前言
众所周知,上次说到了如何脱壳 360 加固,大致意思就是安装一个 xposed 插件,然后自动就会脱壳了,那么这个插件是如何工作的呢,本次重点说说这个。
上次说道了 dumpDex 脱壳 360 加固,其实先说个大概,就是从 ndk 层和 java 层,适配不同的系统,hook 关键函数,然后在运行时将 dex 文件 dump 出来。
如果仅仅想知道如何使用,可以参见上一篇
点我:Android 逆向之路 — 脱壳 360 加固、与 xposed hook 注意事项
<!– more –>
需要的环境
无,看文章就可以了解大致了
(当然你要是想编译下 dumpDex 项目,需要如下工具)
Android Studio
sdk ndk
入口
所有的程序执行的时候都是有个入口的,dumpDex 工程也不例外。由于是个 xposed 插件,所以我们先看 com.wrbug.dumpdex.XposedInit 类。
public class XposedInit implements IXposedHookLoadPackage {
//——– 略 ———
@Override
public void handleLoadPackage(final XC_LoadPackage.LoadPackageParam lpparam) {
PackerInfo.Type type = PackerInfo.find(lpparam);
if (type == null) {
return;
}
final String packageName = lpparam.packageName;
// 这里主要是各个 app 只管解析各个 app 自己的进程的程序
if (lpparam.packageName.equals(packageName)) {
// 首先在当前 app 的指定目录,创建好目录,以便于一会儿脱壳存放 dex 文件
String path = “/data/data/” + packageName + “/dump”;
File parent = new File(path);
if (!parent.exists() || !parent.isDirectory()) {
parent.mkdirs();
}
log(“sdk version:” + Build.VERSION.SDK_INT);
if (DeviceUtils.isOreo()) {
//api 为 27 或 27 版本的执行下面一行,进行脱壳
OreoDump.init(lpparam);
} else {
// 低版本 api 执行下面一行进行脱壳
LowSdkDump.init(lpparam,type);
}
}
}
}
已经加好注释,值得注意的就是,此处程序有分叉了,分别是 OreoDump.init() 和 LowSdkDump.init() 我们先看 OreoDump.init 方法
public class OreoDump {
//——– 略 ———
public static void init(final XC_LoadPackage.LoadPackageParam lpparam) {
Native.dump(lpparam.packageName);
}
}
跟着进入 Native.dump(),
注:不会 android ndk 也没关系,可以继续往下看
Native hook
以下可以先粗略的说一下,主要就是进入了 ndk 层进行 hook,然后进行 dump 进入 native.cpp 文件里面找到 JNICALL Java_com_wrbug_dumpdex_Native_dump 方法。
由于切换到了 c 语言,所以我会帮大家删除一些代码的细枝末节,只看主干。
再次声明下,以下方法实在当 android 版本为 26 或 27 的时候,会默认进行 Native 层脱壳
JNIEXPORT void JNICALL Java_com_wrbug_dumpdex_Native_dump
(JNIEnv *env, jclass obj, jstring packageName) {
// 在这里作者考虑到了防止每次 app 启动的时候都会 dump,因此保存了一个变量 is_hook 来记录,如果 hook 过了的话就会退出程序
static bool is_hook = false;
char *p = (char *) env->GetStringUTFChars(packageName, 0);
if (is_hook) {
__android_log_print(ANDROID_LOG_INFO, TAG, “hooked ignore”);
return;
}
init_package_name(p);
env->ReleaseStringChars(packageName, (const jchar *) p);
// 这里由于使用了第三方库,所以先执行第三方库的初始化操作,具体第三方库,见下文
ndk_init(env);
// 下面就是重点了,首先以 RTLD_NOW 模式打开动态库 libart.so,拿到句柄
void *handle = ndk_dlopen(“libart.so”, RTLD_NOW);
if (handle == NULL) {
__android_log_print(ANDROID_LOG_ERROR, TAG, “Error: unable to find the SO : libart.so”);
return;
}
// 根据不同的版本,拿到不同的对应的加载的符号
void *open_common_addr = ndk_dlsym(handle, get_open_function_flag());
//——– 略 ———
// 略掉很多分支,单独说一个, 见下文
if (registerInlineHook((uint32_t) open_common_addr, (uint32_t) get_new_open_function_addr(),
(uint32_t **) get_old_open_function_addr()) != ELE7EN_OK) {
__android_log_print(ANDROID_LOG_ERROR, TAG, “register1 hook failed!”);
return;
} else {
__android_log_print(ANDROID_LOG_ERROR, TAG, “register1 hook success!”);
}
// 设置 hook 标记为 true
is_hook = true;
}
registerInlineHook(
(uint32_t) open_common_addr, (uint32_t) get_new_open_function_addr(),
(uint32_t **) get_old_open_function_addr())
已经定位到函数的地址,接下来就是 Hook 替换以前的函数,替换成我们自己定义的函数,例如下面的函数
static void *new_arm64_open_common(uint8_t *base, size_t size, void *location,
uint32_t location_checksum, void *oat_dex_file,
bool verify,
bool verify_checksum,
void *error_meessage, void *verify_result) {
//——– 略 ———
// 首先在程序运行时,保存 dex,完成脱壳
save_dex_file(base, size);
// 调用以前的函数,保证程序正确执行,
void *result = old_arm64_open_common(base, size, location, location_checksum,
oat_dex_file, verify, verify_checksum,
error_meessage,
verify_result);
return result;
}
NDK 层 hook 完毕
到此为止 NDK 层 hook 分析完毕,分别用了第三方库 hook 了 android 指定版本的加载 dex 函数的方法,然后在 hook 的新函数里面添加到保存到 dump 目录的函数,达到脱壳的目的。
ndk hook 主要用到的库
https://github.com/rrrfff/ndk_dlopen
https://github.com/ele7enxxh/Android-Inline-Hook
SDK 层 hook
回到入口的那个章节,还记得吗,还有一个 LowSdkDump.init 这个是低版本的时候的逻辑
public static void init(final XC_LoadPackage.LoadPackageParam lpparam, PackerInfo.Type type) {
// 如果 sdk 是 23,24,25,26,27 之一,那么继续使用 native 层 hook
if (DeviceUtils.supportNativeHook()) {
Native.dump(lpparam.packageName);
}
// 额。。。。。。。。可能百度充钱了
if (type == PackerInfo.Type.BAI_DU) {
return;
}
// 见下文说明
XposedHelpers.findAndHookMethod(“android.app.Instrumentation”, lpparam.classLoader, “newApplication”, ClassLoader.class, String.class, Context.class, new XC_MethodHook() {
@Override
protected void afterHookedMethod(MethodHookParam param) throws Throwable {
// 执行真正的 dump 方法,然后保存
dump(lpparam.packageName, param.getResult().getClass());
attachBaseContextHook(lpparam, ((Application) param.getResult()));
}
});
}
上面的主要就是先检测可不可以 natvie 层 hook,可以的话优先 native 层 hook,然后就是百度可能充钱了,当然开个玩笑,这个可以大家自己尝试。
接下来就是 java 层 hook 了,hook 了加载类 Instrumentation 类,的 newApplication 方法,然后进行 dump.
还有 attachBaseContextHook 里面也是主要 Hook ClassLoader 的 loadClass 方法,
主要看 java 层的 dump 函数
private static void dump(String packageName, Class<?> aClass) {
Object dexCache = XposedHelpers.getObjectField(aClass, “dexCache”);
log(“decCache=” + dexCache);
Object o = XposedHelpers.callMethod(dexCache, “getDex”);
byte[] bytes = (byte[]) XposedHelpers.callMethod(o, “getBytes”);
String path = “/data/data/” + packageName + “/dump”;
File file = new File(path, “source-” + bytes.length + “.dex”);
if (file.exists()) {
log(file.getName() + ” exists”);
return;
}
FileUtils.writeByteToFile(bytes, file.getAbsolutePath());
}
大功告成
代码陆陆续续的看了一遍,可以尝试画一个流程图了
后记
其实文中涉及到的具体的 hook 的函数,需要我们具体的去看, 去研读 android 源码。这样才能融汇贯通。
了解了系统是如何加载一个 dex 的,才能真真正正的理解如何拦截,如何从内存 dump 出来。dump 的时候用的别人的库,的工具,都还好,主要是思路。如何找到关键点,进行 dump。
如何使用呢,可以见我的的上一篇文章
点我:Android 逆向之路 — 脱壳 360 加固、与 xposed hook 注意事项
写在最后
偶尔聊聊技术,偶尔聊聊逆向,偶尔聊聊生活
不能总聊技术呀,下次一起聊点轻松的。
博主还是一个懒散的博主。
关于我
个人博客:MartinHan 的小站
博客网站:hanhan12312 的专栏
知乎:MartinHan01
我的公众号:程序技术指北
(刚开不久,最近在琢磨新东西,谨慎关注!)