转自:https://bbs.pediy.com/thread-246117-2.htm
大家好,我是F8LEFT,潜水了这么久,抽空来发个技术帖子。这次要发的作品是我以前写的一个脱壳机FUPK3,这个脱壳机的思路应该是以前没人放过的,这里我不私藏了,放出来给大家来评评。
Android代码是开源的,那么通过直接修改Android源码,把运行时的所有dex数据dump出来,不就可以实现一个通用的脱壳机了吗?FUPk3就是基于上面的思路来实现的。FUPK3需要修改Android源码,导出数据接口.不过,最为核心的脱壳操作是在一个so中执行的,脱壳时应用会自动加载该so,这样好处在于可以通过替换这个so来达到动态修bug的效果。
- 代码注入
程序启动后读取配置文件/data/local/tmp/FUpk3.txt,如果命中脱壳的配置就会直接加载so /data/local/tmp/libFupk3.so,进行脱壳。修改Android源码1
2
3
4
5
6
7
8
try{UpkConfig config=new UpkConfig();if(config.load() && config.mTargetPackage.equals(data.info.getPackageName())) {Fupk upk=new Fupk(config.mTargetPackage);upk.unpackAfter(10000);}} catch (Throwable t) {} -
cookie
脱壳需要知道app当前加载的所有dex文件。每一个被加载到内存中的dex文件都会被记录为一个cookie值,存放在程序的loader中,所有类的加载都需要通过该loader进行。Java层的loader可能会比较复杂,比如会用到双亲委派机制等,不好遍历。但是,到了Jni层,一切都变得简单起来,在native中,会通过一个Hash表来存储所有dex文件。1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
//每个打开的dex文件都会存储到gDvm.userDexFiles中static void addToDexFileTable(DexOrJar*pDexOrJar) {u4hash=(u4) pDexOrJar;void*result;dvmHashTableLock(gDvm.userDexFiles);result=dvmHashTableLookup(gDvm.userDexFiles,hash, pDexOrJar,hashcmpDexOrJar, true);dvmHashTableUnlock(gDvm.userDexFiles);if(result !=pDexOrJar) {ALOGE("Pointer has already been added?");dvmAbort();}pDexOrJar->okayToFree=true;}因此,想要知道当前apk加载了那些dex就简单多了,只需要遍历这个userDexFile这个Hashtable就好了。直接在Android源码中导出接口。
1
2
3
4
//@F8LEFT exported functionHashTable*dvmGetUserDexFiles() {returngDvm.userDexFiles;}然后,直接在so里面调用接口,就可以取出所有dex文件的内存布局。
1
2
3
4
5
auto fn=(HashTable*(*)())dlsym(libdvm,"dvmGetUserDexFiles");if(fn==nullptr) {goto bail;}gDvmUserDexFiles=fn(); -
dex重建
dex文件被加载起来后,一些值就不会再被用到,如文件头sig,数据偏移等,部分壳会把这些数据抹除。这些数据需要直接从应用的运行时数据 DvmDex, ClassObject, MethodObject等取出来,并进行重建。还有一些常量数据,StringPool,TypePool等,这些是不会加密的,直接dump出来。1
2
3
4
5
6
7
8
9
10
11
boolDexDumper::fixDexHeader() {DexFile*pDexFile=mDvmDex->pDexFile;mDexHeader.stringIdsOff=(u4) ((u1*) pDexFile->pStringIds-(u1*) pDexFile->pHeader);mDexHeader.typeIdsOff=(u4) ((u1*) pDexFile->pTypeIds-(u1*) pDexFile->pHeader);mDexHeader.fieldIdsOff=(u4) ((u1*) pDexFile->pFieldIds-(u1*) pDexFile->pHeader);mDexHeader.methodIdsOff=(u4) ((u1*) pDexFile->pMethodIds-(u1*) pDexFile->pHeader);mDexHeader.protoIdsOff=(u4) ((u1*) pDexFile->pProtoIds-(u1*) pDexFile->pHeader);mDexHeader.classDefsOff=(u4) ((u1*) pDexFile->pClassDefs-(u1*) pDexFile->pHeader);returntrue;}对于Method的重构要复杂得多,每一代加固的发展重点都是增强对Method的CodeItem的加密。从整体加密到函数抽取到最新的函数VMP,还原难度也越来越高。VMP暂且不说,函数抽取本身还是可以攻破的。有些壳做得非常复杂,会在函数执行时还原代码,执行完后又加密回去。针对这种情况,可以看到,在程序运行时的某一个时刻,dex的部分数据肯定是还原的,那么我们可以通过不断地手动构造代码,来遍历触发这些还原点,同时进行数据提取,最终完成修复。
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 |
|
在上面,直接在Android源码中构造了脱壳用到的接口 gFupk,它提供了4个void*的空间来存放临时数据,与一个可以替换的接口方法fupkExportMethod。这样,只需要手动调用fupkInvokeMethod方法,程序就会走函数正常的执行流程,从dvmInvokeMethod开始,进入dvmInterpret中,并最终调用完gFupk.ExportMethod后直接退出Interpret。这样当我们手动调用函数时,既可以让壳还原出原始代码,又不会影响到程序本身的稳定性。
| 1 2 3 4 5 6 7 8 |
|
| 1 2 3 4 5 |
|
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 |
|
这样,所有加密的数据都提取出来了,直接进行组合,以加密的方式dump出来。
| 1 2 3 4 5 6 7 8 9 10 |
|
- dex修复
上面dump下来的dex文件是非标准的,可能存在部分的class数据不合法,并且一些软件不认。所以需要一个写一个修复的server来跳过非法的数据。server主要修改了baksmali与smali的代码,自动跳过无法反编译的类。 -
其他
Android加固发展到现在,经历了好几个大版本改动。最初的是dex整体加固,现在的是VMP加固,中间出了不少非常不错的脱壳机,其中最为经典的有2个:ZjDroid与dexHunter,这两个都是开源的,并且写得非常好,即使是放到今天来看,也具有相当的参考价值,想要学习脱壳的同学们可以拜读一下。另外,FUpk3是运行在dalvik上的,那么要在art下脱壳怎么办呢?道理还是一样的,只是art下会复杂很多, 跑解析的跑编译的都有,修复起来需要记录很多数据,这里由于某些原因就不公开art下的脱壳机了。 -
写在最后
新手想要入门,需要什么?1. 一台谷歌亲儿子(nexus) 2. 一个Ubuntu系统 3. 一套完整的Android源码。平时有事没事可以多看看源码,刷刷机之类的。Android平台与Windows上的不同,到目前为止,Android上系统的优秀的教材实在是少,如果没人手把手地带入门的话,基本上就是在白做功,幸好大部分难点的解决方案答案都可以在源码里面找到,多熟悉一下总会有好处的。
7.https://github.com/F8LEFT/FUPK3
看雪上的md插件怪怪的,大家去我的github上看吧,欢迎各种star与follow,演示视频在这里 https://pan.baidu.com/s/1HH_-TQGca1NLoSqzvOPB3Q 密码:izm3