一个易上手的函数抽取样本还原(JAVA遍历类与加载SO的思路,还有LoadMethod阶段去获取完整Dex)

已于 2022-09-22 17:09:25 修改
阅读量717 收藏 2
点赞数
分类专栏: Android脱壳 文章标签: android
于 2022-09-22 16:04:06 首次发布
原文链接:https://bbs.pediy.com/thread-263340.htm
版权

JAVA遍历ClassLoader类的写法

public void GetClassLoaderClasslist(ClassLoader classLoader) {
        //private final DexPathList pathList;
        //public static java.lang.Object getObjectField(java.lang.Object obj, java.lang.String fieldName)
        XposedBridge.log("start dealwith classloader:" + classLoader);
        Object pathListObj = XposedHelpers.getObjectField(classLoader, "pathList");
        //private final Element[] dexElements;
        Object[] dexElementsObj = (Object[]) XposedHelpers.getObjectField(pathListObj, "dexElements");
        for (Object i : dexElementsObj) {
            //private final DexFile dexFile;
            Object dexFileObj = XposedHelpers.getObjectField(i, "dexFile");
            //private Object mCookie;
            Object mCookieObj = XposedHelpers.getObjectField(dexFileObj, "mCookie");
            //private static native String[] getClassNameList(Object cookie);
            //    public static java.lang.Object callStaticMethod(java.lang.Class<?> clazz, java.lang.String methodName, java.lang.Object... args) { /* compiled code */ }
            Class DexFileClass = XposedHelpers.findClass("dalvik.system.DexFile", classLoader);
 
            String[] classlist = (String[]) XposedHelpers.callStaticMethod(DexFileClass, "getClassNameList", mCookieObj);
            for (String classname : classlist) {
//                XposedBridge.log(dexFileObj + "---" + classname);
                try {
                    classLoader.loadClass(classname);
                    Log.e("Hook1", "loadclass:" + classname);
                } catch (ClassNotFoundException e) {
                    Log.e("Hook1", Log.getStackTraceString(e));
                }
            }
        }
        XposedBridge.log("end dealwith classloader:" + classLoader);
 
    }

题目出自2W班7月第一题

题目要求:某些抽取壳在类被加载后便还原了被抽取的函数,请编写xposed插件完成对加壳app中所有类的加载,最终完成该类型抽取壳的修复

由题目其实可以很清楚的了解到,这个函数抽取壳,类被还原后就不会复原回去,那么解题思路就很明确了,只要遍历所有的类,再把Dex dump出来,即脱壳成功。

那么其实这道题考察的就是classloader的运用,无论壳如何变,为了能让上层应用能正常运用,必然逃不脱整个安卓框架层,那么既然框架层也是用的classloader去加载类的,那么就逃不脱classloader这个知识点。

下面开始解题过程。

使用环境:android8.1 ,edxp

首先看到app的dex其实已经是一个脱壳状态了,只是函数体被抽取了
那么思路其实已经很清晰了,就是遍历所有的类。然后再把代码dump下来即可。

那么如何dump Dex呢。在8.0以下,我们可以参考Fdex2的代码,在遍历完成后,使用dex类中的getBytes把dex文件dump出来。

public void initRefect() {
        try {
            Dex = Class.forName("com.android.dex.Dex");
            Dex_getBytes = Dex.getDeclaredMethod("getBytes", new Class[0]);
            getDex = Class.forName("java.lang.Class").getDeclaredMethod("getDex", new Class[0]);
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (NoSuchMethodException e) {
            e.printStackTrace();
        }
 
    }
 
    public  void writeByte(byte[] bArr, String str) {
        try {
            OutputStream outputStream = new FileOutputStream(str);
            outputStream.write(bArr);
            outputStream.close();
        } catch (IOException e) {
            e.printStackTrace();
            XposedBridge.log("文件写出失败");
        }
    }

以上代码节选自Fdex2中。

但是因为我的环境是android 8.1,而在8.1上Dex类中已经没有这个函数了。
但是参考目前的一些frida脚本,可以发现大多数都是hook OpenCommon这个函数,因为这个函数可以直接拿到basesize,就可以直接dump了。但是我们这里使用LoadMethod这个函数,因为在题目三中也需要用到这个函数,因此这里我就用这个函数把。

以下代码是so中的代码。

extern "C" jint JNICALL JNI_OnLoad(JavaVM *vm, void *reserved) {
 
    LOGE("jni onload enter");
    //1.首先在jni_onload中hook我们想要的函数。这里用的sandhook
    hookLogic();
    LOGE("jni onload stop");
    return JNI_VERSION_1_6;
}
 
//2.然后我们分别在32位和64位中hook LoadMethod这个函数
void hookLogic() {
if (sizeof(void *) == 8) {
        const char *libartPath = "/system/lib64/libart.so";
        old_loadmethod = reinterpret_cast<void *(*)(void *, DexFile &,
                                                    art::ClassDataItemIterator &,
                                                    art::Handle *,
                                                    art::ArtMethod *)>( SandInlineHookSym(
                libartPath,
                "_ZN3art11ClassLinker10LoadMethodERKNS_7DexFileERKNS_21ClassDataItemIteratorENS_6HandleINS_6mirror5ClassEEEPNS_9ArtMethodE",
//                "_ZN3art11ClassLinker10LoadMethodERKNS_7DexFileERKNS_21ClassDataItemIteratorENS_6HandleINS_6mirror5ClassEEEPNS_9ArtMethodE",
                reinterpret_cast<void *>(new_loadmethod)));
    } else {
        const char *libartPath = "/system/lib/libart.so";
        old_loadmethod = reinterpret_cast<void *(*)(void *, DexFile &,
                                                    art::ClassDataItemIterator &,
                                                    art::Handle *,
                                                    art::ArtMethod *)>( SandInlineHookSym(
                libartPath,
                "_ZN3art11ClassLinker10LoadMethodERKNS_7DexFileERKNS_21ClassDataItemIteratorENS_6HandleINS_6mirror5ClassEEEPNS_9ArtMethodE",
                reinterpret_cast<void *>(new_loadmethod)));
    }
}
 
 
void *(*old_loadmethod)(void *, DexFile &,
                        art::ClassDataItemIterator &,
                        art::Handle *,
                        art::ArtMethod *) = nullptr;
//3.紧接着在hook函数中拿到base与size。这里使用的dexFile去获取
void *new_loadmethod(void *thiz, DexFile &dex_file,
                     art::ClassDataItemIterator &it,
                     art::Handle *klass,
                     art::ArtMethod *dst) {
 
    if (strcmp((char *) dex_file.pHeader->magic, "dex\n035") != 0) {
        return old_loadmethod(thiz, dex_file, it, klass, dst);
    }
 
//    const u1 *base = dex_file.baseAddr;
    const DexHeader *base = dex_file.pHeader;
    int size = dex_file.pHeader->fileSize;
    LOGE("new opheader::%p ", dex_file.pOptHeader);
    LOGE("new header::%p ", dex_file.pHeader);
    LOGE("new magic::%p ", dex_file.pHeader->magic);
    LOGE("new loadmehtod::%p  %i  %s", base, size, dex_file.pHeader->magic);
 
    int pid = getpid();
    char dexFilePath[100] = {0};
    sprintf(dexFilePath, "/sdcard/xxxxx/%p %d LoadMethod.dex", base, size);
    mkdir("/sdcard/xxxxx", 0777);
 
    int fd = open(dexFilePath, O_CREAT | O_RDWR, 666);
    if (fd > 0) {
        ssize_t i = write(fd, base, size);
        if (i > 0) {
            close(fd);
        }
    }
 
    return old_loadmethod(thiz, dex_file, it, klass, dst);
}

首先在jni_onload中hook我们自己需要的函数,这里我们hook loadMethod方法。
这这个方法中,我们可以拿到DexFile,然后进而可以拿到base和size,然后拿到这两个后,我们就可以dump dex出来了。

那么在so层中的dump代码就已经写完了。java层需要做的就是遍历类即可。

因为可能环境的问题,我在xp代码中新建thread没有生效,有点问题,所以我直接在application中的attach函数中拿classloader。
这里可以直接在attach中拿是因为这个例子没有壳代码,如果先经过壳,那么这个classloader将会是壳的classloader,因此要注意。
所以遍历类的重点就是classloader,没有classloader就没法loadClass。

在拿到classloader后我就直接加载so了,因为在7.1以后的版本,dlopen会有一些限制,所以我干脆就放到了lib64目录下了,因为双亲委派的原因,最终会到这个地方找so

XposedHelpers.findAndHookMethod(Application.class, "attach", Context.class, new XC_MethodHook() {
                @Override
                protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                    super.afterHookedMethod(param);
 
                    mContext = (Context) param.args[0];
 
 
                    XposedHelpers.callMethod(Runtime.getRuntime(), "doLoad", "/system/lib64/libsandhook-native.so", mContext.getClassLoader());
 
                    GetClassLoaderClasslist(mContext.getClassLoader());
                }
            });

紧接着就是遍历class
这里拿到classList之后loadClass即可。

public void GetClassLoaderClasslist(ClassLoader classLoader) {
        //private final DexPathList pathList;
        //public static java.lang.Object getObjectField(java.lang.Object obj, java.lang.String fieldName)
        XposedBridge.log("start dealwith classloader:" + classLoader);
        Object pathListObj = XposedHelpers.getObjectField(classLoader, "pathList");
        //private final Element[] dexElements;
        Object[] dexElementsObj = (Object[]) XposedHelpers.getObjectField(pathListObj, "dexElements");
        for (Object i : dexElementsObj) {
            //private final DexFile dexFile;
            Object dexFileObj = XposedHelpers.getObjectField(i, "dexFile");
            //private Object mCookie;
            Object mCookieObj = XposedHelpers.getObjectField(dexFileObj, "mCookie");
            //private static native String[] getClassNameList(Object cookie);
            //    public static java.lang.Object callStaticMethod(java.lang.Class<?> clazz, java.lang.String methodName, java.lang.Object... args) { /* compiled code */ }
            Class DexFileClass = XposedHelpers.findClass("dalvik.system.DexFile", classLoader);
 
            String[] classlist = (String[]) XposedHelpers.callStaticMethod(DexFileClass, "getClassNameList", mCookieObj);
            for (String classname : classlist) {
//                XposedBridge.log(dexFileObj + "---" + classname);
                try {
                    classLoader.loadClass(classname);
                    Log.e("Hook1", "loadclass:" + classname);
                } catch (ClassNotFoundException e) {
                    Log.e("Hook1", Log.getStackTraceString(e));
                }
            }
        }
        XposedBridge.log("end dealwith classloader:" + classLoader);
 
    }

之后就可以完整的dump出dex了。
但是这种方案的话会有点慢,因为每load一次,so层都会写文件覆盖一遍文件。
因此其实可以在load完之后设置一个flag,再去写文件,速度会提升很多。

​​​​​​​上传的附件:

  •  2.1测试app.7z.001 (6.68MB,31次下载)
  •  2.1测试app.7z.002 (6.68MB,33次下载)
  •  2.1测试app.7z.003 (6.68MB,33次下载)
  •  2.1测试app.7z.004 (315.68kb,28次下载)

双刃剑客
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安卓逆向_21 --- Java层和so层的反调试( IDA 动态调试 JNI_OnLoad、init_array下断)
墨鱼菜鸡
07-11 1299
1. 安卓程序动态调试条件 安卓程序动态调试条件 ( 2个满足1个即可 ): 1. 在 AndroidMainfest.xml ---> application 标签下,设置或者添加属性android:debuggable="true" 2. 系统默认模式,在 build.prop(boot.img),ro.debuggable=1 And...
Java实验报告模板
04-11
该压缩包里有两个Java实验报告,里面有实验报告的格式、要求等。
Android逆向之破解某应用加密算法(动态调试so和hook so代码)
Tomes.V.White
03-31 4886
转载自:http://www.520monkey.com/archives/1310 一、样本静态分析 最近有位同学发了一个样本给我,主要是有一个解密方法,把字符串加密了,加解密方法都放在so中,所以之前也没怎么去给大家介绍arm指令和解密算法等知识,正好借助这个样本给大家介绍一些so加密方法的破解,首先我们直接在Java层看到加密信息,这个是这位同学直接告诉我这个,我没怎么去搜了: ...
JAVA函数(方法)
热门推荐
2987345656@qq.com的博客
07-26 4万+
函数的概念: 函数是定义在中的一段独立的代码块,用来实现某个功能。Java中,函数又被称为方法。 函数的主要作用是为了提高代码的复用性。 函数都是在栈内存中运行;运行的函数处在栈顶。 函数格式:修饰符 返回值函数名 ( [ 参数型1 参数名1,参数型2 参数名2.... ] ){ // [ ] ...
Xposed的使用
不落航班
12-11 6764
背景阐述 Android是一种基于Linux的自由及开放源代码的操作系统,由Google公司和开放机联盟领导及开发。由于其开放的特质,吸引了一大批硬件厂商和软件开发者。第三方的统计数据显示,2016年Android占有的市场份额高达76.4%,远远超过其他智能机厂商。 大量的Android os装机量,在丰富安卓系统使用场景的同时,也催生出了许多安全问题。xposed框架提供了不需要修
安卓dex还原java工具
04-21
这里用到的工具是dex2jar,正如文件名`dex2jar-0.0.7.9-SNAPSHOT`所示,这是一个开源项目,能够将Dex文件转换为可读的Java库。运行dex2jar命令行工具,指定输入的Dex文件路径,就可以生成对应的Jar文件,例如`...
加载器调用dex文件
最新发布
02-28
Java编程语言中,加载器(ClassLoader)是运行时环境的核心组成部分,它负责查找、加载和初始化。当我们谈论“加载器调用dex文件”时,这通常与Android平台相关,因为DEX(Dalvik Executable)文件是Android...
阿里巴巴java研发工程师笔试题-dex-finder:快速寻找一个所在dex的小工具
06-20
实现的简单脚本,用于确认一个所在的 dex 的位置,设计时是为了以下两种情况使用的: 现在的 apk 大部分都已经是 multi-dex 格式了,使用 JEB 打开整个 apk 很慢,使用 dex-finder 可以快速定位到目标 应用程序...
Android中内存加载dex
06-01
Android系统中,Dalvik虚拟机...总结起来,Android中的内存加载dex一个复杂的过程,涉及编译、优化、加载、执行等多个环节。理解这一过程有助于开发者优化应用性能,减少内存消耗,并实现如插件化等高级功能。
APK加固(JAVA/JNI二种方式动态加载dex)
02-02
http://blog.csdn.net/csdn49532/article/details/50624627 配套代码,使用JAVA和JNI二种方法动态加载dex,调用dex中的方法,对android APK进行加固,防止APK被破解。
dex-counter-gui:一个简单的java(基于swing)UI工具来计算apk文件中的dex方法
07-18
dex-counter-gui 一个简单的 java(基于 Swing 的)UI 工具,用于计算 apk 文件中的 dex 方法。 学分 转到 Mihai Parparita / 进行实际工作。 Android 也是理所当然的。
下载服务端dex文件,动态加载dex文件源码
05-13
3. **加载 Dex 文件**:使用 `DexClassLoader` 创建一个新的加载器,指定 Dex 文件的路径,父加载器通常是应用的默认加载器,例如 `PathClassLoader`。 4. **反射调用**:通过反射找到并执行新加载中的方法...
android_dex_injection:该项目将帮助您将dex文件加载到目标程序,但是U必须将其与so文件注入器一起使用
05-11
这个名为"android_dex_injection"的项目专注于提供一个工具集,使得开发者能够将额外的.dex(Dalvik Executable)文件加载到目标应用程序中。 Dex文件是Android系统中用来存储Java字节码的格式,相当于Java应用的....
Android加载机制、插件化、热修复
10-24
Android加载机制遵循“双亲委派模型”,即每个加载器在尝试加载时,会首先委托其父加载器进行加载。这样做的目的是为了保证系统的(如系统库中的)只被加载一次,避免的重复加载和不一致的问题。在...
dex-k8s-authenticator:一个Kubernetes Dex客户端验证器
02-03
Dex K8s身份验证器 一种帮助程序Web应用程序,可与一个或多个进行对话,以生成用于创建和修改kubeconfig kubectl命令。 Web UI支持针对多个群集(例如Dev / Staging / Production)生成令牌。还提供舵图SSL支持Linux...
按钮的长短按事件交换的最佳实践
lemisky的博客
02-05 290
View imageMenu = (View) XposedHelpers.getObjectField(param.thisObject, "目标view"); Object mListenerInfo = XposedHelpers.getObjectField(imageMenu, "mListenerInfo"); Object onClick = XposedHelpers.getObj...
Xposed原理简介及其精简化
05-14 974
Xposed原理简介及其精简化 Xposed是⼀个很强⼤的Android平台上的HOOK⼯具,⽽且作者为了⽅便开发者使⽤开发了⼀个APP(Xposed Installer,下⽂称为Installer) 来使⽤开发者⾃⼰开发的模块。开发者安装⾃⼰的模块后需要在Installer中勾选⾃⼰的模块然后重启⼿机⾃⼰的模块才会起作⽤。但是这样有点不 利于开发者测试,每次都要点开Installer操作⼏下尤...
android ip包拦截方案,[原创]如何拦截抖音数据返回包
weixin_39932455的博客
05-26 658
Class aClass = XposedHelpers.findClass("com.bytedance.retrofit2.SsHttpCall", packageParam.classLoader);XposedBridge.hookAllMethods(aClass, "getResponseWithInterceptorChain", new XC_MethodHook() {@Over...
libart android,本地崩溃在/system/lib/libart.so上棒棒糖android 5.0.1三星
weixin_27729671的博客
05-27 1156
我在谷歌Play商店使用cordova构建了一个应用程序.该应用程序适用于所有设备和型号,除了在Android 5.0.1(Note3和Note4)上运行的一些三星设备.该应用程序在发布时崩溃.崩溃堆栈跟踪如下:*** *** *** *** *** *** *** *** *** *** *** *** *** *** *** ***Build fingerprint: 'samsung/tre...
深入理解JNI:加载.so与JNI_OnLoad函数解析
Java Native Interface (JNI) 是Java平台的一个核心组成部分,它允许Java代码与其他编程语言(如C、C++或汇编)编写的代码进行交互。在Android系统中,JNI扮演着连接Java应用程序与本地代码的关键角色。当Java代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值