Android 逆向加壳的 Android 应用启动流程 | 使用反射替换 LoadedApk 中的类加载器流程
Posted 韩曙亮
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Android 逆向加壳的 Android 应用启动流程 | 使用反射替换 LoadedApk 中的类加载器流程相关的知识,希望对你有一定的参考价值。
一、加壳的 android 应用启动流程
加壳的 Android 应用启动流程 : 加壳的 Android 应用执行时 , 壳代码获取应用的执行权限 , 然后将加壳的应用修正后 , 获得真正的字节码文件 , 由类加载器加载真正的字节码文件 , 然后执行应用的业务逻辑 ;
- ① BootClassLoader 加载 Android 核心库
- ② PathClassLoader 加载应用自身的 DEX 字节码
- ③ 开始 执行 Android 应用的自身组件 ( 如 Activity 等 )
- ④ 执行 Application 的 attachBaseContext 方法
- ⑤ 执行 Application 的 onCreate 方法
注意 , 其中的 ② 步骤 , 针对与应用是否加壳 , 有以下 2 2 2 种不同的情况 ;
- 加壳应用 : 如果应用没有加壳 , 加载 DEX 代码就是完整的应用字节码文件 ;
- 不加壳应用 : 如果应用有加壳 , 加载的 DEX 字节码就是壳应用的 DEX 字节码文件 ;
在之前的 Android 安全 专栏中 , 已经进行过加壳功能的开发 , 是在 Application 的 attachBaseContext 方法中 , 对壳进行的处理 , 将加密后的 DEX 还原成正常的 DEX 字节码文件 ;
在 Application 的 attachBaseContext 方法中 需要 解密 加壳的 DEX 文件 , 反射设置 LoadedApk 中的类加载器 ;
在 Application 的 onCreate 方法中 , 需要获取程序的 Application
名称 , 然后通过反射创建 真实的 Application
对象 , 通过反射设置 ActivityThread 中的真实的 Application
对象 ;
二、使用反射替换 LoadedApk 中的类加载器流程
ActivityThread 是 Android 应用 主线程 起点 , ActivityThread
类是全局单例的 , 其全局唯一的 ActivityThread
实例对象是 , ActivityThread
有一个 sCurrentActivityThread
成员变量 , 该成员就是 ActivityThread
的单例对象 ;
public final class ActivityThread
/** Reference to singleton @link ActivityThread */
private static volatile ActivityThread sCurrentActivityThread;
public static ActivityThread currentActivityThread()
return sCurrentActivityThread;
源码路径 : /frameworks/base/core/java/android/app/ActivityThread.java
因此 , 通过反射 , 很容易获取到 ActivityThread
的实例对象 ;
然后 , 获取 ActivityThread
实例对象中的 mPackages
, 目的是获取其中的 LoadedApk 实例对象 ;
public final class ActivityThread
// 这些可以被多个线程访问;mResourcesManager是锁。
// XXX目前,我们保留有关所有软件包的信息
// 已看到,但未从此映射中删除条目。
// 注意:活动和窗口管理器需要调用
// ActivityThread执行更新资源配置等操作,
// 这意味着当活动和窗口管理器
// 他们有自己的锁。因此,您决不能回拨活动管理器
// 或窗口管理器或任何依赖于它们的东西。
// 这些LoadedApk仅对我们正在运行的用户ID有效。
@GuardedBy("mResourcesManager")
final ArrayMap<String, WeakReference<LoadedApk>> mPackages = new ArrayMap<>();
源码路径 : /frameworks/base/core/java/android/app/ActivityThread.java
获取到 LoadedApk
实例对象后 , 就可以获取该实例对象的 ClassLoader 类加载器 对象 ;
public final class LoadedApk
private ClassLoader mClassLoader;
源码路径 : /frameworks/base/core/java/android/app/LoadedApk.java
以上是关于Android 逆向加壳的 Android 应用启动流程 | 使用反射替换 LoadedApk 中的类加载器流程的主要内容,如果未能解决你的问题,请参考以下文章
Android 逆向APK 加壳脱壳现状 | 判断 APK 是否加壳 | APK 逆向流程
Android 逆向脱壳解决方案 ( DEX 整体加壳 | 函数抽取加壳 | VMP 加壳 | Dex2C 加壳 | Android 应用加固防护级别 )
Android 逆向加壳技术识别 ( VMP 加壳示例 | Dex2C 加壳示例 )
Android 逆向ART 函数抽取加壳 ④ ( 对 libc.so#execve 函数进行内联 HOOK 操作 )
Android 逆向加壳技术识别 ( 函数抽取 与 Native 化加壳的区分 | VMP 加壳与 Dex2C 加壳的区分 )
Android 逆向ART 函数抽取加壳 ⑥ ( 函数抽取后续操作 “ 还原被抽取的函数 “ | LoadClass 类加载 | LoadClassMembers 类成员加载 )