Frida07 - dexdump核心源码分析

已于 2023-12-22 11:29:38 修改
阅读量985 收藏 24
点赞数 27
分类专栏: Frida 文章标签: 前端 算法 java
于 2023-12-22 11:27:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a5right/article/details/135149181
版权

项目地址

https://github.com/hluwa/frida-dexdump

代码解析

项目中的核心函数是 searchDex:

function searchDex(deepSearch) {
    var result = [];
    Process.enumerateRanges('r--').forEach(function (range) {
        try {
            ....
        } catch (e) {
        }
    });
    return result;
}

里面用了一个新的API,Process.enumerateRanges,我们看一下API介绍:

enumerates memory ranges satisfying protection given as a string of the form: rwx, where rw- means “must be at least readable and writable”.

使用这个API可以在进程中搜索所有可读的内存段,我们可以直接传递 ‘r—’ 的形式,也可以传递一个对象:{protection: '---', coalesce: true } ,coalesce 的值表示是否需要合并相同权限的内存段,默认是 false。

这个函数会返回一个数组对象,里面的元素有如下属性:

  1. base:基地址,NativePointer,可以理解为C里面的指针。

  2. size:内存块大小,in bytes

  3. protection:保护属性,string

  4. file:(如果有的话)内存映射文件:

    1. path,文件路径,string

    2. offset,文件内偏移,in bytes

    3. size,文件大小,in bytes

继续看源码:

Memory.scanSync(range.base, range.size, "64 65 78 0a 30 ?? ?? 00").forEach(function (match) {
    if (range.file && range.file.path && (range.file.path.startsWith("/data/dalvik-cache/") || range.file.path.startsWith("/system/"))) {
        return;
    }

    if (verify(match.address, range, false)) {
        var dex_size = get_dex_real_size(match.address, range.base, range.base.add(range.size));
        result.push({
            "addr": match.address,
            "size": dex_size
        });
        var max_size = range.size - match.address.sub(range.base).toInt32();

        if (deepSearch && max_size != dex_size) {
            result.push({
                "addr": match.address,
                "size": max_size
            });
        }
    }
});

又用到了一个新的API,Memory.scanSync,看看文档介绍:

scan memory for occurrences of pattern in the memory range given by address and size.

就是按照 pattern 给定的模式来搜索指定范围的内存是否又匹配的。

64 65 78 0a 30 ?? ?? 00

表示搜索的模式是 以 64 65 78 0a 30 字节开头的,中间两个字节不关心,后面跟着一个 00 的8个字节,如果有满足的则触发回调。

为啥要搜索这几个字节呢?是因为这几个字节是 dex 的文件魔数。可以看下官方文档介绍:

https://source.android.com/docs/core/runtime/dex-format?hl=zh-cn

作者设置的比较宽泛,中间的两个字节表示的是 dex 的版本号,会搜索所有版本号的 dex。

文档介绍 pattern 还有一个 r2-style 的写法,但是搜了一下没看太明白,就不说了。

回调会传递一个对象,里面的属性有:

  1. onMatch: function(address, size): 扫描到一个内存块,起始地址是address,大小size的内存块,返回字符串 stop 表示停止扫描

  2. onError: function(reason): 扫描内存的时候出现内存访问异常的时候回调

  3. onComplete: function(): 内存扫描完毕的时候调用

再回到源码:

if (range.file && range.file.path && (range.file.path.startsWith("/data/dalvik-cache/") || range.file.path.startsWith("/system/"))) {
    return;
}

系统app的dex,我们不需要。

if (verify(match.address, range, false)) {
    var dex_size = get_dex_real_size(match.address, range.base, range.base.add(range.size));
    result.push({
        "addr": match.address,
        "size": dex_size
    });
    var max_size = range.size - match.address.sub(range.base).toInt32();

    if (deepSearch && max_size != dex_size) {
        result.push({
            "addr": match.address,
            "size": max_size
        });
    }
}

verify 函数是对 dex 进行校验,主要是根据自己对 dex 文件的熟悉程度来做校验。

比如 dex 文件应该至少有 0x70 个字节,因为这是 dex 文件头的大小。

比如,0x3c位置的字节必定是 0x70,因为文件头后面跟着的就是字符串。

作者还开了一个深度验证,利用maps,其实原理很简单,我们使用010editor打开一个dex:

文件头里面有一个 map_off 字段,它的值是 map_list 段在dex文件内的偏移。

我们再看 map_list 段:

这里也储存了自身的一个偏移,那么根据这两个东西,就可以认为这个是dex文件。

具体代码如下:

function verify_by_maps(dexptr, mapsptr) {
    var maps_offset = dexptr.add(0x34).readUInt();
    var maps_size = mapsptr.readUInt();

    for (var i = 0; i < maps_size; i++) {
        var item_type = mapsptr.add(4 + i * 0xC).readU16();

        if (item_type === 4096) {
            var map_offset = mapsptr.add(4 + i * 0xC + 8).readUInt();

            if (maps_offset === map_offset) {
                return true;
            }
        }
    }

    return false;
}

然后再计算 map_list 结束的位置:

function get_maps_end(maps, range_base, range_end) {
    var maps_size = maps.readUInt();

    if (maps_size < 2 || maps_size > 50) {
        return null;
    }

    var maps_end = maps.add(maps_size * 0xC + 4);

    if (maps_end < range_base || maps_end > range_end) {
        return null;
    }

    return maps_end;
}

最后通过减掉起始地址,就可以得到真正的文件大小了:

function get_dex_real_size(dexptr, range_base, range_end) {
    var dex_size = dexptr.add(0x20).readUInt();
    var maps_address = get_maps_address(dexptr, range_base, range_end);

    if (!maps_address) {
        return dex_size;
    }

    var maps_end = get_maps_end(maps_address, range_base, range_end);

    if (!maps_end) {
        return dex_size;
    }

    return maps_end.sub(dexptr).toInt32();
}

如果开了深度搜索,匹配方式又有不同:

Memory.scanSync(range.base, range.size, "70 00 00 00").forEach(function (match) {
    var dex_base = match.address.sub(0x3C);

    if (dex_base < range.base) {
        return;
    }

    if (dex_base.readCString(4) != "dex\n" && verify(dex_base, range, true)) {
        var real_dex_size = get_dex_real_size(dex_base, range.base, range.base.add(range.size));

        if (!verify_ids_off(dex_base, real_dex_size)) {
            return;
        }

        result.push({
            "addr": dex_base,
            "size": real_dex_size
        });
        var max_size = range.size - dex_base.sub(range.base).toInt32();

        if (max_size != real_dex_size) {
            result.push({
                "addr": dex_base,
                "size": max_size
            });
        }
    }
});

70 00 00 00 是dex文件头里面字符串的偏移段。这是因为有些加固厂商会修改 dex 的魔数,所以作者选择了这种匹配方式。

可以看到,逆向的重心,除了api用的熟之外,还需要对app本身的相关知识要有足够的了解才行。

二手的程序员
关注
  • 27
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Frida系列--Stalker原理分析
Tasfa的博客
08-02 1135
Stalker 是Frida的代码跟踪引擎。它允许跟踪线程,捕获每个函数、每个块,甚至是执行的每条指令。显然,Stalker底层实现在某种程度上是依赖于架构的,尽管它们之间有很多共同点。Stalker目前支持运行在常见的 AArch64 架构的Android 或iOS的手机和平板电脑上,以及常见的 Intel 64 和 IA-32 架构台式机和笔记本电脑上。对于ARM32位的支持相当有限,会出现一些BUG,建议使用ARM64位进行Trace。...
FRIDA-DEXDump.zip
07-30
FRIDA-DEXDump:深度探索Android应用逆向分析》 在移动安全领域,逆向工程是一项至关重要的技能,尤其对于Android应用来说,理解其内部工作原理和逻辑,有时是必要的,例如为了检测恶意软件、漏洞挖掘或者进行...
frida-profiler:基于Frida的代码分析
03-12
基于Frida的代码分析器 该存储库包含用于使用Frida剖析LIEF功能的代码。 开始使用 确保下载与您的系统/体系结构相关的正确版本的 。 在Linux上,它将是frida-gum-devkit-14.2.13-linux-x86_64.tar.xz 。 您还需要下载(或编译)LIEF的SDK(有关最新版本,请参见: ://lief.quarkslab.com/packages/sdk/)。 然后,您可以按如下方式编译探查器: $ mkdir -p build && cd build $ cmake .. \ -DLIEF_DIR= < PATH> /LIEF-0.12.0-Linux-x86_64/share/LIEF/cmake \ -DFRIDA_LIBS= < PATH> /frida-gum/libfrida-gum.a \ -DFRIDA
Frida框架中通过模块名和地址获取Module的方法及源码解析
beidideshu的博客
03-08 939
这个Module对象包含了模块的基本信息,如模块名、加载到内存后的基地址、模块大小以及模块在设备上的实际路径等。在逆向工程和动态调试领域,Frida是一个强大的工具,它允许开发者进行实时的JavaScript交互式编程。此方法返回一个包含所有模块的数组,这对于未知系统函数来源的情况非常有用,通过对各个模块的导入表、导出表和符号表进行遍历,可以确定系统函数来自哪个.so文件及其具体地址。方法,两者的主要区别在于,当指定的模块不存在时,最后,Frida还提供了一个便捷的方法——在Frida的类型系统中,
IDA+Frida分析CTF样本和Frid源码和objection模块
AdrianAndroid的专栏
08-03 1397
IDA+Frida分析CTF样本和Frid源码和objection模块。
Frida----基本代码
hclle的博客
04-03 1049
代码来自官网:https://www.frida.re/docs/examples/android/ import frida, sys def on_message(message, data): if message['type'] == 'send': print("[*] {0}".format(message['payload'])) else: print(messa...
FRIDA-DEXDump-master_fridadexdump_fridadumpdex_FRIDA_dex导出_源码
10-01
标题中的“FRIDA-DEXDump-master_fridadexdump_fridadumpdex_FRIDA_dex导出_源码”揭示了这是一个关于使用FRIDA工具来提取Android应用DEX文件的项目,其中包含了`fridadexdump`和`fridadumpdex`这两个关键模块,以及...
frida-dexdump
10-10
通过使用frida-dexdump,你可以无需对APK进行反编译或修改签名,就能获取到应用内部的DEX文件,这对于逆向工程、安全分析以及Android应用调试等工作非常有用。 **Frida核心概念:** 1. **动态代码插桩(Dynamic ...
FRIDA-DEXDump:快速搜索并在内存中转储dex
04-28
FRIDA-DEX转储 ...cd FRIDA-DEXDump/frida-dexdump python3 main.py -h 用法 运行frida-dexdump或python3 main.py来附加当前最前端的应用程序并转储dexs。 或者,使用命令参数: -n: [Optional] Specify t
Android-dexdump快速脱一代壳的xposed插件
08-13
一些开发者为了保护代码不被轻易分析和篡改,会采用“壳”技术对APK进行封装,这其中包括一代壳等简单加密方式。针对这种情况,Android开发者需要具备一定的逆向工程技能来应对。本文将介绍一款名为"Android-dexdump...
DetectFrida:检测Android的Frida
05-09
DetectFrida 这个项目有3种方法来检测frida的钩子 通过Frida使用的命名管道进行检测 通过frida特定的命名线程进行检测 比较libc和本机库的内存中的文本部分与磁盘中的文本部分 可以在我的博客中找到更多详细信息-> 此外,这个专案有3种机制来强化本机程式码 将某些libc调用替换为syscalls 用自定义实现替换字符串,与内存相关的操作 应用O-LLVM本机混淆 可以在我的博客中找到更多详细信息-> 此项目支持arm64,armv7a,x86_64体系结构。 提供了强化的APK,供感兴趣的反向工程师进行分析。 更新 重新调整功能 仅在可读的情况下修复对可执行节的扫描,以避免在应用程序以API 29为目标时崩溃 删除本机库中的注释部分,以防止使用APKId检测到O-LLVM混淆器 目标API已更新为30 将Obfuscator-LLVM更新为 修复了在A
Frida Internal - Part 1: 架构、Gum 与 V8
有价值炮灰
04-30 1618
frida 是一个非常优秀的开源项目,因为项目活跃,代码整洁,接口清晰,加上用灵活的脚本语言(JS)来实现指令级代码追踪的能力,为广大的安全研究人员所喜爱。虽然使用人群广泛,但对其内部实现的介绍却相对较少,因此笔者就越俎代庖,替作者写写 frida 内部实现介绍,同时也作为自己的阅读理解记录。 系列文章传送门: Frida Internal - Part 1: 架构、Gum 与 V8 (本文) Frida Internal - Part 2: frida-core Frida Internal - Pa
抖音数据采集Frida进阶:脱壳、自动化、高频问题
Android技术之家
06-01 2662
https://blog.51cto.com/u_15101562/26224101 Frida用于脱壳 安全工程师在拿到应用评测的任务之后,第一件事情是抓到他的收包发包,第二件事情应该就是拿到它的apk,打开看看里面是什么内容,如果不幸它加了壳,可能打开就是这样的场景,见下图,什么内容都看不到,这时候就要首先对它进行脱壳。壳的种类非常多,根据其种类不同,使用的技术也不同,这里稍微简单分个类:一代...
Frida API使用(3)
helloworlddm的博客
08-15 1456
在这里对其中的一部分API进行了介绍,这篇文章继续介绍后面的内容。 通过这部分的介绍,可以发现通过Frida操纵内存、查看模块等信息是如此的简单。操作内存,最重要的自然就是打补丁了,邪恶的微笑。 Module对象 Module.load(path): loads the specified module from the filesystem path and returns a Module object. Throws an exception if the specified module cann.
Frida官方手册 - JavaScript API(篇二)
热门推荐
小蓝人敌法的专栏
10-24 1万+
JavaScript APIInt64 new Int64(v): 以v为参数,创建一个Int64对象,v可以是一个数值,也可以是一个字符串形式的数值表示,也可以使用 Int64(v) 这种简单的方式。 add(rhs), sub(rhs), and(rhs), or(rhs), xor(rhs): Int64相关的加减乘除。 shr(n), shl(n): Int64相关的左移、右移操作 comp
【Android】脱壳之Frida-dexdump小计
HWHXY的博客
06-08 4319
本文详细介绍了frida-dexdump脱壳原理相关知识并且在实战中进行了脱壳操作。
android扫描内存,基于frida的android游戏内存扫描器_初稿
weixin_28920737的博客
05-31 454
[JavaScript] 纯文本查看 复制代码function next_scan_equal(value){var m_count = 0;for(key in g_data){if(readValue(key, init_value, init_byte_length) != value){delete g_data[key]}else{g_data[key] = value}}m_count...
Frida官方手册 - 基础用法
小蓝人敌法的专栏
10-19 5586
基础用法 Frida的Python API接口是一种底层接口的封装,而且功能也是相当的有限,你可以把这些接口当作是一种底层核心接口封装的示例代码来看待。强烈建议大家看下 frida/core.py 和 frida/tracer.py 的代码来学习下底层的具体细节。 模块枚举 enumerate_modules() 函数枚举当前进程中所有加载的模块。 执行如下代码:应该会看到下面的输出结果:其中,ba
Frida 官方手册 中文版 ( 机翻+人翻 )
最新发布
freeking101的博客
03-24 3855
Frida 官方手册 中文版 ( 机翻+人翻 )
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值