脱dex核心文件dump_dex.js

核心函数

function dump_dex() {

    var libart = Process.findModuleByName("libart.so");

    var addr_DefineClass = null;

    var symbols = libart.enumerateSymbols();

    for (var index = 0; index < symbols.length; index++) {

        var symbol = symbols[index];

        var symbol_name = symbol.name;

        //这个DefineClass的函数签名是Android9的

        //_ZN3art11ClassLinker11DefineClassEPNS_6ThreadEPKcmNS_6HandleINS_6mirror11ClassLoaderEEERKNS_7DexFileERKNS9_8ClassDefE

        if (symbol_name.indexOf("ClassLinker") >= 0 &&

            symbol_name.indexOf("DefineClass") >= 0 &&

            symbol_name.indexOf("Thread") >= 0 &&

            symbol_name.indexOf("DexFile") >= 0) {

            console.log(symbol_name, symbol.address);

            addr_DefineClass = symbol.address;

        }

    }

    var dex_maps = {};

    var dex_count = 1;

    console.log("[DefineClass:]", addr_DefineClass);

    if (addr_DefineClass) {

        Interceptor.attach(addr_DefineClass, {

            onEnter: function(args) {

                var dex_file = args[5];

                //ptr(dex_file).add(Process.pointerSize) is "const uint8_t* const begin_;"

                //ptr(dex_file).add(Process.pointerSize + Process.pointerSize) is "const size_t size_;"

                var base = ptr(dex_file).add(Process.pointerSize).readPointer();

                var size = ptr(dex_file).add(Process.pointerSize + Process.pointerSize).readUInt();

                if (dex_maps[base] == undefined) {

                    dex_maps[base] = size;

                    var magic = ptr(base).readCString();

                    if (magic.indexOf("dex") == 0) {

                        var process_name = get_self_process_name();

                        if (process_name != "-1") {

                            var dex_dir_path = "/data/data/" + process_name + "/files/dump_dex_" + process_name;

                            mkdir(dex_dir_path);

                            var dex_path = dex_dir_path + "/class" + (dex_count == 1 ? "" : dex_count) + ".dex";

                            console.log("[find dex]:", dex_path);

                            var fd = new File(dex_path, "wb");

                            if (fd && fd != null) {

                                dex_count++;

                                var dex_buffer = ptr(base).readByteArray(size);

                                fd.write(dex_buffer);

                                fd.flush();

                                fd.close();

                                console.log("[dump dex]:", dex_path);

                            }

                        }

                    }

                }

            },

            onLeave: function(retval) {}

        });

    }

}
原理是:通过hook libart ,然后开始枚举符号表,根据符号名称找到DefineClass函数,通过DefineClass的地址来得到它的入参中的DexFile对象
# /art/runtime/class_linker.cc

 mirror::Class* ClassLinker::DefineClass(Thread* self,

                                          const char* descriptor,

                                          size_t hash,

                                          Handle<mirror::ClassLoader> class_loader,

                                          const DexFile& dex_file,

                                         const DexFile::ClassDef& dex_class_def) {

......

}
DexFile 数据结构为
 struct DexFile {

      /* directly-mapped "opt" header */

      const DexOptHeader* pOptHeader;

      /* pointers to directly-mapped structs and arrays in base DEX */

      const DexHeader*    pHeader;

      const DexStringId*  pStringIds;

      const DexTypeId*    pTypeIds;

      const DexFieldId*   pFieldIds;

      const DexMethodId*  pMethodIds;

      const DexProtoId*   pProtoIds;

      const DexClassDef*  pClassDefs;

      const DexLink*      pLinkData;

      /*

       * These are mapped out of the "auxillary" section, and may not be

       * included in the file.

       */

      const DexClassLookup* pClassLookup;

      const void*         pRegisterMapPool;       // RegisterMapClassPool

      /* points to start of DEX file data */

      const u1*           baseAddr;

      /* track memory overhead for auxillary structures */

      int                 overhead;

      /* additional app-specific data structures associated with the DEX */

      //void*               auxData;

};

struct DexOptHeader {

      u1  magic[8];           /* includes version number */

      u4  dexOffset;          /* file offset of DEX header */

      u4  dexLength;

      u4  depsOffset;         /* offset of optimized DEX dependency table */

      u4  depsLength;

      u4  optOffset;          /* file offset of optimized data tables */

      u4  optLength;

      u4  flags;              /* some info flags */

      u4  checksum;           /* adler32 checksum covering deps/opt */

      /* pad for 64-bit alignment if necessary */

  };
根据DexFile的数据结构可以得出 dexOffset 就是dex的偏移 ,dexLength 就是dex的大小, 这样就可以将dex整体dump出了
var base = ptr(dex_file).add(Process.pointerSize).readPointer();

var size = ptr(dex_file).add(Process.pointerSize + Process.pointerSize).readUInt();

【Android逆向】脱壳项目frida_dump 原理分析的更多相关文章

  1. android脱壳之DexExtractor原理分析[zhuan]

    http://www.cnblogs.com/jiaoxiake/p/6818786.html内容如下 导语: 上一篇我们分析android脱壳使用对dvmDexFileOpenPartial下断点的 ...

  2. android脱壳之DexExtractor原理分析

    导语: 上一篇我们分析android脱壳使用对dvmDexFileOpenPartial下断点的原理,使用这种方法脱壳的有2个缺点: 1.  需要动态调试 2.  对抗反调试方案 为了提高工作效率, ...

  3. Android视图SurfaceView的实现原理分析(示例,出错代码)

    在Android系统中,有一种特殊的视图,称为SurfaceView,它拥有独立的绘图表面,即它不与其宿主窗口共享同一个绘图表面.由于拥有独立的绘图表面,因此SurfaceView的UI就可以在一个独 ...

  4. Android DecorView 与 Activity 绑定原理分析

    一年多以前,曾经以为自己对 View 的绘制已经有了解了,事后发现也只是懂了些皮毛而已.经过一年多的实战,Android 和 Java 基础都有了提升,时机成熟了,是时候该去总结 View 的绘制流程 ...

  5. Android逆向之旅---静态方式分析破解视频编辑应用「Vue」水印问题

    一.故事背景 现在很多人都喜欢玩文艺,特别是我身边的UI们,拍照一分钟修图半小时.就是为了能够在朋友圈显得逼格高,不过的确是挺好看的,修图的软件太多了就不多说了,而且一般都没有水印啥的.相比较短视频有 ...

  6. Android 65K问题之Multidex原理分析及NoClassDefFoundError的解决方法

    Android 65K问题相信困惑了不少人,尽管AS的出来能够通过分dex高速解决65K问题,可是同一时候也easy由于某些代码没有打包到MainDex里引起NoClassDefFoundError. ...

  7. Android SoundPool 的使用以及原理分析

    好吧,我们今天来聊聊SoundPool这东西. 据说这个东西是冰激凌(Android4.0)里才引入的一个新东西.按照官方的意思大多数情况下是给游戏开发用的,比如一个游戏10关,它能在游戏开始前一次加 ...

  8. 【转载】Android 的 Handler 机制实现原理分析

    handler在安卓开发中是必须掌握的技术,但是很多人都是停留在使用阶段.使用起来很简单,就两个步骤,在主线程重写handler的handleMessage( )方法,在工作线程发送消息.但是,有没有 ...

  9. Android中线程间通信原理分析:Looper,MessageQueue,Handler

    自问自答的两个问题 在我们去讨论Handler,Looper,MessageQueue的关系之前,我们需要先问两个问题: 1.这一套东西搞出来是为了解决什么问题呢? 2.如果让我们来解决这个问题该怎么 ...

  10. Android视图SurfaceView的实现原理分析

    http://blog.csdn.net/luoshengyang/article/details/8661317

随机推荐

  1. [转帖]TiDB 数据库核心原理与架构 [TiDB v6](101)笔记

    https://www.jianshu.com/p/01e49a93f671 description: "本课程专为将在工作中使用 TiDB 数据库的开发人员.DBA 和架构师设计. 本门课 ...

  2. [转帖]使用 TiUP 扩容缩容 TiDB 集群

    https://docs.pingcap.com/zh/tidb/stable/scale-tidb-using-tiup TiDB 集群可以在不中断线上服务的情况下进行扩容和缩容. 本文介绍如何使用 ...

  3. [转帖]SIMD指令集 SSE/AVX

    SIMD指令集 SSE/AVX 概述 参考手册 Intel Intrinsics Guide Tommesani.com Docs Intel 64 and IA-32 Architectures S ...

  4. 人大金仓学习之一_kwr的简单学习

    人大金仓学习之一_kwr的简单学习 摘要 周末在家想着学习一下数据库相关的内容. 网上找了不少资料, 想着直接在本地机器上面进行一下安装与验证 理论上linux上面应该更加简单. windows 上面 ...

  5. 申威3231服务器Redis性能验证-及最全信创CPU性能分析

    申威3231服务器Redis性能验证-及最全信创CPU性能分析 背景 公司里面新进了几台服务器. 有台申威服务器. 因为前段时间参与过一次申威的POC验证. 当时对性能有一点简单的理解. 但是因为不方 ...

  6. 【转帖】71.常用的显示GC日志的参数、GC日志分析、日志分析工具的使用

    目录 1.常用的显示GC日志的参数 2.图解垃圾`GC`日志(重要) 3.日志分析工具的使用 1.常用的显示GC日志的参数 解释: 日志中,GC和Full GC表示的是GC的类型.GC只在新生代进行, ...

  7. JVM内存配置的再次思考

    JVM内存配置的再次思考 摘要 最近研究过不少内存分配相关的处理 今天晚上突然感觉还不是非常系统. 还是想能够细致的在学习一下. 希望能够慢慢的拾遗,提高自己 操作系统内存的使用情况 本文主要想思考l ...

  8. [转帖]Elasticsearch-sql 用SQL查询Elasticsearch

    https://www.cnblogs.com/kangoroo/p/7273493.html https://www.cnblogs.com/kangoroo/p/7273493.html Elas ...

  9. ELK运维文档

    Logstash 目录 Logstash Monitoring API Node Info API Plugins Info API Node Stats API Hot Threads API lo ...

  10. 补齐短板-开源IM项目OpenIM关于初始化/登录/好友接口文档介绍

    OpenIM文档方面的建设一直远远落后于开发, 也经常被开发者诟病,在接下来一周的时间里,我们重点补齐文档,让开发者更轻松接入.由于app sdk底层都是go来实现,所以本文先写一个模板和框架,在接下 ...