脱dex核心文件dump_dex.js

核心函数

function dump_dex() {

    var libart = Process.findModuleByName("libart.so");

    var addr_DefineClass = null;

    var symbols = libart.enumerateSymbols();

    for (var index = 0; index < symbols.length; index++) {

        var symbol = symbols[index];

        var symbol_name = symbol.name;

        //这个DefineClass的函数签名是Android9的

        //_ZN3art11ClassLinker11DefineClassEPNS_6ThreadEPKcmNS_6HandleINS_6mirror11ClassLoaderEEERKNS_7DexFileERKNS9_8ClassDefE

        if (symbol_name.indexOf("ClassLinker") >= 0 &&

            symbol_name.indexOf("DefineClass") >= 0 &&

            symbol_name.indexOf("Thread") >= 0 &&

            symbol_name.indexOf("DexFile") >= 0) {

            console.log(symbol_name, symbol.address);

            addr_DefineClass = symbol.address;

        }

    }

    var dex_maps = {};

    var dex_count = 1;

    console.log("[DefineClass:]", addr_DefineClass);

    if (addr_DefineClass) {

        Interceptor.attach(addr_DefineClass, {

            onEnter: function(args) {

                var dex_file = args[5];

                //ptr(dex_file).add(Process.pointerSize) is "const uint8_t* const begin_;"

                //ptr(dex_file).add(Process.pointerSize + Process.pointerSize) is "const size_t size_;"

                var base = ptr(dex_file).add(Process.pointerSize).readPointer();

                var size = ptr(dex_file).add(Process.pointerSize + Process.pointerSize).readUInt();

                if (dex_maps[base] == undefined) {

                    dex_maps[base] = size;

                    var magic = ptr(base).readCString();

                    if (magic.indexOf("dex") == 0) {

                        var process_name = get_self_process_name();

                        if (process_name != "-1") {

                            var dex_dir_path = "/data/data/" + process_name + "/files/dump_dex_" + process_name;

                            mkdir(dex_dir_path);

                            var dex_path = dex_dir_path + "/class" + (dex_count == 1 ? "" : dex_count) + ".dex";

                            console.log("[find dex]:", dex_path);

                            var fd = new File(dex_path, "wb");

                            if (fd && fd != null) {

                                dex_count++;

                                var dex_buffer = ptr(base).readByteArray(size);

                                fd.write(dex_buffer);

                                fd.flush();

                                fd.close();

                                console.log("[dump dex]:", dex_path);

                            }

                        }

                    }

                }

            },

            onLeave: function(retval) {}

        });

    }

}
原理是:通过hook libart ,然后开始枚举符号表,根据符号名称找到DefineClass函数,通过DefineClass的地址来得到它的入参中的DexFile对象
# /art/runtime/class_linker.cc

 mirror::Class* ClassLinker::DefineClass(Thread* self,

                                          const char* descriptor,

                                          size_t hash,

                                          Handle<mirror::ClassLoader> class_loader,

                                          const DexFile& dex_file,

                                         const DexFile::ClassDef& dex_class_def) {

......

}
DexFile 数据结构为
 struct DexFile {

      /* directly-mapped "opt" header */

      const DexOptHeader* pOptHeader;

      /* pointers to directly-mapped structs and arrays in base DEX */

      const DexHeader*    pHeader;

      const DexStringId*  pStringIds;

      const DexTypeId*    pTypeIds;

      const DexFieldId*   pFieldIds;

      const DexMethodId*  pMethodIds;

      const DexProtoId*   pProtoIds;

      const DexClassDef*  pClassDefs;

      const DexLink*      pLinkData;

      /*

       * These are mapped out of the "auxillary" section, and may not be

       * included in the file.

       */

      const DexClassLookup* pClassLookup;

      const void*         pRegisterMapPool;       // RegisterMapClassPool

      /* points to start of DEX file data */

      const u1*           baseAddr;

      /* track memory overhead for auxillary structures */

      int                 overhead;

      /* additional app-specific data structures associated with the DEX */

      //void*               auxData;

};

struct DexOptHeader {

      u1  magic[8];           /* includes version number */

      u4  dexOffset;          /* file offset of DEX header */

      u4  dexLength;

      u4  depsOffset;         /* offset of optimized DEX dependency table */

      u4  depsLength;

      u4  optOffset;          /* file offset of optimized data tables */

      u4  optLength;

      u4  flags;              /* some info flags */

      u4  checksum;           /* adler32 checksum covering deps/opt */

      /* pad for 64-bit alignment if necessary */

  };
根据DexFile的数据结构可以得出 dexOffset 就是dex的偏移 ,dexLength 就是dex的大小, 这样就可以将dex整体dump出了
var base = ptr(dex_file).add(Process.pointerSize).readPointer();

var size = ptr(dex_file).add(Process.pointerSize + Process.pointerSize).readUInt();

【Android逆向】脱壳项目frida_dump 原理分析的更多相关文章

  1. android脱壳之DexExtractor原理分析[zhuan]

    http://www.cnblogs.com/jiaoxiake/p/6818786.html内容如下 导语: 上一篇我们分析android脱壳使用对dvmDexFileOpenPartial下断点的 ...

  2. android脱壳之DexExtractor原理分析

    导语: 上一篇我们分析android脱壳使用对dvmDexFileOpenPartial下断点的原理,使用这种方法脱壳的有2个缺点: 1.  需要动态调试 2.  对抗反调试方案 为了提高工作效率, ...

  3. Android视图SurfaceView的实现原理分析(示例,出错代码)

    在Android系统中,有一种特殊的视图,称为SurfaceView,它拥有独立的绘图表面,即它不与其宿主窗口共享同一个绘图表面.由于拥有独立的绘图表面,因此SurfaceView的UI就可以在一个独 ...

  4. Android DecorView 与 Activity 绑定原理分析

    一年多以前,曾经以为自己对 View 的绘制已经有了解了,事后发现也只是懂了些皮毛而已.经过一年多的实战,Android 和 Java 基础都有了提升,时机成熟了,是时候该去总结 View 的绘制流程 ...

  5. Android逆向之旅---静态方式分析破解视频编辑应用「Vue」水印问题

    一.故事背景 现在很多人都喜欢玩文艺,特别是我身边的UI们,拍照一分钟修图半小时.就是为了能够在朋友圈显得逼格高,不过的确是挺好看的,修图的软件太多了就不多说了,而且一般都没有水印啥的.相比较短视频有 ...

  6. Android 65K问题之Multidex原理分析及NoClassDefFoundError的解决方法

    Android 65K问题相信困惑了不少人,尽管AS的出来能够通过分dex高速解决65K问题,可是同一时候也easy由于某些代码没有打包到MainDex里引起NoClassDefFoundError. ...

  7. Android SoundPool 的使用以及原理分析

    好吧,我们今天来聊聊SoundPool这东西. 据说这个东西是冰激凌(Android4.0)里才引入的一个新东西.按照官方的意思大多数情况下是给游戏开发用的,比如一个游戏10关,它能在游戏开始前一次加 ...

  8. 【转载】Android 的 Handler 机制实现原理分析

    handler在安卓开发中是必须掌握的技术,但是很多人都是停留在使用阶段.使用起来很简单,就两个步骤,在主线程重写handler的handleMessage( )方法,在工作线程发送消息.但是,有没有 ...

  9. Android中线程间通信原理分析:Looper,MessageQueue,Handler

    自问自答的两个问题 在我们去讨论Handler,Looper,MessageQueue的关系之前,我们需要先问两个问题: 1.这一套东西搞出来是为了解决什么问题呢? 2.如果让我们来解决这个问题该怎么 ...

  10. Android视图SurfaceView的实现原理分析

    http://blog.csdn.net/luoshengyang/article/details/8661317

随机推荐

  1. [转帖]关于kafka压力测试(使用官方自带脚本测试)

    文章目录 kafka官方自带压测脚本文件 Producer生产者环境测试 测试命令 返回测试结果 Consumer消费者环境测试 测试命令 测试结果说明 提升kafka的吞吐量 可通过以下的方式来提升 ...

  2. [转帖]Linux中./configure、make、make install命令详解

    简单来说,make 是编译,make install 是安装.   总结:linux编译安装中configure.make和make install各自的作用  • ./configure是用来检测你 ...

  3. [转帖]Java 内存管理

    https://www.cnblogs.com/xiaojiesir/p/15590092.html   Java 内存模型简称 JMM,全名 Java Memory Model .Java 内存模型 ...

  4. 服务器Raid配置的一些思考

    背景 随着公司软件的发展.客户越来越多. 测试环境和兼容环境也越来越多. 不管是虚拟化,还是裸金属做数据库 存储都是绕不开的一道门槛. 最近又上架了几台服务器, 所以想趁着周末总结一下 最近服务器上架 ...

  5. ESXi 虚拟机性能情况简单验证

    1.虚拟化的CPU超售问题. 经过查找资料, 发现 ESXi 5.5 的版本 一个 物理CPU的Core 可以虚拟出 25个vCPU, 升级到ESXi6.0 之后可以虚拟化32个vCPU. 所以虚拟化 ...

  6. Python设计模式:你的代码真的够优雅吗?

    当涉及到代码优化时,Python作为一种高级编程语言,具有广泛的应用领域和强大的功能.在软件开发中,设计模式是一种被广泛采用的解决问题的方案,它提供了一种在特定情境中重复使用的可行方案.在Python ...

  7. 【VictoriaMetrics源码阅读】vm中仿照RoaringBitmap的实现:uint64set

    作者:张富春(ahfuzhang),转载时请注明作者和引用链接,谢谢! cnblogs博客 zhihu 公众号:一本正经的瞎扯 正文 VictoriaMetrics中使用uint64类型来表示一个Me ...

  8. session未过期就丢失的原因以及处理方式

    转 https://blog.csdn.net/flamelp/article/details/5316725?utm_medium=distribute.pc_relevant.none-task- ...

  9. ShardingSphere

    目录 1.ShardingSphere分表与分库分表 2.ShardingSphere分库分表查询 3.自定义分片算法实现range查询 4.SPI扩展机制概述 5.stand通过SPI实现range ...

  10. 人工智能LLM模型:奖励模型的训练、PPO 强化学习的训练、RLHF

    人工智能LLM模型:奖励模型的训练.PPO 强化学习的训练.RLHF 1.奖励模型的训练 1.1大语言模型中奖励模型的概念 在大语言模型完成 SFT 监督微调后,下一阶段是构建一个奖励模型来对问答对作 ...