Android逆向之路---脱壳360加固原理解析，腾讯android面试题社招

由于切换到了c语言，所以我会帮大家删除一些代码的细枝末节，只看主干。

再次声明下，以下方法实在当android版本为26或27的时候，会默认进行Native层脱壳

JNIEXPORT void JNICALL Java_com_wrbug_dumpdex_Native_dump
(JNIEnv *env, jclass obj, jstring packageName) {

//在这里作者考虑到了防止每次app启动的时候都会dump，因此保存了一个变量is_hook来记录，如果hook过了的话就会退出程序
static bool is_hook = false;
char *p = (char *) env->GetStringUTFChars(packageName, 0);
if (is_hook) {
__android_log_print(ANDROID_LOG_INFO, TAG, “hooked ignore”);
return;
}
init_package_name§;
env->ReleaseStringChars(packageName, (const jchar *) p);

//这里由于使用了第三方库，所以先执行第三方库的初始化操作，具体第三方库，见下文
ndk_init(env);

//下面就是重点了，首先以RTLD_NOW模式打开动态库libart.so，拿到句柄
void *handle = ndk_dlopen(“libart.so”, RTLD_NOW);
if (handle == NULL) {
__android_log_print(ANDROID_LOG_ERROR, TAG, “Error: unable to find the SO : libart.so”);
return;
}
//根据不同的版本，拿到不同的对应的加载的符号
void *open_common_addr = ndk_dlsym(handle, get_open_function_flag());

//--------略---------
//略掉很多分支，单独说一个,见下文
if (registerInlineHook((uint32_t) open_common_addr, (uint32_t) get_new_open_function_addr(),
(uint32_t **) get_old_open_function_addr()) != ELE7EN_OK) {
__android_log_print(ANDROID_LOG_ERROR, TAG, “register1 hook failed!”);
return;
} else {
__android_log_print(ANDROID_LOG_ERROR, TAG, “register1 hook success!”);
}
//设置hook标记为true
is_hook = true;
}

registerInlineHook(
(uint32_t) open_common_addr, (uint32_t) get_new_open_function_addr(),
(uint32_t **) get_old_open_function_addr())

已经定位到函数的地址，接下来就是Hook替换以前的函数，替换成我们自己定义的函数，例如下面的函数

static void *new_arm64_open_common(uint8_t *base, size_t size, void *location,
uint32_t location_checksum, void *oat_dex_file,
bool verify,
bool verify_checksum,
void *error_meessage, void *verify_result) {
//--------略---------
//首先在程序运行时，保存dex，完成脱壳
save_dex_file(base, size);
//调用以前的函数，保证程序正确执行，
void *result = old_arm64_open_common(base, size, location, location_checksum,
oat_dex_file, verify, verify_checksum,
error_meessage,
verify_result);
return result;
}

NDK层hook完毕

到此为止NDK层hook分析完毕，分别用了第三方库hook了android指定版本的加载dex函数的方法，然后在hook的新函数里面添加到保存到dump目录的函数，达到脱壳 的目的。

ndk hook主要用到的库

github.com/rrrfff/ndk_…

github.com/ele7enxxh/A…

SDK层hook

回到入口的那个章节，还记得吗，还有一个LowSdkDump.init 这个是低版本的时候的逻辑

public static void init(final XC_LoadPackage.LoadPackageParam lpparam, PackerInfo.Type type) {
//如果sdk是23,24,25,26,27之一，那么继续使用native层hook
if (DeviceUtils.supportNativeHook()) {
Native.dump(lpparam.packageName);
}
//额。。。。。。。。可能百度充钱了
if (type == PackerInfo.Type.BAI_DU) {
return;
}
//见下文说明
XposedHelpers.findAndHookMethod(“android.app.Instrumentation”, lpparam.classLoader, “newApplication”, ClassLoader.class, String.class, Context.class, new XC_MethodHook() {
@Override
protected void afterHookedMethod(MethodHookParam param) throws Throwable {
//执行真正的dump方法，然后保存
dump(lpparam.packageName, param.getResult().getClass());
attachBaseContextHook(lpparam, ((Application) param.getResult()));
}
});
}

上面的主要就是先检测可不可以natvie层hook，可以的话优先native层hook， 然后就是百度可能充钱了，当然开个玩笑，这个可以大家自己尝试。

接下来就是java层hook了，hook了加载类Instrumentation类，的newApplication方法，然后进行dump.

还有attachBaseContextHook里面也是主要Hook ClassLoader的loadClass方法，

主要看java层的dump函数

private static void dump(String packageName, Class<?> aClass) {
Object dexCache = XposedHelpers.getObjectField(aClass, “dexCache”);
log(“decCache=” + dexCache);
Object o = XposedHelpers.callMethod(dexCache, “getDex”);
byte[] bytes = (byte[]) XposedHelpers.callMethod(o, “getBytes”);
String path = “/data/data/” + packageName + “/dump”;
File file = new File(path, “source-” + bytes.length + “.dex”);
if (file.exists()) {
log(file.getName() + " exists");
return;
}
FileUtils.writeByteToFile(bytes, file.getAbsolutePath());
}

大功告成

代码陆陆续续的看了一遍，可以尝试画一个流程图了

后记

其实文中涉及到的具体的hook的函数，需要我们具体的去看,去研读android源码。 这样才能融汇贯通。

了解了系统是如何加载一个dex的，才能真真正正的理解如何拦截，如何从内存dump出来。 dump的时候用的别人的库，的工具，都还好，主要是思路。如何找到关键点，进行dump。

如何使用呢，可以见我的的上一篇文章

点我：Android逆向之路—脱壳360加固、与xposed hook注意事项

写在最后

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数Android工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则几千的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Android移动开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Android开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加V获取：vip204888 （备注Android）

学习福利

【Android 详细知识点思维脑图（技能树）】

其实Android开发的知识点就那么多，面试问来问去还是那么点东西。所以面试没有其他的诀窍，只看你对这些知识点准备的充分程度。so，出去面试时先看看自己复习到了哪个阶段就好。

虽然 Android 没有前几年火热了，已经过去了会四大组件就能找到高薪职位的时代了。这只能说明 Android 中级以下的岗位饱和了，现在高级工程师还是比较缺少的，很多高级职位给的薪资真的特别高（钱多也不一定能找到合适的），所以努力让自己成为高级工程师才是最重要的。

这里附上上述的面试题相关的几十套字节跳动，京东，小米，腾讯、头条、阿里、美团等公司19年的面试题。把技术点整理成了视频和PDF（实际上比预期多花了不少精力），包含知识脉络 + 诸多细节。

由于篇幅有限，这里以图片的形式给大家展示一小部分。

网上学习 Android的资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。希望这份系统化的技术体系对大家有一个方向参考。

际上比预期多花了不少精力），包含知识脉络 + 诸多细节。

由于篇幅有限，这里以图片的形式给大家展示一小部分。

[外链图片转存中…(img-nBnILexI-1712079074108)]

网上学习 Android的资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。希望这份系统化的技术体系对大家有一个方向参考。

本文已被CODING开源项目：《Android学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》收录