IDA逆向apk时Java层和so层该先看哪边 IDA逆向apk时资源目录通常怎么定位

IDA逆向apk时Java层和so层该先看哪边IDA逆向apk时资源目录通常怎么定位，不能只按工具习惯去决定。IDA更适合查看native层，尤其是so文件里的ARM、AArch64、x86这类原生代码；而Android应用本身又包含了Manifest、DEX、资源、assets和native库等多类内容，所以分析顺序要看目标逻辑到底落在哪一层。IDA官方的Android调试文档也说明了，Android native debugging支持ARM32、AArch64、x86和x64这些目标。

一、IDA逆向apk时Java层和so层该先看哪边

分析apk的时候，不要一上来就把所有的dex和so都打开。更稳一些的做法，是先通过应用的入口、权限、组件和关键行为，来判断逻辑大概在哪一层，然后再决定是先看Java层，还是先看so层。

1、先看应用入口

一般应当先去看AndroidManifest、启动Activity、Service、BroadcastReceiver和ContentProvider。Manifest文件本身，就是用来声明应用组件、权限以及设备兼容性这些信息的，这些内容可以帮助判断应用的启动路径和功能边界。如果分析的目标只是普通的业务流程、界面跳转、网络请求或者参数拼接，通常先看Java层会更快一些，因为很多apk的业务逻辑、接口调用、按钮事件和权限判断，都还放在dex里面。

2、遇到native调用再转到so层

如果在Java层里频繁地看到了System.loadLibrary、native方法、JNI_OnLoad，或者是加密校验、签名校验、反调试、算法封装这一类的东西，那就要把视线转向so层了。这个时候，IDA就更加适合去打开对应lib目录下面的so文件，去查看它的导出函数、JNI函数、字符串、交叉引用以及关键的调用路径。

3、加固或者混淆时，先找壳和入口

有些apk的Java层被混淆得很厉害，真正的逻辑其实是放在so里面的，又或者是在启动以后，才动态地把dex给释放出来。这种情况下，就不要只盯着MainActivity看了，而是要结合加载库的名称、assets目录里的加密文件、lib目录当中异常的so，还有运行时的日志，去综合判断真正的入口在哪里。

二、IDA逆向apk时资源目录通常怎么定位

资源目录的定位，并不仅仅是为了去看图片和布局，它还能够帮助分析人员找到界面按钮、字符串提示、接口地址、配置文件，还有隐藏的开关。在很多时候，资源里的信息是可以反过来定位到Java代码和native调用点的。

1、先解包查看目录结构

解包以后，一般应当先去看AndroidManifest.xml、classes.dex、res、assets和lib这几项目录。在Android官方的资源说明当中，res目录会包含drawable、mipmap、raw、values这些子目录，而assets目录里的文件则不会生成资源ID，只能通过AssetManager去读取。这个区别是很重要的：res更适合用来追踪资源ID，而assets里面更常见的，是模型文件、配置文件、加密数据包，或者是离线的资源。

2、从res定位界面线索

res/layout可以帮助查看界面的结构，res/values可以查看字符串、颜色、样式和ID的名称，res/drawable和mipmap则可以查看图标和图片资源。如果看到了可疑的按钮文案、错误提示，或者是跟接口相关的字符串，就可以再回到dex里面，去搜索对应的资源ID或者字符串引用。

3、从assets和lib寻找隐藏逻辑

assets目录里的文件，不一定只是普通的资源，有些时候会存放证书、配置、脚本、加密过的dex、模型，或者是规则文件。lib目录则通常是按照ABI去区分native库的，比如arm64-v8a、armeabi-v7a这些。在Android App Bundle格式的说明当中也提到，res、lib和assets目录，与典型APK当中的目录是保持一致的。

三、Java层、so层和资源目录怎么串起来看

真正有效的apk分析，并不是Java看一半、so看一半，而是要把这三者放在一起去互相验证。资源可以提供界面和配置的线索，Java可以提供调用链，so则可以提供底层的算法和关键的保护逻辑。

1、用字符串作为连接点

资源里面的按钮文案、错误提示、接口路径，可以回到dex里面去找它们的引用；而dex里面的native方法名、库名和参数，又可以再回到IDA里面，去找JNI函数和字符串的交叉引用。这样顺着线索往下追，比盲目地去翻函数要快得多。

2、用调用链来确认层级

如果Java层仅仅是把参数传给了native函数，那么关键逻辑就是在so里面；如果so只是做了一些简单的加密或者校验，主流程就很可能还在Java层。不要因为用了IDA就只盯着so看，也不要因为Java层容易读，就忽略掉native库。

3、保留目录和版本的记录

在分析的时候，建议记录下apk的版本、包名、主要的Activity、so的名称、ABI目录、资源的线索，还有关键函数的位置。等到后面需要换版本对比的时候，这些记录就能够帮助快速判断逻辑是不是发生了移动、资源是不是改了名字，以及so是不是被替换掉了。

总结

IDA逆向apk时Java层和so层该先看哪边，以及IDA逆向apk时资源目录通常怎么定位，可以按照“Manifest定入口、Java层看业务、native调用转so、资源目录找线索”这样的顺序去推进。普通的业务逻辑，通常先去看Java层；算法、校验、反调试和JNI逻辑，则重点去看so层；而资源目录呢，就从res、assets、lib这三块入手，把界面、配置、native库和调用链串联起来，这样分析的效率就会高出很多。