ART模式下基于Xposed Hook开发脱壳工具

本文博客地址:http://www.voidcn.com/article/p-vhdyzobo-bpy.html


Dalvik模式下的Android加固技术已经很成熟了,Dalvik虚拟机模式下的Android加固技术也在不断的发展和加强,鉴于Art虚拟机比Dalvik虚拟机的设计更复杂,Art虚拟机模式下兼容性更严格,一些Dalvik虚拟机模式下的Android加固技术并不能马上移植到Art模式下以及鉴于Art虚拟机模式下的设计复杂和兼容性考虑,暂时相对来说,Art模式下的Android加固并没有Dalvik虚拟机模式下的粒度细和强。


本文给出的 Art模式下基于Xposed Hook开发脱壳工具的思路和流程不是我原创,主要是源自于看雪论坛的文章《一个基于xposed和inline hook的一代壳脱壳工具》,思路和流程有原作者smartdon提供,文中提到的Art模式下的dexdump脱壳工具源码github下载地址:https://github.com/smartdone/dexdump。原作者提供的脱壳操作步骤稍微复杂了一些,在此基础上我对原作者的代码进行了修改,使脱壳更加方便,原作者的代码是Android Studio的工程,顺手将其转化为了Eclipse下的工程。作者smartdon的Art模式下脱壳思路如下图所示:




要学习Android加固的脱壳还是需要先了解一下Dalvik模式下和Art模式下Android加固的流程和思路,熟悉一下 DexClassLoader 的代码执行流程。虽然Dalvik模式下和Art模式下DexClassLoader的java层实现代码是一样的,但是从 OpenDexFileNative函数 之后Dalvik模式下和Art模式下Native层的代码实现就不一样了,后面有空花时间整理一下Android加固相关方面的知识。Art模式下基于Xposed Hook开发的脱壳工具只对整体dex加固的Android应用脱壳才有效果,对于dex文件类方法抽离这类加固处理的Android应用就显得比较苍白了。


ART模式下基于Xposed Hook开发脱壳工具的思路整理。

1. Art模式下,Inline Hook时机 的选择

Android加固的一般思路:在外壳Apk应用调用 android.app.Application类 的成员函数 attach 时,内存解密出被保护的原始dex文件使用DexClassLoader进行内存加载,Art虚拟机模式下DexClassLoader进行dex文件的加载过程中绕不开函数 const DexFile* DexFile::OpenMemory(const std::string& location, uint32_t location_checksum, MemMap* mem_map, std::string* error_msg),因此我们选择在 art::DexFile::OpenMemory函数 处进行dex文件的内存dump处理。基于Art模式下的Xposed Hook实现在外壳apk应用调用 android.app.Application类 的成员函数 attach 时,在被保护的dex文件加载之前Inline Hook OpenMemory函数,对内存解密后的原始dex文件进行拦截。




Art模式下,Xposed Hook外壳apk应用 android.app.Application类(实现的代理子类) 的成员函数 attach。




2. Art模式下,Inline Hook函数点 的选择

Art虚拟机模式下,对 art::DexFile::OpenMemory函数 进行Inline Hook操作所采用的Hook框架为作者 Ele7enxxh 编写的Android平台的Inline Hook库。作者Ele7enxxh关于该Inline Hook库的介绍和描述可以参考作者的博文《Android Arm Inline Hook》,该Inline Hook库的github下载地址为:https://github.com/ele7enxxh/Android-Inline-Hook。由于Art虚拟机模式下,dex文件的加载DexClassLoader的代码实现流程中绕不开art::DexFile::OpenMemory函数的执行,更重要的是该函数的传入参数 base表示的是dex文件所在的内存地址, size表示的是dex文件的字节长度,因此选择在art::DexFile::OpenMemory函数处进行dex文件的内存dump处理。


Android 5.0版以后ART模式下,OpenMemory函数的形式:http://androidxref.com/5.0.0_r2/xref/art/runtime/dex_file.cc#325




ART模式下基于Xposed Hook和Ele7enxxh Inline Hook开发的脱壳工具dexdump的代码详细分析。

1. 作者smartdon写了个获取当前安装应用的列表界面,用以选择需要脱壳的apk应用,然后根据选择脱壳apk应用的包名,在sdcard文件夹下生成脱壳需要的配置文件dumdex.js,dumdex.js文件中保存着需要脱壳的apk应用的包名。




选择脱壳apk应用列表界面的实现代码 MainActivity.java:

package com.xposedhook.dexdump;

import android.annotation.SuppressLint;
import android.app.Activity;
import android.content.pm.PackageInfo;
import android.os.Bundle;
import android.view.LayoutInflater;
import android.view.View;
import android.view.ViewGroup;
import android.widget.BaseAdapter;
import android.widget.CheckBox;
import android.widget.CompoundButton;
import android.widget.ListView;
import android.widget.TextView;

import java.util.ArrayList;
import java.util.List;

import com.example.com.xposedhook.dexdump.R;

public class MainActivity extends Activity {

//    static {
//    	
//    	// 加载动态库文件libhook.so
//        System.loadLibrary("hook");
//    }
    
    private List<Appinfo> appinfos;
    private ListView listView;
    private AppAdapter adapter;
    private List<String> selected;

    @Override
    protected void onCreate(Bundle savedInstanceState) {
    	
        super.onCreate(savedInstanceState);
        // 设置布局文件
        setContentView(R.layout.activity_main);
        
        // 调用native层实现的dump函数
        // 对函数art::DexFile::OpenMemory进行Hook处理
//        Dumpper.dump();
        
        // 读取配置文件"/sdcard/dumdex.js"获取需要脱壳的apk应用的包名列表
        selected = Config.getConfig();
        
        // Apk应用信息列表
        appinfos = new ArrayList<>();
        
        // 用于显示apk应用的列表
        listView = (ListView) findViewById(R.id.applist);
        adapter = new AppAdapter(appinfos);
        // 设置ListView控件的适配器
        listView.setAdapter(adapter);
        
        // 创建线程
        new Thread(){
            @Override
            public void run() {
                super.run();
                
                // 获取当前Android系统安装的apk应用列表
                getInstallAppList();
            }
        }.start();
    }

    private void getInstallAppList() {
    	
        try{
        	
        	// 获取当前安装应用的PackageInfo列表
            List<PackageInfo> packageInfos = getPackageManager().getInstalledPackages(0);
            // 遍历当前安装应用的PackageInfo列表
            for(PackageInfo packageInfo : packageInfos) {
            	
                Appinfo info = new Appinfo();
                // 设置apk应用的名称
                info.setAppName(packageInfo.applicationInfo.loadLabel(getPackageManager()).toString());
                // 设置apk应用的包名
                info.setAppPackage(packageInfo.packageName);
                
                // 根据当前遍历到apk应用的包名是否在配置文件中设置选中与否的现实
                if(Config.contains(selected, info.getAppPackage())) {
                	
                    info.setChecked(true);
                }else {
                	
                    info.setChecked(false);
                }
                // 添加当前遍历到apk应用的信息到apk应用的现实列表中
                appinfos.add(info);
                
                // 更新适配器的现实
                adapter.notifyDataSetChanged();
            }
        }catch (Exception e) {
            e.printStackTrace();
        }
    }

    // ListView列表的适配器
    @SuppressLint({ "ViewHolder", "InflateParams" })
	class AppAdapter extends BaseAdapter{

        private List<Appinfo> appinfos;

        public AppAdapter(List<Appinfo> appinfos){
            this.appinfos = appinfos;
        }

        @Override
        public int getCount() {
            return appinfos.size();
        }

        @Override
        public Object getItem(int i) {
            return appinfos.get(i);
        }

        @Override
        public long getItemId(int i) {
            return i;
        }

        @Override
        public View getView(int i, View view, ViewGroup viewGroup) {
        	
            View v = LayoutInflater.from(MainActivity.this).inflate(R.layout.item, null);
            final int posi = i;
            final TextView appname = (TextView) v.findViewById(R.id.tv_appname);
            appname.setText(appinfos.get(i).getAppName());
            TextView appPackage = (TextView) v.findViewById(R.id.tv_apppackage);
            appPackage.setText(appinfos.get(i).getAppPackage());
            CheckBox checkBox = (CheckBox) v.findViewById(R.id.cb_select);
            
            if(appinfos.get(i).isChecked()) {
                checkBox.setChecked(true);
            }else {
                checkBox.setChecked(false);
            }
            
            // 监控apk应用列表的选中事件
            checkBox.setOnCheckedChangeListener(new CompoundButton.OnCheckedChangeListener() {
                @Override
                public void onCheckedChanged(CompoundButton compoundButton, boolean b) {
                	
                    if(b) {
                    	
                    	// 添加选中的apk应用的包名到配置文件/sdcard/dumdex.js中
                    	// 格式: ["apk包名字符串"]
                        Config.addOne(appinfos.get(posi).getAppPackage());
                        
                    } else {
                    	
                    	// 从配置文件/sdcard/dumdex.js中删除指定包名的apk引用
                        Config.removeOne(appinfos.get(posi).getAppPackage());
                    }
                }
            });
            
            return v;
        }
    }
}

根据用户选择的脱壳apk应用的包名,生成脱壳需要的配置文件dumdex.js文件的代码 Config.java:

package com.xposedhook.dexdump;

import android.util.Log;

import org.json.JSONArray;
import org.json.JSONObject;

import java.io.BufferedReader;
import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.InputStreamReader;
import java.util.ArrayList;
import java.util.List;

/**
 * Created by smartdone on 2017/7/2.
 */

public class Config {
	
	// sdcard的问价路径最好还是通过函数来获取
	// File file=Environment.getExternalStorageDirectory();
	// 直接写死有兼容性的问题
    private static final String FILENAME = "/sdcard/dumdex.js";

    // 将JSONArray类型的数据写入到配置文件"/sdcard/dumdex.js"中
    public static void writeConfig(String s) {
    	
        try {
        	
        	// 文件"/sdcard/dumdex.js"的文件写入流
            FileOutputStream fout = new FileOutputStream(FILENAME);
            // 将字符串写入到文件中
            fout.write(s.getBytes("utf-8"));
            // 刷新文件流
            fout.flush();
            fout.close();
            
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    // 添加Apk应用的包名到配置文件/sdcard/dumdex.js
    public static void addOne(String name) {
    	
        List<String> ori = getConfig();
        if(ori == null) {
        	
            JSONArray jsonArray = new JSONArray();
            jsonArray.put(name);
            writeConfig(jsonArray.toString());
            
        } else {
        	
            ori.add(name);
            JSONArray jsonArray = new JSONArray();
            for(String o : ori) {
                jsonArray.put(o);
            }
            writeConfig(jsonArray.toString());
        }
    }

    // 从配置文件/sdcard/dumdex.js中删除指定包名的应用
    public static void removeOne(String name) {
    	
        List<String> ori = getConfig();
        
        if(ori != null) {
        	
            for(int i = 0; i < ori.size(); i++) {
            	
                if(ori.get(i).equals(name)) {
                	
                    ori.remove(i);
                }
            }
            
            JSONArray jsonArray = new JSONArray();
            for(String s : ori) {
            	
                jsonArray.put(s);
            }
            
            writeConfig(jsonArray.toString());
        }
    }

    // 读取配置文件"/sdcard/dumdex.js"获取需要脱壳的apk应用的包名列表
    public static List<String> getConfig() {
    	
    	// 打开文件"/sdcard/dumdex.js"
        File file = new File(FILENAME);
        // 判断文件是否存在
        if (file.exists()) {
            try {
            	
            	// 构建内存缓冲区读取流
                BufferedReader br = new BufferedReader(new InputStreamReader(new FileInputStream(file)));
                // 分行读取文件数据
                String line = br.readLine();
                // 使用读取的一行文件数据构建JSONArray对象
                JSONArray jsonArray = new JSONArray(line);
                
                List<String> apps = new ArrayList<>();
                // 解析JSONArray数据将需要Hook的apk应用的包名添加到列表中
                for(int i = 0; i < jsonArray.length(); i++) {
                	
                    apps.add(jsonArray.getString(i));
                }
    
                br.close();
//                Log.e("DEX_DUMP", "需要hook的列表: " + line);
                
                return apps;
                
            } catch (Exception e) {
                e.printStackTrace();
            }
        }
        
        return null;
    }

    // 判断name是否在需要脱壳的apk应用的列表中
    public static boolean contains(List<String> lists, String name) {
    	
        if(lists == null) {
            return false;
        }
        
        for(String l : lists) {
        	
            if(l.equals(name)) {
                return true;
            }
        }
        
        return false;
    }

}
2. 基于Art虚拟机模式下的Xposed框架 Hook外壳Apk应用 android.app.Application类 的成员函数 attach,这里提到的Xposed Hook框架需要注意一下,不能使用支持Android 4.4.x版本之前的Xposed Hook框架(只支持Dalvik虚拟机模式,不支持Art虚拟机模式),需要使用支持Android 5.0版本以后的Xposed Hook框架(支持Art虚拟机模式),Xposed Hook框架的下载地址可以参考:http://repo.xposed.info/module/de.robv.android.xposed.installer




Art虚拟机模式下,Xposed框架 Hook外壳Apk应用 android.app.Application类 的成员函数 attach 的模块代码 com.xposedhook.dexdump.Main 编写的实现:

package com.xposedhook.dexdump;

import android.content.Context;
import android.util.Log;

import java.util.List;

import de.robv.android.xposed.IXposedHookLoadPackage;
import de.robv.android.xposed.XC_MethodHook;
import de.robv.android.xposed.XposedBridge;
import de.robv.android.xposed.XposedHelpers;
import de.robv.android.xposed.callbacks.XC_LoadPackage;

/**
 * Created by smartdone on 2017/7/1.
 */

// art模式下的Xposed Hook
public class Main implements IXposedHookLoadPackage {
	
    private static final String TAG = "DEX_DUMP";
    
    @Override
    public void handleLoadPackage(final XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable {

    	// 从配置文件"/sdcard/dumdex.js"中获取需要脱壳的apk应用列表               
        List<String> hooklist = Config.getConfig();
        
        // 判断当前应用是否在需要脱壳的apk应用列表中
        if(!Config.contains(hooklist, loadPackageParam.packageName))
            return;

        XposedBridge.log("对" + loadPackageParam.packageName + "进行处理");
        Log.e(TAG, "开始处理: " + loadPackageParam.packageName);

        try{
        	
        	// 自定义加载动态库文件libhook.so
        	// 可以试着使用兼容性好的Android系统函数来处理路径问题
            System.load("/data/data/com.xposedHook.dexdump/lib/libhook.so");
            
        } catch (Exception e) {
            Log.e(TAG, "加载动态库失败:" + e.getMessage());
        }
        Log.e(TAG, "加载动态库成功");
        
        // 对Android系统类android.app.Application的attach函数进行art模式下的Hook操作
        XposedHelpers.findAndHookMethod("android.app.Application", 
        								loadPackageParam.classLoader, 
        								"attach", 
        								Context.class, 
        								new XC_MethodHook() {
        	
            private Context context;
            @Override
            protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
            	
                super.beforeHookedMethod(param);
                
                // 在类android.app.Application的attach函数调用之前进行dex文件的内存dump操作
                Dumpper.dump();
            }

            @Override
            protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                super.afterHookedMethod(param);
                // 不处理
            }
        });
    }
}

3.在需要脱壳的apk应用进程里动态加载动态库文件/data/data/com.xposedHook.dexdump/lib/libhook.so,实现Art模式下对 const DexFile* DexFile::OpenMemory(const std::string& location, uint32_t location_checksum, MemMap* mem_map, std::string* error_msg)函数 的Inline Hook操作,在Inline Hook操作的自定义实现函数里进行dex文件的内存dump处理。使用Ele7enxxh Inline Hook框架对Art模式下的OpenMemory函数进行Hook操作的实现代码如下:

//
// Created by 袁东明 on 2017/7/1.
//

extern "C" {
#include "include/inlineHook.h"
}

#include "dump.h"
#include <unistd.h>
#include <android/log.h>
#include <sys/system_properties.h>
#include <stdlib.h>
#include <fcntl.h>
#include <time.h>
#include <string>
#include <dlfcn.h>
#include <dlfcn.h>

#define TAG "DEX_DUMP"

int isArt();
void getProcessName(int pid, char *name, int len);
void dumpFileName(char *name, int len, const char *pname, int dexlen);

// 保存当前apk进程的进程名字
static char pname[256];

// 判断当前所处环境是否是Android art虚拟机模式
int isArt() {

    char version[10];

    // 获取ro.build.version.sdk的属性值
    __system_property_get("ro.build.version.sdk", version);
    // 打印当前Android系统的api版本信息
    __android_log_print(ANDROID_LOG_INFO, TAG, "api level %s", version);

    // 将api版本转换成int型版本号
    int sdk = atoi(version);
    // 判断api版本是否是大于21(要求Android系统的版本为 Android 5.0以上 才可以)
    if (sdk >= 21) {

    	// art虚拟机模式
        return 1;
    }

    return 0;
}


// 读取/proc/self/cmdline文件的数据,获取当前apk进程的进程名字
void getProcessName(int pid, char *name, int len) {

    int fp = open("/proc/self/cmdline", O_RDONLY);
    memset(name, 0, len);
    read(fp, name, len);
    close(fp);
}


// 格式字符串构建dump的dex文件的路径字符串
void dumpFileName(char *name, int len, const char *pname, int dexlen) {

    time_t now;
    struct tm *timenow;
    time(&now);
    // 获取当前时间(值得借鉴和学习)
    timenow = localtime(&now);

    memset(name, 0, len);
    // 格式化字符串得到当前dump的dex文件路径字符串
    sprintf(name, "/data/data/%s/dump_size_%u_time_%d_%d_%d_%d_%d_%d.dex", pname, dexlen,
            timenow->tm_year + 1900,
            timenow->tm_mon + 1,
            timenow->tm_mday,
            timenow->tm_hour,
            timenow->tm_min,
            timenow->tm_sec);
}

void writeToFile(const char *pname, u_int8_t *data, size_t length) {

    char dname[1024];

    // pname为当前进程的名称
    // 格式字符串构建dump的dex文件的路径字符串dname
    dumpFileName(dname, sizeof(dname), pname, length);
    __android_log_print(ANDROID_LOG_ERROR, TAG, "dump dex file name is : %s", dname);

    __android_log_print(ANDROID_LOG_ERROR, TAG, "start dump");
    // 根据dname创建新文件用于保存内存dump的dex文件
    int dex = open(dname, O_CREAT | O_WRONLY, 0644);
    if (dex < 0) {

        __android_log_print(ANDROID_LOG_ERROR, TAG, "open or create file error");
        return;
    }

    // 将内存dex文件的数据写入到新的dname文件中
    int ret = write(dex, data, length);
    if (ret < 0) {

        __android_log_print(ANDROID_LOG_ERROR, TAG, "write file error");
    } else {

        __android_log_print(ANDROID_LOG_ERROR, TAG, "dump dex file success `%s`", dname);
    }

    // 关闭文件
    close(dex);
}

// 保存openmemory函数旧的地址
art::DexFile *(*old_openmemory)(const byte *base, size_t size, const std::string &location,
                                uint32_t location_checksum, art::MemMap *mem_map,
                                const art::OatDexFile *oat_dex_file, std::string *error_msg) = NULL;

art::DexFile *new_openmemory(const byte *base, size_t size, const std::string &location,
                             uint32_t location_checksum, art::MemMap *mem_map,
                             const art::OatDexFile *oat_dex_file, std::string *error_msg) {

    __android_log_print(ANDROID_LOG_ERROR, TAG, "art::DexFile::OpenMemory is called");

    writeToFile(pname, (uint8_t *) base, size);

    // 调用原art::DexFile::OpenMemory函数
    return (*old_openmemory)(base, size, location, location_checksum, mem_map, oat_dex_file,
                             error_msg);
}

void hook() {

	// 加载动态库文件libart.so
    void *handle = dlopen("libart.so", RTLD_GLOBAL | RTLD_LAZY);
    if (handle == NULL) {

        __android_log_print(ANDROID_LOG_ERROR, TAG, "Error: unable to find the SO : libart.so");
        return;
    }

    // 获取导出函数const DexFile* DexFile::OpenMemory(const std::string& location, uint32_t location_checksum, MemMap* mem_map, std::string* error_msg)
    // 的调用地址,http://androidxref.com/5.0.0_r2/xref/art/runtime/dex_file.cc#325
    // 在不同的Android版本上OpenMemory函数的名称粉碎稍有不同,需要根据实际Android系统版本进行修改
    void *addr = dlsym(handle,
                       "_ZN3art7DexFile10OpenMemoryEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPNS_6MemMapEPKNS_10OatDexFileEPS9_");
    if (addr == NULL) {

        __android_log_print(ANDROID_LOG_ERROR, TAG,
                            "Error: unable to find the Symbol : _ZN3art7DexFile10OpenMemoryEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPNS_6MemMapEPKNS_10OatDexFileEPS9_");
        return;
    }

    // 使用ele7enxxh写的inline Hook框架对art模式下的art::DexFile::OpenMemory函数进行inline Hook操作
    // 进行art::DexFile::OpenMemory函数inline Hook操作的Hook注册
    if (registerInlineHook((uint32_t) addr, (uint32_t) new_openmemory,
                           (uint32_t **) &old_openmemory) != ELE7EN_OK) {

        __android_log_print(ANDROID_LOG_ERROR, TAG, "register inline hook failed");
        return;
    }

    // 对art模式下的art::DexFile::OpenMemory函数进行inline Hook操作
    if (inlineHook((uint32_t) addr) != ELE7EN_OK) {

        __android_log_print(ANDROID_LOG_ERROR, TAG, "inline hook failed");
        return;
    }

    __android_log_print(ANDROID_LOG_INFO, TAG, "inline hook success");
}


// java方法Dumpper.dump()的native层实现
// com.xposedhook.dexdump.Dumpper.dump
JNIEXPORT void JNICALL Java_com_xposedhook_dexdump_Dumpper_dump(JNIEnv *env, jclass clazz) {

	// 获取当前apk进程的进程名字
    getProcessName(getpid(), pname, sizeof(pname));

    // 判断当前Android虚拟机是否是art模式
    if (isArt()) {

    	// 当前Android系统运行在art模式下
    	// 执行inline Hook操作
        hook();
    }
}

4. 使用当前脱壳工具进行Art虚拟机模式下的Android加固脱壳需要注意的地方:

A. 移动设备的Android系统必须是 Api 21以上即Android 5.0以上版本的Android系统并且要运行在Art虚拟机模式下,不能运行在Dalvik虚拟机模式下。

B. 移动设备上安装的Xposed Hook框架必须是支持Android 5.0以上版本的ART虚拟机模式下的Xposed Hook框架。

C. 第1次使用该脱壳工具com.xposedhook.dexdump.apk时,先使用apk应用列表界面选择需要脱壳的apk应用,生成后面脱壳需要的配置文件"/sdcard/dumdex.js"。

D. 重启移动设备使Xposed框架的Hook模块com.xposedhook.dexdump.Main生效,运行需要脱壳的apk应用等待脱壳完成,脱壳后的dex文件在 /data/data/脱壳apk应用的包名/ 文件夹下。


注释版完整的代码下载地址:http://download.csdn.net/download/qq1084283172/9996172

相关文章