安卓逆向——frida-serve脫殼案例

一、原理

• 1. -->APP啟動
• 2. -->殼dex先加載起來
• 3. -->殼負責把源dex檔案讀出來
• 4. -->殼把源dex檔案解密
• 5. -->把解密後的dex加載進記憶體 源dex運作起來

是以在APP啟動時，把源dex加載到記憶體的方法，修改加載的方法，把加載dex的内容儲存下來，就是源apk的dex。

安卓系統是調用底層的so檔案，把dex讀取到記憶體中，

在系統中的 /system/lib/libart.so 檔案，拿到電腦端，用ida打開分析，找到對應版本的方法

這裡還是 拿上次的案例做測試，軟體 

環境一 ： Android6 

  OpenMemory ：OpenMemory 是Android6 把 dex 讀進記憶體的方法

執行後 會出現 幾個dex檔案，這裡需要一個一個用 jadx 打開看，

打開檔案 可以看到 和上一篇的dex檔案分析是一樣的

環境二 ： Android8 

  OpenCommon：OpenCommon 是Android8 把 dex 讀進記憶體的方法

執行後 會出來幾個dex檔案，出來的dex個數可能不一樣，但是隻要正确的dex檔案出來了就好

打開檔案 可以看到 和上一篇的dex檔案分析是一樣的

注意：不同系統可能存在不同的差別

代碼 ：

# -*- coding: utf-8 -*-
import frida
import sys

# https://blog.csdn.net/weixin_44032232/article/details/109676945

def on_message(message, data):
    # print(message)
    if message['type'] == 'send':
        # print("*****[frida hook]***** : {0}".format(message['payload']).replace('\n',''))
        print("*****[frida hook]***** : {0}".format(message['payload']))

    else:
        print("*****[frida hook]***** : " + str(message))

### libart.so
# 9.0 arm 需要攔截　_ZN3art13DexFileLoader10OpenCommonEPKhjS2_jRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPKNS_10OatDexFileEbbPS9_NS3_10unique_ptrINS_16DexFileContainerENS3_14default_deleteISH_EEEEPNS0_12VerifyResultE
# 7.0 arm：_ZN3art7DexFile10OpenMemoryEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPNS_6MemMapEPKNS_10OatDexFileEPS9_

# android 10: libdexfile.so
# #_ZN3art13DexFileLoader10OpenCommonEPKhjS2_jRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPKNS_10OatDexFileEbbPS9_NS3_10unique_ptrINS_16DexFileContainerENS3_14default_deleteISH_EEEEPNS0_12VerifyResultE

# 擷取包名
# package = sys.argv[1]
package = 'com.iCitySuzhou.suzhou001'

print("dex 導出目錄為: /data/data/%s" % (package))
device = frida.get_usb_device(-1)
pid = device.spawn(package)
session = device.attach(pid)

OpenMemory_android6 = '_ZN3art7DexFile10OpenMemoryEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPNS_6MemMapEPKNS_10OatDexFileEPS9'
Open_android8 = '_ZN3art7DexFileC2EPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPKNS_10OatDexFileE'
src = """
Interceptor.attach(Module.findExportByName("libart.so", "_ZN3art7DexFile10OpenMemoryEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPNS_6MemMapEPKNS_10OatDexFileEPS9_"), {
    onEnter: function (args) {
      	//dex檔案的起始位置
        var begin = args[1]
        
        //dex檔案的前8個位元組是magic字段 看dex的檔案格式說明
        //列印magic（會顯示 "dex 035"） 三個字元 可以驗證是否為dex檔案   dex 035  是換行的
        send("magic : " + Memory.readUtf8String(begin))
        
     	//把位址轉換成整型 再加32 
        //因為dex檔案的第32個位元組處存放的是 dex檔案的大小
        var address = parseInt(begin,16) + 0x20

		//把address位址指向的記憶體值讀出來 該值就是dex的檔案大小
        //ptr(address)轉換的原因是 frida隻接受 NativePointer類型指針
        var dex_size = Memory.readInt(ptr(address))
        send("dex_size :" + dex_size)
        
      	//frida寫檔案 把記憶體中的資料 寫到本地
        var file = new File("/data/data/%s/" + dex_size + ".dex", "wb")

		//Memory.readByteArray(begin, length)
        //把記憶體裡的資料讀出來，從begin開始讀，取length長度(dex_size檔案的大小)
        file.write(Memory.readByteArray(begin, dex_size))
        file.flush()
        file.close()
        var send_data = {}
        send_data.base = parseInt(begin,16)
        send_data.size = dex_size
        send(send_data)
    },
    onLeave: function (retval) {
        if (retval.toInt32() > 0) {
        }
    }
});
""" % (package)

script = session.create_script(src)

script.on("message", on_message)

script.load()
device.resume(pid)
sys.stdin.read()