运行时动态修复dex

最新推荐文章于 2024-08-12 08:43:44 发布
最新推荐文章于 2024-08-12 08:43:44 发布
阅读量452 收藏
点赞数

版权声明:本文为博主原创文章,未经博主允许不得转载。

    0x00

    本文的源代码已经上传至github,地址为https://github.com/jltxgcy/DynamicFixDex。在Android2.3模拟器上可以运行。

    ForceApkObj:用于动态加载的apk。类似于Android中的Apk的加固(加壳)原理解析和实现一文中的ForceApkObj工程。

    FixDex:用于分离ForceApkObj里面的classes.dex,把他分离为classes_fix.dex和data.so,具体情况我们后来介绍。

    DynamicDex:用于动态加载ForceApkObj工程生成的ForceApkObj.apk,也就是脱壳程序,类似于Android中的Apk的加固(加壳)原理解析和实现一文中的ReforceApk工程。


    0x01

    使用步骤:

    1、将ForceApkObj工程生成的classes.dex拷贝到/sdcard/payload/目录下。

    2、Run FixDex工程,点击Button按钮,此时在/sdcard/payload/目录下生成了classes_fix.dex和data.so。

    3、把classes_fix.dex更名为classes.dex,然后替换ForceApkObj.apk里面的classes.dex,然后重新签名,生成新签名的ForceApkObj.apk。

    4、把ForceApkObj.apk和data.so放入/sdcard/payload/目录中,运行DynamicDex工程。

  

    0x02

    ForceApkObj工程很简单,主MainActivity界面点击屏幕会打开SubActivity,SubActivity的代码如下:

[java]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. public class SubActivity extends Activity {  
  2.   
  3.     @Override  
  4.     protected void onCreate(Bundle savedInstanceState) {  
  5.         super.onCreate(savedInstanceState);  
  6.         handleException();  
  7.     }  
  8.   
  9.     public void handleException() {  
  10.         Toast.makeText(this"成功映射", Toast.LENGTH_LONG).show();  
  11.     }  
  12.   
  13. }  


    0x03

    FixDex用于用于分离ForceApkObj里面的classes.dex,把他分离为classes_fix.dex和data.so。代码如下:

[java]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. public void onClick(View arg0) {  
  2.     int codeoff = FindCode.findCode("Lcom/example/forceapkobj/SubActivity;""handleException");  
  3.     Log.d("jltxgcy""codeoff:" + codeoff);  
  4.     try {  
  5.         File file = new File("/sdcard/payload/classes.dex");  
  6.         byte[] dexByte = readFileBytes(file);  
  7.         String strso = "/sdcard/payload/data.so";  
  8.         writeFile(strso, dexByte, codeoff - 16, exceptionCode.length + 16);  
  9.         System.arraycopy(exceptionCode, 0, dexByte, codeoff, exceptionCode.length);  
  10.         //修改DEX file size文件头  
  11.         fixFileSizeHeader(dexByte);  
  12.         //修改DEX SHA1 文件头  
  13.         fixSHA1Header(dexByte);  
  14.         //修改DEX CheckSum文件头  
  15.         fixCheckSumHeader(dexByte);  
  16.         String str = "/sdcard/payload/classes_fix.dex";  
  17.         writeFile(str, dexByte, 0, dexByte.length);  
  18.     } catch (Exception e) {  
  19.         // TODO Auto-generated catch block  
  20.         e.printStackTrace();  
  21.     }  
  22. }  
    首先找到SubActivity类的handleException方法的偏移,这个方法是一个native方法,具体的请参考源代码,看源代码前,请先了解 apk自我保护的一种实现方式——运行时自篡改dalvik指令。核心的原理我解释下:

[cpp]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. const DexCode  *code =  
  2.         dexFindClassMethod(&gDexFile, className, methodName);  
  3.     if(code == NULL){  
  4.         ALOGE("Error can not found setScoreHidden");  
  5.         return 0;  
  6.     }  
  7.     position = (u4 *)code - (u4 *)dexBase;  
  8.     ALOGD("codeoff:%d", ((u4 *)code - (u4 *)dexBase));  
  9.     return position * 4 + 16;  
    找到handleException在内存中的偏移,然后再减去dex头部的基地址,得到handleException在dex中本地偏移,那为什么要加上16呢?我们先看一个DexCode的结构。

[cpp]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. struct DexCode {  
  2.     u2  registersSize;  
  3.     u2  insSize;  
  4.     u2  outsSize;  
  5.     u2  triesSize;  
  6.     u4  debugInfoOff;       /* file offset to debug info stream */  
  7.     u4  insnsSize;          /* size of the insns array, in u2 units */  
  8.     u2  insns[1];  
  9.     /* followed by optional u2 padding */  
  10.     /* followed by try_item[triesSize] */  
  11.     /* followed by uleb128 handlersSize */  
  12.     /* followed by catch_handler_item[handlersSize] */  
  13. };  
    加上16其实就是insns[1]的偏移,也就是真正执行的指令的偏移。


    找到了真正执行的指令的偏移,然后我们把这个指令整个的DexCode拷贝到data.so中。

[cpp]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. writeFile(strso, dexByte, codeoff - 16, exceptionCode.length + 16);  
    codeoff-16其实就是DexCode的偏移。exceptionCode.length是insns[1]长度(指令的长度),16是registersSize+insSize+outsSize+triesSize+debugInfoOff+insnsSize长度和。


    然后把原来classes.dex中handleException的DexCode中insns[1],也就是真正执行的指令全部置为exceptionCode,也就是全0。这样如果不动态修复,当执行到这个方法时,就会报错。

[cpp]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. System.arraycopy(exceptionCode, 0, dexByte, codeoff, exceptionCode.length);  


    最后把修复后内容写入到classes_fix.dex中。

[cpp]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. String str = "/sdcard/payload/classes_fix.dex";  
  2. writeFile(str, dexByte, 0, dexByte.length);  


    0x03

    把classes_fix.dex更名为classes.dex,然后替换ForceApkObj.apk里面的classes.dex,然后重新签名,生成新签名的ForceApkObj.apk。

    然后把ForceApkObj.apk和data.so放入/sdcard/payload/目录中,运行DynamicDex工程。

    在Android加壳native实现一文中,我们讲述了如何在native加载ForceApkObj.apk,并替换原Application,执行ForceApkObj中的主MainActivity。在这里我们也可以用同样的方式加载ForceApkObj,执行ForceApkObj中的主MainActivity,但是执行到SubActivity时,由于在SubActivity类的onCreate方法中调用handleException方法,而这个方法指令在0x02步已经设置为全零。那么就会报错。

    如果想要执行正确,我们有一个思路,也就是代码中的实现,如下:

[cpp]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. static void nativeParserDex(const char *className, const char *methodName)  
  2. {  
  3.     void *base = NULL;  
  4.     int module_size = 0;  
  5.     char filename[512];  
  6.     char path[512];  
  7.     int fd=-1;  
  8.     int r=-1;  
  9.     int len=0;  
  10.     struct stat st;  
  11.     u4 *addr;  
  12.     int newCodeOffPosition;  
  13.     u1 *store = (u1 *) malloc(2);  
  14.   
  15.   
  16.     // simple test code  here!  
  17.     for(int i=0; i<2; i++){  
  18.         sprintf(filename, "/mnt/sdcard/payload_odex/ForceApkObj.dex");  
  19.   
  20.         base = get_module_base(-1, filename);  
  21.         if(base != NULL){  
  22.             break;  
  23.         }  
  24.     }  
  25.   
  26.     if(base == NULL){  
  27.         ALOGE("Can not found module: %s", filename);  
  28.         return ;  
  29.     }  
  30.   
  31.     module_size = get_module_size(-1, filename);  
  32.   
  33.     // search dex from odex  
  34.     void *dexBase = searchDexStart(base);  
  35.     ALOGD("found dex start[%p]", dexBase);  
  36.     if(checkDexMagic(dexBase) == false){  
  37.         ALOGE("Error! invalid dex format at: %p", dexBase);  
  38.         return ;  
  39.     }  
  40.   
  41.     DexHeader *dexHeader = (DexHeader *)dexBase;  
  42.   
  43.     gDexFile.baseAddr   = (u1*)dexBase;  
  44.     gDexFile.pHeader    = dexHeader;  
  45.     gDexFile.pStringIds = (DexStringId*)((u4)dexBase+dexHeader->stringIdsOff);  
  46.     gDexFile.pTypeIds   = (DexTypeId*)((u4)dexBase+dexHeader->typeIdsOff);  
  47.     gDexFile.pMethodIds = (DexMethodId*)((u4)dexBase+dexHeader->methodIdsOff);  
  48.     gDexFile.pFieldIds  = (DexFieldId*)((u4)dexBase+dexHeader->fieldIdsOff);  
  49.     gDexFile.pClassDefs = (DexClassDef*)((u4)dexBase+dexHeader->classDefsOff);  
  50.     gDexFile.pProtoIds  = (DexProtoId*)((u4)dexBase+dexHeader->protoIdsOff);  
  51.   
  52.   
  53.     //dumpDexHeader(dexHeader);  
  54.     //dumpDexStrings(&gDexFile);  
  55.     //dumpDexTypeIds(&gDexFile);  
  56.     //dumpDexProtos(&gDexFile);  
  57.     //dumpFieldIds(&gDexFile);  
  58.     //dumpClassDefines(&gDexFile);  
  59.   
  60.   
  61.     // 2. found Dex Class!  
  62.     const DexCode  *code =  
  63.         dexFindClassMethod(&gDexFile, className, methodName);  
  64.     if(code == NULL){  
  65.         ALOGE("Error can not found setScoreHidden");  
  66.         return ;  
  67.     }  
  68.     codeOffPosition = ((u4 *)code - (u4 *)dexBase) * 4;  
  69.     ALOGD("codeOffPosition:%d", codeOffPosition);  
  70.     dexFindClassData(&gDexFile, className);  
  71.     u1 *codeData = (u1 *)codeOffPoint;  
  72.     ALOGD("codeOffPoint:%p,codeOffPointByte:%d,codeOffPointData:%d,%d", codeOffPoint, codeOffPointByte, *codeData,*(codeData + 1));  
  73.     sprintf(path, "/mnt/sdcard/payload_odex/data.so");  
  74.     fd = open(path,O_RDONLY,0666);  
  75.     if (fd==-1) {  
  76.         return ;  
  77.     }  
  78.   
  79.     r=fstat(fd,&st);  
  80.     if(r==-1){  
  81.         close(fd);  
  82.         return ;  
  83.     }  
  84.   
  85.     len=st.st_size;  
  86.     addr=(u4 *)mmap(NULL,len,PROT_READ,MAP_PRIVATE,fd,0);  
  87.     ALOGD("addr:%p", addr);  
  88.     newCodeOffPosition = ((u4 *)addr - (u4 *)dexBase) * 4;  
  89.     writeLeb128(store, newCodeOffPosition);  
  90.     ALOGD("newCodeOffPosition:%d, store:%d,%d", newCodeOffPosition, *store,*(store + 1));  
  91.     ALOGD("mprotect in");  
  92.     *codeData = *store;  
  93.     codeData++;  
  94.     *codeData = *(store + 1);  
  95.     ALOGD("codeOffPointData:%d,%d", *(codeData-1),*(codeData));  
  96. }  
    还记得我们在0x02步提取的data.so,实际上就是原来的handleException方法的DexCode结构体内容。我们只要找到目前指向DexCode结构体(当前方法指令置为全零)指针codeOff,我们再把data.so映射到内存,让codeOff指向这个地址,就完成了动态修复。因为这时候还没有loadClass,所以在此之前修复,loadClass就能形成正确的ClassObject,从而正确的执行指令。

    讲的是大概的原理,大家参考源码多看看就能理解,如果有不懂,请留言。我在Android 2.3模拟器试验成功!

zhanqq2012
关注
Android热补丁动态修复技术(一):从Dex分包原理到热补丁
Altsuki的博客
04-06 9327
一、参考 文章:安卓App热补丁动态修复技术介绍——by QQ空间终端开发团队 文章:Android dex分包方案——by 猫的午后 开源项目:https://github.com/jasonross/Nuwa 关于热补丁技术,QQ空间团队已经做了很详细的描述。但是细节上的东西都一带而过,这里结合Nuwa项目进行详细的介绍。 由于以上两篇文章调理都写的非常清晰,所以有些内容我就原话复制
DEX头部修复
m0_47587308的博客
12-23 412
DEX文件修复,仅修复头部
dexfixer修复工具
07-15
dexfixer用于脱壳后对classes.dex进行静态修复,很多classdex有花指令,可以用这个
DexRepair批量自动修复dex
rhtnll的博客
02-11 651
DexRepair根据bin文件批量自动修复dex。适配mikrom1.0.1。选择需要修复dex路径。
下载服务端dex文件,动态加载dex文件源码
05-13
1. **动态加载 Dex 文件**:Android 应用程序的 Dalvik/ART 运行时环境支持从外部加载 `.dex` 文件,这使得在应用运行时动态加载新的类库成为可能。这种方式通常用于热更新,即在应用已安装后添加或更新代码,提高...
android动态加载dex
01-20
在Android开发中,"动态加载dex"是一种技术,它允许应用程序在运行时加载新的或更新的Dalvik执行文件(.dex格式),而不必通过Google Play或其他应用商店进行完整应用的更新。这种技术对于大型应用或者需要频繁更新...
ClassLoader动态加载dex
12-17
当我们谈论"ClassLoader动态加载dex"时,实际上是指在Android应用程序运行时,通过自定义的ClassLoader来动态加载`.dex`(Dalvik Executable)文件,这是Android程序的字节码格式。这种技术在进行热修复、插件化或者...
Android注入实现Dex修复
12-19
2. **加载修复Dex**:在应用运行时,我们需要找到合适的时机,通常是应用启动或者特定功能触发时,通过反射获取ClassLoader的dexElements数组。 3. **注入Dex**:然后,我们需要创建一个 DexFile 对象,用于代表...
Android动态替换dex,Android 动态加载dex
weixin_39636540的博客
05-25 430
首先如果仅仅是因为64K method的问题可以直接看这里DexGuard、Proguard、Multi-dex给出的解决方案。本文主要讨论从编译层面,dex动态加载器选择层面以及安全层面讨论dex动态加载I. 类加载器比较两个类是否相等: 前提是采用的是同样的加载器加载的,否则必不相等。一般加载器类别虚拟机的角度1. 启动类加载器(Bootstrap ClassLoader)使用C++语言实现,...
DexFixer.zip
08-18
DEX文件被修改后,修复DEX文件。
Android dex修复工具,安卓热修复----手动加载dex文件到设备并执行
weixin_36321633的博客
05-25 1076
运行环境:MacOS 10.12.6, Android Studio 3.1.4, 终端工具(iTerms), mumu模拟器。步骤:1.新建文本Hello.java,内容如下:public class Hello{public static void main(String[] args) {System.out.println("Hello Android");}}2.根据Hello.jav...
Dex替换
lemisky的博客
12-10 572
/** * dex注入,优先使用自定义dex中的类 * * @param path * @param base */ private void InjectDex(String path, Context base) { //添加自定义加载路径 //思路:获取类加载路径表,将自己的插在最前面 try { Field pathListField =...
Android dex修复工具,Android 简单热修复(下)——基于DexClassLoader的实现
weixin_33512578的博客
05-25 741
前面Java类加载器的介绍中写过关于ClassLoader的基础知识,包括了双亲委派机制、自定义ClassLoader等内容。但是,前面讲到的都是基于JVM的内容,在这里需要清楚下:Android采用的Dalvik虚拟机(DVM)和ART虚拟机(4.4版本发布)。简单描述Android采用的虚拟机和JVM的区别送分题(敲黑板)!!根据广大网友描述,区别如下:Dalvik基于寄存器,而JVM基于栈。...
推荐:DexRepair - 您的Android Dex文件修复专家
最新发布
gitblog_00781的博客
08-12 337
推荐:DexRepair - 您的Android Dex文件修复专家 DexRepairAndroid dex文件修复程序项目地址:https://gitcode.com/gh_mirrors/de/DexRepair 在Android开发中,有时我们可能会遇到一些损坏或不完整的.dex文件,导致应用无法正常运行。这就是DexRepair大显身手的地方,一个专为修复dex文件而设计的工具,它可以...
Android dex修复工具,Android的dex修复的实现基本原理
weixin_39703561的博客
05-25 1011
在将java文件直接运行在JVM和Dalvik中,中讲解了java程序如何在JVM和Dalvik中运行,其中在Android部分实现是,先将java文件转为dex文件,导入至安卓手机中,通过Dalvik对该文件编译运行,实现将java文件运行在手机中功能。本文重点讲解如何利用该功能实现简易热修复的效果。热修复的根本原理是通过修改DexClassLoader 中dexPathList 的dex顺序,...
DexRepair 使用教程
gitblog_00358的博客
08-10 426
DexRepair 使用教程 DexRepairAndroid dex文件修复程序项目地址:https://gitcode.com/gh_mirrors/de/DexRepair 项目介绍 DexRepair 是一个智能的、自动化的 Android Dex 文件修复工具,旨在帮助开发者快速解决由于 Dalvik 可执行文件(DEX)头部损坏或代码项缺失导致的应用程序错误或异常。该项目通过自动修复...
dex加载及替换
inquisiter
01-31 813
不落地dex加载 android系统各函数之间的调用真是很复杂,想直接从源码上看懂基本不肯能。 DexClassLoader可以加载任何路径的apk/dex/jar PathClassLoader只能加载/data/app中的apk,也就是已经安装到手机中的apk。 这里据说c层的函数会调用到mmap进行内存映射,不过全局搜索不好用,没搜出来,算了。 这个
用新增DEX的方法实现热修复
u010015933的博客
08-31 468
public class HotFix { public static final String FIX_DEX_PATH = "fix_dex";//fixDex存储的路径 public static final String DEX_OPT_DIR = "optimize_dex";//dex的优化路径 public static final String DEX_B...
Android动态加载dex文件实现
在Android开发中,有时我们需要在应用程序运行时动态加载外部的jar包,以便实现插件化或者热更新等功能。本文将介绍如何在Android环境中实现动态加载.jar文件,并调用其中的方法。 首先,我们要明白Android系统并不...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值