android平台arm指令学习和调试

一、Ndk下内联汇编

跟vc下一样，ndk编译环境下也能使用内联汇编，如下：

include 

int my_thumb(int dummy)

{

__asm__(

“mov r0,#1 \t\n”

“mov r1,#2 \t\n”

“add r0,r0,r1 \t\n”

“bx lr”

);

}

int main()

{

int n = my_thumb(12);

printf(“result :%08x”,n);

return 0;

}

再看看使用标签的例子：

#include 

int my_thumb(int dummy)

{

__asm(

“mov r0,#0x1\t\n”

“ldr r0,__start\t\n”

“adr r0,__start\t\n”

“ldr r0,=__start\t\n”

“__start:\t\n”

“nop\t\n”

);

}

int main()

{

int n = my_thumb(12);

printf(“result :%08x”,n);

return 0;

}

二、编译

创建android.mk文件，然后使用ndk-build进行编译

1）编译一个可执行程序，Android.mk文件的内容如下：

LOCAL_PATH := $(call my-dir)

include $(CLEAR_VARS)

LOCAL_MODULE:= helloa

LOCAL_SRC_FILES := testHello.c

include $(BUILD_EXECUTABLE)

2）编译一个so，android.mk文件内容如下：

LOCAL_PATH := $(call my-dir)

include $(CLEAR_VARS)

LOCAL_MODULE    := testJniSo

LOCAL_SRC_FILES := testJniSo.c

include $(BUILD_SHARED_LIBRARY)

3）必须有一个jni目录，目录结构：

4）这样之后，就可以在cmd窗口中，切换到代码目录，使用ndk-build命令进行编译。

三、调试可执行程序

1）Push 编译好的elf到样机中

2）使用gdbserver 启动该文件

“/data/local/gdbserver  :12345 /data/local/helloa”

3) adb forward tcp:12345 tcp:12345

4) 启动gdb

5) Target remote 127.0.0.1:12345

6) Ni 是单步，set disassemble-next on 下一句指令显示反汇编，使用set arm force-mode arm或者set arm force-mode thumb让gdb切换thumb和arm代码显示。

7) Display /i $pc 显示当前的代码

8) Continue 就是windbg的f5，od的f9

9) Info breakpoints 显示断点，而 delete删除断点 disable禁用断点

10) Disas 0xAAAA,+20（20字节的数据） 显示反汇编

11) 调试比较

 
Gdb arm和ida反汇编比较：

四、调试so

以爱加密为例，进行调试，范例是看雪求助帖给出的，链接如下：

http://bbs.pediy.com/showthread.php?t=184375

调试方法

1）So中实现的方法，程序跑起来再附加的话，该方法可能已经执行完。看雪上给出方法步骤较多，应用和底层都调试，有点复杂如下：

我试出来的方法，对so文件进行修改，让其在入口处直接调用它本身。需要注意的是，必须在so的入口函数处修改，如果在内部调用函数修改，app会自动退出。

2）gdb的调试，使用ndk下自带的gdbserver和gdb进行调试

3）将修改的so导入到手机该应用的lib目录下，覆盖之前的so文件。然后运行app，出现只有边界的黑框。Gdbserver附加，使用set 命令，将bl 调用自身的命令改回去，则可以进行正常调试了。

4）模块基地址的获取 cat /proc/pid/maps 找到

5）Dump 内存的命令式 dump binary memory c:\xxx startAd endAd

6)  小细节要注意的是：.init_proc的地址是0x31cb9，ida直接点过去，是一堆数据，摁c无法转成代码

因为arm指令和thumb指令是2字节或者4字节对齐的，所以，改地址加1应该是真正的地址。将该地址修改为调用自身，然后gdb附加，成功断下来，然后输入“i r $lr”查看返回值，如下

该地址恰巧是在linker模块中， 

此处的在linker中的代码如下：

7）至于为什么系统的linker会调用.init_proc，不得而知。该so的oep为空，没有section表，但是有dynamic section表。自己写一个so，并没有函数“init_proc”的导出，需要再研究下elf文件格式。

自解码

本身的so是经过加密的，解密的代码是在.init_proc+1的位置，字节码的代码较长，部分代码如下：

1)windows下逃避断点的方法，就是利用“code shadow”的方式，在申请内存，然后将代码拷贝到指定的申请的空间上执行，这样，直接断原代码是断不到的。但是，直接搜索二进制就可以找到这样的镜像代码。

如下，之前应该运行的代码：

拷贝到其它地方执行的代码：

2)计算指定函数的汇编指令长度：代码要进行拷贝执行，必须计算拷贝代码的长度。爱加密计算拷贝代码的长度方式是通过call来计算的。函数实现的排布如下：

__asm call targetFunc

xxxxxx

xxxxxx

xxxxxx

xxxxxx

xxxxxx

xxxxxx

Void targetFunc

而call的指令是：

00 f0是指令opcode，c0与跳转的距离有关，计算公式是（targetAddr – curAddr）/2 – 2 =opdataLen。那么知道c0就知道中间xxx代码的长度了。

3）爱加密处理的数据有三块，第一块未知，第二块是压缩过的指令数据，第三块是需要拷贝到堆上的代码，这三块数据总长度为0x29e3c，使用mmap2进行申请映射内存，如下：

然后将三块数据拷贝到映射的内存上， 

在此之后，数据内存排布：

AAAAAAAAA

BBBBBBBBBB

CCCCCCCCCC

爱加密还原代码前，处理了三块数据，如上。其中，“AAAAAAAAAA”数据是一组未使用过的数据，具体功能未知，长度为0x6b0；“BBBBBBBBBB”代表的是lzma压缩过的数据；“CCCCCCCCCC”代表的是拷贝函数的数据（一共拷贝三个函数的代码）。

4）修改lr，然后刷新cache，返回到mmap2得到的堆上的函数进行执行

OAD:510A4010 01 1C                       MOVS    R1, R0          ; r0             0x4fb83e3c
LOAD:510A4012 10 1C                       MOVS    R0, R2          ; r2             0x4fb83bd8
LOAD:510A4014 BE 46                       MOV     LR, R7          ; r7             0x4fb83d91
LOAD:510A4014                                                     ; 这里对lr寄存器进行修改
LOAD:510A4016 C3 E7                       B       libexec___ARM_NR_cacheflush

5）再次调用mmap2，抹掉最初的“AA”、“BB”和“CC”三块数据，这样，之前执行的代码和数据将都被清零。这三块数据就被搬运到第一次调用mmap2得到的地址上，数据在内存重新做了排布。

6）解压数据：将数据解压到第二次调用mmap2清零的地址上，偏移为0x6b0。数据的解压使用的是lzma算法，解压的代码： 

上图中，r4指向的lzma的解压函数，r0是待解压的数据，r1是待解压的长度，r2是解压到的地址，r3上是保存解压到的地址空间的长度的地址。Lzma的具体实现： 

7）修正指定数据：解压完的数据并不是最终的代码，还需要进行修正。修正代码如下： 

修正的方法是：解压后的数据从末端开始往前，每四字节为单位，如果这四字的最高个字节是低四位是0xb,则进行移位修复。（这种方法很像pe壳中解密代码后，对0xe8、0xe9、0xff25等的修复）修复代码如下： 

8）修改内存属性，代码就完全解密，并可以运行了。 

解密前的导出函数代码如下：

显然上图中的代码没法运行，解码后的代码如下： 

解码后的代码分析

解密后的代码上边已经给出，r0传递的就是jnienv虚表指针，gdb中显示相关api在libicuil8n.so模块中，如下：

1）动态注册接口：解密后的代码主要是动态注册用于java调用的接口，如下： 

2）load的实现 

3）run方法的实现 

gdb调试的问题：

1）Gdb在遇到bx pc；nop指令，从thumb指令切换到arm指令时，会出错，调试无法继续进行。解决方法：

http://sourceware-org.1504.n7.nabble.com/Fix-ARM-stepping-over-Thumb-mode-quot-bx-pc-quot-or-quot-blx-pc-quot-td69213.html）

2）gdb遇到如下的拷贝指令也会退出调试，解决方法是跳过这段代码的位置下断点。

LOAD:510A3F88             loc_510A3F88                            ; CODE XREF: libexec_memcopy+1Ej
LOAD:510A3F88 DC 13 B1 E8                 LDMIA   R1!, {R2-R4,R6-R9,R12}
LOAD:510A3F8C 01 50 55 E2                 SUBS    R5, R5, #1      ; 这里r5不断的减少
LOAD:510A3F90 DC 13 A0 E8                 STMIA   R0!, {R2-R4,R6-R9,R12}
LOAD:510A3F94 FB FF FF 1A                 BNE     loc_510A3F88
LOAD:510A3F98 D4 03 BD E8                 LDMFD   SP!, {R2,R4,R6-R9}