行业解决方案
查看所有行业解决方案
IDA 用于解决软件行业的关键问题。
发布时间:2026-06-30 15: 55: 00
IDA Pro反编译so文件的时候,入口应该怎么去找,以及so文件在反编译完成以后,交叉引用又该怎样去看,先要弄清楚一件事情:so文件它并不是普通的exe,通常也没有一个像程序主函数那样清清楚楚的入口。so是共享库,里面很多的函数,都要等到宿主程序把它加载起来以后,才会被调用。IDA能够对so进行反汇编和反编译,但是在分析的时候,不能只盯着ELF Header里面的那个入口地址,更要去关注导出函数、初始化函数、JNI注册逻辑,还有交叉引用这一些关系。
一、IDA Pro反编译so文件时入口怎么找
so文件的入口判断,一般要从“加载的时候会执行什么”和“外部会调用什么”这两条线去分别看。不同平台下面的so,它的逻辑是不一样的,而Android的so又经常和JNI绑定在一起,所以入口往往不止一个。
1、先查看导出函数和符号表
打开【Exports】和【Functions】窗口,先去找出导出函数、已经命名的函数,还有那些明显跟业务有关的函数。
如果so没有被完全strip掉,函数名本身就会给出很多线索,比如JNI_OnLoad、Java_包名_类名_方法名、init、start、native这一类名字。按照Android官方文档的说明,JNI是Java或者Kotlin与C、C++原生代码之间进行交互的方式,native library会通过JNI被调用。因此,在分析Android so的时候,那些跟JNI相关的函数,往往要比ELF的入口点更值得优先去看。
2、重点去看JNI_OnLoad
如果存在【JNI_OnLoad】,通常就可以把它当成第一批要分析的对象。
在Oracle的JNI规范里面也说明了,native library可以去导出JNI_OnLoad,并且返回所需要的JNI版本;要是没有导出这个函数,虚拟机就会按照比较早的版本来处理。在实际的so分析里面,JNI_OnLoad经常被用来做初始化、注册native方法、加载配置,或者是进行环境的检查。反编译以后,可以先看一看它是不是调用了RegisterNatives,然后再顺着注册表,去找到Java方法和native函数之间的对应关系。
3、再去看.init_array和构造函数
如果没有特别明显的导出函数,那就可以到【Segments】或者【Names】里面,去查看是不是存在.init_array、.init,还有构造函数相关的一些位置。
.init_array这一块,通常保存着加载阶段会被执行的那些函数指针。IDA有时候能够自动把这些函数识别出来,有时候则只会把它们显示成数据或者偏移。要是碰到函数指针还没有形成引用的情况,就可以手动把地址转换成offset,然后再进到对应的函数里面去分析。Hex-Rays也提到过,IDA会去跟踪程序里不同位置之间的交叉引用,在必要的时候,用户也可以自己去补充引用,来辅助分析。
二、IDA Pro反编译so文件后交叉引用该怎么看
交叉引用并不是只去看“谁调用了谁”。在so的分析里面,它更多的时候是用来判断函数的入口、字符串的用途、全局变量的流向,还有JNI方法是怎么绑定的。在IDA里面,那些常见的xrefs可以帮助用户在代码和数据之间,来回地做定位。
1、先看函数的调用引用
在目标函数上面,使用【Xrefs to】去查看哪些位置调用了它。
如果一个函数并没有被直接导出,但是却被JNI_OnLoad或者注册表所引用,那它仍然有可能是很重要的业务函数。要是某个函数被多个外部的包装函数调用,那就说明它很有可能是一个公共的逻辑,比如加密、校验、解码、网络请求,或者是参数处理。Hex-Rays关于交叉引用的介绍里面也说明过,IDA会去记录并且展示xrefs,用户可以用它们来导航程序的结构。
2、再去看字符串的引用
通过【Strings】窗口找到那些关键的字符串,然后再按X去查看引用的位置。
像URL、错误提示、license、token、sign、encrypt、debug、root、JNI类名这一类的字符串,往往能很快把人带到关键的函数附近。so文件在被stripped以后,函数名很可能都没有了,但是字符串引用,却仍然能够帮助判断函数的用途。要是字符串附近没有出现引用,那也可能是IDA没有识别出偏移量,Hex-Rays关于hidden cross-references的说明里面也提到了,可以把原始数值转换成offset,让IDA去创建交叉引用。
3、注意数据引用和函数指针
so文件里面有很多调用,并不是直接的call,而是通过函数指针、表结构,或者是动态注册来完成的。RegisterNatives的方法表、回调表、虚函数表、全局的函数指针,这些东西都有可能让调用关系看起来是断开的。碰到这种情况,就要去查看【Data xrefs】和附近的数组结构,不能只盯着普通的code xrefs去看。
三、入口和交叉引用怎样结合起来分析
so的分析顺序不用太死板。比较稳当的做法,是先去找出几个候选的入口,然后再用交叉引用,去验证它到底是不是关键的那条路径。
1、从入口候选向外扩展
把JNI_OnLoad、.init_array里的函数、导出的JNI函数,都当成入口的候选,然后顺着调用的关系再往下看。碰到参数检查、字符串处理、加密函数、网络请求、文件读写,就继续跟下去。
2、从关键字符串反向回入口
要是入口非常乱,那也可以先反过来,从字符串开始往回查。比如找到了某一条错误提示以后,就去查看引用它的函数,再往上翻一翻,看看是谁调用了这个函数。这样从结果往回去推调用链,有时候比从入口开始一层一层地往下展开,还要更省时间一些。
3、补完类型以后再去看伪代码
so在反编译以后,如果JNI的类型、结构体,或者是函数的原型有缺失,F5生成的伪代码读起来就会非常困难。可以先给JNIEnv、jobject、jstring,还有函数指针表补上类型,然后再回到伪代码的窗口里面,去观察调用的关系。类型补得越是准确,交叉引用和伪代码也就越容易互相对应起来。
总结
IDA Pro反编译so文件的时候入口怎么找,以及so文件反编译以后交叉引用该怎么看,这里面关键的一点,是不要把so当成普通的exe去分析。入口可以从导出函数、JNI_OnLoad、.init_array,还有JNI的注册表这几个地方入手;交叉引用则需要同时去看函数调用、字符串引用、数据引用,还有函数的指针表。入口的作用,是帮助确定分析从哪里开始,而交叉引用的作用,则是把调用关系串联起来。只有把这两者结合起来一起看,才能比较快地找到真正的业务逻辑,而不是长时间地停在加载代码或者初始化代码里面打转。
展开阅读全文
︾