利用Soot插装Android App

最新推荐文章于 2024-08-11 10:39:52 发布
最新推荐文章于 2024-08-11 10:39:52 发布
阅读量4.6k 收藏 4
点赞数 1
分类专栏: Soot 文章标签: Android漏洞分析 Soot android分析 数据流分析

原文地址:点击打开链接

  在Soot里我们增加了对读写Dalvik bytecode的支持。主要包含两个模块,第一个称作Dexpler ,主要由Alexandre Bartel 团队开发,Ben Bellamy 、Eric Bodden、Frank Hartmann 和 Michael Market 对其做了增强。Dexpler将 Dalvik 字节码转换成 Jimple的三地址格式代码(three-address code)。

  如何插装

首先下载soot的最新版本,比如 soot 的nightly buid版本。同时查看https://github.com/Sable/android-platforms下的目录。这个目录包含不同版本的Android标准库,Soot需要利用这些来解析你分析或者插装的应用程序里的类型。接着我们实现一个驱动类(driver class),在这个类中有一个主方法包含以下代码:

//prefer Android APK files// -src-prec apk
Options.v().set_src_prec(Options.src_prec_apk);

//output as APK, too//-f J
Options.v().set_output_format(Options.output_format_dex);

// resolve the PrintStream and System soot-classes
Scene.v().addBasicClass("java.io.PrintStream",SootClass.SIGNATURES);
Scene.v().addBasicClass("java.lang.System",SootClass.SIGNATURES);
第一条操作告知Soot装载Android apk文件,第二条告知Soot输出一个Dex/APK 文件(理论上,你也可以将Java转换成Dex或者将Dex转换成Java等),最后两个操作告诉Soot装着两个类,我们在插装的时候需要这两个类,但可能被插装的APK不需要这两个类。

接着我们往Soot里添加一个Transform:

PackManager.v().getPack("jtp").add(new Transform("jtp.myInstrumenter", new BodyTransformer() {

    @Override
    protected void internalTransform(final Body b, String phaseName, @SuppressWarnings("rawtypes") Map options) {
        final PatchingChain units = b.getUnits();       
        //important to use snapshotIterator here
        for(Iterator iter = units.snapshotIterator(); iter.hasNext();) {
            final Unit u = iter.next();
            u.apply(new AbstractStmtSwitch() {

                public void caseInvokeStmt(InvokeStmt stmt) {
                    //code here
                }

            });
        }
    }
}));
这会遍历APK里所有Bodies里的所有Units并且对于每一个InvokeStmt将会调用标注"code here"里的代码。

在“code here”这个标注里面插入下面的代码:

InvokeExpr invokeExpr = stmt.getInvokeExpr();
if(invokeExpr.getMethod().getName().equals("onDraw")) {

    Local tmpRef = addTmpRef(b);
    Local tmpString = addTmpString(b);

      // insert "tmpRef = java.lang.System.out;" 
    units.insertBefore(Jimple.v().newAssignStmt( 
              tmpRef, Jimple.v().newStaticFieldRef( 
              Scene.v().getField("").makeRef())), u);

    // insert "tmpLong = 'HELLO';" 
    units.insertBefore(Jimple.v().newAssignStmt(tmpString, 
                  StringConstant.v("HELLO")), u);

    // insert "tmpRef.println(tmpString);" 
    SootMethod toCall = Scene.v().getSootClass("java.io.PrintStream").getMethod("void     println(java.lang.String)");                    
    units.insertBefore(Jimple.v().newInvokeStmt(
                  Jimple.v().newVirtualInvokeExpr(tmpRef, toCall.makeRef(), tmpString)), u);

    //check that we did not mess up the Jimple
    b.validate();
}
这使得Soot在方法调用之前插入 System.out.println("HELLO"),但是这个方法调用的目标必须是 onDraw方法。

最后,别忘了调用Soot的主方法:

soot.Main.main(args);
很简单不是吗?最后你只需要带以下参数来运行你的驱动类(driver class): 

-android-jars path/to/android-platforms -process-dir your.apk
这里,path/to/android-platforms 是你之前下载的Android 平台jar包路径,your.apk是你要插装的APK路径,选项 -process-dir告知Soot处理这个APK里所有的类。最后你会在目录 ./sootOutput里发现一个同名的APK。

完整代码如下:

import java.util.Iterator;
import java.util.Map;

import soot.Body;
import soot.BodyTransformer;
import soot.Local;
import soot.PackManager;
import soot.PatchingChain;
import soot.RefType;
import soot.Scene;
import soot.SootClass;
import soot.SootMethod;
import soot.Transform;
import soot.Unit;
import soot.jimple.AbstractStmtSwitch;
import soot.jimple.InvokeExpr;
import soot.jimple.InvokeStmt;
import soot.jimple.Jimple;
import soot.jimple.StringConstant;
import soot.options.Options;


public class AndroidInstrument {
	
	public static void main(String[] args) {
		
		//prefer Android APK files// -src-prec apk
		Options.v().set_src_prec(Options.src_prec_apk);
		
		//output as APK, too//-f J
		Options.v().set_output_format(Options.output_format_dex);
		
        // resolve the PrintStream and System soot-classes
		Scene.v().addBasicClass("java.io.PrintStream",SootClass.SIGNATURES);
        Scene.v().addBasicClass("java.lang.System",SootClass.SIGNATURES);

        PackManager.v().getPack("jtp").add(new Transform("jtp.myInstrumenter", new BodyTransformer() {

			@Override
			protected void internalTransform(final Body b, String phaseName, @SuppressWarnings("rawtypes") Map options) {
				final PatchingChain<Unit> units = b.getUnits();
				
				//important to use snapshotIterator here
				for(Iterator<Unit> iter = units.snapshotIterator(); iter.hasNext();) {
					final Unit u = iter.next();
					u.apply(new AbstractStmtSwitch() {
						
						public void caseInvokeStmt(InvokeStmt stmt) {
							InvokeExpr invokeExpr = stmt.getInvokeExpr();
							if(invokeExpr.getMethod().getName().equals("onDraw")) {

								Local tmpRef = addTmpRef(b);
								Local tmpString = addTmpString(b);
								
								  // insert "tmpRef = java.lang.System.out;" 
						        units.insertBefore(Jimple.v().newAssignStmt( 
						                      tmpRef, Jimple.v().newStaticFieldRef( 
						                      Scene.v().getField("<java.lang.System: java.io.PrintStream out>").makeRef())), u);

						        // insert "tmpLong = 'HELLO';" 
						        units.insertBefore(Jimple.v().newAssignStmt(tmpString, 
						                      StringConstant.v("HELLO")), u);
						        
						        // insert "tmpRef.println(tmpString);" 
						        SootMethod toCall = Scene.v().getSootClass("java.io.PrintStream").getMethod("void println(java.lang.String)");                    
						        units.insertBefore(Jimple.v().newInvokeStmt(
						                      Jimple.v().newVirtualInvokeExpr(tmpRef, toCall.makeRef(), tmpString)), u);
						        
						        //check that we did not mess up the Jimple
						        b.validate();
							}
						}
						
					});
				}
			}


		}));
		
		soot.Main.main(args);
	}

    private static Local addTmpRef(Body body)
    {
        Local tmpRef = Jimple.v().newLocal("tmpRef", RefType.v("java.io.PrintStream"));
        body.getLocals().add(tmpRef);
        return tmpRef;
    }
    
    private static Local addTmpString(Body body)
    {
        Local tmpString = Jimple.v().newLocal("tmpString", RefType.v("java.lang.String")); 
        body.getLocals().add(tmpString);
        return tmpString;
    }
}

下面说下译者在实践中运行的问题。

首先我配置Eclipse参数为

-android-jars D:\\android.jar -process-dir D:\\Eclipse\\SootTest\\SampleInfoSaveInSDcard.apk

其中D:\\android.jar是我用来测试的android标准库,但运行发现android.jar不存在

但事实上这个路径下是有android.jar这个文件的,后来查找soot官网的论坛发现不能这样指定,接着我配置参数为:

-android-jars D:\\Eclipse\\adt-bundle-windows-x86-20130917\\sdk\\platforms\\android-18\\
-process-dir D:\\Eclipse\\SootTest\\SampleInfoSaveInSDcard.apk

发现还是提示上面的错误,


把配置参数的第一行改为 -android-jars D:\\Eclipse\\adt-bundle-windows-x86-20130917\\sdk\\platforms\\

结果终于顺利运行成功,结果如图:


这是会在sootOutput目录下生成一个与你插装的apk同名的apk

这里说下我的android.jar目录结构

在D:\\...\\platforms 目录下有两个标准库 android-18目录和android-10目录,当不指定到android-18目录时soot能够正常运行,但当指定使用android-18目录下的标准库时,便会出现找不到android.jar的情况。

注意如果把设置soot选项的增加Options.v().set_force_android_jar(),则可以使用特定的android。jar





zlp1992
关注
专栏目录
使用Sootandroid程序中插装
zhoukongbiao的博客
04-29 1114
1、下载soot jar包 2、将jar引入工程中 3、编写代码: 新建插装类:InstrumentApk.java public class InstrumentApk {       public final static String androidJar="E:\\Android\\androidsdk\\android-2.2_r01-windows\\platform
soot-android-static-analysis:使用Soot进行android应用静态分析
05-02
简介 使用SootAndroid应用进行静态分析,目前包括 检测应用中敏感字符串url和email 检测应用中风险代码片段 检测应用可能存在的漏洞 Soot官方Wiki地址 代码结构 src\main\java\com\nii\soot\checker\UrlSootChecker.java 检测应用中存在的url地址 src\main\java\com\nii\soot\checker\EmailSootChecker.java 检测应用中存在的email地址 src\main\java\com\nii\soot\checker\MenifestChecker.java 解析AndroidManifest.xml src\main\java\com\nii\soot\checker\ZipVulnChecker.java 检测zip目录遍历漏洞
android基于类装载器DexClassloader设计“件框架”
com360的专栏
11-04 9963
@Override protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.activity_main); useDexClassLoader2(); } @
堆排序-java
最新发布
qq_68820435的博客
08-11 727
1.4 堆调整:当根节点被取出后,将堆中最后一个值作为根节点,然后向下进行调整,选取根节点左右子节点中的最大值进行位置交换,交换后还需继续往下调整,直到符合堆条件。1.1 堆:一种特殊的完全二叉树,每一个根节点的值都大于左右子节点的值, 因此在堆中,最大值永远是根节点。1.3 堆排序:每一次取出堆的根节点的值作为最大值,排列到数组尾端,直到最后一个元素取出,就完成排序。1.2 创建最大堆:通过变换子节点与根节点的位置从而创建大根堆。3.3 力扣912测试结果(测试用例全部通过)2. java代码实现。
利用Soot插装apk实战
zlp1992的专栏
01-06 4069
参考文献: 1. 使用keytool与jarsigner(这两个都是JDK自带的工具)给插装代码后的apk签名:点击打开链接 2.在安卓模拟器上安装插装并签名了的apk:点击打开链接 3.利用Soot插装apk: Instrumenting_Android_and_Java_Applications_as_Easy_as_abc   这里主要讲下步骤 1. 给插装好的apk签名;
android静态分析 soot,使用Android Studio Lint静态分析
weixin_35886058的博客
05-26 231
检查项设置Specify Inspection Scope 面板上最后一项Inspection profile,指定在代码扫描过程中对哪些问题进行检查。系统默认只提供一个Default可选项,我们可以点击下拉框右边的“…”按钮添加个性化的可选项。如下图,我们需要先把Default配置项Copy to Project,改个可爱的名字后就可以在新产生的配置项上进行编辑了。第一步可以点击橡皮擦(图中被弹...
Android代码-soot-infoflow-android
08-06
ATTENTION: FlowDroid has moved to here: https://github.com/secure-software-engineering/FlowDroid
论文研究-基于SootAndroid应用静态污点分析工具的研究 .pdf
08-18
基于SootAndroid应用静态污点分析工具的研究,孙明剑,辛阳,针对Android应用信息泄露路径检测的问题,为了实现一种基于配置文件的通用的路径检测工具,本文研究了一种基于SootAndroid静态污点分
soot-android-scala:在 Scala 中对 android apk 运行烟尘分析
06-26
煤烟-android-scala 在 Scala 中对 android apk 运行烟尘分析 为您的平台获取 sbt(所有...$ cd soot-android-scala $ sbt "run platforms 1.apk" 平台/目录是占位符。 您将希望使用 Android SDK 管理器获得更多平台。
soot学习笔记-2.使用soot解析Android apk.
羽小缘的小窝
12-30 3207
代码:sootMain.java文件package com.sun.soot.example;import java.util.Collections;import soot.PackManager; import soot.Scene; import soot.Transform; import soot.options.Options;public class sootMain { pr
android 正则_SootAndroid组件NPE拒绝服务检测中的应用
weixin_29089057的博客
01-18 297
点击上方蓝字关注我们噢~在对移动应用进行逆向代码静态分析时,通常可以使用正则表达式对逆向后的代码进行搜索来定位安全问题,但正则表达式仅能够对文本进行匹配,无法跟踪到代码的上下文与运行时的数据传递,效果欠佳。本文将介绍如何利用 Soot 来静态模拟应用运行时的数据传递,分析 Android 应用组件中的空指针异常。01Soot介绍Soot是什么Soot 最初是一个 Java 优化框架,它提...
android+生成控制,用 soot 生成安卓App的控制流 Day 1
weixin_42492000的博客
05-28 633
以下实验环境是在 Ubuntu 下,使用 eclipse kepler, java 1.7多版本java管理注意!soot不支持java 1.8版本,请在eclipse 中设置JRE是1.7的版本。使用如下方法安装javajava的默认路径为 /usr/lib/jvm安装命令1234$ sudoadd-apt-repositoryppa:webupd8team/java$ sudo apt-get...
基于最新版soot-infoflow-android绘制android应用函数调用图
king_gun的专栏
09-04 5993
最近在研究android应用函数调用图分析,准备基于soot做代码静态分析
Android桩探索
qq_38490134的博客
04-19 793
字节码桩可以通过修改“.class”的 Java 字节码实现,也可以通过修改“.dex”的 Dalvik 字节码实现,这取决于我们使用的桩方法。相对于 Java 文件方式,字节码操作方式功能更加强大,应用场景也更广,但是它的使用复杂度更高
Instrumenting Android Apps with Soot
qc_liu的blog
11-05 796
I am excited to let you know that we have recently committed to the development Branch of Soot support for reading and writing Dalvik bytecode with Soot. (This code will also be contained in Soot’s
soot实现Android Apps桩(一)
epiccic3的博客
05-13 4966
利用soot实现Android app桩,最后生成桩后的apk。
Android 修炼手册】常用技术篇 -- Android 件化解析
Android062001的博客
08-25 369
预备知识 了解 android 基本开发 了解 android 四大组件基本原理 了解 ClassLoader 相关知识 看完本文可以达到什么程度 了解件化常见的实现原理 阅读前准备工作 clone CommonTec 项目 文章概览 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gB0axkS9-1629895859810)(https://user-gold-cdn.xitu.io/2019/7/8/16bd22de0ea2a81c?imageView2/0
Android】字节码桩(一)
sinat_36955332的博客
07-14 942
1 摘要 字节码桩技术可以帮我们实现业务层模块和功能模块的关联,并在项目结构避免其耦合,比如ARouter实现各模块路由表的注册; 2 背景 一般我们使用Transform会有下面两种场景 我们需要对编译class文件做自定义的处理。 我们需要读取编译产生的class文件,做一些其他事情,但是不需要修改它。 本篇主要介绍完成字节码桩的第一步,通过Transform将编译后的class文件和jar包找到并输出; 3 正文 Transform的基本API参考: Transform的抽象方法: publi
基于SootAndroid应用信息泄露路径检测工具研究
Soot是一个广泛用于Java字节码分析的框架,论文利用其强大的分析能力,构建了针对Android应用数据流图。 论文的核心思想是利用Soot工具分析Android应用,特别是在处理数据流过程中可能存在的信息泄露路径。作者...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值