android第三方注入dex,进阶Frida--Android逆向之Hook动态加载dex（三）（上篇）

前言：前段时间看到有朋友在问在怎么使用frida去hook动态加载的dex之类的问题，确实关于如何hook动态加载的dex，网上的资料很少，更不用说怎么使用frida去hook动态加载的dex了。(frida的官方文档已经无力吐槽…)后来偶然的情况下发现了一道CTF题目可以作为很好的案例，所以花了很多心思将文章写下来分享给大家，涉及的内容比较多，我打算用上下篇将frida hook动态加载的dex的方法将清楚，上篇主要是引导及一些前置的知识。

文章涉及内容及使用到的工具

0x00 使用到的工具

ADT(Android Developer Tools)

Jadx-gui

JEB

frida

apktool

010 editor

天天模拟器(genymotion，实体机等亦可)

0x01 涉及知识点

Robust热修复框架原理

Java 反射

Robust类 hook

apk的安装和分析

文章使用的是DDCTF2018的android逆向第二题Hello Baby Dex

示例地址：下载

0x02 apk安装及使用

程序功能很简单，就是输入密码并验证，错误会Toast出一些信息，按这个惯性，可能得输入某些正确的值才能获取flag吧，废话不多说，直接反编译看看。

0x03 静态代码分析

一般情况下，我是直接扔到jadx中去看反编译后的代码，可是这次jadx反编译出来的结果有很多错误，这里我就不贴图了，大家可以尝试一下，看看是什么错误。后面放到jeb工具中，便没有报错，所以查看反编译的效果时，大家可以多尝试几个反编译器对比效果，查看AndroidManifest.xml，找到了程序的入口MainActivity。

intent-filter> activity>

在此同时，在cmd中通过apktool d [apk]，再将apk文件反编译出来。

接下来直接定位到MainActivity的onCreate()方法，可以看到代码是混淆过的，阅读上稍微有点小困难，但是在onCreate()方法中，我们还是可以发现一些可疑的方法及变量，比如PatchProxy，changeQuickRedirect等。

继续搜索有用的信息，我们可以发现在onCreate()方法的else逻辑中调用了this.runRobust()，并且我们发现在类中每一个方法里面都会存在一些changeQuickRedirect变量，以及isSupport()，accessDispatch()方法。

上面的先放一边，我们来看看runRobust()方法中写了什么，在else条件语句中可以看到它实例化了一些对象。

private void runRobust() {

//固定格式的changeQuickRedirect，isSupport，accessDispatch int v4 = 4; Object[] v0 = new Object[0]; ChangeQuickRedirect v2 = MainActivity.changeQuickRedirect; Class[] v5 = new Class[0]; Class v6 = Void.TYPE; MainActivity v1 = this; boolean v0_1 = PatchProxy.isSupport(v0, v1, v2, false, v4, v5, v6); if(v0_1) { v0 = new Object[0]; v2 = MainActivity.changeQuickRedirect; v5 = new Class[0]; v6 = Void.TYPE; v1 = this; PatchProxy.accessDispatch(v0, v1, v2, false, v4, v5, v6); } else { Context v1_1 = this.getApplicationContext(); //实例化PatchManipulateImp类 PatchManipulateImp v2_1 = new PatchManipulateImp(); //以及实例化PatchExecutor类 PatchExecutor v0_2 = new PatchExecutor(v1_1, ((PatchManipulate)v2_1), new GeekTanCallBack()); v0_2.start(); } }

跟进PatchManipulateImp类，可以发现在fetchPatchList方法中，它调用了getAssets().open("GeekTan.BMP");从资源文件夹中，加载了一个BMP的图片文件，并将这个BMP文件内容写入GeekTan.jar中。

具体代码如下：

try { v10 = arg17.getAssets().open("GeekTan.BMP"); v8 = new File(arg17.getCacheDir() + File.separator + "GeekTan" + File.separator + "GeekTan.jar"); if(!v8.getParentFile().exists()) { v8.getParentFile().mkdirs(); } } catch(Exception v9) { goto label_171; } //将v8通过FileOutputStream方法赋值v12 try { v12 = new FileOutputStream(v8); } catch(Throwable v0_3) { goto label_17; } int v0_4 = 1024; try { byte[] v7 = new byte[v0_4]; while(true) { //v10是GeekTan.BMP赋值v11, int v11 = v10.read(v7); if(v11 <=>0) { break; } //最终写入到v12中，而v12是new FileOutputStream(v8); ((OutputStream)v12).write(v7, 0, v11); } } catch(Throwable v0_3) { goto label_88; }=>

显然这个BMP文件很可疑，我们放到010 editor中看看二进制的内容，发现它真正的文件格式是一个压缩包,并且可以直观的看到在压缩包中存在一个dex文件。

。

同时我们还可以发现，方法中实例化了一个Patch对象。

Patch v13 = new Patch();

并在fetchPatchList()方法的最后，调用

v0_6 = "cn.chaitin.geektan.crackme.PatchesInfoImpl";

v13.setPatchesInfoImplClassFullName(v0_6);

回到runRobust()，接下来实例化了PatchExecutor类，可以看到第二个参数即为PatchManipulateImp类的实例。

Context v1_1 = this.getApplicationContext();

PatchManipulateImp v2_1 = new PatchManipulateImp();

PatchExecutor v0_2 = new PatchExecutor(v1_1, ((PatchManipulate)v2_1), new GeekTanCallBack());

这个PatchExecutor类是在com.meituan.robust包下的，这是一个第三方的包，目前官方已经将其开源，因为直接看混淆的代码还是比较费时的，在此暂停上面的分析，简单学习一下Robust。

0x04 Robust热修复框架原理

我们先简单了解一下Robust是什么，Robust是美团出的一款热修复框架，可以在github上面下载它的最新的源码。

Robust的基本原理，我们主要了解这4个步骤就能清晰明白了。

1. 将apk代码中每个函数都在编译打包阶段自动的插入一段代码。

例如，原函数：

public long getIndex() { retu