IDA Pro反编译so文件时入口怎么找 IDA Pro反编译so文件后交叉引用该怎么看

IDA Pro反编译so文件的时候，入口应该怎么去找，以及so文件在反编译完成以后，交叉引用又该怎样去看，先要弄清楚一件事情：so文件它并不是普通的exe，通常也没有一个像程序主函数那样清清楚楚的入口。so是共享库，里面很多的函数，都要等到宿主程序把它加载起来以后，才会被调用。IDA能够对so进行反汇编和反编译，但是在分析的时候，不能只盯着ELF Header里面的那个入口地址，更要去关注导出函数、初始化函数、JNI注册逻辑，还有交叉引用这一些关系。

一、IDA Pro反编译so文件时入口怎么找

so文件的入口判断，一般要从“加载的时候会执行什么”和“外部会调用什么”这两条线去分别看。不同平台下面的so，它的逻辑是不一样的，而Android的so又经常和JNI绑定在一起，所以入口往往不止一个。

1、先查看导出函数和符号表

打开【Exports】和【Functions】窗口，先去找出导出函数、已经命名的函数，还有那些明显跟业务有关的函数。

如果so没有被完全strip掉，函数名本身就会给出很多线索，比如JNI_OnLoad、Java_包名_类名_方法名、init、start、native这一类名字。按照Android官方文档的说明，JNI是Java或者Kotlin与C、C++原生代码之间进行交互的方式，native library会通过JNI被调用。因此，在分析Android so的时候，那些跟JNI相关的函数，往往要比ELF的入口点更值得优先去看。

2、重点去看JNI_OnLoad

如果存在【JNI_OnLoad】，通常就可以把它当成第一批要分析的对象。

在Oracle的JNI规范里面也说明了，native library可以去导出JNI_OnLoad，并且返回所需要的JNI版本；要是没有导出这个函数，虚拟机就会按照比较早的版本来处理。在实际的so分析里面，JNI_OnLoad经常被用来做初始化、注册native方法、加载配置，或者是进行环境的检查。反编译以后，可以先看一看它是不是调用了RegisterNatives，然后再顺着注册表，去找到Java方法和native函数之间的对应关系。

3、再去看.init_array和构造函数

如果没有特别明显的导出函数，那就可以到【Segments】或者【Names】里面，去查看是不是存在.init_array、.init，还有构造函数相关的一些位置。

.init_array这一块，通常保存着加载阶段会被执行的那些函数指针。IDA有时候能够自动把这些函数识别出来，有时候则只会把它们显示成数据或者偏移。要是碰到函数指针还没有形成引用的情况，就可以手动把地址转换成offset，然后再进到对应的函数里面去分析。Hex-Rays也提到过，IDA会去跟踪程序里不同位置之间的交叉引用，在必要的时候，用户也可以自己去补充引用，来辅助分析。

二、IDA Pro反编译so文件后交叉引用该怎么看

交叉引用并不是只去看“谁调用了谁”。在so的分析里面，它更多的时候是用来判断函数的入口、字符串的用途、全局变量的流向，还有JNI方法是怎么绑定的。在IDA里面，那些常见的xrefs可以帮助用户在代码和数据之间，来回地做定位。

1、先看函数的调用引用

在目标函数上面，使用【Xrefs to】去查看哪些位置调用了它。

如果一个函数并没有被直接导出，但是却被JNI_OnLoad或者注册表所引用，那它仍然有可能是很重要的业务函数。要是某个函数被多个外部的包装函数调用，那就说明它很有可能是一个公共的逻辑，比如加密、校验、解码、网络请求，或者是参数处理。Hex-Rays关于交叉引用的介绍里面也说明过，IDA会去记录并且展示xrefs，用户可以用它们来导航程序的结构。

2、再去看字符串的引用

通过【Strings】窗口找到那些关键的字符串，然后再按X去查看引用的位置。

像URL、错误提示、license、token、sign、encrypt、debug、root、JNI类名这一类的字符串，往往能很快把人带到关键的函数附近。so文件在被stripped以后，函数名很可能都没有了，但是字符串引用，却仍然能够帮助判断函数的用途。要是字符串附近没有出现引用，那也可能是IDA没有识别出偏移量，Hex-Rays关于hidden cross-references的说明里面也提到了，可以把原始数值转换成offset，让IDA去创建交叉引用。

3、注意数据引用和函数指针

so文件里面有很多调用，并不是直接的call，而是通过函数指针、表结构，或者是动态注册来完成的。RegisterNatives的方法表、回调表、虚函数表、全局的函数指针，这些东西都有可能让调用关系看起来是断开的。碰到这种情况，就要去查看【Data xrefs】和附近的数组结构，不能只盯着普通的code xrefs去看。

三、入口和交叉引用怎样结合起来分析

so的分析顺序不用太死板。比较稳当的做法，是先去找出几个候选的入口，然后再用交叉引用，去验证它到底是不是关键的那条路径。

1、从入口候选向外扩展

把JNI_OnLoad、.init_array里的函数、导出的JNI函数，都当成入口的候选，然后顺着调用的关系再往下看。碰到参数检查、字符串处理、加密函数、网络请求、文件读写，就继续跟下去。

2、从关键字符串反向回入口

要是入口非常乱，那也可以先反过来，从字符串开始往回查。比如找到了某一条错误提示以后，就去查看引用它的函数，再往上翻一翻，看看是谁调用了这个函数。这样从结果往回去推调用链，有时候比从入口开始一层一层地往下展开，还要更省时间一些。

3、补完类型以后再去看伪代码

so在反编译以后，如果JNI的类型、结构体，或者是函数的原型有缺失，F5生成的伪代码读起来就会非常困难。可以先给JNIEnv、jobject、jstring，还有函数指针表补上类型，然后再回到伪代码的窗口里面，去观察调用的关系。类型补得越是准确，交叉引用和伪代码也就越容易互相对应起来。

总结

IDA Pro反编译so文件的时候入口怎么找，以及so文件反编译以后交叉引用该怎么看，这里面关键的一点，是不要把so当成普通的exe去分析。入口可以从导出函数、JNI_OnLoad、.init_array，还有JNI的注册表这几个地方入手；交叉引用则需要同时去看函数调用、字符串引用、数据引用，还有函数的指针表。入口的作用，是帮助确定分析从哪里开始，而交叉引用的作用，则是把调用关系串联起来。只有把这两者结合起来一起看，才能比较快地找到真正的业务逻辑，而不是长时间地停在加载代码或者初始化代码里面打转。