脱dex核心文件dump_dex.js

核心函数

function dump_dex() {

    var libart = Process.findModuleByName("libart.so");

    var addr_DefineClass = null;

    var symbols = libart.enumerateSymbols();

    for (var index = 0; index < symbols.length; index++) {

        var symbol = symbols[index];

        var symbol_name = symbol.name;

        //这个DefineClass的函数签名是Android9的

        //_ZN3art11ClassLinker11DefineClassEPNS_6ThreadEPKcmNS_6HandleINS_6mirror11ClassLoaderEEERKNS_7DexFileERKNS9_8ClassDefE

        if (symbol_name.indexOf("ClassLinker") >= 0 &&

            symbol_name.indexOf("DefineClass") >= 0 &&

            symbol_name.indexOf("Thread") >= 0 &&

            symbol_name.indexOf("DexFile") >= 0) {

            console.log(symbol_name, symbol.address);

            addr_DefineClass = symbol.address;

        }

    }

    var dex_maps = {};

    var dex_count = 1;

    console.log("[DefineClass:]", addr_DefineClass);

    if (addr_DefineClass) {

        Interceptor.attach(addr_DefineClass, {

            onEnter: function(args) {

                var dex_file = args[5];

                //ptr(dex_file).add(Process.pointerSize) is "const uint8_t* const begin_;"

                //ptr(dex_file).add(Process.pointerSize + Process.pointerSize) is "const size_t size_;"

                var base = ptr(dex_file).add(Process.pointerSize).readPointer();

                var size = ptr(dex_file).add(Process.pointerSize + Process.pointerSize).readUInt();

                if (dex_maps[base] == undefined) {

                    dex_maps[base] = size;

                    var magic = ptr(base).readCString();

                    if (magic.indexOf("dex") == 0) {

                        var process_name = get_self_process_name();

                        if (process_name != "-1") {

                            var dex_dir_path = "/data/data/" + process_name + "/files/dump_dex_" + process_name;

                            mkdir(dex_dir_path);

                            var dex_path = dex_dir_path + "/class" + (dex_count == 1 ? "" : dex_count) + ".dex";

                            console.log("[find dex]:", dex_path);

                            var fd = new File(dex_path, "wb");

                            if (fd && fd != null) {

                                dex_count++;

                                var dex_buffer = ptr(base).readByteArray(size);

                                fd.write(dex_buffer);

                                fd.flush();

                                fd.close();

                                console.log("[dump dex]:", dex_path);

                            }

                        }

                    }

                }

            },

            onLeave: function(retval) {}

        });

    }

}
原理是:通过hook libart ,然后开始枚举符号表,根据符号名称找到DefineClass函数,通过DefineClass的地址来得到它的入参中的DexFile对象
# /art/runtime/class_linker.cc

 mirror::Class* ClassLinker::DefineClass(Thread* self,

                                          const char* descriptor,

                                          size_t hash,

                                          Handle<mirror::ClassLoader> class_loader,

                                          const DexFile& dex_file,

                                         const DexFile::ClassDef& dex_class_def) {

......

}
DexFile 数据结构为
 struct DexFile {

      /* directly-mapped "opt" header */

      const DexOptHeader* pOptHeader;

      /* pointers to directly-mapped structs and arrays in base DEX */

      const DexHeader*    pHeader;

      const DexStringId*  pStringIds;

      const DexTypeId*    pTypeIds;

      const DexFieldId*   pFieldIds;

      const DexMethodId*  pMethodIds;

      const DexProtoId*   pProtoIds;

      const DexClassDef*  pClassDefs;

      const DexLink*      pLinkData;

      /*

       * These are mapped out of the "auxillary" section, and may not be

       * included in the file.

       */

      const DexClassLookup* pClassLookup;

      const void*         pRegisterMapPool;       // RegisterMapClassPool

      /* points to start of DEX file data */

      const u1*           baseAddr;

      /* track memory overhead for auxillary structures */

      int                 overhead;

      /* additional app-specific data structures associated with the DEX */

      //void*               auxData;

};

struct DexOptHeader {

      u1  magic[8];           /* includes version number */

      u4  dexOffset;          /* file offset of DEX header */

      u4  dexLength;

      u4  depsOffset;         /* offset of optimized DEX dependency table */

      u4  depsLength;

      u4  optOffset;          /* file offset of optimized data tables */

      u4  optLength;

      u4  flags;              /* some info flags */

      u4  checksum;           /* adler32 checksum covering deps/opt */

      /* pad for 64-bit alignment if necessary */

  };
根据DexFile的数据结构可以得出 dexOffset 就是dex的偏移 ,dexLength 就是dex的大小, 这样就可以将dex整体dump出了
var base = ptr(dex_file).add(Process.pointerSize).readPointer();

var size = ptr(dex_file).add(Process.pointerSize + Process.pointerSize).readUInt();

【Android逆向】脱壳项目frida_dump 原理分析的更多相关文章

  1. android脱壳之DexExtractor原理分析[zhuan]

    http://www.cnblogs.com/jiaoxiake/p/6818786.html内容如下 导语: 上一篇我们分析android脱壳使用对dvmDexFileOpenPartial下断点的 ...

  2. android脱壳之DexExtractor原理分析

    导语: 上一篇我们分析android脱壳使用对dvmDexFileOpenPartial下断点的原理,使用这种方法脱壳的有2个缺点: 1.  需要动态调试 2.  对抗反调试方案 为了提高工作效率, ...

  3. Android视图SurfaceView的实现原理分析(示例,出错代码)

    在Android系统中,有一种特殊的视图,称为SurfaceView,它拥有独立的绘图表面,即它不与其宿主窗口共享同一个绘图表面.由于拥有独立的绘图表面,因此SurfaceView的UI就可以在一个独 ...

  4. Android DecorView 与 Activity 绑定原理分析

    一年多以前,曾经以为自己对 View 的绘制已经有了解了,事后发现也只是懂了些皮毛而已.经过一年多的实战,Android 和 Java 基础都有了提升,时机成熟了,是时候该去总结 View 的绘制流程 ...

  5. Android逆向之旅---静态方式分析破解视频编辑应用「Vue」水印问题

    一.故事背景 现在很多人都喜欢玩文艺,特别是我身边的UI们,拍照一分钟修图半小时.就是为了能够在朋友圈显得逼格高,不过的确是挺好看的,修图的软件太多了就不多说了,而且一般都没有水印啥的.相比较短视频有 ...

  6. Android 65K问题之Multidex原理分析及NoClassDefFoundError的解决方法

    Android 65K问题相信困惑了不少人,尽管AS的出来能够通过分dex高速解决65K问题,可是同一时候也easy由于某些代码没有打包到MainDex里引起NoClassDefFoundError. ...

  7. Android SoundPool 的使用以及原理分析

    好吧,我们今天来聊聊SoundPool这东西. 据说这个东西是冰激凌(Android4.0)里才引入的一个新东西.按照官方的意思大多数情况下是给游戏开发用的,比如一个游戏10关,它能在游戏开始前一次加 ...

  8. 【转载】Android 的 Handler 机制实现原理分析

    handler在安卓开发中是必须掌握的技术,但是很多人都是停留在使用阶段.使用起来很简单,就两个步骤,在主线程重写handler的handleMessage( )方法,在工作线程发送消息.但是,有没有 ...

  9. Android中线程间通信原理分析:Looper,MessageQueue,Handler

    自问自答的两个问题 在我们去讨论Handler,Looper,MessageQueue的关系之前,我们需要先问两个问题: 1.这一套东西搞出来是为了解决什么问题呢? 2.如果让我们来解决这个问题该怎么 ...

  10. Android视图SurfaceView的实现原理分析

    http://blog.csdn.net/luoshengyang/article/details/8661317

随机推荐

  1. [转帖]Kafka 核心技术与实战学习笔记(六)kafka线上集群部署方案

    一.操作系统-Linux Kafka是JVM系的大数据框架 kafka由Scala语言和Java语言编写而成,编译之后的源代码就是普通的".class"文件 使用Linux kaf ...

  2. jcmd的简要分析命令

    jcmd的简要分析命令 背景 端午加班一整天. 回到家同事让他们抓取一下堆栈信息好进行分析 连上VPN后就进行了一下处理. 自己简单看了下堆栈的总数等信息. 同事使用工具进行了分析. 我这边其实下过很 ...

  3. 【转帖】JVM的发展历程

    目录 1.Sun Classic VM 2.Exact VM 3.Sun HotSpot(主流) 4.JRockit 5.IBM J9 6.下一代虚拟机Graal VM 1.Sun Classic V ...

  4. zabbix基于容器化在UOS1050E上面的安装与使用

    前言 想着能够监控一下操作系统的日志. 因为国产化的需求, 所以我这边使用了UOS1050E 安装zabbix时多次提示缺少php-json 或者是缺少一些libevent等组件. 自己尝试进行解决发 ...

  5. 【译文】IEEE白皮书 6G 太赫兹技术的基本原理 2023版

    第一章 简介 太赫兹波是介于微波和光波之间的光谱区域,频率从 0.1THz ~ 10THz 之间,波长在 3mm ~ 30μm 之间.提供大块连续的频带范围以满足对 Tbit/s 内极高数据传输速率的 ...

  6. TienChin 活动管理-活动状态完善

    修改字典 修改活动状态字典,将之前的数据键值为 0 的数据标签内容改为 过期: 更改下数据库的描述,禁用改为过期: ALTER TABLE `tienchin_activity` MODIFY COL ...

  7. python入门之后须掌握的知识点(excel文件处理+邮件发送+实战:批量化发工资条)【二】

    相关文章: python处理Excel实现自动化办公教学(含实战)[一] python处理Excel实现自动化办公教学(含实战)[二] python处理Excel实现自动化办公教学(数据筛选.公式操作 ...

  8. 多智能体强化学习算法【三】【QMIX、MADDPG、MAPPO】

    相关文章: 常见多智能体强化学习仿真环境介绍[一]{推荐收藏,真的牛} 多智能体强化学习算法[一][MAPPO.MADDPG.QMIX] 多智能体强化学习算法[二][MADDPG.QMIX.MAPPO ...

  9. 5.4 Windows驱动开发:内核通过PEB取进程参数

    PEB结构(Process Envirorment Block Structure)其中文名是进程环境块信息,进程环境块内部包含了进程运行的详细参数信息,每一个进程在运行后都会存在一个特有的PEB结构 ...

  10. 2.1 PE结构:文件映射进内存

    PE结构是Windows系统下最常用的可执行文件格式,理解PE文件格式不仅可以理解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,在任何一款操作系统中,可执行程序在被装入内存之 ...