文章目录
一、脱壳点简介
二、修改系统源码进行脱壳
一、脱壳点简介
在上一篇博客 【Android 逆向】整体加固脱壳 ( DEX 优化流程分析 | DexPrepare.cpp 中 rewriteDex 函数分析 | 脱壳点 | 获取 dex 文件在内存中的首地址 ) 中 , 提到了 2 22 个脱壳点 :
① /dalvik/vm/DvmDex.cpp 的 dvmDexFileOpenPartial 方法
② /dalvik/libdex/DexFile.cpp 的 dexFileParse 方法
可以脱壳的 HOOK 点函数 , 不止上面 2 22 个 , 凡是函数中有 DEX 文件首地址的函数都可以作为脱壳点 ; 如 : DexPrepare.cpp 中 rewriteDex() 方法 也可以作为脱壳点 ;
HOOK 上面的 dvmDexFileOpenPartial 或 dexFileParse 方法 , 之后获取这两个方法的参数 , 第一个参数是 DEX 文件在内存中的首地址 , 第二个参数是 DEX 文件的字节长度 ;
使用 Xposed , Frida 可以对上述函数进行 HOOK 操作 ;
二、修改系统源码进行脱壳
这里对 Android 系统的源码进行简单的修改 , 然后进行脱壳操作 , 这里的脱壳其实就是将 dex 文件在 内存的起始地址 ;
/* 记录当前 dex 文件索引 */ int dexCount = 0; /* * 为“部分”DEX创建DexFile结构。这是一个在 * 被优化的过程。优化标头未完成 * 我们没有任何辅助数据表,所以我们必须这样做 * 初始化过程略有不同。 * * 错误时返回非零。 */ int dvmDexFileOpenPartial(const void* addr, int len, DvmDex** ppDvmDex) { // 系统启动后 , 可能会生成很多 dex 文件 , // DEX 文件保存路径 char output[50]={0}; // 获取当前进程 ID , 这是为了区分准备的 int pid = getpid(); // 生成文件名称 , 由于单个 APK 可能有多个 DEX 文件 // 这里将每个 DEX 文件的 进程 ID 和 DEX 文件字节大小 // 放入 DEX 文件名中 , 加以识别 sprintf(output, "/sdcard/%d_%d_output.dex", pid, dexCount); // dex 文件索引自增 dexCount++; // 以写的方式 , 打开文件 , 如果没有就创建该文件 int fd = open(output, "wb+"); // 文件打开成功 , 则 dump 内存数据到 /sdcard/output.dex 文件中 if (fd > 0) { // 将 addr 地址的内存数据拷贝到 fd 文件中 , 拷贝 len 字节 write(fd, addr, len); // 关闭文件 close(fd); } DvmDex* pDvmDex; DexFile* pDexFile; int parseFlags = kDexParseDefault; int result = -1; /* -- 文件不完整,尚未计算新校验和 if (gDvm.verifyDexChecksum) parseFlags |= kDexParseVerifyChecksum; */ pDexFile = dexFileParse((u1*)addr, len, parseFlags); if (pDexFile == NULL) { ALOGE("DEX parse failed"); goto bail; } pDvmDex = allocateAuxStructures(pDexFile); if (pDvmDex == NULL) { dexFileFree(pDexFile); goto bail; } pDvmDex->isMappedReadOnly = false; *ppDvmDex = pDvmDex; result = 0; bail: return result; }
源码路径 : /dalvik/vm/DvmDex.cpp
然后编译该 Android 4.4.4 源码 , 在该源码编译的 模拟器 上执行要脱壳的应用 , 或者直接将该源码刷到 Google 手机 / 开发版上 , 运行该系统 ;
在上述系统中 , 运行要脱壳的应用 , 会自动将 DEX 文件输出到 SD 卡中的指定的 /sdcard/pid_dexCount_output.dex 目录中 ;
