DVM 类加载原理:

DEX 文件加载到内存中 DvmDex 结构后,还没有完成类的解析工作,我们将 DEX 中的类填充到 ClassObject 结构的过程称为类加载。

ClassObject 用来描述一个完整的类,其中 Method 结构用于描述类的方法:


struct ClassObject : Object {
-- snip --
/* static, private, and <init> methods */
int directMethodCount;
Method* directMethods;
/* virtual methods defined in this class; invoked through vtable */
int virtualMethodCount;
Method* virtualMethods;
-- snip --
};

其包含了指令位置指针:

struct Method {
-- snip --
/* the actual code */
const u2* insns; /* instructions, in memory-mapped .dex */
-- snip --
};

Android DVM 提供了三种类加载方法:

(1)使用 Class.forName 显式加载
(2)使用 ClassLoader.loadClass 显式加载
(3)隐式加载,比如 new 操作符,当相应类未被访问过时,则发生隐式加载

其中,

Class.forName 调用 DVM 的 Dalvik_java_lang_Class_classForName 函数;
ClassLoader.loadClass 调用 Dalvik_dalvik_system_DexFile_defineClassNative 函数;
隐式加载调用 dvmResolveClass 函数;

调用关系如下:

DEX dump 时机:

观察 Dalvik_dalvik_system_DexFile_defineClassNative 函数实现:

static void Dalvik_dalvik_system_DexFile_defineClassNative(const u4* args,
JValue* pResult)
{
-- snip --
if (pDexOrJar->isDex)
pDvmDex = dvmGetRawDexFileDex(pDexOrJar->pRawDexFile);
else
pDvmDex = dvmGetJarFileDex(pDexOrJar->pJarFile); clazz = dvmDefineClass(pDvmDex, descriptor, loader);
-- snip --
}

选取这个函数插入脱壳代码的原因有以下:

  1. 函数位于关键路径
    无论何种类加载方式,必然会执行到 Dalvik_dalvik_system_DexFile_defineClassNative 函数

  2. 包含内存中 DEX 结构,且可以通过 pDexOrJar->fileName 匹配 APK
    通过 pDvmDex = dvmGetJarFileDex(pDexOrJar->pJarFile) 处代码,可以取到内存中 DEX 文件结构信息,这些信息包括:

/*
* Internal struct for managing DexFile.
*/
struct DexOrJar {
char* fileName; // Unique String,可用来命中待脱壳 APP
bool isDex;
bool okayToFree;
RawDexFile* pRawDexFile;
JarFile* pJarFile; // 内存中 zip(APK) 文件结构
u1* pDexMemory; // malloc()ed memory, if any
};

pDvmDex 表示一个打开的 ODEX 文件,DvmDex 结构体有一个 memMap 成员,用来表示 ODEX 文件对应的内存信息:

/*
* Some additional VM data structures that are associated with the DEX file.
*/
struct DvmDex {
-- snip --
/* shared memory region with file contents */
bool isMappedReadOnly;
MemMapping memMap;
-- snip --
};

其中 addr 代表这块内存起始地址,length 代表这块内存大小:

/*
* Use this to keep track of mapped segments.
*/
struct MemMapping {
void* addr; /* start of data */
size_t length; /* length of data */ void* baseAddr; /* page-aligned base address */
size_t baseLength; /* length of mapping */
};

想要 dump 目标 DEX,只需匹配 pDexOrJar->fileName 到相应的 fileName 时,通过 memMap->addr 和 memMap->length 定位到 ODEX 的内存位置, dump 出来即可。

ODEX 文件是为了提高 DVM 运行效率而设计的,它通过将引用到的 framework APIs 替换成预加载 vtable 的索引,提高方法查找和运行效率,因此 ODEX 是与具体设备强相关的,更具体来说是与 /system/framework 目录下的 odex 文件强相关的。

通过 backsmali 与 /system/framework 下 odex,便可以将 ODEX 恢复为 DEX 文件,网上有很多这方面材料,不再赘述。

解决几个问题:

目前,仍然有一个值得关注的问题:一个类加载完,其初始化(如<clinit>)可能仍未执行。

由于 <clinit> 先于其他任何类方法执行,因此加固程序可以在 <clinit> 中做些手脚,实现对方法指令的动态修改,即初始化前我们 dump 出的 DEX 可能完全是错的。

解决办法是,使用 dvmDefineClass 遍历 DEX 的所有类,通过 dvmIsClassInitialized 判断类是否已经初始化过,并调用 dvmInitClass 主动初始化所有类。这样内存中的类,都是初始化过的,这时便可以 dump 出相对正确的 ODEX 文件。

另外还有一个问题:

图中标志的 code_off 表示一个 direct_method 方法的指令字节码相对于 ODEX 头的偏移,而它的取值范围完全可以在 ODEX 内存区域之外,因此如果单纯根据 memMap 的 addr 和 length 进行 dump, 可能缺失关键的指令数据。解决办法是将不在 ODEX 内存区域的指令单独存储为一个 extra 文件中附在 dump 出的 ODEX 之后,并修复 code_off 等偏移。

Dexhunter 的弱点:

DexHunter 通过在类加载过程中插入代码,主动遍历并初始化所有类,然后进行内存 dump。但在类初始化完成后,DVM 并不保证方法指令正确。

因此对抗 DexHunter 的一个办法是,将指令还原选在 Dalvik_dalvik_system_DexFile_defineClassNative 函数执行完,方法指令执行前的某个位置,比如 Hook dvmDefineClass 函数。

另外一个方法是自己实现 Dalvik_dalvik_system_DexFile_defineClassNative 函数,通过 pDexOrJar->fileName 可以发现,360可能用了类似办法。

Dalvik源码阅读笔记(二)的更多相关文章

  1. werkzeug源码阅读笔记(二) 下

    wsgi.py----第二部分 pop_path_info()函数 先测试一下这个函数的作用: >>> from werkzeug.wsgi import pop_path_info ...

  2. werkzeug源码阅读笔记(二) 上

    因为第一部分是关于初始化的部分的,我就没有发布出来~ wsgi.py----第一部分 在分析这个模块之前, 需要了解一下WSGI, 大致了解了之后再继续~ get_current_url()函数 很明 ...

  3. Detectron2源码阅读笔记-(二)Registry&build_*方法

    ​ Trainer解析 我们继续Detectron2代码阅读笔记-(一)中的内容. 上图画出了detectron2文件夹中的三个子文件夹(tools,config,engine)之间的关系.那么剩下的 ...

  4. Dalvik源码阅读笔记(一)

    dalvik 虚拟机启动入口在 JNI_CreateJavaVM(), 在进行完 JNIEnv 等环境设置后,调用 dvmStartup() 函数进行真正的 DVM 初始化. jint JNI_Cre ...

  5. Android源码阅读笔记二 消息处理机制

    消息处理机制: .MessageQueue: 用来描述消息队列2.Looper:用来创建消息队列3.Handler:用来发送消息队列 初始化: .通过Looper.prepare()创建一个Loope ...

  6. Apollo源码阅读笔记(二)

    Apollo源码阅读笔记(二) 前面 分析了apollo配置设置到Spring的environment的过程,此文继续PropertySourcesProcessor.postProcessBeanF ...

  7. 【原】FMDB源码阅读(二)

    [原]FMDB源码阅读(二) 本文转载请注明出处 -- polobymulberry-博客园 1. 前言 上一篇只是简单地过了一下FMDB一个简单例子的基本流程,并没有涉及到FMDB的所有方方面面,比 ...

  8. Three.js源码阅读笔记-5

    Core::Ray 该类用来表示空间中的“射线”,主要用来进行碰撞检测. THREE.Ray = function ( origin, direction ) { this.origin = ( or ...

  9. jdk源码阅读笔记-LinkedHashMap

    Map是Java collection framework 中重要的组成部分,特别是HashMap是在我们在日常的开发的过程中使用的最多的一个集合.但是遗憾的是,存放在HashMap中元素都是无序的, ...

随机推荐

  1. 【数据库】SQL语句

    SQL 分为两个部分:数据操作语言(DML)和 数据定义语言(DDL).增删改查(CRUD)构成了 SQL 的 DML 部分. SELECT - 从数据库表中获取数据 SELECT 列名 FROM 表 ...

  2. 连续三月涨势明显,PostgreSQL 将崛起?

    33 分享 10 ​ DB-Engines 是全球最流行的数据库排行榜之一,在近几个月的排行榜中,PostgreSQL 都保持着非常好的势头,从最稳(10月)到一路高涨(11月),再到稳步上升(12月 ...

  3. 用mobiscroll.js如何简单使用日期控件

    首先,可以到官网学习,地址:https://docs.mobiscroll.com 第一步:引用js.css样式 1)mobiscroll.css 2)mobiscroll_date.css 3)jq ...

  4. maven多模块项目找不到Class错误

    接手了一个maven管理的多模块项目,又是javaconfig,又是spring data jpa,还算是比较新比较正规的模块化结构吧..然后我往其中的一个模块中新添加了一个jpa的entity,然后 ...

  5. angular 我看过的技术书籍

    13年我在悠唐网络做前端开发时,当时仿豌豆荚一个sdk 发布应用界面的时候,看到代码用到奇怪的ng-,当时查了下是用angular,从那时开始慢慢接触angular,之后进入逸橙官网组使用angula ...

  6. 前端常用长度单位(px,em,rem,pt)介绍

    CSS中有不少属性是以长度作为值的.盒模型的属性就是一些很明显的值属性:width.height.margin.padding.border.除此之外还有很多其他的CSS属性的值同样也是长度值,像偏移 ...

  7. Java并发编程_wait/notify和CountDownLatch的比较(三)

     1.wait/notify方法 package sync; import java.util.ArrayList; import java.util.List; public class WaitA ...

  8. 关于学习Vue的前置工作/技术储备

    关于学习Vue的前置工作/技术储备 1.GitBatch 2.Sublime Text 3.Node-----npm 命令 本人用的idea GitBatch: GitBatch是一个可以编写shel ...

  9. jdk8--stream并行流

    stream的并行流要理解一个框架如下: 单线程,多线程和并行流对比 package com.atguigu.java8; import java.util.concurrent.ForkJoinPo ...

  10. chmod +x 和 chmod u+x的区别

    常用: chmod a+x tomcat u 代表用户. g 代表用户组. o 代表其他. a 代表所有. 这意味着chmod u+x somefile 只授予这个文件的所属者执行的权限 而 chmo ...