Android加固实现,不落地加载(support 5.0-11)[全网完成度最高的开源方案]

已于 2023-04-23 17:33:28 修改
阅读量3.5k 收藏 15
点赞数 12
分类专栏: Android加固 文章标签: android
于 2021-10-15 16:27:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z9722/article/details/120785602
版权

标题要牛逼点,才有人看吧!

apk加载方案相关文章不少,但是要么是一代(不落地)加载方案,要么二代方案做的不完善,Android高版本支持不了,或者不支持多dex等,反正就是存在各种小问题,离可以使用还有这一点点距离。按理说现在加固方案都到第四代了,没道理二代的完善方案还没人开源吧,仔细想想可能是现在方案更先进了,当年的方案问题没人关注了,二来加固工具使用起来也方便,没必要自己搞一个。

为了让后来人有个学习参考吧,这里把自己鼓捣的结果写出来,大家共同学习共同进步吧!

------------------------------------  废话分割线  -------------------------------------------

8.0及以后有系统提供的内存加载dex接口,所以难点主要集中在8.0以前。

8.0以前实现原理是加载虚dex然后替换成真实的cookie返回。这里如何替换是个难点,好在网上大神已经开源了方案,只是一番尝试下来只能在5.0和5.1上使用,并且也不支持多dex。网上查找相关资料,没有找到有用的结果,可能是搜索姿势不对。

那么就只能自己来了,首先查看6.0及以上部分的源码,需要hook的函数OpenMemory与5.1相比,返回发生了变化

std::unique_ptr<const DexFile> DexFile::OpenMemory(const std::string& location,
                                                   uint32_t location_checksum,
                                                   MemMap* mem_map,
                                                   std::string* error_msg)

这个好处理,我改改不就行了吗,修改后在6.0上ok了,难道就这么搞定了。拿着代码去7.1上跑跑,报dex的错误。

问题一:

A/DEBUG: *** *** *** *** *** *** *** *** *** *** *** *** *** *** *** ***
A/DEBUG: Build fingerprint: 'qcom/msm8909/msm8909:7.1.2/N2G47H/54:user/release-keys'
A/DEBUG: Revision: '0'
A/DEBUG: ABI: 'arm'
A/DEBUG: pid: 13210, tid: 13210, name: m.frezrik.jiagu  >>> com.frezrik.jiagu <<<
A/DEBUG: signal 6 (SIGABRT), code -6 (SI_TKILL), fault addr --------
A/DEBUG: Abort message: 'art/runtime/class_linker.cc:3225] Check failed: dex_cache_length > 0u (dex_cache_length=0, 0u=0) '
A/DEBUG:     r0 00000000  r1 0000339a  r2 00000006  r3 00000008
A/DEBUG:     r4 ae5ca584  r5 00000006  r6 ae5ca52c  r7 0000010c
A/DEBUG:     r8 ab02f3df  r9 9f3e63c0  sl 0000000a  fp ab084400
A/DEBUG:     ip 00000000  sp be61e3d8  lr ab5215a7  pc ab523e28  cpsr 200f0010
A/DEBUG: backtrace:
A/DEBUG:     #00 pc 00049e28  /system/lib/libc.so (tgkill+12)
A/DEBUG:     #01 pc 000475a3  /system/lib/libc.so (pthread_kill+34)
A/DEBUG:     #02 pc 0001d7f5  /system/lib/libc.so (raise+10)
A/DEBUG:     #03 pc 00019331  /system/lib/libc.so (__libc_android_abort+34)
A/DEBUG:     #04 pc 000172e8  /system/lib/libc.so (abort+4)
A/DEBUG:     #05 pc 000b7f89  /system/lib/libart.so (offset 0x258000)

一番源码看下来,发现在7.0上加了dex check的代码,难道在7.0上真的没办法了,不死心的我突然想到8.0不是已经实现了内存加载dex吗,看看他们怎么做的呗。阅读了相关代码后,也没发现什么特殊的地方,能算上可疑点的是给内存的dex location命名(只记得这个解决问题的可疑点了,笑)

static const DexFile* CreateDexFile(JNIEnv* env, std::unique_ptr<MemMap> dex_mem_map) {
  std::string location = StringPrintf("Anonymous-DexFile@%p-%p",
                                      dex_mem_map->Begin(),
                                      dex_mem_map->End());
  std::string error_message;
  std::unique_ptr<const DexFile> dex_file(DexFile::Open(location,
                                                        0,
                                                        std::move(dex_mem_map),
                                                        /* verify */ true,
                                                        /* verify_location */ true,
                                                        &error_message));

死马当活马医,先加了试试

std::unique_ptr<const void *> load23(void *artHandle, const char *base, size_t size) {
    std::string location = "Anonymous-DexFile"; //解决问题的关键就是这里
    std::string err_msg;
    std::unique_ptr<const void *> value;

    const auto *dex_header = reinterpret_cast<const Header *>(base);

    auto func23 = (org_artDexFileOpenMemory23) ndk_dlsym(artHandle, OpenMemory23);
    value = func23((const unsigned char *) base,
                     size,
                     location,
                     dex_header->checksum_,
                     nullptr,
                     nullptr,
                     &err_msg);

    if (!value) {
        LOGE("[-]call load23 failed");
        return nullptr;
    }

    return value;
}

跑一把,成功了,此时的我流下了激动的泪水。

2022-10-29补充:

问题二:

近来github上有几位小伙伴发现在Android10上有问题

错误信息如下:

java.lang.InternalError: Attempt to register dex file /data/user/0/xx.xx.xx/Anonymous-DexFile@1784353095.jar with multiple class loaders
        at dalvik.system.DexFile.defineClassNative(Native Method)
        at dalvik.system.DexFile.defineClass(DexFile.java:292)
        at dalvik.system.DexFile.loadClassBinaryName(DexFile.java:285)
        at dalvik.system.DexPathList$Element.findClass(DexPathList.java:778)
        at dalvik.system.DexPathList.findClass(DexPathList.java:538)
        at dalvik.system.BaseDexClassLoader.findClass(BaseDexClassLoader.java:194)
        at java.lang.ClassLoader.loadClass(ClassLoader.java:379)
        at java.lang.ClassLoader.loadClass(ClassLoader.java:312)
        at com.frezrik.jiagu.StubApp.invoke2(StubApp.java:12)
        at com.frezrik.jiagu.StubApp.attach(Native Method)
        at com.frezrik.jiagu.StubApp.attachBaseContext(StubApp.java:66)

我自己编译的demo验证是没问题,然后就找小伙伴要来了出问题的app(感谢小伙伴的支持)。然后着手解决,但是近来因为在评审一个小伙伴代码时的疏忽导致已发布的固件出现bug,这个事弄得我极为郁闷,就一直没时间去处理这个问题,还好今天准备发新版本了。言归正传,分析下这个问题。

首先在android10源码找到这段日志输出的位置:art/runtime/class_linker.cc

ObjPtr<mirror::DexCache> ClassLinker::EnsureSameClassLoader(
    Thread* self,
    ObjPtr<mirror::DexCache> dex_cache,
    const DexCacheData& data,
    ObjPtr<mirror::ClassLoader> class_loader) {
  DCHECK_EQ(dex_cache->GetDexFile(), data.dex_file);
  if (data.class_table != ClassTableForClassLoader(class_loader)) {
    self->ThrowNewExceptionF("Ljava/lang/InternalError;",
                             "Attempt to register dex file %s with multiple class loaders",
                             data.dex_file->GetLocation().c_str());
    return nullptr;
  }
  return dex_cache;
}

对比了下8.0的代码,这部分逻辑都一样。既然这里看不出问题,那就现象我们是怎么把dex加载到内存的,顺着系统提供的内存加载dex接口InMemoryDexClassLoader看看。

可以发现在8.0的libcore/dalvik/src/main/java/dalvik/system/DexPathList.java构造方法里调用了makeInMemoryDexElements方法创建dexElements。

而android10上是在libcore/dalvik/src/main/java/dalvik/system/BaseDexClassLoader.java调用

pathList.initByteBufferDexPath,在创建DexFile对象时,指定classLoader是definingContext,就是它导致的问题!!!还好在android10的源码里仍然保留了makeInMemoryDexElements,可以看到它指定的classLoader是null。

    // This method is not used anymore. Kept around only because there are many legacy users of it.
    @SuppressWarnings("unused")
    @UnsupportedAppUsage
    public static Element[] makeInMemoryDexElements(ByteBuffer[] dexFiles,
            List<IOException> suppressedExceptions) {
        Element[] elements = new Element[dexFiles.length];
        int elementPos = 0;
        for (ByteBuffer buf : dexFiles) {
            try {
                DexFile dex = new DexFile(new ByteBuffer[] { buf }, /* classLoader */ null,
                        /* dexElements */ null);
                elements[elementPos++] = new Element(dex);
            } catch (IOException suppressed) {
                System.logE("Unable to load dex file: " + buf, suppressed);
                suppressedExceptions.add(suppressed);
            }
        }
        if (elementPos != elements.length) {
            elements = Arrays.copyOf(elements, elementPos);
        }
        return elements;
    }

看注释都告诉我们有很多legacy users of it,我们主动调用它,覆盖原先的dexElements即可解决该问题。代码如下:

        if (g_sdk_int >= 29) {
            jclass list_jcs = env->FindClass("java/util/ArrayList");
            jmethodID list_init = env->GetMethodID(list_jcs, "<init>", "()V");
            jobject list_obj = env->NewObject(list_jcs, list_init);
            dexElements = static_cast<jobjectArray>(CallStaticMethod("dalvik/system/DexPathList", "makeInMemoryDexElements", "([Ljava/nio/ByteBuffer;Ljava/util/List;)[Ldalvik/system/DexPathList$Element;", dexBufferArr, list_obj).l);
        }

对抗反思:

这种dex文件全部加载到内存的方式,是比较容易被dump的。方案的先天缺陷无法弥补,不过我们可以增加点dump的难度。比如在native层里反调试,对root、Xposed、frida、模拟器等等的检测,这些手段就需要小伙伴自行添加了。

最后上干货: GitHub - Frezrik/Jiagu: Android apk jiaguhttps://github.com/Frezrik/Jiagu

这里也不要积分下载了,大家如果觉得又有,打个星呗!

巨人的肩膀:

https://bbs.pediy.com/thread-225303.htm

https://github.com/Rprop/ndk_dlopen

https://github.com/luck-apple/aesTool

z9722
关注
专栏目录
论文研究-基于Android平台的软件加固方案的设计与实现 .pdf
08-23
基于Android平台的软件加固方案的设计与实现,巫志文,李炜,随着Android智能手机的普及,其软件安全问题逐渐引起人们的关注。由于Android软件使用的编程语言Java极易被反编译,导致Android软件比其��
Android中apk加固完善篇之内存加载dex方案实现原理(不落地方式加载)
zhangmiaoping23的专栏
09-09 2068
一、前言 时隔半年,困扰的问题始终是需要解决的,之前也算是没时间弄,今天因为有人在此提起这个问题,那么就不能不解决了,这里写一篇文章记录一下吧。那么是什么问题呢? 就是关于之前的一个话题:Android中apk加固技术实现 关于这个问题,之前的一篇文章已经说过了,没有了解的同学可以点击这里: Android中的Apk的加固(加壳)原理解析和实现 请务必仔细的看完这篇文章,不然今天说的内容...
Android APK加固工具Jiagu安装与配置指南
最新发布
gitblog_09123的博客
09-13 329
Android APK加固工具Jiagu安装与配置指南 Jiagu Android apk jiagu 项目地址: https://gitcode.com/gh_mirrors/jia/Jiagu ...
Android中apk加固完善篇之内存加载dex方案实现原理 不落地方式加载
hgfujffg的博客
01-30 867
Android中apk加固完善篇之内存加载dex方案实现原理 不落地方式加载
android 开源加固,[原创]一个基于LLVM6.0的开源加固Hikari光
weixin_30118071的博客
06-01 605
实现功能优化的伪控制流控制流平坦化指令替换反class-dump(部分实现。具体看Wiki)字符串加密。支持中文和Objective-C字符串,且实现更安全间接跳转化API调用混淆基本块分割第二种不可描述的抗F5方式(仅限私有版本)代码完整性校验(可用于对抗静态/动态Patch/内连Hook/调试器,仅限私有版本)开源版效果截图在私有的版本中还额外增加了二进制校验及更多功能上的优化,已知的Bug...
android 开源加固,一款用于安全加固开源项目
weixin_34342091的博客
06-01 805
smart-license 是一款用于安全加固开源项目。 主要服务于非开源产品、商业软件、具备试用功能的付费软件等,为软件提供授权制的使用方式。适用场景:非开源产品、商业软件、收费软件。限制产品的传播性,每个客户拥有专属 License。同一款软件发行包根据 License 的不同提供不同的服务能力。限定软件授权时效如果喜欢该作品,欢迎底下捐赠一杯3.8折的瑞幸咖啡。License运行流程Lic...
推荐开源项目:APK加固工具
gitblog_00034的博客
06-01 772
推荐开源项目:APK加固工具 项目地址:https://gitcode.com/gh_mirrors/jia/Jiagu 1、项目介绍 在移动互联网时代,安全问题一直困扰着Android开发者。为了保护您的应用程序免受恶意攻击和逆向工程,我们很高兴推荐一款强大的开源项目——APK加固。该工具专为Android应用提供高效且易于使用的加固服务,支持从Android 5.0到最新版的操作系统,并已经在...
Android 安全】Android 应用 APK 加固总结 ( 加固原理 | 应用加固完整的实现方案 | 源码资源 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
04-06 1万+
一、 APK 加固原理、 1、 Android 应用反编译、 2、 ProGuard 混淆、 3、 多 dex 加载原理、 4、 代理 Application 开发、 5、Java 工具开发、 6、Application 替换、
那些年,我们一起踩过的 “Android 坑”
JackWaiting
07-19 2万+
69、多线程同时访问集合(ConcurrentModificationException)问题现象: 多线程同时修改集合时常常容易出现 ConcurrentModificationException ,即便是改成用 Collections.synchronizedCollection() 方法同步也无效。原因分析:当集合正在迭代时,如果进行修改就会出现异常,@问题13 已经说过该问题。而 synch
探索Android HorizontalListViewDemo的实现与源码
Android实现横向滑动的ListView有多种方式,一种是通过第三方库,例如AQuery、RecyclerView(在Android 5.0以上版本支持水平滚动),或者使用Android Support Library中的ViewPager和Fragment结合来创建横向的...
APK加固Demo
02-26
Android中对Apk加固原理解析的最好例子,通过一个例子来讲解Android加固Apk的原理
Android中内存加载dex
06-01
Android中内存加载dex
Android热更新技术的研究与实现(一)
热门推荐
Tomcat的Tom
10-18 3万+
1——必备引言——本文因为篇幅较长,可能会有错别字出现,望见谅。第一部分重点是将当下热门的热更新方案实现之后再研究,第二部分则是自己动手实现一个自己的热更新框架。Android热更新技术的研究与实现之研究篇———概念讲解——–热更新 相关概念这个词出现的时间已经很久了,感觉现在要找工作才来看是晚了不少,但是好东西什么时候学习都不晚的。 今天看到一句话,和大家分享下,人一生有三样东西是别人抢不走
Tinker源码解析
dbs1215的专栏
08-03 1540
tinker源码解析
面试官:今日头条启动很快,你觉得可能是做了哪些优化?
鸿蒙开发知识记录
06-07 501
前言 网上关于启动优化的文章多不胜数,内容千篇一律,大都是列举一些耗时操作,采用异步加载、懒加载等。 而在面试过程中,关于启动优化的问题,如果只是很表面地回答耗时操作应该放在子线程,显然太过于普通,无法跟竞争者拉开差距。如何让面试官知道你的“内功深厚”,那肯定是要往原理层面去回答。 本文重点还是关注原理,冷启动优化这个问题能延伸到很多原理层面的知识点,本文比较有意思的地方是通过反编译今日头条App,研究大厂的启动优化方案。 讲启动优化之前,先看下应用的启动流程 一、应用启动流程 应用进程不存在的
android so 不落地加载,關於Android Studio .so文件打包不到APK中的原因
weixin_36436373的博客
05-27 536
郁悶和困惑我了好幾天的問題終於解決了,感覺像心里一塊石頭落地了,沒解決之前,都想着是不是AS工具出現問題了,系統出現問題了,還是電腦有問題?各種原因都找了,功夫不負有心人,最后沒辦法,只能一行一行代碼去看,最終找到了原因。1,需要在build中添加如下配置,這是必備的android {sourceSets {main {jniLibs.srcDirs = ['libs']}}}2,如果添加了該項配...
android加固源码,[原创]修改源码dump某加固保的dex
weixin_34640289的博客
05-29 245
一般安卓加载代码都是通过classloader来装取本地代码到内存中去的。classloader有两种加载方式:1.通过路径寻找本地代码,然后载入内存:基本的源码顺序是 BaseDexClassLoader->DexPathList->makeDexElements->loadDexFile->Dexfile.loadDex最后DexFile中有一个native方法 O...
[车联网安全自学篇] Android安全之三问为什么?APP加固原理以及加固技术基础知识解惑
橙留香Park的博客
03-14 3032
Android APP的开发除了部分功能采用C/C++编码外,其余主要都是采用Java进行编码开发功能。Java源码最终编译成smali字符码,以classes.dex保存在App的APK中Java是一种解释性语言,功能强大,易用性强。Java的基本类库(JDK)是开源的,开源导致Java开发的应用容易被逆向破解的门槛很低。...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值