Android4.0內存Dex數據動態加載技術

英文原版下載地址:https://2013.hackitoergosum.org/presentations/Day1-05.Nifty%20stuff%20that%20you%20can%20still%20do%20with%20Android%20by%20Xavier%20Martin.pdf

 

 

 

 

一、Android DEX 動態加載技術

 

      在Android開發過程中,開發者可以使用DexClassLoader動態加載另一個DEX文件。

 

      API接口:

 

         DexClassLoader(String dexPath, String optimizedDirectory, String libraryPath,ClassLoader parent)

      缺點:需要DEX以文件形式明文存放在存儲設備上。

 

 

 

 

     Android4.0版本增加瞭對內存中DEX數據的動態加載,這樣就克服瞭使用DexClassLoader時DEX以文件形式明文存放在存儲設備上的缺點,內存中DEX數據可以來源於解密後的文件或者網絡。這樣就增加瞭DEX數據的安全性。但是DexClassLoader並沒有暴露該種加載方式。開發者需要在JAVA層實現自己的Dex ClassLoader。

 

   

 

    Android相關源代碼位置:

 

   JAVA層源代碼:libcore\dalvik\src\main\java\dalvik\system\DexFile.java

 

   /*

     * Open a DEX file based on a {@code byte[]}. The value returned

     * is a magic VM cookie. On failure, a RuntimeException is thrown.

     */

    nativeprivatestaticint openDexFile(byte[] fileContents);

 

 

   開發者可以通過反射調用DexFile實現自己的Dex ClassLoader,但是這種方式DEX數據在JAVA層,比較容易獲取,安全度比較低。

   開發者可以通過JNI調用底層函數解析:

 

   C++層源代碼:dalvik2\vm\native\dalvik_system_DexFile.cpp

 

 

 

 

    const DalvikNativeMethod dvm_dalvik_system_DexFile[] = {

              { "openDexFile", "(Ljava/lang/String;Ljava/lang/String;I)I",Dalvik_dalvik_system_DexFile_openDexFile },

              { "openDexFile", "([B)I",Dalvik_dalvik_system_DexFile_openDexFile_bytearray },

              { "closeDexFile", "(I)V",Dalvik_dalvik_system_DexFile_closeDexFile },

              { "defineClass", "(Ljava/lang/String;Ljava/lang/ClassLoader;I)Ljava/lang/Class;",Dalvik_dalvik_system_DexFile_defineClass },

              { "getClassNameList", "(I)[Ljava/lang/String;",Dalvik_dalvik_system_DexFile_getClassNameList },

              { "isDexOptNeeded", "(Ljava/lang/String;)Z",Dalvik_dalvik_system_DexFile_isDexOptNeeded },

              { NULL, NULL, NULL },

   };

 

  

 

   第一步首先獲取Dalvik_dalvik_system_DexFile_openDexFile_bytearray方法指針:

 

 

 

 

   JNINativeMethod *dvm_dalvik_system_DexFile;

 

   void (*openDexFile)(const u4* args, JValue* pResult);

   JNIEXPORT jint JNI_OnLoad(JavaVM* vm, void* reserved) {

       void *ldvm = (void*)dlopen("libdvm.so", RTLD_LAZY);

       dvm_dalvik_system_DexFile = (JNINativeMethod*)dlsym(ldvm, "dvm_dalvik_system_DexFile");

 

       lookup(dvm_dalvik_system_DexFile, "dvm_dalvik_system_DexFile", "([B)I", &openDexFile)

 

   }

   int lookup (JNINativeMethod *table, const char *name, const char *sig, void (**fnPtrout)(u4 const *, union JValue *)) {

        int i = 0;

        while (table[i].name != NULL) {

           if ( (strcmp(name, table[i].name) == 0) && (strcmp(sig, table[i].signature) == 0) ) {

                 *fnPtrout = table[i].fnPtr;

                 return 1;

 

            }

            i++;

        }

       return 0;

   }

 

 

 

 

 

   第二步調用Dalvik_dalvik_system_DexFile_openDexFile_bytearray方法解析Dex數據

 

     ArrayObject *ao; // header+dex content

     u4 args[] = { (u4)ao };

     JValue pResult ;

     jint result ;

    openDexFile(args, &pResult);

    result = (jint)pResult.l;

    return result;

 

 

 

 

   第三步實現JAVA層Dex ClassLoader完成類的加載:

 

      int cookie = openDexFile(…);

      Class<?> cls = null;

      String as[] = getClassNameList(cookie);

      for(int z=0; z<as.length; z++) {

           if(as[z].equals("com.immunapp.hes2013.MainActivity")) {

                cls=defineClass(as[z].replace('.', '/'), context.getClassLoader(), cookie );

      } else {

               defineClass(as[z].replace('.', '/'), context.getClassLoader(), cookie );

      }

 

 

 

 

 

  缺點:隻能使用在Android4.0以上設備

 

 

 

 

二、自篡改Davlik字節碼(原理:https://blog.csdn.net/androidsecurity/article/details/8833710)

 

 

 

 

   1、搜索內存查找DEX特征(dex\n035)

 

 

        讀取\proc\self\maps文件獲取dex map地址

 

        它將以_SC_PAGESIZE內存頁對齊, 相對Map開始地址偏移0x28

 

   2、DEX格式解析(https://blog.csdn.net/androidsecurity/article/details/8664778)

 

   3、找到代碼正確的位置

 

        第一步定位到具體類,第二步定位到具體方法,獲取方法字節碼相對data section偏移量。

 

   4、解鎖內存

 

        mprotect((unsigned char*)aligned,PROT_WRITE | PROT_READ, len);

 

 

  5、修改相應的代碼

 

        memcpy((unsigned char*)code_off,opcodes, len);

文章鏈接:https://blog.csdn.net/jiazhijun/article/details/9674251

 

作者:Jack_Jia    郵箱: 309zhijun@163.com

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *