那么我们上篇文章中提及了安全性问题, Android apk如何加固防止被破解(防止逆向编译),那么本篇文章提及一点,so动态库的安全性与重要性。
首先我们要知道, .so动态库是做什么用的,它不像.smail文件可修改,它是属于汇编语言,如果直接去修改,文件会发生错乱。早上有人来问我,游戏打入渠道sdk之后发生错误,且只有armeabi里发生错误,这种情况可以断定.so动态库中有了兼容的冲突。
通常我们会看到libs下面有这么几个文件夹,mips、armeabi、armeabi-v7a和x86,其实是代表着不同的CPU类型,那么在arm下有不同的指令,想要了解的可以参考这篇文章 《Android ARM常用的汇编指令合集》。
实现步骤:
- 使用apktool命令编译出来apk的目录
- 然后用IDA打开.so文件,在apk根目录的lib文件夹下
- 菜单中有个Search,可以用text作为入口
- 找到入口,一般为init方法
- 使用动态调试,给libdvm.so中的函数:dvmDexFileOpenPartial 下断点,然后得到dex文件在内存中的起始地址和大小,然后dump处dex数据即可
- 分析底层加载dex源码,知道有一个函数:dvmDexFileOpenPartial 这个函数有两个重要参数,一个是dex的其实地址,一个是dex的大小,而且知道这个函数是在libdvm.so中的。所以我们可以使用IDA进行动态调试获取信息
- 双开IDA开始获取内存中的dex内容,双开IDA,走之前的动态破解so方式来给dvmDexFileOpenPartial函数下断点,获取两个参数的值,然后使用一段脚本,将内存中的dex数据保存到本地磁盘中。
- 分析获取到的dex内容,得到了内存中的dex之后,我们在使用dex2jar工具去查看源码,但是发现保存,以为是dump出来的dex格式有问题,但是最后使用baksmali工具进行处理,得到smali源码是可以的,然后我们就开始分析smali源码。
Tips:
- debugger模式
- 通过dump出内存中的dex数据,其实不管apk如何加固,最后都是会加载到内存中的
- 可以尝试调用so中的native方法,在知道了这个方法的定义之后 adb shell input text 命令来辅助我们的输入
我们以 趣头条.apk 为例,反向思维来看下这个包是如何加密的,首先我们来看目录结构:
我们可以看到,smail里面是没多少代码的,主要的是so动态库和两个jar包,打开jar包来看看:(bdxadsdk.jar 和 gdtadv2.jar )
什么都没有,可以肯定的是,这个是加了壳的,加密方式是怎么样的呢,我们来参考网上一张图:
我们先去看下 smail文件里面有什么线索没
“libjiagu” 顾名思义,加固,我们发现 ,这个包还加固了。来,继续往下走
“DexOptJobService_DexOptimization” 动态加载了Dex
那么动态加载dex技术是如何处理的?引用一张图来看看,顺便过下这个知识点
- 关于PathClassLoader,API中提及: Android uses this class for its system class loader and for its application class loader(s) —->> Android应用就是用它来加载;
- DexClass可以加载apk,jar,及dex文件,但PathClassLoader只能加载已安装到系统中(即/data/app目录下)的apk文件。
子节点都是从继承BaseDexClassLoader中来的,那我们去看看源码:
@Override
protected Class<?> findClass(String name) throws ClassNotFoundException {
List<Throwable> suppressedExceptions = new ArrayList<Throwable>();
Class c = pathList.findClass(name, suppressedExceptions);
if (c == null) {
ClassNotFoundException cnfe = new ClassNotFoundException("Didn't find class \"" + name + "\" on path: " + pathList);
for (Throwable t : suppressedExceptions) {
cnfe.addSuppressed(t);
}
throw cnfe;
}
return c;
}
从代码中我们发现,当我们需要去找class时,是从pathList中的findClass方法中读取,查看源码,可以发现pathList是DexPathList类的一个实例,我们接着来看findClass(name, suppressedExceptions);
public Class findClass(String name, List<Throwable> suppressed) {
for (Element element : dexElements) {
DexFile dex = element.dexFile;
if (dex != null) {
Class clazz = dex.loadClassBinaryName(name, definingContext, suppressed);
if (clazz != null) {
return clazz;
}
}
}
if (dexElementsSuppressedExceptions != null) {
suppressed.addAll(Arrays.asList(dexElementsSuppressedExceptions));
}
return null;
}
看完之后我们可以发现,它是遍历一个装在dex文件(每个dex文件实际上是一个DexFile对象)的数组(Element数组,Element是一个内部类),然后依次去加载所需要的class文件,直到找到为止。
public String inject(String libPath) {
boolean hasBaseDexClassLoader = true;
try {
Class.forName("dalvik.system.BaseDexClassLoader");
} catch (ClassNotFoundException e) {
hasBaseDexClassLoader = false;
}
if (hasBaseDexClassLoader) {
PathClassLoader pathClassLoader = (PathClassLoader)sApplication.getClassLoader();
DexClassLoader dexClassLoader = new DexClassLoader(libPath, sApplication.getDir("dex", 0).getAbsolutePath(), libPath, sApplication.getClassLoader());
try {
Object dexElements = combineArray(getDexElements(getPathList(pathClassLoader)), getDexElements(getPathList(dexClassLoader)));
Object pathList = getPathList(pathClassLoader);
setField(pathList, pathList.getClass(), "dexElements", dexElements);
return "SUCCESS";
} catch (Throwable e) {
e.printStackTrace();
return android.util.Log.getStackTraceString(e);
}
}
return "SUCCESS";
}
看到这里,注入的解决方案也就浮出水面,假如我们将第二个dex文件放入Element数组中,那么在加载第二个dex包中的类时,应该可以直接找到。
OK,这个知识点到底结束,我们知道了这个apk的加固与加载dex方式,那如何逆向分析这个.so动态库?
等我稍后整理下图片,先发布了,持续更新。