到了，这里的进程被9187进程trace了，我们在用ps命令看看9187是哪个进程：果不其然，是我们的android_server进程，好了，我们知道原理了，也大致猜到了阿里在底层做了一个循环检测这个字段如果不为0，那么代表自己进程在被人trace，那么就直接停止退出程序，这个反检测技术用在很多安全防护的地方，也算是一个重要的知识点了。那么下面就来看看如何应对这个反调试？我们刚刚看到，只要一运行程序，就退出了调试界面，说明，这个循环检测程序执行的时机非常早，那么我们现在知道的最早的两个时机是：一个是.init_array，一个是JNI_OnLoad.init_array是一个so最先加载的一个段信息，时机最早，现在一般so解密操作都是在这里做的JNI_OnLoad是so被System.loadLibrary调用的时候执行，他的时机要早于哪些native方法执行，但是没有.init_array时机早那么知道了这两个时机，下面我们先来看看是不是在JNI_OnLoad函数中做的策略，所以我们需要先动态调试JNI_OnLoad函数我们既然知道了JNI_OnLoad函数的时机，如果阿里把检测函数放在这里的话，我们不能用之前的方式去调试了，因为之前的那种方式时机太晚了，只要运行就已经执行了JNI_OnLoad函数，所以就会退出调试页面，幸好这里IDA提供了在so文件load的时机，我们只需要在Debug Option中设置一下就可以了：在调试页面的Debugger 选择 Debugger Option选项：然后勾选Suspend on library load/unload即可这样设置之后，还是不行，因为我们程序已经开始运行，就在static代码块中加载so文件了，static的时机非常早，所以这时候，我们需要让程序停在加载so文件之前即可。那么我想到的就是添加代码waitForDebugger代码了，这个方法就是等待debug，我们还记得在之前的调试smali代码的时候，就是用这种方式让程序停在了启动出，然后等待我们去用jdb进行attach操作。那么这一次我们可以在System.loadLibrary方法之前加入waitForDebugger代码即可，但是这里我们不这么干了，还有一种更简单的方式就是用am命令，本身am命令可以启动一个程序，当然可以用debug方式启动：adb shell am start -D -n com.yaotong.crackme/.MainActivity这里一个重要参数就是-D,用debug方式启动运行完之后，设备是出于一个等待Debugger的状态：这时候，我们再次使用IDA进行进程的附加，然后进入调试页面，同时设置一下Debugger Option选项，然后定位到JNI_OnLoad函数的绝对地址。但是我们发现，这里没有RX权限的so文件，说明so文件没有加载到内存中，想一想还是对的，以为我们现在的程序是wait Debugger，也就是还没有走System.loadLibrary方法，so文件当然没有加载到内存中，所以我们需要让我们程序跑起来，这时候我们可以使用jdb命令去attach等待的程序，命令如下：jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700其实这条命令的功能类似于，我们前一篇说到用Eclipse调试smali源码的时候，在Eclipse中设置远程调试工程一样，选择Attach方式，调试机的ip地址和端口，还记得8700端口是默认的端口，但是我们运行这个命令之后，出现了一个错误：擦，无法连接到目标的VM，那么这种问题大部分都出现在被调试程序不可调试，我们可以查看apk的android:debuggable属性：果不其然，这里没有debug属性，所以这个apk是不可以调试的，所以我们需要添加这个属性，然后在回编译即可：回编译：java -jar apktool.jar b -d out -o debug.apk签名apk：java -jar .\sign\signapk.jar .\sign\testkey.x509.pem .\sign\testkey.pk8 debug.apk debug.sig.apk然后在次安装，使用am 命令启动：第一步：运行：adb shell am start -D -n com.yaotong.crackme/.MainActivity出现Debugger的等待状态第二步：启动IDA 进行目标进程的Attach操作第三步：运行：jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700第三步：设置Debugger Option选项第四步：点击IDA运行按钮，或者F9快捷键，运行看到了，这次jdb成功的attach住了，debug消失，正常运行了，但是同时弹出了一个选择提示：这时候，不用管它，全部选择取消按钮，然后就运行到了linker模块了：这时候，说明so已经加载进来了，我们再去获取JNI_OnLoad函数的绝对地址Ctrl+S查找到了基地址：用静态方式IDA打开so查看相对地址：1B9C相加得到绝对地址：B9C=7515BB9C，然后点击S键，跳转：跳转到指定的函数位置：这时候再次点击运行，进入了JNI_OnLoad处的断点：下面咋们就开始单步调试了，但是当我们每次到达BLX R7这条指令执行完之后，就JNI_OnLoad就退出了：经过好几次尝试都是一样的结果，所以我们发现这个地方有问题，可能就是反调试的地方了我们再次进入调试，看见BLX跳转的地方R7寄存器中是pthread_create函数，这个是Linux中新建一个线程的方法所以阿里的反调试就在这里开启一个线程进行轮训操作，去读取/proc/[pid]/status文件中的TrackerPid字段值，如果发现不为0，就表示有人在调试本应用，在JNI_OnLoad中直接退出。其实这里可以再详细进入查看具体代码实现的，但是这里限于篇幅问题，不详细解释了，后续在写一篇文章我们自己可以实现这种反调试机制的。本文的重点是能够动态调试即可。那么问题找到了，我们现在怎么操作呢？其实很简单，我们只要把BLX R7这段指令干掉即可，如果是smali代码的话，我们可以直接删除这行代码即可，但是so文件不一样，他是汇编指令，如果直接删除这条指令的话，文件会发生错乱，因为本身so文件就有固定的格式，比如很多Segement的内容，每个Segement的偏移值也是有保存的，如果这样去删除会影响这些偏移值，会破坏so文件格式，导致so加载出错的，所以这里我们不能手动的去删除这条指令，我们还有另外一种方法，就是把这条指令变成空指令，在汇编语言中，nop指令就是一个空指令，他什么都不干，所以这里我们直接改一下指令即可，arm中对应的nop指令是：00 00 00 00那么我们看到BLX R7对应的指令位置为：1C58查看他的Hex内容是：37 FF 2F E1我们可以使用一些二进制文件软件进行内容的修改，这里使用010Editor工具进行修改：这里直接修改成00 00 00 00：这时候，保存修改之后的so文件，我们再次使用IDA进行打开查看：哈哈，指令被修改成了：ANDEQ R0，R0，R0了那么修改了之后，我们在替换原来的so文件，再次重新回编译，签名安装，再次按照之前的逻辑给主要的加密函数下断点，这里不需要在给JNI_OnLoad函数下断点了，因为我们已经修改了反调试功能了，所以这里我们只需要按照这么简单几步即可：第一步：启动程序第二步：使用IDA进行进程的attach第三步：找到Java_com_yaotong_crackme_MainActivity_securityCheck函数的绝对地址第四步：打上断点，点击运行，进行单步调试看到了吧，这里我们可以单步调试进来了啦啦，说明我们修改反调试指令成功了。下面就继续F8单步调试：调试到这里，发现一个问题，就是CMP指令之后，BNE 指令就开始跳转到loc_74FAF2D0处了，那么我们就可以猜到了，CMP指令比较的应该就是我们输入的密码和正确的密码，我们再次从新调试，看看R3和R1寄存器的值看到了这里的R3寄存器的值就是用寄存器寻址方式，赋值字符串的，这里R2寄存器就是存放字符串的地址，我们看到的内容是aiyou...但是这里肯定不是全部字符串，因为我们没看到字符串的结束符："\0'，我们点击R2寄存器，进入查看完整内容：这里是全部内容：aiyou,bucuoo我们继续查看R1寄存器的内容：这里也是同样用寄存器寻址，R0寄存器存储的是R1中字符串的地址，我们看到这里的字符串内容是：jiangwei这个就是我输入的内容，那么这里就可以豁然开朗了，密码是上面的：aiyou,bucuoo我们再次输入这个密码：哈哈哈，破解成功啦啦~~手痒的同学可以下载项目来玩玩~~项目下载：六、技术总结到这里我们算是讲解完了如何使用IDA来调试so代码，从而破解apk的知识了，因为这里IDA工具比较复杂，所以这篇文章篇幅有点长，所以同学们可以多看几遍，就差不多了。下面我们来整理一下这篇文章中涉及到的知识点吧：第一、IDA中的常用快捷键使用1、Shift+F12可以快速查看so中的常量字符串内容，有时候，字符串内容是一个很大的突破点2、使用强大的F5键，可以查看arm汇编指令对应的C语言代码，同时可以使用Y键，进行JNIEnv*方法的还原3、使用Ctrl+S键，可以在IDA View页面中查看so的所有段信息，在调试页面可以查找对应so文件映射到内存的基地址，这里我们还可以使用G键，进行地址的跳转4、使用F8进行单步调试，F7进行单步跳入调试，同时可以使用F9运行程序第二、ARM汇编指令相关知识1、了解了几种寻址方式，有利于我们简单的读懂arm汇编指令代码2、了解了arm中的几种寄存器的作用，特别是PC寄存器3、了解了arm中常用的指令，比如：MOV，ADD，SUB，LDR，STR，CMP，CBZ，BL，BLX第三、使用IDA进行调试so的步骤，这里分两种情况1、IDA调试无反调试的so代码步骤：1》把IDA安装目录中的android_server拷贝到设备的指定目录中，修改android_server的权限，并且用root方式运行起来，监听23946端口2》使用adb forward命令进行端口的转发，将设备被调试端的端口转发到远程调试端中3》双开IDA工具，一个是用来打开so文件，进行文件分析，比如简单分析arm指令代码，知道大体逻辑，还有就是找到具体函数的相对位置等信息，还有一个IDA是用来调试so文件的，我们在Debugger选项中设置Debugger Option，然后附加需要调试的进程4》进入调试页面之后，通过Ctrl+S和G快捷键，定位到需要调试的关键函数，进行下断点5》点击运行或者快捷键F9，触发程序的关键函数，然后进入断点，使用F8单步调试，F7单步跳入调试，在调试的过程中主要观察BL，BLX指令，以及CMP和CBZ等比较指令，然后在查看具体的寄存器的值。2、IDA调试有反调试的so代码步骤：1》查看apk是否为可调式状态，可以使用aapt命令查看他的AndroidManifest.xml文件中的android:debuggeable属性是否为true，如果不是debug状态，那么就需要手动的添加这个属性，然后回编译，在签名打包从新安装2》使用adb shell am start -D -n com.yaotong.crackme/.MainActivity 命令启动程序，出于wait Debug状态3》打开IDA，进行进程附加，进入到调试页面4》使用jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700 命令attach之前的debug状态，让程序正常运行5》设置Debug Option选项，设置Suspend on library start/exit/Suspend on library load/unload/Suspend on process entry point选项6》点击运行按钮或者F9键，程序运行停止在linker模块中，这时候表示so文件加载进来了，我们通过Ctrl+S和G键跳转到JNI_OnLoad函数出，进行下断点7》然后继续运行，进入JNI_OnLoad断点处，使用F8进行单步调试，F7进行单步跳入调试，找到反调试代码处8》然后使用二进制软件修改反调试代码为nop指令，即00值9》修改之后，在替换原来的so文件，进行回编译，从新签名打包安装即可10》按照上面的无反调试的so代码步骤即可第四、学习了如何做到反调试检测现在很多应用防止别的进程调试或者注入，通常会用自我检测装置，原理就是循环检测/proc/[mypid]/status文件，查看他的TracerPid字段是否为0，如果不为0，表示被其他进程trace了，那么这时候就直接退出程序。因为现在的IDA调试时需要进程的注入，进程注入现在都是使用中的ptrace机制，那么这里的TracePid就可以记录trace的pid，我们可以发现我们的程序被那个进程注入了，或者是被他在调试。进而采取一些措施。第五、IDA调试的整体原理我们知道了上面的IDA调试步骤，其实我们可以仔细想一想，他的调试原理大致是这样的：首先他得在被调试端安放一个程序，用于IDA端和调试设备通信，这个程序就是android_server，因为要附加进程，所以这个程序必须要用root身份运行，这个程序起来之后，就会开启一个端口23946，我们在使用adb forward进行端口转发到远程调试端，这时候IDA就可以和调试端的android_server进行通信了。后面获取设备的进程列表，附加进程，传递调试信息，都可以使用这个通信机制完成即可。IDA可以获取被调试的进程的内存数据，一般是在 /proc/[pid]maps 文件中，所以我们在使用Ctrl+S可以查看所有的so文件的基地址，可以遍历maps文件即可做到。破解法则：时刻需要注意关键的BL/BLX等跳转指令，在他们执行完之后，肯定会有一些CMP/CBZ等比较指令，这时候就可以查看重要的寄存器内容来获取重要信息。七、总结总算是说完了IDA调试so了这个知识点，我们也知道了一种全新的方式去破解native层的代码，现在有些程序依然把关键代码放在了层，那么这里我们可以使用Eclipse调试samli即可破解，如果程序为了安全，可能还会把关键代码放到native层，那么这时候，我们可以使用IDA来调试so代码来破解，当然破解和加密总是相生相克的，现在程序为了安全做了加固策略，那么这也是我们下一篇文章需要介绍的，如何去破解那些加固的apk。更多内容：PS: 关注公众号，最新Android技术实时推送