衆所周知,上次說到了如何脫殼360加固,大體意思就是安裝一個xposed插件,而後自動就會脫殼了,那麼這個插件是如何工做的呢,本次重點說說這個。html
上次說道了dumpDex脫殼360加固,其實先說個大概,就是從ndk層和java層,適配不一樣的系統,hook關鍵函數,而後在運行時將dex文件dump出來。java
若是僅僅想知道如何使用,能夠參見上一篇android
點我:Android逆向之路---脫殼360加固、與xposed hook注意事項git
dumpDex github項目地址:點我點我、dumpDexgithub
(固然你要是想編譯下dumpDex項目,須要以下工具)api
全部的程序執行的時候都是有個入口的,dumpDex工程也不例外。 因爲是個xposed插件,因此咱們先看com.wrbug.dumpdex.XposedInit
類。微信
public class XposedInit implements IXposedHookLoadPackage {
//--------略---------
@Override
public void handleLoadPackage(final XC_LoadPackage.LoadPackageParam lpparam) {
PackerInfo.Type type = PackerInfo.find(lpparam);
if (type == null) {
return;
}
final String packageName = lpparam.packageName;
//這裏主要是各個app只管解析各個app本身的進程的程序
if (lpparam.packageName.equals(packageName)) {
//首先在當前app的指定目錄,建立好目錄,以便於一下子脫殼存放dex文件
String path = "/data/data/" + packageName + "/dump";
File parent = new File(path);
if (!parent.exists() || !parent.isDirectory()) {
parent.mkdirs();
}
log("sdk version:" + Build.VERSION.SDK_INT);
if (DeviceUtils.isOreo()) {
//api爲27或27版本的執行下面一行,進行脫殼
OreoDump.init(lpparam);
} else {
//低版本api執行下面一行進行脫殼
LowSdkDump.init(lpparam,type);
}
}
}
}
複製代碼
已經加好註釋,值得注意的就是,此處程序有分叉了,分別是 OreoDump.init()和LowSdkDump.init() 咱們先看OreoDump.init方法app
public class OreoDump {
//--------略---------
public static void init(final XC_LoadPackage.LoadPackageParam lpparam) {
Native.dump(lpparam.packageName);
}
}
複製代碼
跟着進入Native.dump(),ide
如下能夠先粗略的說一下,主要就是進入了ndk層進行hook,而後進行dump 進入native.cpp
文件裏面找到JNICALL Java_com_wrbug_dumpdex_Native_dump
方法。函數
因爲切換到了c語言,因此我會幫你們刪除一些代碼的細枝末節,只看主幹。
再次聲明下,如下方法實在當android版本爲26或27的時候,會默認進行Native層脫殼
JNIEXPORT void JNICALL Java_com_wrbug_dumpdex_Native_dump (JNIEnv *env, jclass obj, jstring packageName) {
//在這裏做者考慮到了防止每次app啓動的時候都會dump,所以保存了一個變量is_hook來記錄,若是hook過了的話就會退出程序
static bool is_hook = false;
char *p = (char *) env->GetStringUTFChars(packageName, 0);
if (is_hook) {
__android_log_print(ANDROID_LOG_INFO, TAG, "hooked ignore");
return;
}
init_package_name(p);
env->ReleaseStringChars(packageName, (const jchar *) p);
//這裏因爲使用了第三方庫,因此先執行第三方庫的初始化操做,具體第三方庫,見下文
ndk_init(env);
//下面就是重點了,首先以RTLD_NOW模式打開動態庫libart.so,拿到句柄
void *handle = ndk_dlopen("libart.so", RTLD_NOW);
if (handle == NULL) {
__android_log_print(ANDROID_LOG_ERROR, TAG, "Error: unable to find the SO : libart.so");
return;
}
//根據不一樣的版本,拿到不一樣的對應的加載的符號
void *open_common_addr = ndk_dlsym(handle, get_open_function_flag());
//--------略---------
//略掉不少分支,單獨說一個,見下文
if (registerInlineHook((uint32_t) open_common_addr, (uint32_t) get_new_open_function_addr(),
(uint32_t **) get_old_open_function_addr()) != ELE7EN_OK) {
__android_log_print(ANDROID_LOG_ERROR, TAG, "register1 hook failed!");
return;
} else {
__android_log_print(ANDROID_LOG_ERROR, TAG, "register1 hook success!");
}
//設置hook標記爲true
is_hook = true;
}
複製代碼
registerInlineHook(
(uint32_t) open_common_addr, (uint32_t) get_new_open_function_addr(),
(uint32_t **) get_old_open_function_addr())
複製代碼
已經定位到函數的地址,接下來就是Hook替換之前的函數,替換成咱們本身定義的函數,例以下面的函數
static void *new_arm64_open_common(uint8_t *base, size_t size, void *location, uint32_t location_checksum, void *oat_dex_file, bool verify, bool verify_checksum, void *error_meessage, void *verify_result) {
//--------略---------
//首先在程序運行時,保存dex,完成脫殼
save_dex_file(base, size);
//調用之前的函數,保證程序正確執行,
void *result = old_arm64_open_common(base, size, location, location_checksum,
oat_dex_file, verify, verify_checksum,
error_meessage,
verify_result);
return result;
}
複製代碼
到此爲止NDK層hook分析完畢,分別用了第三方庫hook了android指定版本的加載dex函數的方法,而後在hook的新函數裏面添加到保存到dump目錄的函數,達到脫殼 的目的。
ndk hook主要用到的庫
回到入口的那個章節,還記得嗎,還有一個LowSdkDump.init
這個是低版本的時候的邏輯
public static void init(final XC_LoadPackage.LoadPackageParam lpparam, PackerInfo.Type type) {
//若是sdk是23,24,25,26,27之一,那麼繼續使用native層hook
if (DeviceUtils.supportNativeHook()) {
Native.dump(lpparam.packageName);
}
//額。。。。。。。。可能百度充錢了
if (type == PackerInfo.Type.BAI_DU) {
return;
}
//見下文說明
XposedHelpers.findAndHookMethod("android.app.Instrumentation", lpparam.classLoader, "newApplication", ClassLoader.class, String.class, Context.class, new XC_MethodHook() {
@Override
protected void afterHookedMethod(MethodHookParam param) throws Throwable {
//執行真正的dump方法,而後保存
dump(lpparam.packageName, param.getResult().getClass());
attachBaseContextHook(lpparam, ((Application) param.getResult()));
}
});
}
複製代碼
上面的主要就是先檢測可不能夠natvie層hook,能夠的話優先native層hook, 而後就是百度可能充錢了,固然開個玩笑,這個能夠你們本身嘗試。
接下來就是java層hook了,hook了加載類Instrumentation類,的newApplication方法,而後進行dump.
還有attachBaseContextHook裏面也是主要Hook ClassLoader的loadClass方法,
主要看java層的dump函數
private static void dump(String packageName, Class<?> aClass) {
Object dexCache = XposedHelpers.getObjectField(aClass, "dexCache");
log("decCache=" + dexCache);
Object o = XposedHelpers.callMethod(dexCache, "getDex");
byte[] bytes = (byte[]) XposedHelpers.callMethod(o, "getBytes");
String path = "/data/data/" + packageName + "/dump";
File file = new File(path, "source-" + bytes.length + ".dex");
if (file.exists()) {
log(file.getName() + " exists");
return;
}
FileUtils.writeByteToFile(bytes, file.getAbsolutePath());
}
複製代碼
代碼陸陸續續的看了一遍,能夠嘗試畫一個流程圖了
其實文中涉及到的具體的hook的函數,須要咱們具體的去看,去研讀android源碼。 這樣才能融匯貫通。
瞭解了系統是如何加載一個dex的,才能真真正正的理解如何攔截,如何從內存dump出來。 dump的時候用的別人的庫,的工具,都還好,主要是思路。如何找到關鍵點,進行dump。
如何使用呢,能夠見個人的上一篇文章
點我:Android逆向之路---脫殼360加固、與xposed hook注意事項
偶爾聊聊技術,偶爾聊聊逆向,偶爾聊聊生活
不能總聊技術呀,下次一塊兒聊點輕鬆的。
博主仍是一個懶散的博主。
我的博客:MartinHan的小站
博客網站:hanhan12312的專欄
知乎:MartinHan01
個人公衆號: 程序技術指北(剛開不久,最近在琢磨新東西,謹慎關注!)