引言

最近在捣鼓移动端的脱壳，虽然目前这方面的教程有挺多的了，但还是走了很多弯路，现在希望把这些内容记录下来帮助有需要的人

环境准备

手机环境

首先请准备一台手机，这台手机需满足以下三个条件：

——必须是真机

——手机系统版本为安卓4.4及之前的系统

——手机已经root

首先解释为什么要是真机，因为模拟器经常会遇见各种各样的问题（亲测）导致有些步骤进行不下去。

关于第二点，因为目前网上能找到的教程都是几年前的，那个时候的安卓系统仍然是用着dvm虚拟机，加载so文件用到的库是libdvm，而5.0以上的系统已经统一使用ART进行加载了，所以如果你用5.0以上系统照着原来的教程做，就会发现做了一半就跟不下去了。再一个就是移动端的壳发展到现在已经更迭了好几代了，一代比一代难脱，要入门最好还是从第一代开始脱。

至于第三点的话，自然就是因为准备环境时需要往手机根目录下放一些文件，或是安装xposed框架。

程序环境

程序的话，自然是要找一个已经加了壳的应用，且这个应用本身不会太复杂，以防反编译的时候出现一些奇奇怪怪的问题。

关于这点，参考这篇文章：https://www.v2ex.com/t/298813

这个链接里有目前几款主流加壳应用的官网地址，在其官网里一般都会有介绍哪些APP使用了他们家的壳，我在其中找到了计算管家这款看起来就很简单的软件。

接下来就是要找到这款软件几年前的版本，在这里可以用PP助手或是安智市场，这两个应用商店都可以下到历史版本的APP。

在这里我使用了在安智下载的计算管家3.1.1版本的APP

操作步骤

放置IDA的APP调试服务器

找到IDA的根目录，进入dbgsrv的子目录下，可以看见有一个名为android_server的文件，这个就是要使用IDA调试so文件所需要的程序。你想啊，我在电脑上怎么才能调试手机上的程序呢？一个方案当然是我在手机上弄一个调试器，但手机屏幕这么小，根本不方便调试，那么最好就是我在手机上这个调试器只提供调试功能，而把操作界面放到电脑上来，而android_server这个文件就是起到这个作用了。

接下来我们需要把这个文件弄到手机根目录下去。在这里我们可以在手机上下个RE管理器或者ES文件管理器（可能有人会说直接用adb

push，但是有些机子，即使已经root了，也会因为各种各样的权限问题导致传不下去），先把文件通过数据线转到手机内置或外置存储卡上，然后使用上述APP将根目录挂载为可读写，然后将这个文件复制过去。在这里你可以任意更改这个文件的名字，也可以放在任意地方(网上有的说放在/data下，有的放在/data/local/tmp下，其实位置并不是固定的)，我为了方便运行这个程序，直接放在了根目录下，改名为as，然后通过adb

shell将这个文件权限改为777。

将ro.debuggable的值改为1

为了使用jdb恢复程序的运行，我们需要：

APK的AndroidManifest.xml中debuggable为true

或是根目录下的 ro.debuggable的值为1，如下图所示：

关于这一步怎么做，参考这篇文章：http://blog.csdn.net/feibabeibei_beibei/article/details/52744231文章中提到了4种方法，其中第二种因为壳没脱下来，没办法回编译，更改不了，第三种太麻烦。就只剩下第一种和第四种。

第一种需要安装第xposed，有的手机可能安装不了这个。

就剩下第4种，这种方法因为某种原因也不能在我手机上正确运行，所幸我找到了mprop这个软件的最新版：https://bbs.pediy.com/thread-215311.htm第4种方法因为是修改内存，所以default.prop中的值仍然是原来的，而且重启后要重新运行一次。

以root权限运行android_server

打开手机的usb调试，连接上数据线，在电脑上的cmd里运行adbshell，有的人可能运行不成功，有可能是因为adb被占用的原因（我曾经因为使用了酷狗，一直被它自己的音乐传输后台程序给占用着）,进入到shell后，输入su获取root获取，然后./as运行android_server，这里最好用su切换root权限后再运行，以防出现权限不够的情况。

在这里可以看到它在监听端口23946，等着别人来连接它。

进行端口转发

上一步里android_server在监听端口23946，我们可以用adb

forward tcp:23946 tcp:23946这个命令将pc端的23946端口转到手机端的23946，这样ida附加调试的时的地址就只需要填127.0.0.1，即本机地址了。

实际上这一步并不是必要的，只不过如果省略的话，ida附加时要填上手机的IP，这样会比较麻烦。

以调试模式启动应用

使用AndroidKiller打开APK文件进行反编译，可以看到

文件的包名和入口

在命令行里输入如下命令，以调试模式启动APP：

adb shell am start -D -n longbin.helloworld/longbin.helloworld.SplashActivit

命令最末尾那个就是我们APP对应的包名/入口，其他部分不能修改。

使用IDA附加调试

打开一个空的IDA，选择debugger->attach->Remote

ARMLinux/Android debugger，然后在选择debug options里选择suspen on process entry

point，使其断在程序入口点，这里如果进行了端口转发在hostname里填上127.0.0.1，如果没有，就填上手机的IP地址，点击确定之后找到对应的程序，加载。

打开DDMS

这一步也不是必要的，DDMS原本是ecplipse上的一个插件，如果你用的是android

studio，可以用tools->Android->Android Device

Monitor打开它。可以看见，我们要调试的程序出现在了这里（如果没有是因为ro.debuggable没有设置成功），

待调试的程序前面有一个红色的虫子，条目的最后也多了个/8700，这里就是DDMS帮我们进行了端口转发，如果没有打开DDMS，则要自己进行端口转发

adb forward tcp:8700 jdwp:8606

这条命令即把pc端的8700端口转发到手机端的8606端口上（待调试程序占用的端口号是8606）

使用jdb恢复程序运行

最后在命令行中输入：

jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700

这一步的作用是使程序恢复运行。注意这时候如果ida里还没有点击运行，程序是不会真的继续运行的，这时候就可以正常地在IDA里下断调试了。

这里我对这个程序脱壳的步骤参考：http://blog.csdn.net/jiangwei0910410003/article/details/51620236

最后的话

感觉android端的下断调试远比pc端要繁琐，坑也比较多，而网上的教程大多是只告诉我们具体的步骤，而不告诉我们为什么需要这个步骤的原因，导致我们跟着做的时候也是懵懵懂懂，因此产生了写这篇文章的动机。

文章的内容都是我参考网上的文章根据自己的理解写出来的，如果有不对的地方，还请大家指出。

本文由看雪论坛 梦野间 原创，转载请注明来自看雪社区