Jeb 工具的使用
动态调试 smali 有两种方法:
- Jeb 调试
- AndroidStudio + smalidea 插件动态调试。
1、Jeb 动态调试 smali
JEB是一个功能强大为安全专业人士设计的安卓应用程序反编译工具,用于逆向工程或者审计apk文件,可以提高效率减少许多工程师的分析时间。
jeb 动态调试分两种:
- 普通调试
- debug 调试
Jeb 常用功能、简单使用
- 1. 反编译 apk、dex
- 2. 包名 树状图
- 3. 查看指定类的 smali 代码
- 4. 转换成 java 语言
- 5. java 代码中双击函数 进入函数方法的定义 ,查看方法的调用
- 6. 查看 AndroidManifest.xml
打开 jeb 方法的 2 种方法:
- 方法 1:直接打开 jeb.exe 软件
- 方法 2:执行 jeb_wincon.bat,当需要定制 jeb 的参数时,可以直接修改 jeb_wincon.bat 再执行。
简单使用
- 把 apk 拖拉到 JEB 中即可反编译 apk 双击 Bytecode 打开 smali 代码
- 双击 包名 下的 类名
- 选中 smali 代码,然后按 tab 键 可转成 java 代码。或者 "右键 ---> 解析" 也可以转成 java 代码
- 双击方法,可跳转到方法的定义
- 点击方法,按 x 键可以查看方法的调用
- 双击 Manifest 即可查看 AndroidManifest.xml
- 搜索功能 可以搜索函数 字符串等。
- 点击string查看dex中的字符串,ctrl+f就可以进行搜索。搜索到需要的字符串后双击就可以来到smali代码处,如果看不懂smali,按下tab就可以看到java代码
说明:对于Android逆向来说JEB是不可或缺的一款软件 本篇介绍了JEB的一些常用功能 更多详细功能还需自行百度。
Jeb 动态调试 ( 调试 zhuceji.apk )
jeb 调试 zhuceji.apk 找到注册码
普通调试
1. 真机 (或者模拟器,例如:雷电模拟器、逍遥模拟器) 安装 zhuceji.apk。界面很简单。
2. Jeb 打开 apk,找到要调试的方法对应的 smali 代码,然后在 smali 代码中打上断代点。
鼠标点击要下断点的行:control+b 打断点
3. 下面开始对程序进行调试
debug ---> 开始 ---> 找到相关进程双击进行调试:
4. 首先在要调试的位置打上断点,然后在 app 中输入任意 16 位注册码进行调试 ( 通过查看 checkSN 源码,可以看到对 sn 长度进行检查,必须16位 ):
5. 通过调试 smali 代码,或者直接查看 Java 源码,可以找到 checkSN 方法是解决问题的关键。
在 checkSN 方法上,按 tab 键,或者 "右键 ---> 解析" 即可查看 checkSN 对应的 Java 代码,
通过分析可以发现,把 userName 做了一个 md5,然后取出16位和 sn 相比 ( 注意:从第一位开始,间隔一位取一位)。
userName:李青
md5:4d85f1a100030c9ddb76e546152c1dfe
注册码:48fa0009d7e4121f
断点走到 access$2 时,单步进入函数。
在 access$2 函数中调用 checkSN 函数的。查看 参数值
进入 checkSN 函数继续 单步调试
进入 checkSN 函数,并在 equalsIgnoreCase 打上断点,执行到断点处。
可以看到 v6 寄存器的值就是注册码,
userName:李青
注册码:48fa0009d7e4121f
输入正确的名字、注册码,即可验证通过
debug 调试
debug 模式 和 普通模式的区别在于 启动过程
- 普通模式:无法调试界面的 创建,即 onCreate 函数
- debug 模式:可以调试 界面的 onCreate 函数,即刚开始创建界面是就开始调试
步骤:
1. 查看 application 节点 是否 为 可调式
如果是 False,则不能调试,需要改成 True 然后重新打包 apk,安装 可调试的 apk,然后执行命令:adb shell am start -D -n 应用程序包名/应用程序入口界面
除了在入口处添加Debug.waitForDebugger外,还可以使用下面的命令启动app,也能使app在入口处断下来:adb shell am start -D -S -n com.xy.testcrack/com.xy.testcrack.MainActivity
这里可以看到 apk 已经 可调试。
2. cmd ---> adb shell am start -D -n 应用程序包名/应用程序入口界面:
adb shell am start -D -n com.qianyu.zhuceji/.MainActivity
执行完后,真机 ( 或者 模拟器 ) 显示如图:
这时候,不需要点击弹窗。
3. 使用 jeb 开始调试
- 首先 在 onCreate 方法打一个断点,设置断点的方法和普通模式相同。
- 然后 点击菜单栏 “Debugger ---> Start” 开始调试 ( 和 普通模式 步骤一样 )。
点击 附上 之后,弹窗 自动消失,然后就会自动停在 onCreate 方法中设置的断点。
2、AndroidStudio + Smalidea 动态调试 smali 代码
下载、安装 Android Studio
安装 Android Studio 时,会自动弹出 Android sdk 的下载安装界面。Android Studio 自带有 java jdk,如果不想使用自带的 Java JDK 可以自己下载
- Android Studio 下载地址: Download Android Studio & App Tools - Android Developers
- Smalidea:用来给 smali 下断点,单步调试,下载地址:https://github.com/JesusFreke/smalidea
- Smali Support:setting->Plugins->Marketplace->搜索Smali Support
Android studio 配置
- Android Studio 配置(一):
- Android Studio 配置(二):
- Android Studio 配置(三):gradle项目构建:
Android Studio手动配置Gradle的方法:[Android Studio系列(五)] Android Studio手动配置Gradle的方法_androidstudio gradle_u010142437的博客-CSDN博客
(1) android sutdio第一次打开一个工程巨慢怎么办?
(2) 手动配置Gradle Home为什么总是无效?
(3) 明明已经下载了Gradle,配置了gradle home,为什么打开工程还是去自动下载Gradle?
Gradle 构建配置详解:Gradle 构建配置详解 | 程序员笔记
史上最全 Android build.gradle 配置详解:史上最全Android build.gradle配置详解 - 简书
在开发过程中,
- debug 版本我们可以跟踪调试,查看 bug 等信息,
- 但是 release 版本中只能去打 log 进行代码进行猜测,还有就是 dump 堆栈等无法与代码直接交互的方法。无源码调试 指的是在没有源代码的情况下可以对 app 进行代码调试,逆向 smali 代码,然后查看其运行逻辑。对发现 release 版本问题的过程中可以让我们更块的定位错误。
安装 smalidea 插件
从 github 下载 smalidea.zip,然后在 Android 中依次选择:
- File ---> setting -> Plugins -> 齿轮 -> Install Plugin from Disk…-> 找到smalidea-0.06.zip
在弹出选择对话框中,找到下载好的 smalidea 压缩包,选择ok即可
方法 1:导入 APK 调试 smali
Android Studio 2022 可以直接导入apk 包就可以进行动态调试
File ---> Profile or Debug APK ,会自动生成smali进行查看
设置 Project 的 sdk:
如果是通过 "新建项目" 导入的 smali ,则不需要设置 sdk,因为 新建工程 时已经有默认的 sdk
如果是通过 " 导入已经存在的 " 方式导入 smali ,则需要设置 sdk :
选择 sdk ,这里选择 sdk 1.8
调试
连接上手机,进行debug
方法 2:反编译 apk 为 smali 进行调试
常用的反编译工具有 Apktool、AndroidKiller、jadx、jeb 等
第一步:拿到想要 debug 的 apk。
第二步:反编译 apk 得到 smali 代码。这里使用 AndroidKiller ( AK 实际是调用 apktool 进行反编译)。
让 apk 可调式
在 Android 真机上调试程序有一个前提,就是这个apk包必须有 debuggable=true 的属性才行。
让运行在设备中的程序支持 debug。方法有几种:
- 把设备 root 掉,修改 /default.prop 文件的 ro.debuggable=1
- 使用 模拟器
- 修改 apk 的 Manifest application 属性 android:debuggable="true",可以用 apktool 解出 Manifest 然后修改,接着重新打包回去。
- 打开系统调试总开关,使用 am 命令,以调试模式启动应用。
- Magisk 模块可以实现 app 的 debug。xposed 也有对应模块。直接搜索 "debug" 找到对应模块安装即可。 ( 推荐 )
- 终极办法,自己编译一个 debug 版的 rom,这个稍微麻烦一点,自己编一个,想怎么玩就怎么玩。
下面只说明两种方法,
- 一种是 修改 " AndroidManifest.xml " 实现可调试 ,
- 另一种是 "打开系统调试总开关"
修改 " AndroidManifest.xml " 实现可调试
修改 " AndroidManifest.xml " 实现可调试。使用 AndroidKiller 进行反编译,然后在反编译出的 AndroidManifest.xml 添加 debug 属性
如果没有这个属性的话,需要自己添加 android:debuggable="true" 然后编译安装修改后的 apk 即可。。。
修改 AndroidManifest.xml 之后,只要以调试状态启动 app 即可
命令:adb shell am start -D -n com.wizardev.testjar/.MainActivity
转发 8700 端口 到安卓 对应进程 [app_pid]。命令:adb forward tcp:8700 jdwp:446
记住这时候需要将 DDMS 关掉,不然会出现错误
方法 2:
找到启动 apk 的启动界面,然后在启动界面的 onCreate 方法的第一行添加 invoke-static {}, Landroid/os/Debug;->waitForDebugger()V 这句代码。
怎么知道程序的启动界面呢? 其实可以通过以下几种方式:
方法 1: 观察 “AndroidManifest.xml” 文件中的代码,看下图
如果图中 “1” 处的代码,那么程序启动界面的 smail 文件就是 “2” 处的名称。如上图启动界面的 smali 文件就是“MainActivity.smali”。然后在 “MainActivity.smali” 文件中的
onCreate
方法中添加等待调试的代码即可。用 am 命令,使目标程序以调试模式运行。方法 2:通过 adb 命令来发现 apk 的启动界面,命令:adb shell dumpsys activity top
运行命令后会出现以下界面
图中用红框标记的就是启动界面的 smali 文件名。注:这种方式找到的启动界面可能不准确,因为有的 app 会有欢迎页,因此推荐用第一种方法来找 app 的启动界面。
主 Activity 中加入
invoke-static {},Landroid/os/Debug;->waitForDebugger()V
回编译 apk 并签名安装到手机,如果启动 app 出现以下界面,则说明以启动模式运行app成功。
(这步如果重新打包失败,可以安装原始包,把手机 root 配置/default.prop 的 ro.debuggable=1 开启全局调试。
然后用命令启动 Activiry : adb shell am start -D -n package属性的值/android:name属性的值 )
打开系统调试总开关
这种方法不用修改 “AndroidManifest.xml”,而且当你打开这个开关后手机中的所有 App 都是可以调试的了。但是这种方法操作起来比较复杂,而且手机必须是已经 root 过的,下面会详细描述怎么打开系统调试的总开关。
这里会介绍两种方法,第一种方法是大家普遍采用的,但是我使用采用第一种方法没有成功,于是查找资料找到了第二种方法,如果你使用第一种方法不成功,那么可以试下第二种方法。
第一种方法
- 下载 mprop 文件 ( https://github.com/wpvsyou/mprop )
- 依次运行一下命令设置 “ro.debuggable”
adb push “下载mprop文件所在的位置”\mprop /data/local/tmp/
adb shell su
chmod 755 /data/local/tmp/mprop
data/local/tmp/mprop
setprop ro.debuggable 1
/data/local/tmp/mprop -r - 运行 getprop ro.debuggable 命令可以查看 debuggable 的状态,显示为 1,表示更改成功。
注:这种方法在开机后设置的“debuggable”将会失效,需要重新设置
第二种方法
这种方法其实说复杂也不复杂,说不复杂呢!还是有一点复杂的。具体操作方法如下:
- 需要手机刷入“Magisk”,下载:Releases · topjohnwu/Magisk · GitHub。Magisk是什么:简单的说就是集成了root的框架,它强大的是root权限还可以设置对其他软件隐藏。
Magisk的强大远不止这点,想了解Magisk具有哪些功能可以自行搜索。 - 通过Magisk安装“MagiskHide Props Config”模块,安装的方法可以看下面的动图。
安装完成之后需要重启,才能生效。
打开终端,输入以下命令
adb shell
props
会出现这个界面
然后,输入3,回车,会出现这个界面
然后,输入1,回车,出现这个界面
可以看到图中显示当前的 “ro.debuggable” 的值为0,如果要修改为1的话输入“y”,回车即可修改完成。接着终端会弹出是否重启,这时继续输入“y”重启,重启后修改的“ro.debuggable”才会生效。
经过以上5步,就可以打开系统调试的总开关,这时我们打开“Monitor”工具就可以看见当前运行的所有的所有进程了。
注:通过这种方式修改的 “ro.debuggable” 值,重启手机后不会还原,就是设置过后,手机重启后不需要再次设置。
打开系统调试的总开关后,这时通过 am 命令以调试模式启动应用,即可让目标应用处于可调式状态。
adb shell am start -D -n xxx
这里的 “xxx” 为我们要调试应用的启动界面,如我们要调试应用的启动界面为 com.wizardev.testjar/.MainActivity
则输入以下命令
adb shell am start -D -n com.wizardev.testjar/.MainActivity
这是目标应用就会以调试模式运行,处于等待调试的状态。
反编译的 smali 导入到 Android Studio
把 project 文件夹单独复制一份,然后导入 Android Studio 中。
导入步骤:菜单栏 ---> File ---> New ---> import Project... ---> 选择Create project from existing sources,之后一直选择 next 即可
导入完成后,切换到 project 视图 ( 不是 Android 视图 )。然后选择smali目录作为资源目录
不新建项目也行,但需要新建一个 module。
将项目切换到 project 视图,将新建的项目下 app 中 src 目录下的代码删除或将新建的 module 下 src 目录下的代码删除。
将我们反编译的 smali 文件夹放入 src 目录下。
这样,就将反编译的 smali 文件导入到 AndroidStudio 目中了。
配置远程调试的选项
设置调试器:run --> edit configurations ---> + --> Remote JVM Debug,端口选择:8700
Project Structure(Ctrl+Shift+ALT+S),Project SDK设置为 Android API 10 Platform
远程调试配置,Run -> Edit Configuration进入Run/Dubug Configurations;Add New Configuration(+符号) -> Remote,将 5005 端口,修改为 8700 端口
smali 打断点
安装设置 debug=true 的 APK,通过 adb shell dumpsys activity top | grep --color=always ACTIVITY 在终端获取包名和页面信息。也可以通过 配置文件查看包名
在 smali 中需要断点的地方打好断点,
通过以下命令行启动进程调试等待模式:
调试模式打开 app ( 命令: adb shell am start -D -n )
adb shell am start -D -n com.qianyu.zhuceji/.MainActivity
对 apk 进行动态调试,这条命令运行后手机屏幕将会进入到调试界面,千万别点手机上弹出来的对话框(不要点Force Close),它是在等待 debug 接入
进入等待调试
查看 Monitor 并记住下面红框里的两个值。
新版本的 AndroidStudio 已经淘汰了 Android Device Monitor 功能,可以使用 monitor 代替 ( D:\Android\Sdk\tools 下打开 monitor.bat )
然后把 Android Device Monitor关掉(这里一定要关掉,因为它会占用8700端口 导致后面转发端口失败)
开启转发
C:\>netstat -aon |findstr 8700
TCP 127.0.0.1:8700 0.0.0.0:0 LISTENING 10708
看看有没有哪个进程占用端口,没有就直接开启端口转发:
C:\>taskkill /PID 10708 /F
成功: 已终止 PID 为 10708 的进程。开启转发(这里jdwp是自己Android Device Monitor中要调试app的Online值,tcp为debug值)
C:\>adb forward tcp:8700 jdwp:3669
8700C:C:\>
获取运行 apk 的进程(pid):adb shell ps | grep 包名 。
- 示例:adb shell ps | findstr "zhuceji" ,如下图所示,可以看到 pid 是 3170
端口映射: adb forward tcp:8701 jdwp:<pid>
- 执行:adb forward tcp:8701 jdwp:3170 建立端口转发,即把端口 8701 上面的信息通过 jdwp 转发到 pid 是 3170 上面
开始等待调试
在 Android Studio 附加、动态 调试 smali
图二
此时,已经 Attach 到进程中,可以快乐的调试了。通过断点可以查看内存的信息。
打好断点之后。然后 Run --> Debug 'zhuceji_smail' 进行调试。
android studio 已经进入debug模式了 按F8执行下一步,F9运行程序
以上方法经常会出现端口转发问题,现象就是 android studio debug 的TCP端口 与 设备应用的端口无法绑定,导致启动debug 无法启动。
解决方法:直接 attach 一个进程
步骤: 菜单栏 ---> run ---> attach Process