[Frida umgekehrte Entwicklung] Frida-Schälprinzip und die Verwendung von Schälwerkzeugen

---

1. Wissensergänzung

1. APP-Betriebsprozess nach der Verstärkung

 1.    -->APP启动    
 2.        -->壳dex先加载起来    
 3.             -->壳负责把源dex文件读出来    
 4.                -->壳把源dex文件解密    
 5.                    -->把解密后的dex加载进内存 源dex运行起来
 

2. Das Prinzip des Beschusses

Nach dem Start der gehärteten APP wird die endgültige Quell-Dex-Datei zur Ausführung in den Speicher geladen. Zu diesem Zeitpunkt ist die Dex-Datei der Dex, nachdem das Härtungsprogramm entschlüsselt wurde. Dies ist der Quellcode der App.

Der Zweck des Entpackens von Android besteht darin, die entschlüsselte Anwendungs-Dex-Datei aus dem Speicher zu sichern. Um diesen Zweck zu erreichen, müssen wir die Dex-Adresse und die Größe der Dex-Datei der Dex-Datei im Speicher kennen. Die Bibliotheksdatei libart.so des Android-Systems bietet eine exportierte OpenMemory-Funktion zum Laden der Dex-Datei.

Der erste Parameter dieser Funktion zeigt auf die Dex-Datei im Speicher. Wenn wir diese Funktion einbinden können, können wir die Startadresse der Dex-Datei abrufen, wenn sie in den Speicher geladen wird, und dann die in der Datei gespeicherte Dex-Datei berechnen Header entsprechend dem Dex-Dateiformat Länge Dateigröße.

Verstehen Sie das Dex-Dateiformat: https://www.jianshu.com/p/f7f0a712ddfe

Dex-Startposition: Der erste Parameter von OpenMemory

8个字节    magin  ---> dex 035
4个字节    校验位
20个字节   签名
-----从32个字节开始------
4个字节    dex文件大小

Informationen verfügbar:

• Dex Startposition (der erste Parameter von OpenMemory)
• Dex-Dateigröße (Dex-Startposition + 32 Bytes)

So können wir die Daten im Speicher lesen und lokal schreiben

// 把内存里的数据读出来，从begin(dex在内存中的起始位置)开始读，取length长度(dex_size文件的大小)
file.write(Memory.readByteArray(begin, dex_size))
// 将这段读取出来的数据写入本地
var file = new File("/data/data/%s/" + dex_size + ".dex", "wb")

2. Demonstration des Betriebsprozesses

Bevor wir das Frida-Skript schreiben, müssen wir den Exportfunktionsnamen von OpenMemory in der Datei libart.so finden. Dieser Funktionsname variiert geringfügig je nach Android-Version oder -Architektur.

Wie heißt diese exportierte Funktion?

Es entspricht der Schnittstelle, die von der Methode in der so-Datei nach außen bereitgestellt wird OpenMemory. Die aufrufende Form der Methode in der so-Datei im Java-Code lautet:

javaCode.OpenMemory的导出函数名

OpenMemory导出函数名与so文件中的OpenMemory方法存在映射关系

java代码中想要调用so库中的OpenMemory方法就以它的导出函数名调用

Je nachdem, ob während des Anwendungsvorgangs die 64-Bit-Version libart.so oder 32-Bit verwendet wird, kann eine andere librat.so exportiert werden.

adb pull /system/lib/libart.so C:\Users\v_mcsong\Desktop
adb pull /system/lib64/libart.so C:\Users\v_mcsong\Desktop

Verwenden Sie 32/64-Bit-IDA, um die Datei librat.so zu öffnen und den Namen OpenMemoryder Exportmethode anzuzeigen . Verschiedene Android-Versionen haben möglicherweise unterschiedliche Namen für Exportmethoden.

Das heißt, der Anruf _ZN3art7DexFile10OpenMemoryEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPNS_6MemMapEPKNS_10OatDexFileEPS9_befindet sich in der Bibliothek soOpenMemory

Beschussskript:

Referenz-Open-Source-Projekt: https://github.com/dstmath/frida-unpack/blob/master/frida_unpack.py

#-*- coding:utf-8 -*-
# coding=utf-8
import frida
import sys

def on_message(message, data):
    base = message['payload']['base']
    size = int(message['payload']['size'])
    print(hex(base),size)
    # print session
    # dex_bytes = session.read_bytes(base, size)
    # f = open("1.dex","wb")
    # f.write(dex_bytes)
    # f.close()

### libart.so
# 9.0 arm 需要拦截　_ZN3art13DexFileLoader10OpenCommonEPKhjS2_jRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPKNS_10OatDexFileEbbPS9_NS3_10unique_ptrINS_16DexFileContainerENS3_14default_deleteISH_EEEEPNS0_12VerifyResultE
# 7.0 arm：_ZN3art7DexFile10OpenMemoryEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPNS_6MemMapEPKNS_10OatDexFileEPS9_

# android 10: libdexfile.so 
# #_ZN3art13DexFileLoader10OpenCommonEPKhjS2_jRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPKNS_10OatDexFileEbbPS9_NS3_10unique_ptrINS_16DexFileContainerENS3_14default_deleteISH_EEEEPNS0_12VerifyResultE

# 获取包名
package = sys.argv[1]
print("dex 导出目录为: /data/data/%s"%(package))
device = frida.get_usb_device()
pid = device.spawn(package)
session = device.attach(pid)
src = """
Interceptor.attach(Module.findExportByName("libart.so", "_ZN3art7DexFile10OpenMemoryEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPNS_6MemMapEPKNS_10OatDexFileEPS9_"), {
    onEnter: function (args) {
      	//dex文件的起始位置
        var begin = args[1]
        
        //dex文件的前8个字节是magic字段 看dex的文件格式说明
        //打印magic（会显示 "dex 035"） 三个字符 可以验证是否为dex文件 
        console.log("magic : " + Memory.readUtf8String(begin))
     	
     	//把地址转换成整型 再加32 
        //因为dex文件的第32个字节处存放的是 dex文件的大小
        var address = parseInt(begin,16) + 0x20
        
		//把address地址指向的内存值读出来 该值就是dex的文件大小
        //ptr(address)转换的原因是 frida只接受 NativePointer类型指针
        var dex_size = Memory.readInt(ptr(address))
        console.log("dex_size :" + dex_size)
      
      	//frida写文件 把内存中的数据 写到本地
        var file = new File("/data/data/%s/" + dex_size + ".dex", "wb")

		//Memory.readByteArray(begin, length)
        //把内存里的数据读出来，从begin开始读，取length长度(dex_size文件的大小)
        file.write(Memory.readByteArray(begin, dex_size))
        file.flush()
        file.close()
        var send_data = {}
        send_data.base = parseInt(begin,16)
        send_data.size = dex_size
        send(send_data)
    },
    onLeave: function (retval) {
        if (retval.toInt32() > 0) {
        }
    }
});
"""%(package)

script = session.create_script(src)

script.on("message" , on_message)

script.load()
device.resume(pid)
sys.stdin.read()

Verwenden Sie jadx, um nacheinander zu öffnen und zu sehen, welche Dex-Datei der Quellcode der App ist.

Referenzartikel: https://blog.51cto.com/yeshaochen/2496524