JNIAnalyzer

Это расширение Ghidra содержит различные сценарии, которые помогают анализировать приложения Android NDK.

Также доступна двоичная версия этого плагина в ниндзя.

1. Клонировать этот репозиторий ( git clone https://github.com/Ayrx/JNIAnalyzer.git )
2. В папке клонированной репозитории используйте командную gradle -PGHIDRA_INSTALL_DIR=<YOUR GHIDRA INSTALLATION DIRECTORY> ; Указание вашего каталога установки Ghidra
3. В Ghidra, в окне проектов, нажмите File -> Install Extensions... и выбрать файл .zip , присутствующий в папке JNIAnalyzer/dist
4. Перезапустить Гидру

В этом скрипте используется декомпилятор JADX для извлечения сигнатуры функции всех собственных методов в файле APK и применяет подпись ко всем соответствующим функциям в двоичном файле.

Запуск сценария расширения JNIAnalyzer.java перезаписывает любые типы возврата функции, имена параметров и типы параметров, которые уже были на месте. Если вы хотите, чтобы сценарий пропустил определенную функцию, аннотируйте ее JNIAnalyzer:IGNORE в комментарии.

Запись: плагин Ghidra: jnianalyzer

Этот скрипт анализирует вывод Trace_registerNatives применяет результаты к проекту Ghidra.

Запишите скоро.

Этот скрипт ищет вызовы для RegisterNatives в функции и устанавливает тип структуры JNINativeMethod в соответствующих местах в двоике. API P-кода Ghidra используется для поиска ссылок на RegisterNatives , так как функция обычно разрешается во время выполнения.

Этот сценарий в настоящее время очень экспериментальный / использование на вашем собственном риске.