安卓應用程式的開發語言是java，但是由於java層的程式碼很容易被反編譯，而反編譯c/c++程式的難度比較大，所以現在很多安卓應用程式的核心部分都使用NDK進行開發。關於NDK的開發知識點，請看這篇部落格：Android之NDK開發。

        使用NDK開發能夠編譯c/c++程式，最終生成so檔案。而so檔案是一個二進位制檔案，我們是無法直接分析so檔案的，所以這裡需要用到一個反編譯工具IDA Pro。IDA Pro能夠對so檔案進行反彙編，從而將二進位制程式碼轉化為組合語言，利用IDA Pro神奇的F5功能還能將組合語言反編譯成c/c++程式。這裡使用的IDA Pro的版本為6.5版本。下面就介紹一下如何利用IDA Pro靜態分析so檔案的步驟：

        (0) 開啟IDA Pro，將libTestJniSo.so直接拖入到IDA Pro中，在彈出的”load a new file”視窗中，

       選擇”ELF for ARM(Shared object)[elf.ldw]”選項，然後再點選ok按鈕。如圖1所示：

圖1 使用IDA Pro載入so檔案

      等待一段時間後，我們就能看到反彙編libTestJniSo.so檔案所得到的彙編程式碼了。

    （1） 這裡我們主要介紹幾個主要視窗，其中IDA View-A視窗顯示彙編程式碼；Hex View-A視窗顯示機器碼（16進位制格式）；Function window視窗中儲存著各個函式的名字，找到對應函式名字，再雙擊即可定位到對應函式的彙編程式碼。

例如我們想要檢視Java_com_example_testjniso_MainActivity_helloFromJni函式的彙編程式碼，

只需在Function window視窗中找到Java_com_example_testjniso_MainActivity_helloFromJni函式再雙擊即可。如圖2所示：

圖2  定位函式

       如果想要檢視某條指令的16進位制程式碼，只需要單擊該指令，再切換到Hex View-A視窗即可。
    （2）如果IDA Pro帶有F5外掛，那麼我們可以按鍵盤上的F5，就可以將彙編程式碼轉換為C程式碼。例如我們想要檢視forTest0函式的C程式碼，我們只需要定位到forTest0函式的彙編程式碼後，再按F5就會生成一個Pseudocode視窗，該視窗就會顯示forTest0函式的C程式碼，如圖3所示：

圖3  反編譯檢視forTest0函式對應的C程式碼

     （3）我們一般是在Text View模式中檢視彙編程式碼，這樣很難看出程式的設計流程。另外IDA Pro還提供了一個Graph View，能夠幫助我們更好地檢視程式碼的設計流程。只需要在對應的函式處右擊再點選”Graph View”即可切換到Graph View模式，forTest0函式的Graph View如圖4所示：

圖4 forTest0函式對應的Graph View

       從圖4可以看出，BLE loc_E42這條語句後面跟了兩個箭頭，其中綠色箭頭表示當 BLE loc_E42 條件成立後所跳轉到的地方，紅色箭頭表示當條件不成立後所跳轉到的地方。如果想要切換到Text View模式，則只需在對應函式處右擊再點選“Text View”即可。

       本文簡單介紹瞭如何通過IDA Pro靜態分析so檔案，從而檢視對應的彙編程式碼。另外需要注意的是IDA Pro只能檢視彙編程式碼，不能修改彙編指令對應的機器碼。如果想要修改so檔案，需要使用UltraEdit等二進位制編輯軟體。逆向分析so檔案，需要熟練掌握ARM組合語言。這裡有一篇介紹ARM組合語言的部落格ARM彙編程式設計基礎(一) -- ARM CPU暫存器，有興趣的同學可以看看。
       本文資源下載地址：安卓逆向學習筆記（3）