soot实现Android Apps插桩(一)

最新推荐文章于 2024-07-03 23:04:48 发布
最新推荐文章于 2024-07-03 23:04:48 发布
阅读量4.9k 收藏 10
点赞数
分类专栏: Android隐私检测 soot 文章标签: Soot android分析 数据流分析 android隐私检测

Soot支持阅读和重写Dalvik字节码。主要支持两个模块:一个是Dexpler,由Alexandre Bartel团队开发,并由Ben Bellamy,Eric Bodden等人扩展加强。Dexpler可以将Dalvik字节码转换成Jimple这种三地址码。


如何插桩:

首先获取soot的最新版本,例如nightly build。在点击打开链接目录中,包含Android不同的标准库,soot需要利用标准库解析待分析/插桩的应用程序中的类型。接着我们事先一个驱动类(driver class),这个驱动类中有一个主函数,代码如下:
 

//prefer Android APK files // -src-prec apk
Options.v().set_src_prec(Options.src_prec_apk);
//output as APK,too//-f J
Options.v().set_output_format(Options.output_format_dex);
//resolve the PrintStream and System soot-clases
Scene.v().addBasicClass(“java.io.PrintStream”,SootClass.SIGNATURES);
Scene.v().addBasicClass(“java.lang.System”,SootClass,SIGNATURES);
</span>
第1个Options指示soot加载Android APK文件(要分析的文件类型);第2个Options指示soot生成dex/apk文件作为输出文件。(理论上可以将Java转换为Dex或将Dex转换成Java等)。最后两个Options是让soot加载java.io.PrintStream和java.lang.System这两个类,根据插桩的目的(插入System.out.println("HELLO")),决定加载的类,这两个类在插桩System.out.println(“Hello”),所以需要加载,否则不需要。

下一步,向soot中加入Transform:

PackManager.v().getPack("jtp").add(new Transform("jtp.myInstrumenter", new BodyTransformer() {  
  
    @Override  
    protected void internalTransform(final Body b, String phaseName, @SuppressWarnings("rawtypes") Map options) {  
        final PatchingChain units = b.getUnits();         
        //important to use snapshotIterator here  
        for(Iterator iter = units.snapshotIterator(); iter.hasNext();) {  
            final Unit u = iter.next();  
            u.apply(new AbstractStmtSwitch() {  
  
                public void caseInvokeStmt(InvokeStmt stmt) {  
                    //code here  
                }  
  
            });  
        }  
    }  
}));

上述代码将遍历apk中所有bodies的所有units,在每一个InvokeStmt(调用语句)处调用写在上述的code here处的代码,code here中的代码如下: 

InvokeExpr invokeExpr = stmt.getInvokeExpr();  
if(invokeExpr.getMethod().getName().equals("onDraw")) {  
  
    Local tmpRef = addTmpRef(b);  
    Local tmpString = addTmpString(b);  
  
      // insert "tmpRef = java.lang.System.out;"   
    units.insertBefore(Jimple.v().newAssignStmt(   
              tmpRef, Jimple.v().newStaticFieldRef(   
              Scene.v().getField("").makeRef())), u);  
  
    // insert "tmpLong = 'HELLO';"   
    units.insertBefore(Jimple.v().newAssignStmt(tmpString,   
                  StringConstant.v("HELLO")), u);  
  
    // insert "tmpRef.println(tmpString);"   
    SootMethod toCall = Scene.v().getSootClass("java.io.PrintStream").getMethod("void     println(java.lang.String)");                      
    units.insertBefore(Jimple.v().newInvokeStmt(  
                  Jimple.v().newVirtualInvokeExpr(tmpRef, toCall.makeRef(), tmpString)), u);  
  
    //check that we did not mess up the Jimple  
    b.validate();  
}


这个将使soot在调用方法为onDraw语句前插入System.out.println(“HELLO”)代码。

最后,不要忘记调用soot的主函数:

soot.Main.main(args);
很简单,不是吗?下面你需要使用下面参数运行你的驱动类(driver class)。

-android-jars path/to/android-platforms

–process-dir your.apk

其中,path/to/android-platforms是你之前下载的AndroidJAR文件,your.apk则是你需要插桩的apk。-process-dir选项告诉soot处理apk中的所有类。程序最终的结果是在目录./sootOutput下生成一个与你处理apk名字一样的apk。


下面是译者针对完整代码,做的一个较为详细的代码注释:

/* Soot - a J*va Optimization Framework
 * Copyright (C) 2008 Eric Bodden
 *
 * This library is free software; you can redistribute it and/or
 * modify it under the terms of the GNU Lesser General Public
 * License as published by the Free Software Foundation; either
 * version 2.1 of the License, or (at your option) any later version.
 *
 * This library is distributed in the hope that it will be useful,
 * but WITHOUT ANY WARRANTY; without even the implied warranty of
 * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
 * Lesser General Public License for more details.
 *
 * You should have received a copy of the GNU Lesser General Public
 * License along with this library; if not, write to the
 * Free Software Foundation, Inc., 59 Temple Place - Suite 330,
 * Boston, MA 02111-1307, USA.
 */
import java.util.Iterator;
import java.util.Map;

import soot.Body;
import soot.BodyTransformer;
import soot.G;
import soot.Local;
import soot.PackManager;
import soot.PatchingChain;
import soot.RefType;
import soot.Scene;
import soot.SootClass;
import soot.SootMethod;
import soot.Transform;
import soot.Unit;
import soot.jimple.AbstractStmtSwitch;
import soot.jimple.AssignStmt;
import soot.jimple.InvokeExpr;
import soot.jimple.InvokeStmt;
import soot.jimple.Jimple;
import soot.jimple.StringConstant;
import soot.options.Options;
import soot.toolkits.graph.ExceptionalUnitGraph;

public class MyMain {

public static void main(String[] args) {
		
	//设置处理的文件类型:src_prec_apk表示处理的是Android apk
	Options.v().set_src_prec(Options.src_prec_apk);
	//设置输出的文件类型:output_format_dex表示输出的文件的apk/dex,将会输出在工程目录下的sootOutput目录
	Options.v().set_output_format(Options.output_format_jimple);
	//设置soot的soot-class路径
	Options.v().set_soot_classpath("G:\\Soot\\sdk\\platforms\\android-17\\android.jar;C:\\Program Files\\Java\\jre7\\lib\\rt.jar;C:\\Program Files\\Java\\jre7\\lib\\jce.jar;G:\\李政桥\\工具\\android相关工具\\soot-trunk.jar");
	//加载java.io.PrintStream和java.lang.System
	//java.lang.System中存在字段static PrintStream out
	//java.io.PrintStream中存在方法void println(java.lang.String)
	//插入的代码是:System.out.println("HELLO");
	Scene.v().addBasicClass("java.io.PrintStream",SootClass.SIGNATURES);
	Scene.v().addBasicClass("java.lang.System",SootClass.SIGNATURES);
		
	PackManager.v().getPack("jtp").add(
	new Transform("jtp.myTransform", new BodyTransformer() {
		protected void internalTransform(final Body body, String phase, Map options) {
			//Body带代表一个method body;
			//Body中存在三个基本元素:locals、statements、exceptions,即:getLocals();getUnits();getTraps()
			final PatchingChain units = body.getUnits();
			//important to use snapshotIterator here
			for(Iterator iter = units.snapshotIterator();iter.hasNext();){
				final Unit u = (Unit) iter.next();
				u.apply(new AbstractStmtSwitch(){
							
					//如果u是一个调用语句的时候,类似:staticinvoke <com.example.source_a.MainActivity: int add4(int,int)>($i0, $i1);
					public void caseInvokeStmt(InvokeStmt stmt){
						InvokeExpr invokeExpr = stmt.getInvokeExpr();
						//该调用语句中,如果被调用的方法是add时
						if(invokeExpr.getMethod().getName().equals("add")){
							Local tmpRef = addTmpRef(body);
							Local tmpString = addTmpString(body);
							//插入:tmpRef = <java.lang.System: java.io.PrintStream out>;类似于类的实例化
							//newAssignStmt()为赋值语句
							units.insertBefore(Jimple.v().newAssignStmt(tmpRef, Jimple.v().newStaticFieldRef(
									Scene.v().getField("<java.lang.System: java.io.PrintStream out>").makeRef())), u);
							//插入:tmpLong = "HELLO";
							units.insertBefore(Jimple.v().newAssignStmt(tmpString, 
									StringConstant.v("HELLO")), u);
										
							//insert "tmpRef.println(tmpString);"
							SootMethod toCall = Scene.v().getSootClass("java.io.PrintStream").getMethod("void println(java.lang.String)");
							//newVirtualInvokeExpr()生成调用语句,第1个参数为类的实例化,第2个参数为类中的方法的引用,第3个为方法的参数
							units.insertBefore(Jimple.v().newInvokeStmt(
									Jimple.v().newVirtualInvokeExpr(tmpRef, toCall.makeRef(),tmpString)), u);
							//check that we did not mess up the Jimple
							body.validate();
						}
					}
					//同样可以处理其他语句,如下面的赋值语句
					public void caseAssignStmt(AssignStmt stmt){}
					//这些都是class AbstraceStmtSwitch中可以查看
				});
			}	
		}
					
	}));
		
	soot.Main.main(args);
	}
	
	private static Local addTmpRef(Body body){
		//生成Local tmpRef,生成的Jimple代码为:java.io.PrintStrem tmpRef;
		Local tmpRef = Jimple.v().newLocal("tmpRef", RefType.v("java.io.PrintStream"));
		//加到Locals链中
		body.getLocals().add(tmpRef);
		return tmpRef;
	}
	
	private static Local addTmpString(Body body){
		//生成Local tmpString,生成的Jimple代码为:java.lang.String tmpString;
		Local tmpString = Jimple.v().newLocal("tmpString", RefType.v("java.lang.String"));
		body.getLocals().add(tmpString);
		return tmpString;
	}
}

运行注意事项:

Ecplise参数的配置:
-android-jars E:\\IT-tools\\ adt-bundle-windows-x86-20130219\\sdk\\platforms\\
-process-dir G:\\Soot\\Source_A.apk


译者的sdk目录结构为:platforms下存在android-3、android-4、android-7等9个目录,soot会根据Source_A.apk在platforms下选择合适的android.jar<猜测>,因此,参数值不能设置为类似E:\\IT-tools\\ adt-bundle-windows-x86-20130219\\sdk\\platforms\\android-17\\的形式。但是,可以通过Options.v().set_force_android_jar(),则可以使用特定的android.jar。

注意上述完整代码中有一行:
Options.v().set_soot_classpath("……”);这是设置soot-class,请根据自身的环境变量配置设置。


最终的结果:
将在工程目录下的sootOutput文件夹中生成apk文件,签名后就可以直接安装运行。


插桩结果验证:
译者将生成的apk逆向成java,如下所示: 

super.onCreate(paramBundle);
setConentView(2130903040);
...
...
System.out.println("HELLO");
add(2,3);
...
在调用方法add()前插入了System.out.println("HELLO");

译者注:

在三地址码中,一条指令的右侧最多有一个运算符。也就是说,不允许出现组合的算术表达式。因此,像x+y*z这样的源语言表达式要被翻译成如下的三地址指令序列:
 
t1=y*z;
t2=x+t1;
其中t1和t2是编译器产生的临时名字。因为三地址代码拆分了多运算符算术表达式以及控制流语句的嵌套结构,所以适用于目标代码的生成和优化。

原文链接

小作坊中搬砖
关注
专栏目录
使用Sootandroid程序中插装
zhoukongbiao的博客
04-29 1114
1、下载soot jar包 2、将jar引入工程中 3、编写代码: 新建插装类:InstrumentApk.java public class InstrumentApk {       public final static String androidJar="E:\\Android\\androidsdk\\android-2.2_r01-windows\\platform
soot插桩关键点总结(三)
epiccic3的博客
05-18 2310
利用soot插桩的一些简单总结
Instrumenting Android Apps with Soot
qc_liu的blog
11-05 795
I am excited to let you know that we have recently committed to the development Branch of Soot support for reading and writing Dalvik bytecode with Soot. (This code will also be contained in Soot’s
软件中的插桩和打桩,以及桩的使用方法
最新发布
qq_41854911的博客
07-03 2013
插桩和打桩是机载嵌入式软件测试中两种重要的技术。插桩技术主要用于覆盖测试、性能分析和故障调试等方面,而打桩技术则主要用于单元测试和集成测试中模拟外部依赖。在实际应用中,开发者需要根据具体的测试需求和测试环境选择合适的技术和工具来实现测试目标。插桩是指在源代码中插入额外的代码(桩代码),以收集信息(如覆盖率、性能数据等)、改变程序行为或进行调试。在机载嵌入式软件测试中,插桩技术常用于覆盖测试,以验证软件在特定条件下的执行路径和逻辑分支。
Soot 学习笔记 7:使用 Soot 为应用进行 profiling 插桩
beswkwangbo的专栏
11-20 3226
本文来自 Adding profiling instructions to applications with Soot   ,描述了如何实现用 goto 指令的计数器来 annotates JimpleBody 的 BodyTransformer。 目标 具体的会完成下述工作: 根据方法的 signature 从 Scene 中将其检索。为类添加 field区分不同类型的 J
unity烟尘_用烟尘检测Android应用
weixin_26739079的博客
08-21 278
unity烟尘In this blog post, I describe how to use Soot to read an Android APK (without the source code), change its methods and classes(even add a new class), and write the new code into a working APK. ...
soot-android-static-analysis:使用Soot进行android应用静态分析
05-02
使用SootAndroid应用进行静态分析,目前包括 检测应用中敏感字符串url和email 检测应用中风险代码片段 检测应用可能存在的漏洞 Soot官方Wiki地址 代码结构 src\main\java\...
论文研究-基于SootAndroid应用静态污点分析工具的研究 .pdf
08-18
基于SootAndroid应用静态污点分析工具的研究,孙明剑,辛阳,针对Android应用信息泄露路径检测的问题,为了实现一种基于配置文件的通用的路径检测工具,本文研究了一种基于SootAndroid静态污点分
soot-android-scala:在 Scala 中对 android apk 运行烟尘分析
06-26
煤烟-android-scala 在 Scala 中对 android apk 运行烟尘分析 为您的平台获取 sbt(所有...$ cd soot-android-scala $ sbt "run platforms 1.apk" 平台/目录是占位符。 您将希望使用 Android SDK 管理器获得更多平台。
Android代码-soot-infoflow-android
08-06
Android代码-soot-infoflow-android】是一个针对Android应用程序的安全分析工具包,主要基于Soot框架和InfoFlow算法。Soot是一个强大的Java优化框架,而InfoFlow则是用于静态数据流分析,特别是关注信息泄露和隐私...
Soot获取Android应用控制流图
不忘初心的专栏
07-01 4340
Soot简介Soot是一个Java静态分析框架,它提供了四种中间(representation)表现用于分析与转换Java字节码.Soot既可以作为优化和检查class文件的工具也可以作为一个开发与优化Java字节码的框架。使用Soot可以对Android应用进行静态分析Android静态分析指APK不在运行的情况下,根据某些代码特征来分析应用具有哪些行为。Soot的升级版FlowDroid可以...
soot的安安装与使用
weixin_30797199的博客
01-22 180
soot工具是一个可以分析多种源代码的工具,可以进行插桩,最新版本可对androidapk文件,进行相应的分析以往可以直接在eclipse里面在线安装。soot(AframeworkforanalyzingandtransformingJavaandAndroidApplications)主页http://sable.github.io/soot/ 在线自动安装: 安装完...
soot 学习笔记 四
10-30 651
参考链接:http://www.bodden.de/2013/01/08/soot-android-instrumentation/zh
【 了解 Android 测试的基础知识】
Jasonhso的博客
07-21 581
就软件而言,测试是一种结构化方法,用于检查软件以确保其运行正常。自动化测试实际是一段代码,用于检查您所编写的另一段代码,确保其能够正常运行。进行软件测试非常有好处,因为通过此测试,您可以在公开发布代码之前消除其中的bug,这是确保良好的用户体验的关键。虽然手动测试几乎总是有它的一席之地,但Android中的测试通常可以自动执行。在整个《使用Kotlin进行Android开发的基础知识》课程中,您将重点学习使用自动化测试来测试应用代码和应用本身的功能要求。main目录的一个子文件夹中。在和。......
Soot 静态分析框架(六)数据流指向分析
沧海一粟
10-19 3255
1. 数据流指向分析 1.1 指向分析 指向分析,给定一个变量的函数,计算其可能的类型,指向信息,指向分析可以帮助其它的分析。 1.2 Soot的指向分析框架 soot提供了PointsToAnalysis ,PointsToSet接口。任何一个指向的分析都应该实现这两个接口。 PointsToAnalysis 方法reachingObjects(Local l),该方法可以返回指向参...
如何获取Android项目的VersionName的getPackageManager()
徐刘根的博客
03-15 6070
代码笔记:/** * 得到应用层序的版本名称 * * @return */ private String getVersionName() { // 用于管理安装的apk和未安装的apk PackageManager packageManager = getPackageManager(); try {
Soot中的包(Packs)和阶段(phases)
zlp1992的专栏
12-18 2862
原文链接:点击打开链接 在Soot的反馈邮箱中最常问的一个问题就是在Soot中什么时候运行一个特定的分析Soot的执行被分割在一组不同的包里(packs),每个包包含不同的阶段(phases)。因此上面这个问题也可以表述为:我应该在哪个包里运行我的分析和转换(transformation)?。这篇文章将帮助你回答这个问题。 Phase options(阶段选项) Soot支持上百种
Soot I: 基本了解
热门推荐
翾昱
02-13 1万+
Static analysis指在不对program进行运行的情况下,对其行为进行分析。搞compiler的人用之于优化,搞安全的用于做taint analysis。对于Java有两大开源的static analysis 框架,Soot和WALA,前者由McGill大学维护,后者是IBM。最新的Soot开始支持对Andoird 代码分析,包括static taint analysis。 从这篇开
soot实现Android Apps插桩(二)
epiccic3的博客
05-16 2932
上篇介绍了在apk中插入System.out.println(“HELLO”)句子。但是,利用soot插桩java/apk,其实都可以插入类、方法等。soot分析/插桩等都是在Jimple中间语言上进行的,因此,本文介绍利用soot生成一个完整类的过程,希望能够从中受到启发。
基于SootAndroid应用信息泄露路径检测工具研究
本篇论文深入探讨了"基于SootAndroid应用静态污点分析工具的研究"这一主题,由孙明剑和辛阳两位作者,来自北京邮电大学网络空间安全学院。他们针对Android应用程序中的信息泄露问题,提出了一个创新的方法来开发一...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值