进阶Frida--Android逆向之Hook动态加载dex（三）（上篇）

前言：前段时间看到有朋友在问在怎么使用frida去hook动态加载的dex之类的问题，确实关于如何hook动态加载的dex，网上的资料很少，更不用说怎么使用frida去hook动态加载的dex了。（frida的官方文档已经无力吐槽…）后来偶然的情况下发现了一道CTF题目可以作为很好的案例，所以花了很多心思将文章写下来分享给大家，涉及的内容比较多，我打算用上下篇将frida hook动态加载的dex的方法将清楚，上篇主要是引导及一些前置的知识。

---

文章涉及内容及使用到的工具

0x00 使用到的工具

• ADT（Android Developer Tools）
• Jadx-gui
• JEB
• frida
• apktool
• 010 editor
• 天天模拟器（genymotion，实体机等亦可）

0x01 涉及知识点

• Robust热修复框架原理
• Java 反射
• Robust类 hook

apk的安装和分析

文章使用的是DDCTF2018的android逆向第二题Hello Baby Dex

示例地址：下载

0x02 apk安装及使用

程序功能很简单，就是输入密码并验证，错误会Toast出一些信息，按这个惯性，可能得输入某些正确的值才能获取flag吧，废话不多说，直接反编译看看。

0x03 静态代码分析

一般情况下，我是直接扔到jadx中去看反编译后的代码，可是这次jadx反编译出来的结果有很多错误，这里我就不贴图了，大家可以尝试一下，看看是什么错误。后面放到jeb工具中，便没有报错，所以查看反编译的效果时，大家可以多尝试几个反编译器对比效果，查看AndroidManifest.xml，找到了程序的入口MainActivity。

 <activity android:name="cn.chaitin.geektan.crackme.MainActivity">
            <intent-filter>
                <action android:name="android.intent.action.MAIN" />
                <category android:name="android.intent.category.LAUNCHER" />
            </intent-filter>
        </activity>

在此同时，在cmd中通过apktool d [apk]，再将apk文件反编译出来。

接下来直接定位到MainActivity的onCreate()方法，可以看到代码是混淆过的，阅读上稍微有点小困难，但是在onCreate()方法中，我们还是可以发现一些可疑的方法及变量，比如PatchProxy，changeQuickRedirect等。

继续搜索有用的信息，我们可以发现在onCreate()方法的else逻辑中调用了this.runRobust()，并且我们发现在类中每一个方法里面都会存在一些changeQuickRedirect变量，以及isSupport()，accessDispatch()方法。

上面的先放一边，我们来看看runRobust()方法中写了什么，在else条件语句中可以看到它实例化了一些对象。

 private void runRobust() {
  //固定格式的changeQuickRedirect，isSupport，accessDispatch
        int v4 = 4;
        Object[] v0 = new Object[0];
        ChangeQuickRedirect v2 = MainActivity.changeQuickRedirect;
        Class[] v5 = new Class[0];
        Class v6 = Void.TYPE;
        MainActivity v1 = this;
        boolean v0_1 = PatchProxy.isSupport(v0, v1, v2, false, v4, v5, v6);
        if(v0_1) {
            v0 = new Object[0];
            v2 = MainActivity.changeQuickRedirect;
            v5 = new Class[0];
            v6 = Void.TYPE;
            v1 = this;
            PatchProxy.accessDispatch(v0, v1, v2, false, v4, v5, v6);
        }
        else {
            Context v1_1 = this.getApplicationContext();
            //实例化PatchManipulateImp类
            PatchManipulateImp v2_1 = new PatchManipulateImp();
            //以及实例化PatchExecutor类
            PatchExecutor v0_2 = new PatchExecutor(v1_1, ((PatchManipulate)v2_1), new GeekTanCallBack());
            v0_2.start();
        }
    }

跟进PatchManipulateImp类，可以发现在fetchPatchList方法中，它调用了getAssets().open("GeekTan.BMP");从资源文件夹中，加载了一个BMP的图片文件，并将这个BMP文件内容写入GeekTan.jar中。

具体代码如下：

        try {
            v10 = arg17.getAssets().open("GeekTan.BMP");
            v8 = new File(arg17.getCacheDir() + File.separator + "GeekTan" + File.separator + "GeekTan.jar");
            if(!v8.getParentFile().exists()) {
                v8.getParentFile().mkdirs();
            }
        }
        catch(Exception v9) {
            goto label_171;
        }
    //将v8通过FileOutputStream方法赋值v12
        try {
            v12 = new FileOutputStream(v8);
        }
        catch(Throwable v0_3) {
            goto label_17;
        }

        int v0_4 = 1024;
        try {
            byte[] v7 = new byte[v0_4];
            while(true) {
            //v10是GeekTan.BMP赋值v11,
                int v11 = v10.read(v7);
                if(v11 <= 0) {
                    break;
                }
      //最终写入到v12中，而v12是new FileOutputStream(v8);
                ((OutputStream)v12).write(v7, 0, v11);
            }
        }
        catch(Throwable v0_3) {
            goto label_88;
        }

显然这个BMP文件很可疑，我们放到010 editor中看看二进制的内容，发现它真正的文件格式是一个压缩包,并且可以直观的看到在压缩包中存在一个dex文件。
。
同时我们还可以发现，方法中实例化了一个Patch对象。

Patch v13 = new Patch();

并在fetchPatchList()方法的最后，调用

v0_6 = "cn.chaitin.geektan.crackme.PatchesInfoImpl";
v13.setPatchesInfoImplClassFullName(v0_6);

回到runRobust()，接下来实例化了PatchExecutor类，可以看到第二个参数即为PatchManipulateImp类的实例。

Context v1_1 = this.getApplicationContext();
PatchManipulateImp v2_1 = new PatchManipulateImp();
PatchExecutor v0_2 = new PatchExecutor(v1_1, ((PatchManipulate)v2_1), new GeekTanCallBack());

这个PatchExecutor类是在com.meituan.robust包下的，这是一个第三方的包，目前官方已经将其开源，因为直接看混淆的代码还是比较费时的，在此暂停上面的分析，简单学习一下Robust。

0x04 Robust热修复框架原理

我们先简单了解一下Robust是什么，Robust是美团出的一款热修复框架，可以在github上面下载它的最新的源码。

Robust的基本原理，我们主要了解这4个步骤就能清晰明白了。
1. 将apk代码中每个函数都在编译打包阶段自动的插入一段代码。
例如，原函数：

public long getIndex() {
        return 100;
    }

它会被处理成这样：

//在该类中声明一个接口变量changeQuickRedirect
public static ChangeQuickRedirect changeQuickRedirect;

//在要修复的方法中添加以下逻辑代码
    public long getIndex() {
        if(changeQuickRedirect != null) {
            //PatchProxy中封装了获取当前className和methodName的逻辑，并在其内部最终调用了changeQuickRedirect的对应函数
            if(PatchProxy.isSupport(new Object[0], this, changeQuickRedirect, false)) {
                return ((Long)PatchProxy.accessDispatch(new Object[0], this, changeQuickRedirect, false)).longValue();
            }
        }
        return 100L;
    }

“可以看到Robust为每个class增加了个类型为ChangeQuickRedirect的静态成员，而在每个方法前都插入了使用changeQuickRedirect相关的逻辑，当changeQuickRedirect不为null时，会执行到accessDispatch方法从而替换掉之前老的逻辑，达到修复的目的”。

2.生成需要修复的类及方法的类文件