逆向动态加载Dex（内存加载class）

逆向一个app， 其核心算法是通过反射调用的, 反编译软件中无法找到该类, 并且也无法hook.

Java.perform(function(){
        Java.enumerateClassLoaders({
           onMatch:function(loader){
			try{
				if(loader.loadClass("com.xxxxx")){
					console.log("================="+loader);
					Java.classFactory.loader=loader;
					var app=Java.use("com.xxxxx");
					console.log(app);

					// app.sayHello.implementation=function(){
					// 	return "bye";
					// }
				}else{
					console.log("NOT HAS CLASS");
				}
				}catch(error){

				}
			},
			onComplete:function(){

			}
        });
    });

Java.enumerateClassLoaders使用枚举classloader, 可以找到该类使用的classloader是

InMemoryDexClassLoader动态加载的，如何逆向呢？

dalvik.system.InMemoryDexClassLoader[DexPathList[[dex file "InMemoryDexFile[cookie=[473962364016, 473425978352]]"],nativeLibraryDirectories=[/data/app/~~ZljW8Ol47mfWsrqYu4qjCQ==/xyz.be.customer-oh7iq9v-8TFeIWPLBt2Pow==/lib/arm64, /data/app/~~ZljW8Ol47mfWsrqYu4qjCQ==/xyz.be.customer-oh7iq9v-8TFeIWPLBt2Pow==/base.apk!/lib/arm64-v8a, /system/lib64, /system_ext/lib64, /product/lib64]]]

学习下动态加载dex 加固（正向）

https://blog.csdn.net/zzx410527/article/details/51673908

思路一（不可行）： 使用objection wallbreak

plugin wallbreaker classsearch com.xxx.internal.xxxx$1101

这里有个bug 就是有$的 他无法dump需要处理下

wallbreak的原理是通过调用Java.enumerateLoadedClassesSync()

来枚举所有已经加载的Java 类, 然后再通过java反射获取class的属性\方法\等整体结构, 但是无法获得方法的内容.

我们来试试

Java.perform(function() {
	var packagename = "com.appsflyer.internal";
	console.log("\n[*] enumerating classes...");
	Java.enumerateLoadedClasses({
		onMatch: function(_className) {
			if (_className.startsWith(packagename)) {
				console.log("[*] found class: " + _className);
			}
		},
		onComplete: function() {
			console.log("[*] class enuemration complete");
		}
	});
});

frida -U -f xxxx -l _fcagent.js

注意hook时机, 使用延时调用setImmediate(myjs.myjs, 10000);

ok, 成功捕获到改包名下的所有class文件

然后, 再通过反射来获取

获取类的基本信息java.lang.Class

获取类的实例java.lang.Class和java.lang.reflect.Constructor

操作实例的属性java.lang.reflect.Field

调用实例的方法java.lang.reflect.Method

但是他并不能获取到真正的方法内容, 所以只适合用来查看类的结构, 还有用他的objectdump打印object的值

思路二（可行）：可以通过遍历内存中的dex文件特征来dump 所有dex

了解下dex 头文件

struct header_item {
    uchar[8] magic;          // 魔数，用于标识文件类型
    uint checksum;           // Alder32 校验和，用于验证文件完整性
    uchar[20] signature;     // 文件剩余部分的 SHA-1 签名
    uint file_size;          // 文件总大小，以字节为单位
    uint header_size;        // 头部大小，以字节为单位
    uint endian_tag;         // 字节序标记，标识文件的字节序
    uint link_size;          // 链接部分的大小
    uint link_off;           // 链接部分的文件偏移量
    uint map_off;            // map 列表的文件偏移量
    uint string_ids_size;    // 字符串 ID 列表中的字符串数量
    uint string_ids_off;     // 字符串 ID 列表的文件偏移量
    uint type_ids_size;      // 类型 ID 列表中的类型数量
    uint type_ids_off;       // 类型 ID 列表的文件偏移量
    uint proto_ids_size;     // 方法原型 ID 列表中的项数
    uint proto_ids_off;      // 方法原型 ID 列表的文件偏移量
    uint field_ids_size;     // 字段 ID 列表中的字段数量
    uint field_ids_off;      // 字段 ID 列表的文件偏移量
    uint method_ids_size;    // 方法 ID 列表中的方法数量
    uint method_ids_off;     // 方法 ID 列表的文件偏移量
    uint class_defs_size;    // 类定义列表中的类数量
    uint class_defs_off;     // 类定义列表的文件偏移量
    uint data_size;          // 数据部分的大小，以字节为单位
    uint data_off;           // 数据部分的文件偏移量
};
字段详细解释：
magic

类型: uchar[8]
描述: 魔数，通常为 "dex\n035\0" 或 "dex\n036\0"，用于标识文件类型。
checksum

类型: uint
格式: 十六进制
描述: Alder32 校验和，用于验证文件除校验和字段外的其余部分的完整性。
signature

类型: uchar[20]
描述: 文件剩余部分的 SHA-1 签名，用于验证文件内容的完整性。
file_size

类型: uint
描述: 文件总大小，以字节为单位。
header_size

类型: uint
描述: 头部大小，以字节为单位。通常是 0x70 (112)。
endian_tag

类型: uint
格式: 十六进制
描述: 字节序标记，用于标识文件的字节序，通常为 0x12345678 (小端) 或 0x78563412 (大端)。
link_size

类型: uint
描述: 链接部分的大小。
link_off

类型: uint
描述: 链接部分的文件偏移量。
map_off

类型: uint
描述: map 列表的文件偏移量。
string_ids_size

类型: uint
描述: 字符串 ID 列表中的字符串数量。
string_ids_off

类型: uint
描述: 字符串 ID 列表的文件偏移量。
type_ids_size

类型: uint
描述: 类型 ID 列表中的类型数量。
type_ids_off

类型: uint
描述: 类型 ID 列表的文件偏移量。
proto_ids_size

类型: uint
描述: 方法原型 ID 列表中的项数。
proto_ids_off

类型: uint
描述: 方法原型 ID 列表的文件偏移量。
field_ids_size

类型: uint
描述: 字段 ID 列表中的字段数量。
field_ids_off

类型: uint
描述: 字段 ID 列表的文件偏移量。
method_ids_size

类型: uint
描述: 方法 ID 列表中的方法数量。
method_ids_off

类型: uint
描述: 方法 ID 列表的文件偏移量。
class_defs_size

类型: uint
描述: 类定义列表中的类数量。
class_defs_off

类型: uint
描述: 类定义列表的文件偏移量。
data_size

类型: uint
描述: 数据部分的大小，以字节为单位。
data_off

类型: uint
描述: 数据部分的文件偏移量。

核心思路(参考frida dexdump)：

 Process.enumerateRanges('r--').forEach(function (range: RangeDetails) {
        try {
            Memory.scanSync(range.base, range.size, "64 65 78 0a 30 ?? ?? 00").forEach(function (match) {

                //判断文件路径包含"/data/dalvik-cache/ 和system 则跳过
                if (range.file && range.file.path
                    && (range.file.path.startsWith("/data/dalvik-cache/") ||
                        range.file.path.startsWith("/system/"))) {
                    return;
                }
                //验证dex文件
                if (verify(match.address, range, false)) {
                    const dex_size = get_dex_real_size(match.address, range.base, range.base.add(range.size));
                    result.push({
                        "addr": match.address,
                        "size": dex_size
                    });

                    const max_size = range.size - match.address.sub(range.base).toInt32();
                    if (deepSearch && max_size != dex_size) {
                        result.push({
                            "addr": match.address,
                            "size": max_size
                        });
                    }
                }
            });

            if (deepSearch) {
                Memory.scanSync(range.base, range.size, "70 00 00 00").forEach(function (match) {
                    const dex_base = match.address.sub(0x3C);
                    if (dex_base < range.base) {
                        return;
                    }
                    if (dex_base.readCString(4) != "dex\n" && verify(dex_base, range, true)) {
                        const real_dex_size = get_dex_real_size(dex_base, range.base, range.base.add(range.size));
                        if (!verify_ids_off(dex_base, real_dex_size)) {
                            return;
                        }
                        result.push({
                            "addr": dex_base,
                            "size": real_dex_size
                        });
                        const max_size = range.size - dex_base.sub(range.base).toInt32();
                        if (max_size != real_dex_size) {
                            result.push({
                                "addr": dex_base,
                                "size": max_size
                            });
                        }
                    }
                })
            } else {
                if (range.base.readCString(4) != "dex\n" && verify(range.base, range, true)) {
                    const real_dex_size = get_dex_real_size(range.base, range.base, range.base.add(range.size));
                    result.push({
                        "addr": range.base,
                        "size": real_dex_size
                    });
                }
            }

        } catch (e) {
        }
    });

Process.enumerateRanges('r--').forEach(function (range: RangeDetails) {

遍历所有具有只读权限的内存范围

Memory.scanSync(range.base, range.size, "64 65 78 0a 30 ?? ?? 00").forEach(function (match) {

扫描 DEX 文件头的标识 "dex\n035\0" 或 "dex\n036\0" 为基础进行扫描。匹配的模式为 "64 65 78 0a 30 ?? ?? 00"，其中 64 65 78 0a 是 "dex\n"，30 ?? ?? 00 是版本号和一个字节的结尾。

具体可参考:https://mp.weixin.qq.com/s/n2XHGhshTmvt2FhxyFfoMA