IDA分析so文件时先抓哪类信息 IDA分析so文件时字符串结果该怎么筛

IDA分析so文件时先抓哪类信息IDA分析so文件时字符串结果该怎么筛，这个问题在进行Android原生库分析、漏洞排查和接口逆向的时候经常遇到。so文件打开以后，里头的函数数量很多，符号也有可能被裁剪过，直接对着反汇编代码去阅读，效率往往会很低，比较稳一些的做法是先去把握文件的一个基本轮廓，再去看它的导入导出情况、字符串内容、JNI接口以及关键的系统调用，先把大的方向确定下来，然后再去判断哪些函数值得深入查看。

一、IDA分析so文件时先抓哪类信息

在对so文件进行分析的时候，第一步不必立刻就按下F5去查看伪代码，因为反编译出来的结果只是后面需要阅读的材料之一，在这之前，还是应该先大体判断出这个库是用来做什么的，它对外提供了哪些接口，又依赖于系统当中的哪些功能模块，如果不这样做，那么看到的函数名称几乎都是sub_xxx这一类的形式，变量也难以看懂，分析方向就会越来越分散。

1、先把文件的基础信息弄清楚

当文件被打开以后，需要先确认它的架构、位数、入口段、加载基址，以及符号表是不是已经被裁剪掉了，ARM、ARM64、x86这些不同架构下的指令和调用约定各不相同，分析时采用的方法也就会有一些差别，如果符号被裁剪了，函数名偏少是很正常的，不要刚开始就觉得是IDA的识别出了错误，把这些基础信息确认好，后面再去查看地址、断点和偏移的时候，才不容易出现混乱。

2、接着去查看导出函数和JNI接口

进入【Exports】这个窗口以后，可以先观察一下有没有比较明显的导出函数，尤其是那种以Java_作为开头的JNI函数，JNI函数通常就是Android App用来调用so的入口，像Java_com_xxx_nativeLogin、Java_com_xxx_encrypt这一类的名字，常常可以直接提示业务的大致方向，假如没有发现明显的JNI符号，也需要留意JNI_OnLoad，它常常被用在动态注册native方法的场景当中，真正的函数绑定关系有可能就藏在注册表里面。

3、然后去查看导入函数

导入函数能够反映出这个so文件依赖了外部的哪些功能，比如在导入表里出现了fopen、read、write，那就有可能和文件操作相关，如果出现了connect、send、recv，那就要多注意网络通信方面的情况，要是看到了AES、SHA、EVP、MD5这类名称，那便可能和加密或者摘要处理有关，导入表虽然不能直接给出业务上的结论，但是能帮助我们把分析的范围缩小一点。

4、还要注意交叉引用关系

当找到了可疑的字符串、导入函数或者导出函数以后，不要仅仅停留在当前的位置上，而是要继续顺着交叉引用往下查，一个字符串被哪一个函数所引用，一个系统API是从哪些地方被调用的，这些内容往往比字符串本身还要更有价值，很多关键逻辑并不是写在入口函数里面，而是出现在经过好几层封装之后。

二、IDA分析so文件时字符串结果该怎么筛

so文件里包含的字符串数量往往很多，不能看到什么内容就直接点进去查看，特别是大型App的原生库，日志、路径、错误提示和第三方库的信息都混在一起，如果不进行筛选，就很容易被无关的内容带偏，在筛选字符串的时候，应当先去找那些“能够指向行为”的内容，而不是仅仅去看“看起来熟悉”的内容。

1、优先去查看错误提示和日志

错误提示、日志标签和异常信息，通常能够把函数的用途暴露出来，比如“invalid token”“signature failed”“decrypt error”“license expired”这一类的字符串，比起普通的文件名要更有分析的价值，在看到这类内容之后，就可以直接跳到引用它的位置，去观察附近是不是存在校验、分支判断和返回码。

2、筛选路径、URL和协议字段

路径、URL、域名、接口名和协议字段也是值得优先查看的，例如/data/data/、/sdcard/、http、https、api、token、auth、device_id这些关键词，常常能和文件读写、网络请求、设备信息采集这些事情联系起来，到了这里不一定马上就去下结论，但是可以把它们当成继续追踪的一个入口。

3、多留意加密和编码相关的词语

如果字符串当中出现了key、iv、salt、base64、rsa、aes、sign、hash这一类的词汇，就要多加注意，很多so文件会把加密、签名和参数混淆这些操作放在native层去处理，字符串不一定直接保存密钥，但是它能够提示算法的流程、错误分支或者函数的大致用途，真正要做判断的时候，还是需要回到交叉引用和调用链里去观察。

4、把无效和模板类的字符串过滤掉

有些字符串只不过是编译器的信息、第三方库的版本、格式化模板或者调试的残留，并不一定和业务逻辑有关系，比如大量的%s、%d、assert、标准库的错误文本，虽然数量上看起来很多，但是分析的价值其实是有限的，这一类内容可以先放到后面去处理，不要在刚开始时就陷在里头。

三、分析so文件时怎么把线索串起来

分析so文件比较担心的就是只盯着单个的点去看，字符串翻看了不少，导入函数也浏览了一遍，可是如果没有形成一条链路，最终仍然不知道重点在哪里，更好的方式，是把入口、字符串、API调用和关键的分支连成一条分析线。

1、从入口函数开始往下追

如果能够找到JNI入口，就从这个入口开始，去观察参数是怎样传入的、是否被转换成了C字符串、是否参与了加密过程、是否进入了网络或者文件相关的逻辑，JNI入口一般和Java层的业务关系要更近一些，先从这个地方下手，比起随机点开内部函数，要更加节省时间。

2、从关键字符串反过去推函数的用途

看到某一条有价值的字符串以后，就跳转到引用它的函数里面，再去观察这个函数附近又调用了哪些函数，假如同一个函数里面既有“sign failed”，又调用了SHA、RSA相关的接口，那它极有可能是和签名校验有关，可以暂时给这个函数改一个临时的名字，等后面再慢慢去确认。

3、把还没有确认的线索记录下来

在分析过程当中，对于还不确定的地方，不要硬下结论，比如某个函数看起来像是加密，某个参数看起来像是设备ID，都可以先标注成“疑似”，等到后面结合动态调试或者上层调用的时候再去确认，so文件的分析本身就免不了需要反复修正，过早把结论固定下来，反而容易让方向走偏。

总结

IDA分析so文件时先抓哪类信息IDA分析so文件时字符串结果该怎么筛，重点在于先把方向建立起来，然后再深入到函数里面去，开始的时候先去看架构、导出函数、JNI接口、导入函数和交叉引用，筛选字符串的时候优先去注意错误提示、日志、URL、路径、协议字段和加密相关的词汇，不必把每一个字符串都当成重点，也不要只靠一个字符串就去判断功能，把入口、字符串、API调用和分支逻辑串联到一起，so文件的分析思路就会变得清楚不少。