零基础学习Android so文件分析（一）

在之前的Android安全学习过程中，大部分都是dex部分的分析，关于native只有零散的一些知识点，伪代码全靠F5。但是遇到复杂的函数就看不懂了，因此往往在分析至so层面时遭遇失败。然而elf文件的分析又是Android安全中不可避免的一块内容，所以还得从基础学起来。

自己写了个简单的demo，定义了一个native的add方法。

接下来将so文件拖入IDA中等待分析，以下的内容还是需要一些基础arm指令集、寄存器、寻址方式、栈平衡等知识才会无障碍。但即便是零基础，因为涉及到的内容都很简单，边查边看也是能看懂的。

等待载入的过程中，正好简单地回顾一下arm汇编中的寄存器内容，节选自网络：

寄存器	说明
R0-R3	用作传入函数参数，传出函数返回值。在子程序调用之间，可以将 R0-R3 用于任何用途。被调用函数在返回之前不必恢复 R0-R3。如果调用函数需要再次使用 R0-R3 的内容，则它必须保留这些内容。
...	（其他请自行查阅）

等到IDA载入完成后找到入口函数Java_com_johnhao_myjniapplication_JniTest_add，就可以一行一行阅读了。其中涉及到的ADD等arm指令，寻址方式等都很简单，就像上面说的现学也能看的懂，下面步入正题：

一行一行阅读然后加注释是个不错的初学手段，首先是将R4,R5,R7,LR压入堆栈，然后设置R7的值，并作为栈帧指针。接下来是R0-R3寄存器的保存，我们知道这个函数正好有4个参数（JNIEnv 、jclass、jint和jint），结合上面的表格知道R0-R3分别与之对应。STR R0, [SP,#0x2C+var_c]这行表示的是一种arm的寻址方式，SP表示的栈指针，后面可以根据这个指针和地址的偏移量，找到对应的操作数。

为了后面阅读方便，重命名了部分偏移量的名字，用以对应函数的四个参数（env、jclass、number1、number2）。

继续往后分析，B是跳转指令，这里跳转到了loc_668中。还是先看第一行LDR R0, [SP,#0x2C+temp_var]，和上面那行STR类似，都是基址变址寻址。通过sp指针以及偏移地址，取出tem_var的值并赋值给R0寄存器（tem_var是上面一个初始值为0的临时变量，所以重新命名为了tem_var），然后和2进行比较，如果大于就跳转到loc_682，否则跳转到loc_670。

接着往下看，loc_670中把临时变量tem_var和传入的参数number1相加，tem_var再自相加后跳转回loc_668。这里很明显的就是for循环的特征了，如果切换一下IDA视图，也可看出来。

完成循环后，将number1和number2相加，并将栈恢复成入栈时的样子，这个函数就结束了。最后再看一下F5的伪代码，不得不感叹IDA还真的是非常的强大。

至此，一篇简单的分析就完成了。这个过程中，了解了一些arm的基础指令（ADD、SUB、LDR、CMP等）；学习了一种寻址方式--基址变址寻址；回顾了寄存器的一些知识（R0-R3传递前4个参数，多余4个参数则使用堆栈方式传递）；脱离了F5伪代码独立完成了一段简单函数的分析，为后面的学习分析提供了一种方法。