前言:前段时间看到有朋友在问在怎么使用frida去hook动态加载的dex之类的问题,确实关于如何hook动态加载的dex,网上的资料很少,更不用说怎么使用frida去hook动态加载的dex了。(frida的官方文档已经无力吐槽…)后来偶然的情况下发现了一道CTF题目可以作为很好的案例,所以花了很多心思将文章写下来分享给大家,涉及的内容比较多,我打算用上下篇将frida hook动态加载的dex的方法将清楚,上篇主要是引导及一些前置的知识。
文章涉及内容及使用到的工具
0x00 使用到的工具
ADT(Android Developer Tools)
Jadx-gui
JEB
frida
apktool
010 editor
天天模拟器(genymotion,实体机等亦可)
0x01 涉及知识点
Robust热修复框架原理
Java 反射
Robust类 hook
apk的安装和分析
文章使用的是DDCTF2018的android逆向第二题Hello Baby Dex
示例地址:下载
0x02 apk安装及使用
程序功能很简单,就是输入密码并验证,错误会Toast出一些信息,按这个惯性,可能得输入某些正确的值才能获取flag吧,废话不多说,直接反编译看看。
0x03 静态代码分析
一般情况下,我是直接扔到jadx中去看反编译后的代码,可是这次jadx反编译出来的结果有很多错误,这里我就不贴图了,大家可以尝试一下,看看是什么错误。后面放到jeb工具中,便没有报错,所以查看反编译的效果时,大家可以多尝试几个反编译器对比效果,查看AndroidManifest.xml,找到了程序的入口MainActivity。
intent-filter> activity>
在此同时,在cmd中通过apktool d [apk],再将apk文件反编译出来。
接下来直接定位到MainActivity的onCreate()方法,可以看到代码是混淆过的,阅读上稍微有点小困难,但是在onCreate()方法中,我们还是可以发现一些可疑的方法及变量,比如PatchProxy,changeQuickRedirect等。
继续搜索有用的信息,我们可以发现在onCreate()方法的else逻辑中调用了this.runRobust(),并且我们发现在类中每一个方法里面都会存在一些changeQuickRedirect变量,以及isSupport(),accessDispatch()方法。
上面的先放一边,我们来看看runRobust()方法中写了什么,在else条件语句中可以看到它实例化了一些对象。
private void runRobust() {
//固定格式的changeQuickRedirect,isSupport,accessDispatch int v4 = 4; Object[] v0 = new Object[0]; ChangeQuickRedirect v2 = MainActivity.changeQuickRedirect; Class[] v5 = new Class[0]; Class v6 = Void.TYPE; MainActivity v1 = this; boolean v0_1 = PatchProxy.isSupport(v0, v1, v2, false, v4, v5, v6); if(v0_1) { v0 = new Object[0]; v2 = MainActivity.changeQuickRedirect; v5 = new Class[0]; v6 = Void.TYPE; v1 = this; PatchProxy.accessDispatch(v0, v1, v2, false, v4, v5, v6); } else { Context v1_1 = this.getApplicationContext(); //实例化PatchManipulateImp类 PatchManipulateImp v2_1 = new PatchManipulateImp(); //以及实例化PatchExecutor类 PatchExecutor v0_2 = new PatchExecutor(v1_1, ((PatchManipulate)v2_1), new GeekTanCallBack()); v0_2.start(); } }
跟进PatchManipulateImp类,可以发现在fetchPatchList方法中,它调用了getAssets().open("GeekTan.BMP");从资源文件夹中,加载了一个BMP的图片文件,并将这个BMP文件内容写入GeekTan.jar中。
具体代码如下:
try { v10 = arg17.getAssets().open("GeekTan.BMP"); v8 = new File(arg17.getCacheDir() + File.separator + "GeekTan" + File.separator + "GeekTan.jar"); if(!v8.getParentFile().exists()) { v8.getParentFile().mkdirs(); } } catch(Exception v9) { goto label_171; } //将v8通过FileOutputStream方法赋值v12 try { v12 = new FileOutputStream(v8); } catch(Throwable v0_3) { goto label_17; } int v0_4 = 1024; try { byte[] v7 = new byte[v0_4]; while(true) { //v10是GeekTan.BMP赋值v11, int v11 = v10.read(v7); if(v11 <=>0) { break; } //最终写入到v12中,而v12是new FileOutputStream(v8); ((OutputStream)v12).write(v7, 0, v11); } } catch(Throwable v0_3) { goto label_88; }=>
显然这个BMP文件很可疑,我们放到010 editor中看看二进制的内容,发现它真正的文件格式是一个压缩包,并且可以直观的看到在压缩包中存在一个dex文件。
。
同时我们还可以发现,方法中实例化了一个Patch对象。
Patch v13 = new Patch();
并在fetchPatchList()方法的最后,调用
v0_6 = "cn.chaitin.geektan.crackme.PatchesInfoImpl";
v13.setPatchesInfoImplClassFullName(v0_6);
回到runRobust(),接下来实例化了PatchExecutor类,可以看到第二个参数即为PatchManipulateImp类的实例。
Context v1_1 = this.getApplicationContext();
PatchManipulateImp v2_1 = new PatchManipulateImp();
PatchExecutor v0_2 = new PatchExecutor(v1_1, ((PatchManipulate)v2_1), new GeekTanCallBack());
这个PatchExecutor类是在com.meituan.robust包下的,这是一个第三方的包,目前官方已经将其开源,因为直接看混淆的代码还是比较费时的,在此暂停上面的分析,简单学习一下Robust。
0x04 Robust热修复框架原理
我们先简单了解一下Robust是什么,Robust是美团出的一款热修复框架,可以在github上面下载它的最新的源码。
Robust的基本原理,我们主要了解这4个步骤就能清晰明白了。
1. 将apk代码中每个函数都在编译打包阶段自动的插入一段代码。
例如,原函数:
public long getIndex() { retu