"if-eq vA, vB, :cond_**"   如果vA等于vB则跳转到:cond_**
 "if-ne vA, vB, :cond_**"   如果vA不等于vB则跳转到:cond_**
 "if-lt vA, vB, :cond_**"   如果vA小于vB则跳转到:cond_**
 "if-ge vA, vB, :cond_**"   如果vA大于等于vB则跳转到:cond_**
 "if-gt vA, vB, :cond_**"   如果vA大于vB则跳转到:cond_**
 "if-le vA, vB, :cond_**"   如果vA小于等于vB则跳转到:cond_**
 "if-eqz vA, :cond_**"      如果vA等于0则跳转到:cond_**
 "if-nez vA, :cond_**"      如果vA不等于0则跳转到:cond_**
 "if-ltz vA, :cond_**"      如果vA小于0则跳转到:cond_**
 "if-gez vA, :cond_**"      如果vA大于等于0则跳转到:cond_**
 "if-gtz vA, :cond_**"      如果vA大于0则跳转到:cond_**
 "if-lez vA, :cond_**"      如果vA小于等于0则跳转到:cond_**

# annotations

.annotation system Ldalvik/annotation/MemberClasses;
value = {
Lcom/aaa$qqq;,
Lcom/aaa$www;
}
.end annotation

//这个声明是内部类的声明：aaa这个类它有两个成员内部类——qqq和www，内部类将在后面小节中会有提及。

const/4 v0, 0x1
iput-boolean v0, p0, Lcom/aaa;->IsRegistered:Z

sget-object v0, Lcom/aaa;->ID:Ljava/lang/String;

iget-object v0, p0, Lcom/aaa;->view:Lcom/aaa/view;

const/4 v3, 0x0
sput-object v3, Lcom/aaa;->timer:Lcom/aaa/timer;

.local v0, args:Landroid/os/Message;
const/4 v1, 0x12
iput v1, v0, Landroid/os/Message;->what:I

invoke-static {}, Lcom/aaa;->CheckSignature()Z 

const-string v0, "NDKLIB"  
invoke-static {v0}, Ljava/lang/System;->loadLibrary(Ljava/lang/String;)V

invoke-direct {p0}, Landroid/app/TabActivity;-><init>()V

sget-object v0, Lcom/dddd;->bbb:Lcom/ccc;
invoke-virtual {v0, v1}, Lcom/ccc;->Messages(Ljava/lang/Object;)V

invoke-direct/range {v0 .. v5}, Lcmb/pb/ui/PBContainerActivity;->h(ILjava/lang/CharSequence;Ljava/lang/String;Landroid/content/Intent;I)Z

const-string v0, "Eric"
invoke-static {v0}, Lcmb/pbi;->t(Ljava/lang/String;)Ljava/lang/String;
move-result-object v2

const/4 v0, 0x0   //vo =0;

.local v0, i:I

:goto_0

if-lt v0, v3, :cond_0     //  v0小于v3 则跳到cond_0并执行分支 :cond_0

return-void
    :cond_0                // 标签

iget-object v1, p0, Lcom/aaa/MainActivity;->listStrings:Ljava/util/List;        // 引用对象

const-string v2, "Eric"

invoke-interface {v1, v2}, Ljava/util/List;->add(Ljava/lang/Object;)Z    // List是接口, 执行接口方法add

add-int/lit8 v0, v0, 0x1　　// 将第二个v0寄存器中的值，加上0x1的值放入第一个寄存器中, 实现自增长

goto :goto_0                // 回去:goto_0标签

.locals 4

const/4 v2, 0x1

const/16 v1, 0x10

.local v1, "length":I

if-nez v1, :cond_1

:cond_0

:goto_0

return v2

:cond_1

const/4 v0, 0x0

.local v0, "i":I

:goto_1

if-lt v0, v1, :cond_2

const/16 v3, 0x28

if-le v1, v3, :cond_0

const/4 v2, 0x0

goto :goto_0

:cond_2

xor-int/lit8 v1, v1, 0x3b

add-int/lit8 v0, v0, 0x1

goto :goto_1

软件界面：

0x0 脱壳
本软件v3.3使用的爱加密壳，v3.4使用的360壳，不过对于那些大鸟们来说，什么壳都没用，目前我们处于smali阶段，不介绍壳的脱法，不像pc破解一上来就告诉你如何脱壳，后面阶段，将会由@PoJie_小雨 给大家讲述脱壳实战。

0x1 运行软件找关键点
我们首先来到付费页面，如下图：

开头中我已经讲过这个软件的验证流程，既然这样，我们直接点击授权按钮观察有什么关键点

软件提示我们并没有获取授权，那么这类文字通常会以文本形式写在String.xml，对应的布局文件或者以unicode形式写在smali中，对于游戏来说，这类可能是以图片形式放在图片文件，或者自定义格式的文件，甚至是通过网络获取的，我们了解之后，先尝试第一种，直接搜索
Androidkiller载入apk

嗯，直接搜索到了，减少了我们很多的工作量，那么，文本都有对应的id，我们再次搜索这个id，等等，我们好像发现了更重要的东西

我们看到了授权成功的文字，那么我们换思路，直接搜索授权成功的id

我们这里看到了这个神奇的数字，新手相信都不知道这个玩意是怎么来的，那么这里我稍微普及下，apk在编写时，开发工具都会对源代码自动编译，生成对应的标示符,通过这些标示符，来引用对应的资源，详细一点的可以阅读这篇文章
http://blog.sina.com.cn/s/blog_7b83134b01016043.html

0x2 尝试破解
我们接着搜索0x7f080100，发现两处可疑处

分别点进去看看，顺便我们也记下授权失败的标示符，0x7f080102，这里我们可以方便我们判断

这里我们看到的就是授权失败时弹出的对话框，我们找到它的标签是:cond_1，接着我们向上翻，看到哪些跳转会跳到:cond_1，我们来到方法的开始

这是个接收信息的方法，通常是由handler实现的，我们大体可以知道，在付费成功后，会想这个函数传递一个message，这个方法就是判断传入的message的值，通过这个值来判断是否付费成功，这里我们看到一个cond_3，我们找到：cond_3，

这里我们看到，获取res资源中的0x7f08011a，并转换为string类型，再传入到Alertdialog的message中，我们看看它到底调用了什么资源

看到是这个，看来跟我们破解无关，跳过，我们就直接针对这两个跳转即可

如果v1<=0或者v1>v2，则跳转到：cond_1，我们不让它跳，在pc破解中，我们有两种方法，一种是设置为相反的跳转，另一种就是nop掉，lez对应的就是ge，不过这种方法不保险，我推荐第二种，不走跳转，直接向下走if函数中的代码，我们删除这两条即可，另一个smali修改方法类似，稍有出入

接收传入的message，判断v0是否等于0x1b207，不等的话，跳转到:cond_2，我们观察到，如果跳转的话，就会越过成功提示的方法，我们不能让它跳，nop掉，下面一个跳转到：cond_1的判断也一并删除，保存，打包测试。

嗯，提示成功，那么我们测试下付费用户的功能是否能够正常使用

ok，付费主题可以使用，说明我们破解成功了，那是不是就结束了呢？当我们退出程序再进入的时候发现主题丢了，什么鬼？来到付费页面，发现授权按钮又可以点击了，之前我们注意到，授权成功后，按钮就会呈现灰色不可点击的状态，那说明了什么，这个程序有重启验证！

0x3 突破重启验证
之前我们在尝试破解时，在成功函数中看到了这段信息，

如果是付费状态，“isDefaultTheme”的值是v1，在方法首可以看到v1定义的是1，这里是个putBoolean，即通过Sharepreferences.editor写入了true，那么我们通过分析发现，我们是在重启后丢失授权信息的，那验证方法肯定在第一个显示的页面被调用，我们找到程序的主页面所在的类，来到HelloWorldActivity.smali下，我们尝试搜索“isDefaultTheme”，结果搜到好几个

比如这样的，通过观察，我们发现这些方法都只是调用了isDefaultTheme的布尔值，也就是说，这些并不会改变我们的授权状态，我们需要找到的是会更改布尔值的函数，即putBoolean，我们逐个排查，经过筛选后，我们找到了唯一一个

那其中的v2就是它经过判断后重新赋予的值，我们找到这个值是什么，向上翻

我们看到此处定义的是0，即false，那找到病因了，我们就该下药了

A.方法1：

在传值之前更改v2的值，考虑到不影响整个程序的运行，不建议修改方法开始时的v2值，我们仅在此处修改

B.方法2：
不让程序进行赋值，即跳过这个判断流程，我们找到这个函数体的标签，即:cond_3，根据尝试破解中的手段，跳过这个标签即可。

我们只找到一个，nop掉，为保证程序一定会能跳过此处，建议是nop掉if-nez v3的同时，将下方的if-eqz v0，改成goto ：cond_4，这样程序就一定不会走：cond_3这个分支，isDefaultTheme的布尔值就一定会真，好，打包测试

我们退出后重开程序，依然是灰色状态，说明我们真正授权成功拉！

六、了解JAVA反编译工具

首先，我们需要了解下，安卓应用是拿什么语言开发的，毫无疑问，JAVA，那么安卓=java么，显然这不是一个等式。

总的来说Java程序和Android程序的区別在于Android程序是基于组件,基于配置的.Android 虽然使用Java语言 作为开发语言，但是在实际开发中发现，还是与Java SDK 有 一些不同的地方。Android SDK引用了大部分的Java SDK，少数部分被Android SDK抛弃，比如说界面部分，java.awt package除了java.awt.font被引用外，其他都被抛弃，在Android平台开发中不能使用。

上面废话了一大堆，目的就是说，安卓是用java开发的，不过部分api进行了添加修改和舍弃。那么为什么我们逆向要接触java呢，常规的我们使用apktool进行反编译之后的classes.dex文件都被转换成了smali文件，大家刚接触安卓逆向的可能都知道，smali语言晦涩难懂，比如楼主，到现在smali还是一知半解的，那么有没有什么更好的办法来帮助我们学习逆向呢，当然有，常规的逆向工具已经为我们集成了dex2jar组件，这个组件就是用来将dex文件转换成jar文件，配合神器jd-gui就可以查看java源码，直接打开jd-gui，使用内置的打开功能或者拖拽将jar包放入jd-gui中即可查看。

配合搜索功能，我们可以很轻易的到达我们需要查看的类或者搜索方法甚至是常量，在search for中我们可以设置。

那我们可不可以直接保存出这个java源码放入开发工具直接使用呢，我相信50%是可以的，不过jd-gui的还原能力当然也是有限的，大部分情况下，我们看到的源码虽说功能没有错误，但语法是有错误的，比如下面这张：

我们就讨论下那面那个return，大家玩pc逆向的可能也都清楚，程序遇到return即会跳出判断，循环等等，不会再执行下面的语句，这很明显是反编译问题，那有没有什么更加准确的反编译工具呢，当然有，JEB，绝对神器，目前我们能够免费使用的是14年版的jeb 1.5，官方已经更新到了2.0.1，有条件的可以自己去买个正版，一年1080刀，差不多近7000块钱。可以看下图对比一下反编译准确性

有没有发现这基本就像程序猿写出来的标准代码？JEB的强势之处还远不及如此，一些经过混淆的类，在dex2jar+jd-gui无法显示的时候，JEB可以做到，JEB可以解决大部分这类情况，但也有少数混淆加密过于强大，使得神器也失效。

不过需要注意的是，目前还没有任何一款工具是能够直接修改java源码的，懂得这些工具也是帮助大家分析smali语言，说到底，懂得smali才是王道，毕竟只要能反编译成功就一定能看到smali语言，而二次反编译成java是很有可能失败的。

本课只是对大家进行了解相关工具，具体实践还是得靠大家。

JEB使用入门教程：http://blog.csdn.net/u011069813/article/details/9373465
jd-gui更新地址：https://github.com/java-decompiler/jd-gui/releases
dex2jar更新地址：https://github.com/pxb1988/dex2jar/releases

七、了解JEB和IDA使用

距离上次的教程帖已经过去很久了，一直没心思码帖子，关键也不知道该写什么，这次给大家普及下JEB和IDA的初步使用教程，具体深入的还是得靠大家自己，所谓师傅领进门，修行靠自身，在下给各位师傅请安了。
本次课程样本：http://www.52pojie.cn/thread-313869-1-2.html

0x0 jeb是什么
JEB是Android应用静态分析的de facto standard,除去准确的反编译结果、高容错性之外,JEB提供的API也方便了我们编写插件对源文件进行处理,实施反混淆甚至一些更高级的应用分析来方便后续的人工分析.（摘自乌云）
jeb凭借其牛X的保护措施和高昂的售价，使得诸多普通逆向爱好者望而却步，当然ida也是，目前网络上仅流传着jeb 1.5和ida 6.6的破解版，虽是旧版，面对很多情况依然是绰绰有余


0x1 使用jeb
第一次使用jeb一般是需要配置一下java环境的

如上图配置，JAVA_HOME根据自己的jre环境设定，之后就可以运行jeb_wincon.bat了，打开jeb后，将apk或者dex文件拖入到jeb窗体中，经过耐心的等待后，就可以看到jeb已经反编译完成了，针对一些加密的apk，apktool反编译不了的，往往jeb能够成功，但不代表所有都能成功，这也是jeb的牛逼之处，安卓加密商针对的更多的是apktool自身的漏洞，反编译完成后，我们就看到程序的smali代码了，

可以点击string查看dex中的字符串，ctrl+f就可以进行搜索了

搜索到需要的字符串后双击就可以来到smali代码处，如果看不懂smali，按下tab就可以看到java代码了，是不是很神奇？

当我们来到一个java文件后，想快速定位到一个命令调用的方法时，可以直接在这条命令上双击即可

还是很方便的吧，点击上方的后退按钮可以快速回到上一级，即返回这条命令的地方

那jeb的使用呢，差不多就这些，其它的自己琢磨吧，切记jeb是无法修改代码的哦（小提示，在代码中右键点击comment可以快速添加备注，点击rename item可以修改函数名哦，在代码被混淆时，这个非常有用）

0x2 ida是什么
交互式反汇编器专业版（Interactive Disassembler Professional）,人们常称其为IDA Pro，或简称为IDA,是总部位于比利时列日市（Liège）的Hex-Rayd公司的一款产品。开发IDA的是一位编程天才，名叫Ilfak Guilfanov。
ida的强势之处在于其强大的静态分析能力，不管什么格式的文件，不管此文件是否能够正常打开，都不会影响它的静态分析，配合更加牛逼的f5插件（目前只有ida 6.5版本的插件），可以轻松的看到c的伪代码，对于看不懂汇编的人，这无疑很大程度上帮助他理解代码
PS:当然我们都是盗版用户拉，目前正版版本6.8
在安卓上面，我们使用ida主要是分析so,lua,dll此类文件，dex什么的交给Android killer这类软件即可，本次主要讲了解静态分析，不涉及动态
样本依然是鬼哥的apk文件，我们提取出其中的so文件，用ida打开，默认选项ok等待其分析完成即可

在exports选项卡中可以看到所有调用的函数，我们定位到需要分析的方法，首先我们需要知道怎么知道方法名，在编写jni的时候，每调用一个nativie方法，都会使用这类语句进行调用

样本中如下图

那我们可以在ida中快速搜索ggPrintHello即可，回到ida，alt+t可以进行搜索方法名（如果需要搜索字符串，只需要先shift+f12切换到string选项卡，再次alt+t即可），输入后回车就可以定位到该方法，双击进入后

映入我们眼帘的肯定就是汇编代码了

那看不懂怎么办，只需要f5一下即可

是不是相当于汇编来说直观多了，当然ida也支持重命名方法名和参数类型等等

不过ida对中文的支持很不好，除了添加备注外，其余情况下基本不能添加或者修改为中文，那ida分析so的时候也是只能看不能改，怎么才能改呢，这就要借助到16进制编辑器了，定位到我们需要修改的代码

然后切换到HEX VIEW-A就可以看到16进制了，记下当前的地址，

使用如010Eiditor此类软件打开，ctrl+G来到00000BBA地址，修改16进制后保存即可，具体的进制转换自己查资料吧

八、java分析工具jadx，jeb双管齐下

原帖名为：是时候该了解下jadx了，记一次proguard混淆的app的整理笔记
个人觉得这个也偏于基础，就列为第八课吧

样本是一个不错滴可用于逆向分析时的app，叫做当前Activity，开启后可以实时显示当前运行应用的活动名和包名，当时开始整理这个App代码的起因就是了解下这个app到底如何实现这个功能的

还有个关键的原因是他非常的小，才0.1M，相信代码量也不会大，本文呢，主要是面向一些有开发基础和分析经验的小伙伴，因为不涉及native，所以难度也不大

那既然本文标题中说道是时候该了解jadx了，那jadx又是什么鬼，众所周知，在我们把smali转成java源码时通常是借助d2j+jd-gui，或者是JEB1，这两个软件都有各自的优势和缺陷，前者反编译能力较弱，抗干扰能力很弱，对于一些嵌套循环的反编译展示能力很差，后者反编译能力极强，能够代码跟踪，添加备注，方法重命名等等，相对于jd-gui，代码逻辑性较强，比较友好，但也许是因为是老版本的缘故，毕竟新版依然是2.0，部分情况下，jeb的代码结构有点烂，其次变量名不友好，都是以v0，v1_1这样展示的，需要手动修改，不太方便，那这个时候就出来一个jadx了，我们直接对比下

jd-gui效果：

结构及其混乱，友好度非常低，简直无法直视

jeb1效果：

goto是什么鬼，在java中早已摒弃了goto关键字，在c中，goto也是非常不推荐使用的，虽然逻辑感还不错，但在恢复工程时，就有点头疼了

看看我们大杀器，jadx：

强大的逻辑性，对于需要分析app的人员来说，这简直太TM棒了，优雅的代码展示效果，有意义的变量名，让人一看结构就非常清晰，然而

jadx也是有不少缺陷的：
1：稳定性不够高，依赖于jre，在反编译大型apk时，容易假死和崩溃
2：不支持中文unicode显示
3：抗干扰能力也一般，如下图

所以在分析app时，我通常的做法是jeb+jadx双管齐下

那今天主要的内容是如何恢复这个app工程

代码结构如图

很显然，作者在编译时已然选择了proguard进行混淆，proguard在默认情况下会将非四大组件（Activity，Service，Broadcast，Content Provider）的类进行重命名为abcd这类无意义的字母，从而增大app的逆向难度

这次就是要同时使用jadx和jeb工作在恢复工程，最终的展示效果

首先，当然是需要使用Android Studio来新起一个工程，如果你还在使用Eclipse开发安卓的话，就out拉，然后我们逐步对类进行恢复

、

我们首先要做的就是对逐个变量进行重命名，jeb派上用处了，如下图

然而我们发现在下方getBoolean处显示的是2131034112，这显然是个索引值，可以在R.java中找到，但这样就浪费了我们查找的时间，我们看看jadx

jadx在反编译时就已经帮我们查找到每个对应的索引，这个时候观察起来就非常的直观

整个恢复过程，我们需要做的就是将jeb中的每个资源文件，Manifest文件拷贝到新的工程中，基本没有什么需要修改的，准确性很高，我们主要需要做的就是理解代码作用，整理代码

这个工程没有什么难度，我挑一个这里面最难的进行分析

在分析的过程中在广播类中我们看到了一个av类，这个类引用自v4兼容包，跟踪之后

发现这里面也已经全部被混淆，这个时候只能根据自己的经验判断了，在代码中我们看到实例化了NotificationManager类，那声明了这个，就一定有一个与之对应的Notification类要出现，但我们发现，常规的Notification是引用自import android.app.Notification; 显然于我们看到的是不符合的，这个时候就需要我们去“猜”了，我们来到app文件夹下，观察是否有类似的方法

在这里我们看到了NotificationCompat类，这是一个兼容类，可以适用于较大跨度的api版本，那估计就是这个了，直接看下后面对应的方法

这里引用了一个string值，目测就是设置标题栏了，用setContentTitle进行替换，果然，没问题，接着

又是一个图标，这里目测就是显示正文处的图标了，用SetSmallIcon替换，搞定

剩下的一起丢上来，b方法调用了一个string值，那应该就是正文内容了，毕竟在观察原版app的时候，正文就是显示的一个固定字符串，不放心的也可以去看下touch_to_open对应的字符串是否与原版app的内容相同

恢复后个结果如图

基本上只要理清了所有的调用关系和逻辑关系，就能够将工程恢复出来，当然只是时间问题了

一个有意义，直观的方法，内容可以很好的帮助我们分析程序，比如在分析木马时就可以很好的理解其具体的作用

最后奉上完成工程和jadx地址

工程：https://github.com/Qrilee/WatchActivity

jadx：https://github.com/skylot/jadx

九、APP动态调试

快一年没更新教程了，期间实在是蛋疼，介于水平有限，也不知道能教什么，这次就讲讲App动态调试吧

0x0 什么是动态调试
我们常规的拿到一个App，往往是通过Androidkiller ，JEB ，Jadx来进行反编译后查看源代码，通过一定的特征追踪到程序关键处，对关键处进行分析或是爆破以达到破解，逆向的目的，
静态分析比较考验一个人的分析能力和代码阅读能力，很多新手可能看到smali代码或是java代码内心是拒绝的，因为不了解程序逻辑，不知道下一步会做些什么，那这时候就需要动态调试了，当然了，动静结合才是王道，此篇教程主要讲动态。

0x1 有哪些动态调试手段
1.Idea对smali代码进行动态调试，Eclipse不管是开发还是调试我都不推荐，实在是落后的很，Android Studio是基于Idea修改而来，所以调试方法一样，还有其他一些，我没用过就不提了，Idea需要安装调试插件SmaliIdea，可以在官网下载到最新版：https://bitbucket.org/JesusFreke/smali/downloads
2.IDA对dex、so动态调试，dex是可以通过静态附加进行来进行动态调试的，但IDA对变量类型支持不太友好，所以能用Idea还是用idea吧，IDA主要用于so调试，脱壳，dump数据等等。
3.JEB动态调试，自jeb2.2以上，已经支持动态调试，并且是无缝调试，可以从java层跟踪到native层，并可以正常返回到java层，非常强大，最新版同时支持了arm64调试，奈何买不起。
4.GDB动态调试，个人对GDB的使用仅限于附加，dump，而GDB的功能远不止于此，下断，跳转等等都能做，个人理解不深，就略过了

0x2 Idea调试smali
由于是入门教程，我就讲的详细点，打开Idiea，长这样

点击Configure中的pluign，之后如下图，找到smaliidea的压缩包文件进行安装

安装完成后需要重新启动程序，找个测试样本，反编译，安利一下自己做的反编译工具箱：http://www.52pojie.cn/thread-429318-1-1.html 。

新建工程，配置一下jdk环境

为了调试方便，请把反编译后的smali文件夹重命名为src，把将工程目录选择为反编译的工程目录

正常的情况应该如下图：

找到Manifest下的启动类，在该类入口出点击左侧栏可以直接下断

之后找到我们需要分析的地方进行下断，我随便找了一处，如下图

之后就需要以debug模式启动App了，通过ApkTool Box可以很轻松的生成

启动后需要打开ddms，或者通过adb shell ps查看进程号，方便起见直接ddms

点击Run ，点击debug，需要配置一下，如下

完成后就可以点击Debug来附加App了，成功后如下

我们直接Ctrl + R让程序恢复运行，程序断在了下一个断点处

比如这里我们需要获取Token值，我们F6单步，顺便说一下，这些调试都是可以把寄存器添加到watch窗口的，这样可以很清楚的看到寄存器的值

看到token值会保存在v2中，我们直接选中v2右键Add to Watches，单步。。。

此处由于是涉及到支付宝登录，出现一些问题，换个app重新来吧，之前步骤略过，这里用了飘云13期教程的例子，本章节也将围绕这个App讲了，

Watches已经显示我们输入的值

调试方法已经教给大家，剩下的就是逻辑分析了，大家自行尝试

0x3 IDA动态调试
IDA动态调试通常有两种，一种直接附加App，另一种是程序运行时，通过IDA将静态分析的文件附加到进程上，通常情况下如果需要刻意分析某个程序中特定so时，则使用第二种方法，脱壳分析时，一般使用第一种

动态调试通常会使用到这么多指令，转发23946端口，这是andrdoid_server的端口值，以root权限启动android_server监听23946端口，以调试模式启动需要调试的App，转发程序进程的端口到8700

1.直接附加App，这里以调试某壳为例，本章不讲脱壳，脱壳部分会略过，只是讲一个调试的形式

输入上面的指令后，点击Debugger的Attach to Progress就可以看到需要的调试的进程了，如果没有显示进程，请确认android_server文件是否已经被赋予执行权限，并且以root模式启动，jdb附加后就可以正常调试so了

对关键地方下断，就可以对此处寄存器值进行修改，达到反-反调试的目的，处理完这个就可以很轻松的拿到dex

2.静态分析so后附加进程，还是以飘云的例子，反汇编so后找到导出函数

这里因为没有发现java开头的函数，那就知道是动态注册，f5 JNI_Onload函数，发现很混乱，需要导入jni.h处理一下

在Structures标签处按下键盘下的insert按钮点击添加，添加jniEnv和javaVM两个指针，修改后的代码如下

具体操作可以看飘云的视频教程：http://www.52pojie.cn/thread-507566-1-1.html

知道so有反调试后，我们可以尝试静态附加，直接断在Jni_Onload处，下断

选择debugger调试器

成功附加后，选择第二关，即会加载so文件，点击same后来到JNI_Onload处

之间静态看代码时已经看到函数首选会ptrace进程，不去除的话我们将无法调试，直接NOP掉

工具可以在这个帖子中下载：http://www.52pojie.cn/thread-506728-1-1.html

F8运行到此处，直接在16进制窗口填充进去F2即可，

此时程序已经可以正常调试了，剩下的也交给大家自行尝试吧

PS：文章中有几张截图直接引用了视频教程中的过程，本人在实验过程中遇到ida一些问题

总结：这次的教程主要也是讲个方法，具体的还是得大家自行实践，动态调试往往用于那些代码比较复杂，静态分析困难时会使用到，或者是dump一些重要数据，比如脱壳，dump游戏中的lua文件，等等

说说个人对于反调试的理解，目前主要用到的反调试手段有，检测模拟器，检测IsDebuggerConnected，检测android_server名称，检测android_server端口号，检测tracerpid，检测单步调试时间，子进程ptrace主进程，主进程fork子进程，hook fopen函数等等

除fork，hook fopen外，其余几种一般都可以在ida调试时手动去除，或者是通过写hook 插件去除，或者是直接修改系统源码来去除，看大牛写的hook插件并不困难，可以过滤到大部分反调试，最后记得调试一定要用真机，调试一定要用真机，调试一定要用真机。