IDA Pro调试so文件为什么难附加 IDA Pro调试so文件符号缺失时怎么补信息

IDA Pro调试so文件的时候，会让人觉得很难附加，还有一旦so文件的符号缺了，该用什么办法去把信息补上，这是在做原生库分析时很容易碰到的问题。so文件一般不是自己独立去跑的程序，它得由某一个App、一个可执行文件或者一个进程动态地加载进来，所以在调试的时候，不能只把so文件往IDA里一拖，就等着它马上能停在断点上。IDA这个工具本身是支持调试的，也支持远程调试，对于Android原生库的调试也覆盖了ARM32、AArch64、x86和x64这些架构，但是到底能不能稳定地附加上去，还要看进程正处在什么状态、权限够不够、架构是不是匹配，以及符号信息是不是完整。

一、IDA Pro调试so文件为什么难附加

调试so文件时觉得附加困难，常见的原因倒不是IDA本身不能调试，而是目标进程、调试环境，还有so的加载时间这几样东西没有对上。so文件是一个动态库，只有在被进程加载到内存里之后，调试器才能拿到明确的运行上下文，才能去设置断点和观察数据。

1、目标进程还没有把这个so文件加载进来

很多人会直接在IDA里打开一个so文件，然后就开始在上面找地方下断点，可是真正跑起来的时候，目标进程很可能还没有去加载这个库。就拿Android App来说，启动之后，这个so可能得等用户进到某一个功能界面、触发了一次JNI调用，或者是执行完某一段初始化逻辑之后，才会被加载。如果断点下得太早，对应的地址还没有映射出来；如果下得太晚，那些关键的初始化代码又早就已经跑过去了。

2、调试架构和环境没有匹配好

在【Debugger】的设置里面，要确认本地使用的IDA、远程那一端的调试服务、目标设备的架构，以及so文件本身的架构，这几项是一致的。

比如说，一个AArch64的so，如果被错误地用成了32位的调试链路，或者设备上的调试服务版本和IDA的版本不匹配，就有可能出现附加不上去、断点不起作用、寄存器显示异常这一类情况。在开始调试之前，先把ABI、进程的位数和调试器的类型确认好，比后面一遍一遍地重启要省很多时间。

3、权限和进程状态带来的限制

有些进程并不是随便就能附加上去的，它们可能会受到系统权限的限制、应用本身的调试属性设置、沙箱环境，或者某些安全策略的影响。尤其是在移动端或者嵌入式Linux环境下，如果没有拿到合法的调试权限，IDA有时候能看见这个进程，但是附加上去的时候会失败，或者刚一附加就被断开了。这种情况，最好只在自有的程序、经过授权的测试环境，或者内部调试包里进行操作，不要简单地把问题归到IDA本身出了问题上面。

二、IDA Pro调试so文件符号缺失时怎么补信息

so文件里面符号缺失，是很常见的一种情况，特别是那些对外发布的版本，通常都会把符号剥离掉，只留下很少的一部分导出函数。符号一旦变少了，函数的名字、类型信息、结构体的定义、参数的含义都会变得不完整，分析的难度自然也就会变大。

1、先分清楚缺的是哪一类符号

有的so只是缺少调试符号，但是还能看见导出表；有的so连函数名都被裁减得很厉害，只剩下sub_xxx这一类自动生成的名字。前一种情况，还能依靠导出函数、字符串和交叉引用来继续分析；后一种情况，就需要结合调用关系、日志里的字符串、JNI注册表，还有外部的头文件，一步一步地去补充。

2、把可以拿到的调试信息加载进去

如果项目里面有没被strip过的版本、有符号文件、有map文件，或者有编译中间产物，都可以优先导入到IDA里面，用来补充函数名和类型信息。这一类信息比起人工去猜，要可靠得多。在做内部项目的调试时，最妥当的办法是把debug版的so、release版的so、编译用的map文件，还有对应的代码提交记录都保留好。这样后面再碰到崩溃地址，或者分析过程中发现符号不全，才能很快地对应到具体的函数位置。

3、利用头文件和类型信息去补结构

符号缺失的时候，除了函数名字，类型信息也是非常重要的。可以根据SDK的头文件、JNI的接口定义、结构体的声明、枚举值，还有日志里面打印出来的内容，一步步地把函数原型补出来。IDA是支持加载外部文件和类型信息的，在真正使用的时候，可以把常用的结构体、函数声明整理成一份可以复用的类型定义，这样后面再分析的时候，就会清楚很多。

三、IDA Pro调试so文件怎么减少反复排查

调试so文件的时候，最好不要每次都从零开始去试。比较稳当的办法，是先把手里的运行环境、加载时机、基址和符号资料这些前置的东西都整理清楚，然后再去开始动态调试。

1、先把模块加载的基址记下来

so文件在运行起来之后，会被加载到进程的地址空间里，实际地址和IDA里面看到的静态地址可能是不同的。在调试的时候，要先把模块的基址确认下来，再去看断点的地址是不是正确的。如果地址没有对齐，断点看上去是设好了，真正跑起来的时候可能根本就不会命中。

2、保留一套可以复现的环境

设备的系统版本、App的版本、so的版本、IDA的版本，还有远程调试服务的版本，这些信息最好都能记录下来。很多“今天能调、明天就调不了”的问题，最后查下来都是因为版本换过了、安装包换过了，或者符号文件没有对应上。

3、手动命名的结果要及时保存

在分析过程中，补充上去的函数名、结构体、注释，还有断点的说明，都要及时地保存下来。缺符号的so文件，很依赖人工去整理，如果没有把数据库保存好，下次再打开的时候，又得从头重新判断一次，效率就会变得很低。

总结

IDA Pro调试so文件为什么难附加，以及so文件符号缺失的时候怎么去补充信息，这里面的关键，是先要确认so是不是已经被目标进程加载了，然后再去检查架构、权限、远程调试链路和模块基址。符号缺失的时候，不要只靠反汇编去硬猜，应当优先去找未strip的版本、map文件、头文件、JNI信息和日志字符串，来补充函数名、类型和结构体。等到环境、版本和符号资料这几样都理顺了，IDA Pro调试so文件的过程，就会稳当很多。