脱dex核心文件dump_dex.js

核心函数

function dump_dex() {

    var libart = Process.findModuleByName("libart.so");

    var addr_DefineClass = null;

    var symbols = libart.enumerateSymbols();

    for (var index = 0; index < symbols.length; index++) {

        var symbol = symbols[index];

        var symbol_name = symbol.name;

        //这个DefineClass的函数签名是Android9的

        //_ZN3art11ClassLinker11DefineClassEPNS_6ThreadEPKcmNS_6HandleINS_6mirror11ClassLoaderEEERKNS_7DexFileERKNS9_8ClassDefE

        if (symbol_name.indexOf("ClassLinker") >= 0 &&

            symbol_name.indexOf("DefineClass") >= 0 &&

            symbol_name.indexOf("Thread") >= 0 &&

            symbol_name.indexOf("DexFile") >= 0) {

            console.log(symbol_name, symbol.address);

            addr_DefineClass = symbol.address;

        }

    }

    var dex_maps = {};

    var dex_count = 1;

    console.log("[DefineClass:]", addr_DefineClass);

    if (addr_DefineClass) {

        Interceptor.attach(addr_DefineClass, {

            onEnter: function(args) {

                var dex_file = args[5];

                //ptr(dex_file).add(Process.pointerSize) is "const uint8_t* const begin_;"

                //ptr(dex_file).add(Process.pointerSize + Process.pointerSize) is "const size_t size_;"

                var base = ptr(dex_file).add(Process.pointerSize).readPointer();

                var size = ptr(dex_file).add(Process.pointerSize + Process.pointerSize).readUInt();

                if (dex_maps[base] == undefined) {

                    dex_maps[base] = size;

                    var magic = ptr(base).readCString();

                    if (magic.indexOf("dex") == 0) {

                        var process_name = get_self_process_name();

                        if (process_name != "-1") {

                            var dex_dir_path = "/data/data/" + process_name + "/files/dump_dex_" + process_name;

                            mkdir(dex_dir_path);

                            var dex_path = dex_dir_path + "/class" + (dex_count == 1 ? "" : dex_count) + ".dex";

                            console.log("[find dex]:", dex_path);

                            var fd = new File(dex_path, "wb");

                            if (fd && fd != null) {

                                dex_count++;

                                var dex_buffer = ptr(base).readByteArray(size);

                                fd.write(dex_buffer);

                                fd.flush();

                                fd.close();

                                console.log("[dump dex]:", dex_path);

                            }

                        }

                    }

                }

            },

            onLeave: function(retval) {}

        });

    }

}
原理是:通过hook libart ,然后开始枚举符号表,根据符号名称找到DefineClass函数,通过DefineClass的地址来得到它的入参中的DexFile对象
# /art/runtime/class_linker.cc

 mirror::Class* ClassLinker::DefineClass(Thread* self,

                                          const char* descriptor,

                                          size_t hash,

                                          Handle<mirror::ClassLoader> class_loader,

                                          const DexFile& dex_file,

                                         const DexFile::ClassDef& dex_class_def) {

......

}
DexFile 数据结构为
 struct DexFile {

      /* directly-mapped "opt" header */

      const DexOptHeader* pOptHeader;

      /* pointers to directly-mapped structs and arrays in base DEX */

      const DexHeader*    pHeader;

      const DexStringId*  pStringIds;

      const DexTypeId*    pTypeIds;

      const DexFieldId*   pFieldIds;

      const DexMethodId*  pMethodIds;

      const DexProtoId*   pProtoIds;

      const DexClassDef*  pClassDefs;

      const DexLink*      pLinkData;

      /*

       * These are mapped out of the "auxillary" section, and may not be

       * included in the file.

       */

      const DexClassLookup* pClassLookup;

      const void*         pRegisterMapPool;       // RegisterMapClassPool

      /* points to start of DEX file data */

      const u1*           baseAddr;

      /* track memory overhead for auxillary structures */

      int                 overhead;

      /* additional app-specific data structures associated with the DEX */

      //void*               auxData;

};

struct DexOptHeader {

      u1  magic[8];           /* includes version number */

      u4  dexOffset;          /* file offset of DEX header */

      u4  dexLength;

      u4  depsOffset;         /* offset of optimized DEX dependency table */

      u4  depsLength;

      u4  optOffset;          /* file offset of optimized data tables */

      u4  optLength;

      u4  flags;              /* some info flags */

      u4  checksum;           /* adler32 checksum covering deps/opt */

      /* pad for 64-bit alignment if necessary */

  };
根据DexFile的数据结构可以得出 dexOffset 就是dex的偏移 ,dexLength 就是dex的大小, 这样就可以将dex整体dump出了
var base = ptr(dex_file).add(Process.pointerSize).readPointer();

var size = ptr(dex_file).add(Process.pointerSize + Process.pointerSize).readUInt();

【Android逆向】脱壳项目frida_dump 原理分析的更多相关文章

  1. android脱壳之DexExtractor原理分析[zhuan]

    http://www.cnblogs.com/jiaoxiake/p/6818786.html内容如下 导语: 上一篇我们分析android脱壳使用对dvmDexFileOpenPartial下断点的 ...

  2. android脱壳之DexExtractor原理分析

    导语: 上一篇我们分析android脱壳使用对dvmDexFileOpenPartial下断点的原理,使用这种方法脱壳的有2个缺点: 1.  需要动态调试 2.  对抗反调试方案 为了提高工作效率, ...

  3. Android视图SurfaceView的实现原理分析(示例,出错代码)

    在Android系统中,有一种特殊的视图,称为SurfaceView,它拥有独立的绘图表面,即它不与其宿主窗口共享同一个绘图表面.由于拥有独立的绘图表面,因此SurfaceView的UI就可以在一个独 ...

  4. Android DecorView 与 Activity 绑定原理分析

    一年多以前,曾经以为自己对 View 的绘制已经有了解了,事后发现也只是懂了些皮毛而已.经过一年多的实战,Android 和 Java 基础都有了提升,时机成熟了,是时候该去总结 View 的绘制流程 ...

  5. Android逆向之旅---静态方式分析破解视频编辑应用「Vue」水印问题

    一.故事背景 现在很多人都喜欢玩文艺,特别是我身边的UI们,拍照一分钟修图半小时.就是为了能够在朋友圈显得逼格高,不过的确是挺好看的,修图的软件太多了就不多说了,而且一般都没有水印啥的.相比较短视频有 ...

  6. Android 65K问题之Multidex原理分析及NoClassDefFoundError的解决方法

    Android 65K问题相信困惑了不少人,尽管AS的出来能够通过分dex高速解决65K问题,可是同一时候也easy由于某些代码没有打包到MainDex里引起NoClassDefFoundError. ...

  7. Android SoundPool 的使用以及原理分析

    好吧,我们今天来聊聊SoundPool这东西. 据说这个东西是冰激凌(Android4.0)里才引入的一个新东西.按照官方的意思大多数情况下是给游戏开发用的,比如一个游戏10关,它能在游戏开始前一次加 ...

  8. 【转载】Android 的 Handler 机制实现原理分析

    handler在安卓开发中是必须掌握的技术,但是很多人都是停留在使用阶段.使用起来很简单,就两个步骤,在主线程重写handler的handleMessage( )方法,在工作线程发送消息.但是,有没有 ...

  9. Android中线程间通信原理分析:Looper,MessageQueue,Handler

    自问自答的两个问题 在我们去讨论Handler,Looper,MessageQueue的关系之前,我们需要先问两个问题: 1.这一套东西搞出来是为了解决什么问题呢? 2.如果让我们来解决这个问题该怎么 ...

  10. Android视图SurfaceView的实现原理分析

    http://blog.csdn.net/luoshengyang/article/details/8661317

随机推荐

  1. [转帖]tidb 修改root密码

    http://blog.51yip.com/tidb/2452.html   通过 {pd-ip}:{pd-port}/dashboard 登录 TiDB Dashboard,登录用户和口令为 TiD ...

  2. [转帖]深入理解mysql-第十一章 mysql查询优化-Explain 详解(中)

    一.执行计划-type属性 执行计划的一条记录就代表着MySQL对某个表的执行查询时的访问方法,其中的type列就表明了这个访问这个单表的方法具体是什么,比方说下边这个查询: mysql> EX ...

  3. Redis lua脚本简要学习

    Redis lua脚本简要学习 背景 上周督促客户从Windows平台升级到了Linux平台. redis一周相安无事. 但是这周一突然又出现了卡断和慢的情况. 只能继续进行分析. 分析思路 现场日志 ...

  4. 通过mat获取OOM时对象信息的方法与过程

    通过mat获取OOM时对象信息的方法与过程 背景 如果谁的耐心不好, 就让他去看MAT里的objects信息. 有项目出现了OOM的情况 我在公司这边有一台内存比较高的Win10机器. 然后帮助同事进 ...

  5. DBeaver连接国产信创数据库的步骤

    DBeaver连接国产信创数据库的步骤 本次连接使用的数据库类型 1.达梦 2.神通 3.人大金仓 4.瀚高 安装DBeaver 通过官网或者是其他网站下载最新的数据库介质 之后的操作为: 这次不感谢 ...

  6. Vue2 里如何优雅的清除一个定时器

    绝大多数人清除定时器的方法 <script> export default { data() { return { timer: null } }, mounted() { this.ti ...

  7. 使用JSON.stringify()去实现深拷贝,要小心哦,可能有巨坑

    对象中有时间类型的时候(时间类型会被变成字符串类型数据) const obj = { date: new Date() } console.log(typeof obj.date === 'objec ...

  8. http 中使用 gzip 输出内容时,如何预先压缩前一半页面?

    作者:张富春(ahfuzhang),转载时请注明作者和引用链接,谢谢! cnblogs博客 zhihu Github 公众号:一本正经的瞎扯 背景是这样:要输出一个很大的动态页面,不开 gzip 压缩 ...

  9. 【一个经典BUG】gin框架中,异步协程使用context导致取不到数据

    bug的内容大致如下: func httpHandle(c *gin.Context) { go func(ctx Context){ v := ctx.Value("xxx") ...

  10. 服务器重装ip未更改,ssh连不上(WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED)

    服务器重装ip未更改,ssh连不上 前言 原因 解决方法 服务器重装ip未更改,ssh连不上 前言 重装了虚拟机,ip还保留了,但是发现连不上了 @@@@@@@@@@@@@@@@@@@@@@@@@@@ ...