IDAPython指令碼分享 - 自動在.preinit_array .init .init_array下斷點
自動在.preinit_array .init .init_array下斷點
指令碼背景
- 在Android逆向的過程中,一個很常見的場景就是我們需要分析So模組的init函式(很多加固方案初始化的地方),每次我們使用IDA進行除錯的時候,都要手動的找一次 linker 中呼叫init函式的位置,重複又麻煩,於是就用指令碼把這個相對固定的過程用IDA Python指令碼固化下來,提高效率,順便跟大家分享一下。
指令碼使用注意事項
- IDA載入分析 linker 完畢之後(實時附加除錯的時候,可以在IDA切換到這個模組)
- 開發測試環境為Nexus 5X AOSP 6.0.0_r1
指令碼思路
通過閱讀 linker 中dl_open 相關原始碼可知,當So模組被載入重定位完畢之後,各類初始化函式會被呼叫,因此,直接在IDA中參考引用這些字串即可找到關鍵的下斷點的位置,這裡主要參考三個字串:
- DT_PREINIT_ARRAY
- DT_INIT
- DT_INIT_ARRAY
在這些字串被引用的時候,也就是對應初始化函式被呼叫的時候,因此直接在引用處下斷點,即可開始分析相關初始化函式
思路總結
- 通過閱讀對應部分原始碼,然後結合 IDA反彙編結果,先手工在IDA裡面找一遍,然後考慮結合實際的一些特徵值,配合 IDAPython API來進行指令碼自動化 ~..~
指令碼原始碼
相關文章
- IDAPython指令碼分享 - 自動在JNI_OnLoad下斷點Python指令碼斷點
- 解剖Nginx·自動指令碼篇(2)設定初始變數指令碼 auto/initNginx指令碼變數
- 精讀Nginx原始碼·自動指令碼篇(2)設定初始變數指令碼 auto/initNginx原始碼指令碼變數
- windows下oracle自動啟動指令碼WindowsOracle指令碼
- Oracle ADG 自動切換指令碼分享Oracle指令碼
- CentOS的System V init啟動指令碼CentOS指令碼
- Linux 下oracle自啟動指令碼LinuxOracle指令碼
- windows下rman自動備份指令碼Windows指令碼
- linux下新增oracle自啟動指令碼LinuxOracle指令碼
- suse下oracle的自動備份指令碼Oracle指令碼
- Oracle 10g在solaris 10下的自動執行指令碼薦Oracle 10g指令碼
- 自動ftp指令碼FTP指令碼
- linux下rman增量備份指令碼以及指令碼自動執行Linux指令碼
- 全自動baidu雲盤下載指令碼AI指令碼
- specjvm自動化指令碼JVM指令碼
- 自動備份指令碼指令碼
- docker指令碼自動化Docker指令碼
- LNMP自動部署指令碼LNMP指令碼
- awr自動收集指令碼指令碼
- 自動化RMAN指令碼指令碼
- Linux下Oracle隨機自動啟動指令碼設定LinuxOracle隨機指令碼
- solaris 10下的oracle 10g 自動啟動指令碼Oracle 10g指令碼
- Ubuntu自動啟動配置指令碼Ubuntu指令碼
- 網路卡自動啟動指令碼指令碼
- Dockerfile---指令碼自動化Docker指令碼
- Linux自啟動指令碼Linux指令碼
- Ceph 自動reweight指令碼指令碼
- hadoop自動提交指令碼Hadoop指令碼
- MySQL自動備份指令碼MySql指令碼
- 自動生成Statspack的指令碼指令碼
- Linux管理指令碼之自動執行指令碼Linux指令碼
- FTP自動下載並解壓縮檔案指令碼FTP指令碼
- 關於使用自動指令碼進行檔案下載指令碼
- centos 自動啟動指令碼和自啟動服務CentOS指令碼
- iOS自動打包指令碼+自動上傳到firiOS指令碼
- Windows下bat指令碼判斷埠是否可用WindowsBAT指令碼
- 在 docker 環境下 xdebug 斷點Docker斷點
- rhel as3下自動啟動和關閉oracle的指令碼S3Oracle指令碼