[原创]让你的Android Studio能够对任意进程进行源码级native debug
1天前
1711
引言
在进行逆向分析时我们经常需要将自己的代码注入到第三方进程内悄咪咪的干一些事情,为了能够更直观的看到注入代码是如何工作的,我们往往会使用Android Studio配套的debug工具在被注入的进程内观察自己的代码执行,可以说是相当之舒服了。
然鹅很不幸的是,有时候用Android Studio attach到第三方进程时会报错,提示”Cannot find module that matches process name xxxxxxx”,如下图所示
![图片[1]就去ID网[原创]让你的Android Studio能够对任意进程进行源码级native debug-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com就去ID网97ID网](https://v4.97id.com/wp-content/uploads/2021/11/64cb7f444718d91a1adcdd39e1587791.jpg)
可以说是相当之蛋疼了,稍微有经验的分析者可能会知道这和native debug有点关系,只需要在attach时选择只debug java代码就能够避免这个问题 ,如下图所示。选择Java Only后就能给继续愉快地debug了。
![图片[2]就去ID网[原创]让你的Android Studio能够对任意进程进行源码级native debug-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com就去ID网97ID网](https://v4.97id.com/wp-content/uploads/2021/11/62837b34db94471d5223e19a1855ba89.jpg)
一般来说,问题到这里就可以告一段落了,毕竟我们还能借助无敌的ida来完成完成native部分的debug。然鹅ida的汇编级debug很多时候还是不够直观,使用体验终究是不如Android Studio的源码级debug。如果我们能够想办法让Android Studio能够像ida那样对任意进程的native code进行debug,配合上idea良好的debug交互体验,许多问题解决起来就会变得轻松许多了。
结果展示
这里先放github地址:https://github.com/necuil/android_studio_sdk_modify
太长不看的可以直奔github的release内下载最终文件进行替换。
正式开始之前先放一下最终结果,如下图所示,我们成功对MT管理器开启了Android Studio的native + java级debug,接下来只需要像debug自己的程序一样快乐滴下源码级断点就好了。
![图片[3]就去ID网[原创]让你的Android Studio能够对任意进程进行源码级native debug-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com就去ID网97ID网](https://v4.97id.com/wp-content/uploads/2021/11/e6b1d7a68f5c8f84a25e7d60902f4564.jpg)
但是这还不够,实际上我们在进行某些特殊的开发时可能需要debug这些进程的子进程,例如分析那些通过execve启动的elf进程等。他们可能是fork出来的,也可能是execve出来的,不过这不重要,可以看到Android Studio的可debug进程列表里显示出了MT管理器的所有子进程
![图片[4]就去ID网[原创]让你的Android Studio能够对任意进程进行源码级native debug-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com就去ID网97ID网](https://v4.97id.com/wp-content/uploads/2021/11/27a14b0644bef1b13692a3d20ebfbe32.jpg)
成功将Android Studio的native debugger attach上了pid值为19765的MT管理器的子进程。
![图片[5]就去ID网[原创]让你的Android Studio能够对任意进程进行源码级native debug-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com就去ID网97ID网](https://v4.97id.com/wp-content/uploads/2021/11/73695edf4feb401f37fd06a3bff0a418.jpg)
那么接下来就让我们一步一步想办法解决这个问题。
开干
首先我们需要解决的是”Cannot find module that matches process name xxxxxxx”问题,在我们尝试对第三方的进程进行native debug时as将会弹出这个提示,那么是那里弹出的这个提示呢?很可惜的是这部分代码并不在Android Studio开源的部分里,虽然尝试过手动编译AS进行debug来定位,但是很可惜aosp里的AS源码是不完整的,按照aosp提供的编译文档无法成功编译,当然也可能是我操作有误,如果哪位朋友知道是怎么回事的话欢迎反馈。
那么我们来思考一下,第三方进程和我们项目里的进程在as看来区别是什么呢?最直观的显然就是进程名了,倘若我们创建一个Application类型的module,然后将其packageName修改成对应的进程名是否就能debug了呢?然鹅这个世界显然没有辣么温柔
![图片[6]就去ID网[原创]让你的Android Studio能够对任意进程进行源码级native debug-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com就去ID网97ID网](https://v4.97id.com/wp-content/uploads/2021/11/d62af32baf67ad16c3003a42d170bbc5.jpg)
只看到一句显眼的
Error while starting native debug session: com.intellij.execution.ExecutionException: Unsupported device. This device cannot be debugged using the native debugger. See log file for details.
未完待续……
[注意] 欢迎加入看雪团队!base上海,招聘安全工程师、逆向工程师多个坑位等你投递!
最后于 15小时前
被不吃早饭编辑
,原因:
#逆向分析
#NDK分析
#协议分析
#程序开发
#HOOK注入
#源码分析
#工具脚本
#其他
收藏
・12
点赞・1
打赏
分享
|
最新回复 (4) |
|
|---|---|
![图片[7]就去ID网[原创]让你的Android Studio能够对任意进程进行源码级native debug-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com就去ID网97ID网](https://v4.97id.com/wp-content/uploads/2021/11/08a65e3e8bf430f45a22527554bf5567.png)
|
火钳刘明
|
![图片[10]就去ID网[原创]让你的Android Studio能够对任意进程进行源码级native debug-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com就去ID网97ID网](https://v4.97id.com/wp-content/uploads/2021/11/35f28eeca485f51066dc3872c47eac8c.png)
|
替换文件之后启动as报错
|
![图片[14]就去ID网[原创]让你的Android Studio能够对任意进程进行源码级native debug-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com就去ID网97ID网](https://v4.97id.com/wp-content/uploads/2021/11/e67ca94d12bd9e2b6f65f698c6b461a0.png)
|
|
![图片[18]就去ID网[原创]让你的Android Studio能够对任意进程进行源码级native debug-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com就去ID网97ID网](https://v4.97id.com/wp-content/uploads/2021/11/46edba3b51f8222b2fdaf8368598eeea.png)
|
有时间试试效果!!
|
|
|
|
![图片[8]就去ID网[原创]让你的Android Studio能够对任意进程进行源码级native debug-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com就去ID网97ID网](data:image/svg+xml,%3csvg xmlns='http://www.w3.org/2000/svg' class='icon js-evernote-checked' aria-hidden='true' data-evernote-id='577'%3e %3cpath d='M512 64h1152c249.6 0 448 198.4 448 448s-198.4 448-448 448H512c-249.6 0-448-198.4-448-448s198.4-448 448-448z' fill='%2393E4D8' data-evernote-id='37' class='js-evernote-checked'%3e%3c/path%3e%3cpath d='M569.6 224v588.8h57.6V224zM1004.8 505.6v300.8h-57.6v-25.6h-204.8v32h-57.6V505.6h320z m-57.6 57.6h-70.4v160h70.4V563.2z m-128 0h-76.8v160h76.8V563.2zM851.2 364.8l-44.8 32c32 32 64 64 83.2 96l44.8-32c-19.2-25.6-44.8-57.6-83.2-96zM460.8 300.8V704h64V300.8z' fill='%23FFFFFF' data-evernote-id='38' class='js-evernote-checked'%3e%3c/path%3e%3cpath d='M761.6 358.4h256v-64h-224l12.8-44.8c0-6.4 6.4-12.8 6.4-19.2l-57.6-12.8c-32 89.6-70.4 153.6-108.8 204.8l38.4 51.2c32-32 57.6-76.8 76.8-115.2zM1363.2 268.8v480h-57.6V704h-76.8v57.6h-64V268.8h198.4zM1305.6 512h-76.8v140.8h76.8V512z m0-192h-76.8v134.4h76.8V320zM1459.2 460.8l-51.2 32c38.4 57.6 70.4 115.2 89.6 160l51.2-38.4c-19.2-44.8-51.2-96-89.6-153.6z' fill='%23FFFFFF' data-evernote-id='39' class='js-evernote-checked'%3e%3c/path%3e%3cpath d='M1600 806.4h-115.2l-12.8-57.6h108.8c12.8 0 25.6-6.4 25.6-25.6V390.4h-211.2v-57.6h211.2V224h64v108.8h70.4v57.6h-70.4v345.6c-6.4 51.2-32 70.4-70.4 70.4z' fill='%23FFFFFF' data-evernote-id='40' class='js-evernote-checked'%3e%3c/path%3e %3c/svg%3e)
![图片[9]就去ID网[原创]让你的Android Studio能够对任意进程进行源码级native debug-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com就去ID网97ID网](https://v4.97id.com/wp-content/uploads/2021/11/44cc6b11ef857ad03eb91fdad62ff08c.png)
![图片[11]就去ID网[原创]让你的Android Studio能够对任意进程进行源码级native debug-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com就去ID网97ID网](data:image/svg+xml,%3csvg xmlns='http://www.w3.org/2000/svg' class='icon js-evernote-checked' aria-hidden='true' data-evernote-id='675'%3e %3cpath d='M512 64h1152c249.6 0 448 198.4 448 448s-198.4 448-448 448H512c-249.6 0-448-198.4-448-448s198.4-448 448-448z' fill='%2381E2ED' data-evernote-id='42' class='js-evernote-checked'%3e%3c/path%3e%3cpath d='M608 499.2c12.8 25.6 32 51.2 51.2 83.2l38.4-51.2c-25.6-32-57.6-64-83.2-96v-32h70.4v-57.6H608V224h-64v121.6H460.8v57.6h83.2C524.8 473.6 492.8 544 448 601.6l25.6 64c32-44.8 57.6-102.4 70.4-160v300.8h64V499.2z' fill='%23FFFFFF' data-evernote-id='43' class='js-evernote-checked'%3e%3c/path%3e%3cpath d='M972.8 243.2v38.4c-12.8 51.2-25.6 102.4-32 140.8h76.8v32c-12.8 83.2-44.8 160-83.2 217.6 32 32 70.4 64 115.2 89.6l-44.8 51.2c-38.4-32-76.8-57.6-108.8-96-38.4 38.4-83.2 70.4-134.4 96l-38.4-57.6c51.2-25.6 96-51.2 128-89.6-32-44.8-57.6-89.6-70.4-140.8-19.2 121.6-57.6 217.6-108.8 281.6l-51.2-38.4c70.4-83.2 108.8-224 108.8-409.6v-57.6h-64v-57.6h307.2z m-64 57.6h-121.6v89.6c12.8 89.6 51.2 166.4 102.4 236.8 32-44.8 51.2-96 64-147.2h-89.6c12.8-38.4 25.6-83.2 32-134.4l12.8-44.8zM1644.8 608v204.8h-57.6v-25.6h-256v25.6h-57.6V608h371.2z m-57.6 51.2h-256v76.8h256v-76.8z' fill='%23FFFFFF' data-evernote-id='44' class='js-evernote-checked'%3e%3c/path%3e%3cpath d='M1363.2 326.4l57.6 12.8c-6.4 12.8-12.8 25.6-25.6 32h230.4v51.2c-25.6 32-57.6 64-102.4 89.6 64 25.6 134.4 38.4 217.6 38.4l-12.8 57.6c-102.4-6.4-192-25.6-268.8-64-76.8 32-166.4 57.6-281.6 76.8l-25.6-57.6c96-12.8 179.2-32 243.2-57.6-25.6-12.8-51.2-32-70.4-51.2l-76.8 57.6-38.4-44.8c57.6-38.4 108.8-83.2 153.6-140.8z m185.6 96h-185.6c32 25.6 57.6 44.8 96 57.6 38.4-12.8 70.4-32 89.6-57.6z' fill='%23FFFFFF' data-evernote-id='45' class='js-evernote-checked'%3e%3c/path%3e%3cpath d='M1715.2 262.4v128h-64V320h-409.6v76.8h-64v-128H1408l-19.2-38.4 70.4-12.8c6.4 12.8 12.8 32 19.2 44.8h236.8z' fill='%23FFFFFF' data-evernote-id='46' class='js-evernote-checked'%3e%3c/path%3e %3c/svg%3e)
![图片[12]就去ID网[原创]让你的Android Studio能够对任意进程进行源码级native debug-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com就去ID网97ID网](https://v4.97id.com/wp-content/uploads/2021/11/d4703eaf01b2cb992da4b77c0a4e1292.png)
![图片[13]就去ID网[原创]让你的Android Studio能够对任意进程进行源码级native debug-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com就去ID网97ID网](https://v4.97id.com/wp-content/uploads/2021/11/5f736ac95d343836083878ff63e4bec7.png)
![图片[15]就去ID网[原创]让你的Android Studio能够对任意进程进行源码级native debug-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com就去ID网97ID网](data:image/svg+xml,%3csvg xmlns='http://www.w3.org/2000/svg' class='icon js-evernote-checked' aria-hidden='true' data-evernote-id='774'%3e %3c/svg%3e)
![图片[16]就去ID网[原创]让你的Android Studio能够对任意进程进行源码级native debug-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com就去ID网97ID网](https://v4.97id.com/wp-content/uploads/2021/11/fe4c7dd01aa86cbc99446b5759c3e269.png)
![图片[19]就去ID网[原创]让你的Android Studio能够对任意进程进行源码级native debug-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com就去ID网97ID网](data:image/svg+xml,%3csvg xmlns='http://www.w3.org/2000/svg' class='icon js-evernote-checked' aria-hidden='true' data-evernote-id='868'%3e %3c/svg%3e)
![[原创]Vmprotect3.5.1 壹之型 — 暗月·宵之宫-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com就去ID网97ID网](https://97id.com/wp-content/uploads/2022/02/28065f7dad11fe88353c6b934b9dc7f8-300x41.jpg)
![[原创]让你的Android Studio能够对任意进程进行源码级native debug-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com就去ID网97ID网](https://97id.com/wp-content/uploads/2021/11/08a65e3e8bf430f45a22527554bf5567.png)
请登录后查看评论内容