逆向动态加载Dex(内存加载class)
逆向一个app, 其核心算法是通过反射调用的, 反编译软件中无法找到该类, 并且也无法hook.
Java.perform(function(){
Java.enumerateClassLoaders({
onMatch:function(loader){
try{
if(loader.loadClass("com.xxxxx")){
console.log("================="+loader);
Java.classFactory.loader=loader;
var app=Java.use("com.xxxxx");
console.log(app);
// app.sayHello.implementation=function(){
// return "bye";
// }
}else{
console.log("NOT HAS CLASS");
}
}catch(error){
}
},
onComplete:function(){
}
});
});
Java.enumerateClassLoaders使用枚举classloader, 可以找到该类使用的classloader是
InMemoryDexClassLoader动态加载的,如何逆向呢?
dalvik.system.InMemoryDexClassLoader[DexPathList[[dex file "InMemoryDexFile[cookie=[473962364016, 473425978352]]"],nativeLibraryDirectories=[/data/app/~~ZljW8Ol47mfWsrqYu4qjCQ==/xyz.be.customer-oh7iq9v-8TFeIWPLBt2Pow==/lib/arm64, /data/app/~~ZljW8Ol47mfWsrqYu4qjCQ==/xyz.be.customer-oh7iq9v-8TFeIWPLBt2Pow==/base.apk!/lib/arm64-v8a, /system/lib64, /system_ext/lib64, /product/lib64]]]
学习下动态加载dex 加固(正向)
https://blog.csdn.net/zzx410527/article/details/51673908
思路一(不可行): 使用objection wallbreak
plugin wallbreaker classsearch com.xxx.internal.xxxx$1101
这里有个bug 就是有$的 他无法dump需要处理下
wallbreak的原理是通过调用Java.enumerateLoadedClassesSync()
来枚举所有已经加载的Java 类, 然后再通过java反射获取class的属性\方法\等整体结构, 但是无法获得方法的内容.
我们来试试
Java.perform(function() {
var packagename = "com.appsflyer.internal";
console.log("\n[*] enumerating classes...");
Java.enumerateLoadedClasses({
onMatch: function(_className) {
if (_className.startsWith(packagename)) {
console.log("[*] found class: " + _className);
}
},
onComplete: function() {
console.log("[*] class enuemration complete");
}
});
});
frida -U -f xxxx -l _fcagent.js
注意hook时机, 使用延时调用setImmediate(myjs.myjs, 10000);
ok, 成功捕获到改包名下的所有class文件
然后, 再通过反射来获取
获取类的基本信息java.lang.Class
获取类的实例java.lang.Class和java.lang.reflect.Constructor
操作实例的属性java.lang.reflect.Field
调用实例的方法java.lang.reflect.Method
但是他并不能获取到真正的方法内容, 所以只适合用来查看类的结构, 还有用他的objectdump打印object的值
思路二(可行):可以通过遍历内存中的dex文件特征来dump 所有dex
了解下dex 头文件
struct header_item {
uchar[8] magic; // 魔数,用于标识文件类型
uint checksum; // Alder32 校验和,用于验证文件完整性
uchar[20] signature; // 文件剩余部分的 SHA-1 签名
uint file_size; // 文件总大小,以字节为单位
uint header_size; // 头部大小,以字节为单位
uint endian_tag; // 字节序标记,标识文件的字节序
uint link_size; // 链接部分的大小
uint link_off; // 链接部分的文件偏移量
uint map_off; // map 列表的文件偏移量
uint string_ids_size; // 字符串 ID 列表中的字符串数量
uint string_ids_off; // 字符串 ID 列表的文件偏移量
uint type_ids_size; // 类型 ID 列表中的类型数量
uint type_ids_off; // 类型 ID 列表的文件偏移量
uint proto_ids_size; // 方法原型 ID 列表中的项数
uint proto_ids_off; // 方法原型 ID 列表的文件偏移量
uint field_ids_size; // 字段 ID 列表中的字段数量
uint field_ids_off; // 字段 ID 列表的文件偏移量
uint method_ids_size; // 方法 ID 列表中的方法数量
uint method_ids_off; // 方法 ID 列表的文件偏移量
uint class_defs_size; // 类定义列表中的类数量
uint class_defs_off; // 类定义列表的文件偏移量
uint data_size; // 数据部分的大小,以字节为单位
uint data_off; // 数据部分的文件偏移量
};
字段详细解释:
magic
类型: uchar[8]
描述: 魔数,通常为 "dex\n035\0" 或 "dex\n036\0",用于标识文件类型。
checksum
类型: uint
格式: 十六进制
描述: Alder32 校验和,用于验证文件除校验和字段外的其余部分的完整性。
signature
类型: uchar[20]
描述: 文件剩余部分的 SHA-1 签名,用于验证文件内容的完整性。
file_size
类型: uint
描述: 文件总大小,以字节为单位。
header_size
类型: uint
描述: 头部大小,以字节为单位。通常是 0x70 (112)。
endian_tag
类型: uint
格式: 十六进制
描述: 字节序标记,用于标识文件的字节序,通常为 0x12345678 (小端) 或 0x78563412 (大端)。
link_size
类型: uint
描述: 链接部分的大小。
link_off
类型: uint
描述: 链接部分的文件偏移量。
map_off
类型: uint
描述: map 列表的文件偏移量。
string_ids_size
类型: uint
描述: 字符串 ID 列表中的字符串数量。
string_ids_off
类型: uint
描述: 字符串 ID 列表的文件偏移量。
type_ids_size
类型: uint
描述: 类型 ID 列表中的类型数量。
type_ids_off
类型: uint
描述: 类型 ID 列表的文件偏移量。
proto_ids_size
类型: uint
描述: 方法原型 ID 列表中的项数。
proto_ids_off
类型: uint
描述: 方法原型 ID 列表的文件偏移量。
field_ids_size
类型: uint
描述: 字段 ID 列表中的字段数量。
field_ids_off
类型: uint
描述: 字段 ID 列表的文件偏移量。
method_ids_size
类型: uint
描述: 方法 ID 列表中的方法数量。
method_ids_off
类型: uint
描述: 方法 ID 列表的文件偏移量。
class_defs_size
类型: uint
描述: 类定义列表中的类数量。
class_defs_off
类型: uint
描述: 类定义列表的文件偏移量。
data_size
类型: uint
描述: 数据部分的大小,以字节为单位。
data_off
类型: uint
描述: 数据部分的文件偏移量。
核心思路(参考frida dexdump):
Process.enumerateRanges('r--').forEach(function (range: RangeDetails) {
try {
Memory.scanSync(range.base, range.size, "64 65 78 0a 30 ?? ?? 00").forEach(function (match) {
//判断文件路径包含"/data/dalvik-cache/ 和system 则跳过
if (range.file && range.file.path
&& (range.file.path.startsWith("/data/dalvik-cache/") ||
range.file.path.startsWith("/system/"))) {
return;
}
//验证dex文件
if (verify(match.address, range, false)) {
const dex_size = get_dex_real_size(match.address, range.base, range.base.add(range.size));
result.push({
"addr": match.address,
"size": dex_size
});
const max_size = range.size - match.address.sub(range.base).toInt32();
if (deepSearch && max_size != dex_size) {
result.push({
"addr": match.address,
"size": max_size
});
}
}
});
if (deepSearch) {
Memory.scanSync(range.base, range.size, "70 00 00 00").forEach(function (match) {
const dex_base = match.address.sub(0x3C);
if (dex_base < range.base) {
return;
}
if (dex_base.readCString(4) != "dex\n" && verify(dex_base, range, true)) {
const real_dex_size = get_dex_real_size(dex_base, range.base, range.base.add(range.size));
if (!verify_ids_off(dex_base, real_dex_size)) {
return;
}
result.push({
"addr": dex_base,
"size": real_dex_size
});
const max_size = range.size - dex_base.sub(range.base).toInt32();
if (max_size != real_dex_size) {
result.push({
"addr": dex_base,
"size": max_size
});
}
}
})
} else {
if (range.base.readCString(4) != "dex\n" && verify(range.base, range, true)) {
const real_dex_size = get_dex_real_size(range.base, range.base, range.base.add(range.size));
result.push({
"addr": range.base,
"size": real_dex_size
});
}
}
} catch (e) {
}
});
Process.enumerateRanges('r--').forEach(function (range: RangeDetails) {
遍历所有具有只读权限的内存范围
Memory.scanSync(range.base, range.size, "64 65 78 0a 30 ?? ?? 00").forEach(function (match) {
扫描 DEX 文件头的标识 "dex\n035\0" 或 "dex\n036\0" 为基础进行扫描。匹配的模式为 "64 65 78 0a 30 ?? ?? 00",其中 64 65 78 0a 是 "dex\n",30 ?? ?? 00 是版本号和一个字节的结尾。
具体可参考:https://mp.weixin.qq.com/s/n2XHGhshTmvt2FhxyFfoMA
逆向动态加载Dex(内存加载class)的更多相关文章
- [转载] Android动态加载Dex机制解析
本文转载自: http://blog.csdn.net/wy353208214/article/details/50859422 1.什么是类加载器? 类加载器(class loader)是 Java ...
- android加固系列—6.仿爱加密等第三方加固平台之动态加载dex防止apk被反编译
[版权所有,转载请注明出处.出处:http://www.cnblogs.com/joey-hua/p/5402599.html ] 此方案的目的是隐藏源码防止直接性的反编译查看源码,原理是加密编译好的 ...
- java动态编译类文件并加载到内存中
如果你想在动态编译并加载了class后,能够用hibernate的数据访问接口以面向对象的方式来操作该class类,请参考这篇博文-http://www.cnblogs.com/anai/p/4270 ...
- Android应用安全之外部动态加载DEX文件风险
1. 外部动态加载DEX文件风险描述 Android 系统提供了一种类加载器DexClassLoader,其可以在运行时动态加载并解释执行包含在JAR或APK文件内的DEX文件.外部动态加载DEX文件 ...
- Unity动态加载和内存管理(三合一)
原址:http://game.ceeger.com/forum/read.php?tid=4394#info 最近一直在和这些内容纠缠,把心得和大家共享一下: Unity里有两种动态加载机制:一是Re ...
- Android 插件技术:动态加载dex技术初探
1.Android动态加载dex技术初探 http://blog.csdn.net/u013478336/article/details/50734108 Android使用Dalvik虚拟机加载可执 ...
- GDB调试工具、动态加载、内存管理(day04)
一.程序中的错误处理 在系统中定义了一个全局变量errno.在这个全局变量中存放着系统调用或者库函数出错的信息(错误编号).然后根据错误编号获取错误信息. 举例说明: 打开一个文件,如果这个文件不存在 ...
- 浅析dex文件加载机制
我们可以利用DexClassLoader来实现动态加载dex文件,而很多资料也只是对于DexClassLoader的使用进行了介绍,没有深入讲解dex的动态加载机制,我们就借助于Android4.4的 ...
- [转]全面理解Unity加载和内存管理
[转]全面理解Unity加载和内存管理 最近一直在和这些内容纠缠,把心得和大家共享一下: Unity里有两种动态加载机制:一是Resources.Load,一是通过AssetBundle,其实两者本质 ...
- [WP8.1UI控件编程]Windows Phone大数据量网络图片列表的异步加载和内存优化
11.2.4 大数据量网络图片列表的异步加载和内存优化 虚拟化技术可以让Windows Phone上的大数据量列表不必担心会一次性加载所有的数据,保证了UI的流程性.对于虚拟化的技术,我们不仅仅只是依 ...
随机推荐
- golang 无向简单图邻接多重表
package main import "fmt" type MultipleEdgeNode struct { iVex int iLink *MultipleEdgeNode ...
- k8s ingress部署安装
ingress概念 ingress与service,deployment同样都是k8s中的一种资源 ingress用于实现域名方式访问k8s内部应用 安装ingress 1. 安装helm: wget ...
- numpy基础--random模块:随机数生成
以下代码的前提:import numpy as np numpy.random模块对python内置的random进行了补充,增加了一些高效生成多种概率分布的样本值的函数.例如可以用normal来得到 ...
- c# 拖拽列表顺序 | 拖拽合并分组 | 移除分组功能
动图演示: 背景: 一开始做功能的时候没有增加排序的索引(sort-index),后来要求做拖拽排序功能:所以写了这个不需要初始排序就可以完成的拖拽功能:如果是table表格排序逻辑和这个相似,这里拿 ...
- Asp.Net 单点登录(SSO)|禁止重复登陆|登录强制下线
背景: 先上个图,看一下效果: SSO英文全称Single Sign On(单点登录).SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统.它包括可以将这次主要的登录映射到其 ...
- Ubuntu 上使能 SELinux
首发公号:Rand_cs 此文档说明如何在 ubuntu 上启用 SELinux,测试环境为虚拟机,开始前一定一定一定先来个快照,不要问我为什么有三个一定. 卸载 apparmor(可选) ubunt ...
- kettle从入门到精通 第十五课 kettle 映射 (子转换)01
1.kettle 里面的映射和java代码里面的封装是一个概念,就是将一个可复用的模块单独抽离为公共模块供其他模块引用,用到的步骤或者组件如下 2.构建子映射,子映射需要用到映射输入规范和映射输出规范 ...
- 字符数组转换及数字求和 java8 lambda表达式 demo
public static void main(String[] args) throws IllegalAccessException { //字符串转换为数字且每个加上100,输出. String ...
- gradle打包命令含离线模式
gradle打包命令gradlew clean 清理gradlew clean build -x test --refresh-dependencies 离线方式: gradlew --offline ...
- 一文了解Spark引擎的优势及应用场景
Spark引擎诞生的背景 Spark的发展历程可以追溯到2009年,由加州大学伯克利分校的AMPLab研究团队发起.成为Apache软件基金会的孵化项目后,于2012年发布了第一个稳定版本. 以下是S ...