上一篇我写的dex脱壳,写到银行类型的app的dex修复问题,因为dex中被抽取出来的函数的code_item_off 的偏移所在的内存,不在dex文件范围内,所以需要进行一定的修复,然后就停止了。本来不打算接着搞得,但是写了个框架总得有点真正实用的东西。
内存中所有dex遍历
我们所要做的是脱壳,即找到保护的dex,有些dex直接在当前classloader中,有些是自定义classloader然后加载的dex,所以如何找到所有的classloader那,java代码可是没有提供过这种功能。但是frida提供了这种功能,通过符号导出调用虚拟机底部函数对所有类进行遍历(这个不多写了,以前写过)
jobjectArray getClassLoaders(JNIEnv *env, jint targetSdkVersion) {
|-------------------------------------------------------------------------------------------------------------------------------|---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 | JavaVM ``*``javaVM; env``-``>GetJavaVM(&javaVM); JavaVMExt ``*``javaVMExt ``= (JavaVMExt ``*``) javaVM; void ``*``runtime ``= javaVMExt``-``>runtime; LOGV(``"runtime ptr: %p, vmExtPtr: %p"``, runtime, javaVMExt); LOGV(``"std::unique_ptr<PartialRuntime13> size: %d"``, sizeof (std::unique_ptr<PartialRuntime13>)); LOGV(``"get_heap_to_jvm_offset size: %d"``, get_heap_to_jvm_offset()); const ``int MAX = 5000``; int offsetOfVmExt ``= findOffset(runtime, ``0``, ``MAX``, (void``*``) javaVMExt); LOGV(``"offsetOfVmExt: %d"``, offsetOfVmExt); int head_offset ``= offsetOfVmExt``-``get_heap_to_jvm_offset()``+``sizeof (void``*``); LOGV(``"head_offset: %d"``, head_offset); void ``* heap ``= (char``*``)runtime ``+ head_offset; AndroidRunAPI``* androidRunApi ``= AndroidRunAPI::getInstance(); LOGV(``"1"``); androidRunApi``-``>partialRuntime ``= static_cast<PartialRuntime ``*``>(heap); getAndroidSystemFunction(); LOGV(``"1"``); LookupClassesVisitor visitor(env, javaVMExt); LOGV(``"1 %p"``,androidRunApi``-``>VisitClassLoaders); androidRunApi``-``>VisitClassLoaders(androidRunApi``-``>partialRuntime``-``>class_linker_,&visitor); LOGV(``"1"``); std::vector<jobject> vectorObject ``= visitor.getVecObj(); jclass ClassLoader_cls ``= env``-``>FindClass(``"java/lang/ClassLoader"``); LOGV(``"2"``); for (auto it ``= vectorObject.begin(); it !``= vectorObject.end(); ``/``* no increment here ``*``/``) { ``jboolean re ``= env``-``>IsInstanceOf(``*``it,ClassLoader_cls); ``if``(!re){ ``it ``= vectorObject.erase(it); ``} ``else``{ ``+``+``it; ``} } jobjectArray objectArray ``= env``-``>NewObjectArray(vectorObject.size(), ClassLoader_cls, NULL); for``(``int i``=``0``;i<vectorObject.size();i``+``+``){ ``env``-``>SetObjectArrayElement(objectArray, i, vectorObject[i]); } return objectArray; |
}
我们能遍历系统中所有的类,找到所有类加载,然后通过类加载器找到dex文件(有些cdex文件是系统文件)
用smali开源项目修dex code_item_off错误的文件
越来越懒了,不想多bb了,本来还想多写点扫盲和基础知识点的,懒得写了,直接上才艺。
就上个图片这里,dex文件的code_item 是超过了文件大小的,对于这种是没有办法修复的
花了半个月将grpc项目修了一下
连接和使用方式跟以前一样,但是具体的代码在test中
● dumpDexFixCodeItem
从内存中dump dex的codeitem形成修复文件,传入baksmali中作为修复参数
● dumpDexToPC 直接dumpdex 到本地目录
直接将dex dump到电脑上体验一站式dexdump
● dumpDexToAndroidLocal
dumpdex到android上,因为太大的apk中,dex文件过大内存直接爆了比如银行。
● baksmali
调用的smali,传入dex和需要修的codeitem可以将dex反编译成smali,然后将codeitem 也反编译进去
● smali
将 baksmali 编译出来的 smali工程编译为dex
使用顺序
● 使用dumpDexToPC 和 dumpDexToAndroidLocal 向dump dex文件
● 使用dumpDexFixCodeItem dump dex文件的code_item 到修复文件中
● 使用baksmali 传入dex文件和 code_item 修复文件反编译为smali工程
● 使用smali 将smali 工程反编译为dex
效果图
这个上次的文章中某银行dex最终的修复结果
使用中存在的问题
● dump出来的dex文件格式有问题:可能是cdex文件,也有可能是dex文件格式已经被破坏,如果是dex文件格式被破坏,可以通过自己编写更早时期的dex加载时dump来找到dex文件
● dumpDexToPC 导致程序崩溃了,这是因为文件太大内存爆满了,用dumpDexToAndroidLocal 手动去下载吧。
● 修复失败,修完了以后函数仍然找不到,我目前是用的是类加载,如果抽取函数是通过类加载还原的,这种方式是可以dump出code_item的,如果函数是通过必须要执行函数实体一次才能还原的话,这个可能需要你想办法让函数执行,并且确保被抽取的函数已经还原了,没有再次加密回去。
● baksmail 反编译中会剥离调试信息,参数名。smali回编译经过修改会忽略某些函数没有执行实体的错误。
废话
相比fart还是差了半截,活太多了只能先到这,不过比fart优雅多了,毕竟优雅永不过时
future
如果你想接着研究,但是又不知道该怎么继续研究下去,不知道我这个方向是不是死胡同,那我给点建议。
● 修复,如果逆向继续研究修复,用smali编译来编译去优雅程度还是有所欠缺的,而且我写的不完善要一个类一个类的还原,这方面我建议去看看dexmaker这类动态生成dex的源码,在内存中动态生成dex进行修复,或者android源码dex优化部分(我在调试dump debug模式的dex的时候发现dex和apk安装中的dex是不太一样的,查了一下说是优化了)
● dump dex,我目前采用的是程序运行中间dump,这个时候dex容易被破坏,可以hook开始的位置dumpdex
● dump code item ,这个是个坑,如果是函数运行一次还原还好一点,但是我不太确定是否有非常恶心的那些,比如不断覆盖重复运行,或者运行完再次加密,只要他能牺牲效率什么都做得出来,自己保重。