吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 1365|回复: 10
上一主题 下一主题
收起左侧

[Android 脱壳] frida脱壳脚本原理分析二(frida_unpack)

  [复制链接]
跳转到指定楼层
楼主
快乐的小跳蛙 发表于 2024-9-4 10:30 回帖奖励

前言

上篇帖子分析了frida_dump脚本如何实现dump dex的原理,本篇分析frida_unpack如何脱壳的。
frida_unpack地址
frida_unpack作者提供了rpc调用和js脚本调用两种方式,本次分析js脚本调用,其实js脚本调用没问题的话,可以直接copy到rpc调用里面,都是一样的。

原版核心函数分析


        'use strict';
/**
 * 此脚本在以下环境测试通过
 * android os: 7.1.2 32bit  (64位可能要改OpenMemory的签名)
 * legu: libshella-2.8.so
 * 360:libjiagu.so
 */
Interceptor.attach(Module.findExportByName("libart.so", "_ZN3art7DexFile10OpenMemoryEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPNS_6MemMapEPKNS_10OatDexFileEPS9_"), {
    onEnter: function (args) {

        //dex起始位置
        var begin = args[1]
        //打印magic
        console.log("magic : " + Memory.readUtf8String(begin))
        //dex fileSize 地址
        var address = parseInt(begin,16) + 0x20
        //dex 大小
        var dex_size = Memory.readInt(ptr(address))

        console.log("dex_size :" + dex_size)
        //dump dex 到/data/data/pkg/目录下
        var file = new File("/data/data/xxx.xxx.xxx/" + dex_size + ".dex", "wb")
        file.write(Memory.readByteArray(begin, dex_size))
        file.flush()
        file.close()
    },
    onLeave: function (retval) {
        if (retval.toInt32() > 0) {
            /* do something */
        }
    }
});

作者提供的这个脚本是在32位android 7环境下的。可以看出frida_unpack的脱壳点是hook了OpenMemory函数,通过参数拿到dex文件头,从dex文件头+0x20偏移处得到dex的文件长度, 然后dump到手机上的。但是这个脚本不能直接运行,没有给出真实的dump路径。
作者在github上也说了,android 10上的脱壳点变成了OpenCommon了。

android 10为/apex/com.android.runtime/lib/libdexfile.so方法为OpenCommon
我在安卓在线源码网站上查询到从android 8及以后OpenMemory都变成了OpenCommon,所以你想用原版的脚本运行在android 7以上的环境时,都需要修改脚本,否则不能成功脱壳。

修改后的unpack.js

function dump_dex(){
    var libdexfileAddr = Module.getExportByName("libdexfile.so","_ZN3art13DexFileLoader10OpenCommonEPKhjS2_jRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPKNS_10OatDexFileEbbPS9_NS3_10unique_ptrINS_16DexFileContainerENS3_14default_deleteISH_EEEEPNS0_12VerifyResultE")
    if (libdexfileAddr == undefined || libdexfileAddr == null){
        console.error("libdexfileAddr = ",libdexfileAddr)
        return;
    }
    Interceptor.attach(libdexfileAddr,{
        onEnter: function(args){
            //dex在内存中的起始位置
            var base = args[1];
            //console.log("base = " , base)
            var size = args[2];
            //console.log("size = " ,size)
            //打印magic 并验证
           // var magic1 = Memory.readUtf8String(base);
            //console.log("magic1",magic1)
            var magic = ptr(base).readCString();
            if(magic.indexOf("dex") == 0){
                //找到了dex文件

                //Dexd filesize地址
                //var address = parseInt(base,16) + 0x20
                //var dex_size = Memory.readInt(ptr(address))
                //console.log("dex_size = ", size);
                var dex_size = parseInt(size,16)
                console.log("[found dex ] base = "+ base +" size = " + dex_size )
                //dump dex到/sdcard/pkg目录下,需要确保手机sd卡下有这个文件夹,没有则手动创建
                var file = new File("/sdcard/Download/package/"  + dex_size + ".dex","wb");

                file.write(Memory.readByteArray(base,dex_size))
                file.flush();
                file.close();

            }

        },
        onLeave:function(retval){ }
    } )
}

setImmediate(dump_dex)

我在原版的基础上修改了几点:

  1. findExportByName改为getExportByName,因为findExportByName的报错提示搞不清楚哪里报错了。
  2. 增加一个判断,如果没找到libdexfile.so的地址就退出
  3. 取dex文件长度从参数中取,而不是通过偏移来取
  4. dump dex文件到sd卡目录下
    OpenCommon的函数声明
    std::unique_ptr<DexFile> DexFileLoader::OpenCommon(const uint8_t* base,
                                                   size_t size,
                                                   const uint8_t* data_base,
                                                   size_t data_size,
                                                   const std::string& location,
                                                   uint32_t location_checksum,
                                                   const OatDexFile* oat_dex_file,
                                                   bool verify,
                                                   bool verify_checksum,
                                                   std::string* error_msg,
                                                   std::unique_ptr<DexFileContainer> container,
                                                   VerifyResult* verify_result)

    遇到的问题及总结

    我尝试通过导出我android 10 真机的libdexfile.so来获取OpenCommon的导出符号,得到的是:

    _ZN3art13DexFileLoader10OpenCommonEPKhmS2_mRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPKNS_10OatDexFileEbbPS9_NS3_10unique_ptrINS_16DexFileContainerENS3_14default_deleteISH_EEEEPNS0_12VerifyResultE

在getExportByName时失败了,提示是找不到这个符号,很奇怪,用了作者提供的OpenCommon的导出符号就成功找到了符号,这个有点奇怪

_ZN3art13DexFileLoader10OpenCommonEPKhmS2_mRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPKNS_10OatDexFileEbbPS9_NS3_10unique_ptrINS_16DexFileContainerENS3_14default_deleteISH_EEEEPNS0_12VerifyResultE

通过学习frida_dump和frida_unpack这个两个脚本大致原理类似,都是通过找到dex文件的出现的系统函数hook然后dump下来。找到更多的脱壳点就能实现新的脱壳脚本。

免费评分

参与人数 1威望 +1 吾爱币 +20 热心值 +1 收起 理由
正己 + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
 楼主| 快乐的小跳蛙 发表于 2024-9-4 18:14 |楼主
Liebesfreud 发表于 2024-9-4 15:36
大佬讲解仔细,奈何本人基础薄弱,看不太懂

找一篇部署frida的帖子,会部署以后,找个模拟器或者真机连接上,然后把我贴出来的代码自己手动写一个js脚本,把每一行都搞懂,不明白的就百度或者问kimi。完了之后你会收获很多。
沙发
xzbljxh 发表于 2024-9-4 11:11
3#
vc囚封 发表于 2024-9-4 11:34
4#
yan999 发表于 2024-9-4 13:39
谢谢,学习到了!!!
5#
光影由心 发表于 2024-9-4 15:10

感谢大佬分享
6#
Liebesfreud 发表于 2024-9-4 15:36
大佬讲解仔细,奈何本人基础薄弱,看不太懂
7#
jyxz0721 发表于 2024-9-4 16:05
感谢楼主的讲解,学习了
9#
zhaohainuo 发表于 2024-9-4 18:49
感谢楼主的讲解,学习了
10#
DarthMask 发表于 2024-9-4 20:31
有学习到,感谢大佬分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-1 09:19

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表