1. Suplemento de conhecimento
1. Processo de operação do APP após o reforço
1. -->APP启动
2. -->壳dex先加载起来
3. -->壳负责把源dex文件读出来
4. -->壳把源dex文件解密
5. -->把解密后的dex加载进内存 源dex运行起来
2. O princípio do bombardeio
Depois que o APP reforçado é iniciado, o arquivo dex de origem final será carregado na memória para execução.Neste momento, o arquivo dex é o dex após o programa de fortalecimento ser descriptografado, que é o código-fonte do aplicativo.
O objetivo da descompactação do Android é despejar da memória o arquivo dex do aplicativo descriptografado. Para isso, precisamos saber o endereço dex e o tamanho do arquivo dex do arquivo dex na memória. O arquivo de biblioteca libart.so do sistema Android fornece uma função OpenMemory exportada para carregar o arquivo dex.
O primeiro parâmetro desta função aponta para o arquivo dex na memória. Se pudermos ligar esta função, podemos obter o endereço inicial do arquivo dex quando ele é carregado na memória, e então calcular o arquivo dex salvo no arquivo cabeçalho de acordo com o formato de arquivo dex Length fileSize.
Compreenda o formato do arquivo dex: https://www.jianshu.com/p/f7f0a712ddfe
posição inicial dex: o primeiro parâmetro do OpenMemory
8个字节 magin ---> dex 035
4个字节 校验位
20个字节 签名
-----从32个字节开始------
4个字节 dex文件大小
Informações disponíveis:
- posição inicial dex (o primeiro parâmetro do OpenMemory)
- tamanho do arquivo dex (posição inicial dex + 32 bytes)
Assim, podemos ler os dados na memória e gravá-los localmente
// 把内存里的数据读出来,从begin(dex在内存中的起始位置)开始读,取length长度(dex_size文件的大小)
file.write(Memory.readByteArray(begin, dex_size))
// 将这段读取出来的数据写入本地
var file = new File("/data/data/%s/" + dex_size + ".dex", "wb")
2. Demonstração do processo de operação
Antes de escrever o script Frida, precisamos encontrar o nome da função de exportação de OpenMemory no arquivo libart.so.Este nome de função irá variar um pouco dependendo da versão ou arquitetura do Android.
Qual é o nome desta função exportada?
É equivalente à interface fornecida pelo método no arquivo so para o exterior OpenMemory. A forma de chamada do método no arquivo so no código Java é:
javaCode.OpenMemory的导出函数名
OpenMemory导出函数名与so文件中的OpenMemory方法存在映射关系
java代码中想要调用so库中的OpenMemory方法就以它的导出函数名调用
Diferentes librat.so podem ser exportados de acordo com o uso de libart.so de 64 bits ou de 32 bits durante a operação do aplicativo.
adb pull /system/lib/libart.so C:\Users\v_mcsong\Desktop
adb pull /system/lib64/libart.so C:\Users\v_mcsong\Desktop
Use IDA de 32/64 bits para abrir o arquivo librat.so para visualizar OpenMemoryo nome do método de exportação. Diferentes versões do Android podem ter diferentes nomes de métodos de exportação.
Ou seja, a chamada _ZN3art7DexFile10OpenMemoryEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPNS_6MemMapEPKNS_10OatDexFileEPS9_está na biblioteca soOpenMemory
Script de bombardeio:
Projeto de código aberto de referência: https://github.com/dstmath/frida-unpack/blob/master/frida_unpack.py
#-*- coding:utf-8 -*-
# coding=utf-8
import frida
import sys
def on_message(message, data):
base = message['payload']['base']
size = int(message['payload']['size'])
print(hex(base),size)
# print session
# dex_bytes = session.read_bytes(base, size)
# f = open("1.dex","wb")
# f.write(dex_bytes)
# f.close()
### libart.so
# 9.0 arm 需要拦截 _ZN3art13DexFileLoader10OpenCommonEPKhjS2_jRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPKNS_10OatDexFileEbbPS9_NS3_10unique_ptrINS_16DexFileContainerENS3_14default_deleteISH_EEEEPNS0_12VerifyResultE
# 7.0 arm:_ZN3art7DexFile10OpenMemoryEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPNS_6MemMapEPKNS_10OatDexFileEPS9_
# android 10: libdexfile.so
# #_ZN3art13DexFileLoader10OpenCommonEPKhjS2_jRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPKNS_10OatDexFileEbbPS9_NS3_10unique_ptrINS_16DexFileContainerENS3_14default_deleteISH_EEEEPNS0_12VerifyResultE
# 获取包名
package = sys.argv[1]
print("dex 导出目录为: /data/data/%s"%(package))
device = frida.get_usb_device()
pid = device.spawn(package)
session = device.attach(pid)
src = """
Interceptor.attach(Module.findExportByName("libart.so", "_ZN3art7DexFile10OpenMemoryEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPNS_6MemMapEPKNS_10OatDexFileEPS9_"), {
onEnter: function (args) {
//dex文件的起始位置
var begin = args[1]
//dex文件的前8个字节是magic字段 看dex的文件格式说明
//打印magic(会显示 "dex 035") 三个字符 可以验证是否为dex文件
console.log("magic : " + Memory.readUtf8String(begin))
//把地址转换成整型 再加32
//因为dex文件的第32个字节处存放的是 dex文件的大小
var address = parseInt(begin,16) + 0x20
//把address地址指向的内存值读出来 该值就是dex的文件大小
//ptr(address)转换的原因是 frida只接受 NativePointer类型指针
var dex_size = Memory.readInt(ptr(address))
console.log("dex_size :" + dex_size)
//frida写文件 把内存中的数据 写到本地
var file = new File("/data/data/%s/" + dex_size + ".dex", "wb")
//Memory.readByteArray(begin, length)
//把内存里的数据读出来,从begin开始读,取length长度(dex_size文件的大小)
file.write(Memory.readByteArray(begin, dex_size))
file.flush()
file.close()
var send_data = {}
send_data.base = parseInt(begin,16)
send_data.size = dex_size
send(send_data)
},
onLeave: function (retval) {
if (retval.toInt32() > 0) {
}
}
});
"""%(package)
script = session.create_script(src)
script.on("message" , on_message)
script.load()
device.resume(pid)
sys.stdin.read()
Use jadx para abrir um por um para ver qual arquivo dex é o código-fonte do aplicativo.
Artigo de referência: https://blog.51cto.com/yeshaochen/2496524