在JEB里看调用链,真正高效的起点通常不是先盯着伪代码一层层往下点,而是先把“交叉引用”“局部控制流图”和“全局调用图”这三层分开用。官方文档写得很清楚,JEB的基础导航依赖交叉引用,按【X】可以查看某个方法或对象被谁引用;同时,单个函数还能切到CFG图,而更高一层的调用关系则可以用Callgraph fragment来看。也就是说,调用链查看不是只有一种入口,层级越深,越要把这三层拆开。
一、JEB Decompiler怎么查看调用链
先从单点引用关系入手,再决定要不要上全局图,会比一上来就铺满整个调用网更稳。JEB官方动作说明里,交叉引用就是最基础的调用链入口。
1、先把光标放到目标方法上
无论你当前在反汇编、伪代码还是其他可寻址代码视图里,前提都是先把光标准确落到目标方法或调用对象上。官方视图文档说明,地址支持是交互导航和交叉引用能生效的基础。
2、直接按【X】看交叉引用
官方文档写得很明确,交叉引用就是看“有哪些项引用了当前项”,热键是【X】。对方法来说,这一步通常就等于先看“谁在调它”,也是最直接的调用链起点。
3、双击引用项继续往上一层或下一层跳
交叉引用窗口里的每一条结果都可以双击跳转。这样做的意义是,你不必一次看完整棵树,而是可以沿着一条可疑路径继续往上追caller,或者跳进某个调用点再往下看callee。
4、需要看函数内部结构时切到CFG
如果你已经进到某个关键函数里,想看内部条件分支和跳转结构,官方说明可以用【Space】在普通反汇编视图和当前函数的控制流图之间来回切换。这样做更适合梳理单个函数内部的“局部调用前后文”。
二、JEB Decompiler调用层级太深怎么梳理
调用层级一深,最忌讳的就是从头到尾只靠双击硬追。更稳的方式,是先用交叉引用锁定关键入口,再用Callgraph fragment把重要函数和重要调用关系收成一张裁剪过的图。官方Android分析文档对这个功能解释得很直接,它本来就是用来表示“最重要例程及其调用关系”的trimmed callgraph。
1、先生成Callgraph fragment
官方说明里写到,Callgraph fragment默认不会自动生成,位置在标准工作区右下角,要点击该区域才会生成。对调用层级很深的样本来说,这一步通常比只开一堆交叉引用窗口更容易先看出主干。
2、先抓主入口和关键分发函数
生成调用图以后,不要一开始就把每个节点都点一遍。更稳的做法,是先找入口函数、调度函数、初始化函数和明显的分发节点,因为官方对callgraph的定位本来就是“最重要routines和invocations”的裁剪图。
3、用节点聚焦,而不是全图乱看
官方说明里提到,点击调用图节点会把焦点放到对应例程及其连接关系上,双击节点还能直接跳到该例程的反汇编列表。实际梳理时,先把图聚焦到当前主线,再逐段展开,会比同时盯整张图清楚很多。
4、局部追完一段就回退
JEB的导航文档说明,你可以用【Alt+左方向键】或【Escape】后退,用【Alt+右方向键】前进。调用链一深,这组回退动作很重要,因为它能帮你把一条支线看完以后快速回到主干。
三、调用链太长时先记什么
真正把深层调用链理顺,靠的往往不是“全记住”,而是边看边收。JEB官方动作页里还提供了Favorites,也就是收藏位置功能,适合把关键节点先钉住。
1、先收藏关键入口
官方说明里写到,Favorites可以保存常用位置,按【F12】默认能打开Favorites对话框。实际分析时,先把入口函数、核心调度函数和关键敏感调用点加进去,后面反复跳转会省很多时间。
2、边追边重命名
动作页里明确写了,重命名的标准入口是把光标放到对象上,再按【N】。调用层级很深时,及时把主控函数、桥接函数、包装函数改成有语义的名字,比后面回头统一猜更稳。
3、关键节点补注释
官方说明里,代码视图下按【/】可以直接加注释。对深层调用链来说,注释最适合记录“这个函数负责校验”“这里开始解密”“这里才是真正网络发送”这种分段结论,不然层级一多很容易断线。
4、交叉引用和调用图配合着看
交叉引用更适合精确看“谁调了当前函数”,调用图更适合看主干结构,CFG更适合看函数内部流程。官方文档把这几个入口分开写,本身就说明它们是互补关系,不适合只靠其中一个硬扛所有层级问题。
总结
JEB Decompiler怎么查看调用链,最直接的办法就是先把光标放到目标方法上,再按【X】打开交叉引用,从caller开始顺着往上或往下跳。JEB Decompiler调用层级太深怎么梳理,更稳的思路则是先用Callgraph fragment抓主干,再配合CFG、导航回退、收藏、重命名和注释把长链条拆成几段来处理。这样做下来,调用层级再深,也不会只剩下一路双击到底的笨办法。
