上篇帖子分析了frida_dump脚本如何实现dump dex的原理,本篇分析frida_unpack如何脱壳的。
frida_unpack地址
frida_unpack作者提供了rpc调用和js脚本调用两种方式,本次分析js脚本调用,其实js脚本调用没问题的话,可以直接copy到rpc调用里面,都是一样的。
原版核心函数分析
'use strict';
/**
* 此脚本在以下环境测试通过
* android os: 7.1.2 32bit (64位可能要改OpenMemory的签名)
* legu: libshella-2.8.so
* 360:libjiagu.so
*/
Interceptor.attach(Module.findExportByName("libart.so", "_ZN3art7DexFile10OpenMemoryEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPNS_6MemMapEPKNS_10OatDexFileEPS9_"), {
onEnter: function (args) {
//dex起始位置
var begin = args[1]
//打印magic
console.log("magic : " + Memory.readUtf8String(begin))
//dex fileSize 地址
var address = parseInt(begin,16) + 0x20
//dex 大小
var dex_size = Memory.readInt(ptr(address))
console.log("dex_size :" + dex_size)
//dump dex 到/data/data/pkg/目录下
var file = new File("/data/data/xxx.xxx.xxx/" + dex_size + ".dex", "wb")
file.write(Memory.readByteArray(begin, dex_size))
file.flush()
file.close()
},
onLeave: function (retval) {
if (retval.toInt32() > 0) {
/* do something */
}
}
});
作者提供的这个脚本是在32位android 7环境下的。可以看出frida_unpack的脱壳点是hook了OpenMemory函数,通过参数拿到dex文件头,从dex文件头+0x20偏移处得到dex的文件长度, 然后dump到手机上的。但是这个脚本不能直接运行,没有给出真实的dump路径。
作者在github上也说了,android 10上的脱壳点变成了OpenCommon了。
android 10为/apex/com.android.runtime/lib/libdexfile.so方法为OpenCommon
我在安卓在线源码网站上查询到从android 8及以后OpenMemory都变成了OpenCommon,所以你想用原版的脚本运行在android 7以上的环境时,都需要修改脚本,否则不能成功脱壳。
修改后的unpack.js
function dump_dex(){
var libdexfileAddr = Module.getExportByName("libdexfile.so","_ZN3art13DexFileLoader10OpenCommonEPKhjS2_jRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPKNS_10OatDexFileEbbPS9_NS3_10unique_ptrINS_16DexFileContainerENS3_14default_deleteISH_EEEEPNS0_12VerifyResultE")
if (libdexfileAddr == undefined || libdexfileAddr == null){
console.error("libdexfileAddr = ",libdexfileAddr)
return;
}
Interceptor.attach(libdexfileAddr,{
onEnter: function(args){
//dex在内存中的起始位置
var base = args[1];
//console.log("base = " , base)
var size = args[2];
//console.log("size = " ,size)
//打印magic 并验证
// var magic1 = Memory.readUtf8String(base);
//console.log("magic1",magic1)
var magic = ptr(base).readCString();
if(magic.indexOf("dex") == 0){
//找到了dex文件
//Dexd filesize地址
//var address = parseInt(base,16) + 0x20
//var dex_size = Memory.readInt(ptr(address))
//console.log("dex_size = ", size);
var dex_size = parseInt(size,16)
console.log("[found dex ] base = "+ base +" size = " + dex_size )
//dump dex到/sdcard/pkg目录下,需要确保手机sd卡下有这个文件夹,没有则手动创建
var file = new File("/sdcard/Download/package/" + dex_size + ".dex","wb");
file.write(Memory.readByteArray(base,dex_size))
file.flush();
file.close();
}
},
onLeave:function(retval){ }
} )
}
setImmediate(dump_dex)
我在原版的基础上修改了几点:
[ol]
OpenCommon的函数声明
std::unique_ptr DexFileLoader::OpenCommon(const uint8_t* base,
size_t size,
const uint8_t* data_base,
size_t data_size,
const std::string& location,
uint32_t location_checksum,
const OatDexFile* oat_dex_file,
bool verify,
bool verify_checksum,
std::string* error_msg,
std::unique_ptr container,
VerifyResult* verify_result)
遇到的问题及总结
我尝试通过导出我android 10 真机的libdexfile.so来获取OpenCommon的导出符号,得到的是:
_ZN3art13DexFileLoader10OpenCommonEPKhmS2_mRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPKNS_10OatDexFileEbbPS9_NS3_10unique_ptrINS_16DexFileContainerENS3_14default_deleteISH_EEEEPNS0_12VerifyResultE
[/ol]
在getExportByName时失败了,提示是找不到这个符号,很奇怪,用了作者提供的OpenCommon的导出符号就成功找到了符号,这个有点奇怪
_ZN3art13DexFileLoader10OpenCommonEPKhmS2_mRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPKNS_10OatDexFileEbbPS9_NS3_10unique_ptrINS_16DexFileContainerENS3_14default_deleteISH_EEEEPNS0_12VerifyResultE
通过学习frida_dump和frida_unpack这个两个脚本大致原理类似,都是通过找到dex文件的出现的系统函数hook然后dump下来。找到更多的脱壳点就能实现新的脱壳脚本。