Android 逆向加壳的 Android 应用启动流程 | 使用反射替换 LoadedApk 中的类加载器流程

Posted 2022-01-04 韩曙亮

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了Android 逆向加壳的 Android 应用启动流程 | 使用反射替换 LoadedApk 中的类加载器流程相关的知识，希望对你有一定的参考价值。

文章目录

一、加壳的 Android 应用启动流程
二、使用反射替换 LoadedApk 中的类加载器流程

一、加壳的 android 应用启动流程

加壳的 Android 应用启动流程 : 加壳的 Android 应用执行时 , 壳代码获取应用的执行权限 , 然后将加壳的应用修正后 , 获得真正的字节码文件 , 由类加载器加载真正的字节码文件 , 然后执行应用的业务逻辑 ;

① BootClassLoader 加载 Android 核心库
② PathClassLoader 加载应用自身的 DEX 字节码
③ 开始执行 Android 应用的自身组件 ( 如 Activity 等 )
④ 执行 Application 的 attachBaseContext 方法
⑤ 执行 Application 的 onCreate 方法

注意 , 其中的 ② 步骤 , 针对与应用是否加壳 , 有以下 $2$ 种不同的情况 ;

加壳应用 : 如果应用没有加壳 , 加载 DEX 代码就是完整的应用字节码文件 ;
不加壳应用 : 如果应用有加壳 , 加载的 DEX 字节码就是壳应用的 DEX 字节码文件 ;

在之前的 Android 安全专栏中 , 已经进行过加壳功能的开发 , 是在 Application 的 attachBaseContext 方法中 , 对壳进行的处理 , 将加密后的 DEX 还原成正常的 DEX 字节码文件 ;

在 Application 的 attachBaseContext 方法中需要解密加壳的 DEX 文件 , 反射设置 LoadedApk 中的类加载器 ;

在 Application 的 onCreate 方法中 , 需要获取程序的 Application 名称 , 然后通过反射创建真实的 Application 对象 , 通过反射设置 ActivityThread 中的真实的 Application 对象 ;

二、使用反射替换 LoadedApk 中的类加载器流程

ActivityThread 是 Android 应用主线程起点 , ActivityThread 类是全局单例的 , 其全局唯一的 ActivityThread 实例对象是 , ActivityThread 有一个 sCurrentActivityThread 成员变量 , 该成员就是 ActivityThread 的单例对象 ;

public final class ActivityThread 
    /** Reference to singleton @link ActivityThread */
    private static volatile ActivityThread sCurrentActivityThread;

    public static ActivityThread currentActivityThread() 
        return sCurrentActivityThread;

源码路径 : /frameworks/base/core/java/android/app/ActivityThread.java

因此 , 通过反射 , 很容易获取到 ActivityThread 的实例对象 ;

然后 , 获取 ActivityThread 实例对象中的 mPackages , 目的是获取其中的 LoadedApk 实例对象 ;

public final class ActivityThread 
	// 这些可以被多个线程访问；mResourcesManager是锁。
    // XXX目前，我们保留有关所有软件包的信息
    // 已看到，但未从此映射中删除条目。
    // 注意：活动和窗口管理器需要调用
    // ActivityThread执行更新资源配置等操作，
    // 这意味着当活动和窗口管理器
    // 他们有自己的锁。因此，您决不能回拨活动管理器
    // 或窗口管理器或任何依赖于它们的东西。
    // 这些LoadedApk仅对我们正在运行的用户ID有效。
    @GuardedBy("mResourcesManager")
    final ArrayMap<String, WeakReference<LoadedApk>> mPackages = new ArrayMap<>();

源码路径 : /frameworks/base/core/java/android/app/ActivityThread.java

获取到 LoadedApk 实例对象后 , 就可以获取该实例对象的 ClassLoader 类加载器对象 ;

public final class LoadedApk 

    private ClassLoader mClassLoader;

源码路径 : /frameworks/base/core/java/android/app/LoadedApk.java

以上是关于Android 逆向加壳的 Android 应用启动流程 | 使用反射替换 LoadedApk 中的类加载器流程的主要内容，如果未能解决你的问题，请参考以下文章

Android 逆向APK 加壳脱壳现状 | 判断 APK 是否加壳 | APK 逆向流程

Android 逆向脱壳解决方案 ( DEX 整体加壳 | 函数抽取加壳 | VMP 加壳 | Dex2C 加壳 | Android 应用加固防护级别 )

Android 逆向加壳技术识别 ( VMP 加壳示例 | Dex2C 加壳示例 )

Android 逆向ART 函数抽取加壳 ④ ( 对 libc.so#execve 函数进行内联 HOOK 操作 )

Android 逆向加壳技术识别 ( 函数抽取与 Native 化加壳的区分 | VMP 加壳与 Dex2C 加壳的区分 )

Android 逆向ART 函数抽取加壳 ⑥ ( 函数抽取后续操作 “ 还原被抽取的函数 “ | LoadClass 类加载 | LoadClassMembers 类成员加载 )