0x03 DexHunter代码分析

DexHunter 实现中,只需要修改一处文件:dalvik\vm\native\dalvik_system_DexFile.cpp

下面是BeyondCompare比对:

首先看一下DexHunter的设计原理:

APP 启动时,通过freature string定位dex在内存中位置,并读取classdef块之前的内存为part1,读取classdef之后的内存为data。遍历class_def_item结构,生成文件classdef,并通过code_item_off判断具体的类方法是否在dex范围内,若不在,则写extra文件。

描述几个问题:

  • 从哪里dump出dex文件

dex文件打开时

类加载时

类初始化时

类方法调用时

DexHunter中,我们关注,ClassLoader.loadClass->Dalvik_dalvik_system_DexFile_defineClassNative这个函数,它实现了类的加载,实现过程如下:

选择脱壳的时机应是在APP的第一个类加载的时候,为什么呢?

  1. 类加载之前,类的内容是在内存当中的

  2. 当类初始化时,该内存的内容可能会被动态修改

  3. 在一个类方法被调用前,code_item或指令肯定是可用的

那如何做呢?

我们要主动加载并初始化所有的类;

因此,我们代码的注入点,应该是Dalvik_dalvik_system_DexFile_defineClassNative()函数的clazz = dvmDefineClass(pDvmDex, descriptor, loader);语句之前;即在APP加载第一个类之前完成;通过dvmDefineClass主动遍历class_def_item加载每个类,并调用dvmIsClassInitialized和dvmInitClass函数初始化之。

初始化完成之后,内存中的就是将执行的代码,像梆梆加固针对每个方法进行的加密,会在运行时解密、运行完成后清理内存并再次加密,通过这种方法就可以过掉;因为我们模拟了这样一次调用过程;

下面是我加入注释的代码:

//------------------------added begin----------------------//

#include <asm/siginfo.h>

#include "libdex/DexClass.h"

#include <sys/stat.h>

#include <fcntl.h>

#include <sys/mman.h>

static char dexname[100]={0};   //feature string

static char dumppath[100]={0};  //dump的文件路径

static bool readable=true;

static pthread_mutex_t read_mutex;

static bool flag=true;

static pthread_mutex_t mutex;

static bool timer_flag=true;

static timer_t timerId;

struct arg{

    DvmDex* pDvmDex;

    Object * loader;

}param;

void timer_thread(sigval_t)

{

    timer_flag=false;

    timer_delete(timerId);

    ALOGI("GOT IT time up");

}

void* ReadThread(void *arg){

    FILE *fp = NULL;

    while (dexname[0]==0||dumppath[0]==0) {

        fp=fopen("/data/dexname", "r");

        if (fp==NULL) {

            sleep(1);

            continue;

        }

        fgets(dexname,99,fp);   //读feature string

        dexname[strlen(dexname)-1]=0;

        fgets(dumppath,99,fp);

        dumppath[strlen(dumppath)-1]=0;	//取dump路径 

        fclose(fp);

        fp=NULL;

    }

    struct sigevent sev;

    sev.sigev_notify=SIGEV_THREAD;

    sev.sigev_value.sival_ptr=&timerId;

    sev.sigev_notify_function=timer_thread;

    sev.sigev_notify_attributes = NULL;

    timer_create(CLOCK_REALTIME,&sev,&timerId);

    struct itimerspec ts;

    ts.it_value.tv_sec=5;

    ts.it_value.tv_nsec=0;

    ts.it_interval.tv_sec=0;

    ts.it_interval.tv_nsec=0;

    timer_settime(timerId,0,&ts,NULL);

    return NULL;

}

/*

    这里是class_data_item的前4项,称为ClassDataHeader

    Dex File->class_defs->class_def_item(class_data_offset)->class_data_item->ClassDataHeader 

*/

void ReadClassDataHeader(const uint8_t** pData, DexClassDataHeader *pHeader) 

{

    pHeader->staticFieldsSize = readUnsignedLeb128(pData);

    pHeader->instanceFieldsSize = readUnsignedLeb128(pData);

    pHeader->directMethodsSize = readUnsignedLeb128(pData);

    pHeader->virtualMethodsSize = readUnsignedLeb128(pData);

}

/*

    下面两个函数,分别读class_data_item Header下的内容,分Field和Method

*/

void ReadClassDataField(const uint8_t** pData, DexField* pField) 

{

    pField->fieldIdx = readUnsignedLeb128(pData);

    pField->accessFlags = readUnsignedLeb128(pData);

}

void ReadClassDataMethod(const uint8_t** pData, DexMethod* pMethod) 

{

    pMethod->methodIdx = readUnsignedLeb128(pData);

    pMethod->accessFlags = readUnsignedLeb128(pData);

    pMethod->codeOff = readUnsignedLeb128(pData);

}

/*

    解析class_data_item结构,使用到上面3个函数,分别解析,Header、Field和Method部分

*/

DexClassData* ReadClassData(const uint8_t** pData) 

{

    DexClassDataHeader header;

    if (*pData == NULL) {

        return NULL;

    }

    //读取 class_data_item的Header

    ReadClassDataHeader(pData, &header);

    size_t resultSize = sizeof(DexClassData) + (header.staticFieldsSize * sizeof(DexField)) + (header.instanceFieldsSize * sizeof(DexField)) + (header.directMethodsSize * sizeof(DexMethod)) + (header.virtualMethodsSize * sizeof(DexMethod));

    DexClassData* result = (DexClassData*) malloc(resultSize); //result指向class_data_item并返回

    if (result == NULL) {

        return NULL;

    }

    uint8_t* ptr = ((uint8_t*) result) + sizeof(DexClassData);  //指向class_data_item的staic_fields偏移

    result->header = header;

    //以下依次读class_data_item的staticFields,instanceFields,directMethods和virtualMethods域大小————————begain

    if (header.staticFieldsSize != 0) {

        result->staticFields = (DexField*) ptr;

        ptr += header.staticFieldsSize * sizeof(DexField);

    } else {

        result->staticFields = NULL;

    }

    if (header.instanceFieldsSize != 0) {

        result->instanceFields = (DexField*) ptr;

        ptr += header.instanceFieldsSize * sizeof(DexField);

    } else {

        result->instanceFields = NULL;

    }

    if (header.directMethodsSize != 0) {

        result->directMethods = (DexMethod*) ptr;

        ptr += header.directMethodsSize * sizeof(DexMethod);

    } else {

        result->directMethods = NULL;

    }

    if (header.virtualMethodsSize != 0) {

        result->virtualMethods = (DexMethod*) ptr;

    } else {

        result->virtualMethods = NULL;

    }

    //以下依次读class_data_item的staticFields,instanceFields,directMethods和virtualMethods域大小————————end

    

    

    //以下依次读staticFields,instanceFields,directMethods,virtualMethods域内容————————begain

    for (uint32_t i = 0; i < header.staticFieldsSize; i++) {

        ReadClassDataField(pData, &result->staticFields[i]);

    }

    for (uint32_t i = 0; i < header.instanceFieldsSize; i++) {

        ReadClassDataField(pData, &result->instanceFields[i]);

    }

    for (uint32_t i = 0; i < header.directMethodsSize; i++) {

        ReadClassDataMethod(pData, &result->directMethods[i]);

    }

    for (uint32_t i = 0; i < header.virtualMethodsSize; i++) {

        ReadClassDataMethod(pData, &result->virtualMethods[i]);

    }

    //以下依次读staticFields,instanceFields,directMethods,virtualMethods域内容————————end

    return result;

}

/*

    class_data_item中的一些域是用LEB128算法编码的

*/

void writeLeb128(uint8_t ** ptr, uint32_t data)

{

    while (true) {

        uint8_t out = data & 0x7f;

        if (out != data) {

            *(*ptr)++ = out | 0x80;

            data >>= 7;

        } else {

            *(*ptr)++ = out;

            break;

        }

    }

}

/*

    此函数读取class_data_item,并将内容用writeLeb128转码后返回

*/

uint8_t* EncodeClassData(DexClassData *pData, int& len)

{

    len=0;

    len+=unsignedLeb128Size(pData->header.staticFieldsSize);

    len+=unsignedLeb128Size(pData->header.instanceFieldsSize);

    len+=unsignedLeb128Size(pData->header.directMethodsSize);

    len+=unsignedLeb128Size(pData->header.virtualMethodsSize);

    if (pData->staticFields) {

        for (uint32_t i = 0; i < pData->header.staticFieldsSize; i++) {

            len+=unsignedLeb128Size(pData->staticFields[i].fieldIdx);

            len+=unsignedLeb128Size(pData->staticFields[i].accessFlags);

        }

    }

    if (pData->instanceFields) {

        for (uint32_t i = 0; i < pData->header.instanceFieldsSize; i++) {

            len+=unsignedLeb128Size(pData->instanceFields[i].fieldIdx);

            len+=unsignedLeb128Size(pData->instanceFields[i].accessFlags);

        }

    }

    if (pData->directMethods) {

        for (uint32_t i=0; i<pData->header.directMethodsSize; i++) {

            len+=unsignedLeb128Size(pData->directMethods[i].methodIdx);

            len+=unsignedLeb128Size(pData->directMethods[i].accessFlags);

            len+=unsignedLeb128Size(pData->directMethods[i].codeOff);

        }

    }

    if (pData->virtualMethods) {

        for (uint32_t i=0; i<pData->header.virtualMethodsSize; i++) {

            len+=unsignedLeb128Size(pData->virtualMethods[i].methodIdx);

            len+=unsignedLeb128Size(pData->virtualMethods[i].accessFlags);

            len+=unsignedLeb128Size(pData->virtualMethods[i].codeOff);

        }

    }

    uint8_t * store = (uint8_t *) malloc(len);

    if (!store) {

        return NULL;

    }

    uint8_t * result=store;

    writeLeb128(&store,pData->header.staticFieldsSize);

    writeLeb128(&store,pData->header.instanceFieldsSize);

    writeLeb128(&store,pData->header.directMethodsSize);

    writeLeb128(&store,pData->header.virtualMethodsSize);

    if (pData->staticFields) {

        for (uint32_t i = 0; i < pData->header.staticFieldsSize; i++) {

            writeLeb128(&store,pData->staticFields[i].fieldIdx);

            writeLeb128(&store,pData->staticFields[i].accessFlags);

        }

    }

    if (pData->instanceFields) {

        for (uint32_t i = 0; i < pData->header.instanceFieldsSize; i++) {

            writeLeb128(&store,pData->instanceFields[i].fieldIdx);

            writeLeb128(&store,pData->instanceFields[i].accessFlags);

        }

    }

    if (pData->directMethods) {

        for (uint32_t i=0; i<pData->header.directMethodsSize; i++) {

            writeLeb128(&store,pData->directMethods[i].methodIdx);

            writeLeb128(&store,pData->directMethods[i].accessFlags);

            writeLeb128(&store,pData->directMethods[i].codeOff);

        }

    }

    if (pData->virtualMethods) {

        for (uint32_t i=0; i<pData->header.virtualMethodsSize; i++) {

            writeLeb128(&store,pData->virtualMethods[i].methodIdx);

            writeLeb128(&store,pData->virtualMethods[i].accessFlags);

            writeLeb128(&store,pData->virtualMethods[i].codeOff);

        }

    }

    free(pData);

    return result;

}

uint8_t* codeitem_end(const u1** pData)

{

    uint32_t num_of_list = readUnsignedLeb128(pData);

    for (;num_of_list>0;num_of_list--) {

        int32_t num_of_handlers=readSignedLeb128(pData);

        int num=num_of_handlers;

        if (num_of_handlers<=0) {

            num=-num_of_handlers;

        }

        for (; num > 0; num--) {

            readUnsignedLeb128(pData);

            readUnsignedLeb128(pData);

        }

        if (num_of_handlers<=0) {

            readUnsignedLeb128(pData);

        }

    }

    return (uint8_t*)(*pData);

}

代码未完,下一篇继续;

安卓 dex 通用脱壳技术研究(二)的更多相关文章

  1. 安卓 dex 通用脱壳技术研究(一)

    注:以下4篇博文中,部分图片引用自DexHunter作者zyqqyz在slide.pptx中的图片,版本归原作者所有: 0x01 背景介绍 安卓 APP 的保护一般分为下列几个方面: JAVA/C代码 ...

  2. 安卓 dex 通用脱壳技术研究(四)

    /*     当第一个类执行到此函数时,我们在dvmDefineClass执行之前,也就是第一个类加载之前     注入我们的dump代码:即DumpClass()函数 */ static void  ...

  3. 安卓 dex 通用脱壳技术研究(三)

    /*     此为DexHunter实现的主要功能,进行内存dump,将class_def_items中dump出classdef和extra部分 */ void* DumpClass(void *p ...

  4. 基于.net的分布式系统限流组件 C# DataGridView绑定List对象时,利用BindingList来实现增删查改 .net中ThreadPool与Task的认识总结 C# 排序技术研究与对比 基于.net的通用内存缓存模型组件 Scala学习笔记:重要语法特性

    基于.net的分布式系统限流组件   在互联网应用中,流量洪峰是常有的事情.在应对流量洪峰时,通用的处理模式一般有排队.限流,这样可以非常直接有效的保护系统,防止系统被打爆.另外,通过限流技术手段,可 ...

  5. 20145307陈俊达_安卓逆向分析_Xposed的hook技术研究

    20145307陈俊达_安卓逆向分析_Xposed的hook技术研究 引言 其实这份我早就想写了,xposed这个东西我在安卓SDK 4.4.4的时候就在玩了,root后安装架构,起初是为了实现一些屌 ...

  6. 【转】手把手教你读取Android版微信和手Q的聊天记录(仅作技术研究学习)

    1.引言 特别说明:本文内容仅用于即时通讯技术研究和学习之用,请勿用于非法用途.如本文内容有不妥之处,请联系JackJiang进行处理!   我司有关部门为了获取黑产群的动态,有同事潜伏在大量的黑产群 ...

  7. 手把手教你读取Android版微信和手Q的聊天记录(仅作技术研究学习)

    1.引言 特别说明:本文内容仅用于即时通讯技术研究和学习之用,请勿用于非法用途.如本文内容有不妥之处,请联系JackJiang进行处理!   我司有关部门为了获取黑产群的动态,有同事潜伏在大量的黑产群 ...

  8. Ngnix技术研究系列2-基于Redis实现动态路由

    上篇博文我们写了个引子: Ngnix技术研究系列1-通过应用场景看Nginx的反向代理 发现了新大陆,OpenResty OpenResty 是一个基于 Nginx 与 Lua 的高性能 Web 平台 ...

  9. Nginx技术研究系列2-基于Redis实现动态路由

    上篇博文我们写了个引子: Ngnix技术研究系列1-通过应用场景看Nginx的反向代理 发现了新大陆,OpenResty OpenResty 是一个基于 Nginx 与 Lua 的高性能 Web 平台 ...

随机推荐

  1. ThinkPHP3的使用

    1. 初始目录 7d 根目录 ├─Application 应用目录(空) ├─Public 资源文件目录 ├─ThinkPHP 框架目录 └─index.php 入口文件 2. 入口文件 // 应用入 ...

  2. loj 10004 智力大冲浪

    智力大冲浪 题目描述: 小伟报名参加中央电视台的智力大冲浪节目.本次挑战赛吸引了众多参赛者,主持人为了表彰大家的勇气,先奖励每个参赛者m元.先不要太高兴!因为这些钱还不一定都是你的.接下来主持人宣布了 ...

  3. Django之DjangoAdmin

    前言: 当我们启动1个Django程序的时候,在程序的settings.py配置文件默认注册了1个名为'django.contrib.admin'的APP程序,并且配置了默认路由映射关系url(r'^ ...

  4. Spring事务的开启方式

    1.通过注解方式@Transactional @Transactional(rollbackForClassName = { "Exception", "RuntimeE ...

  5. 一个非常适合IT团队的在线API文档、技术文档工具 (ShowDoc)

    在逸橙呆了不到两年,开发时后端都有开发接口API,来到数库,好多后端开发和前端沟通是还是发doc文档,很不方便,我向cto反应,自己找到这个,老乡田雷(php,隔壁村的)也用过,可能某些原因选择其他的 ...

  6. 【MVC】快速构建一个图片浏览网站

    当抄完MusicStore时,你应该对MVC有一个比较清晰的认识了.接下来就需要做个网站来继续增加自己的知识了.那么,该做个什么网站呢.做个图片浏览网站吧,简单而实用. 简单设计 1.首先,页面中间是 ...

  7. redis系列--主从复制以及redis复制演进

    一.前言 在之前的文章已经详细介绍了redis入门基础已经持久化相关内容包括redis4.0所提供的混合持久化. 通过持久化功能,Redis保证了即使在服务器宕机情况下数据的丢失非常少.但是如果这台服 ...

  8. JQuery button控制div或者section

    一.项目你需求 点击左边导航栏的某个按钮,右边内容栏显示出,相应的内容 效果如图   二.html与css.jQuery 1.div模式 <!DOCTYPE html PUBLIC " ...

  9. 《Python》 计算机基础

    一.计算机基础: cpu:中央处理器,相当于人的大脑,运算中心,控制中心. 内存:暂时存储数据,与CPU交互. 优点:内存读取速度快. 缺点:容量小,造价高,断电即消失. 硬盘:长期存储数据. 优点: ...

  10. java动手动脑1

    一.以下代码的输出结果是什么? int X=100; int Y=200; System.out.println("X+Y="+X+Y); System.out.println(X ...