Android 逆向ART 脱壳 ( InMemoryDexClassLoader 脱壳 | 加固厂商在 ART 下使用的两种类加载器 | InMemoryDexClassLoader 源码 )(代码

Posted 2022-01-05 韩曙亮

文章目录

• 一、加固厂商在 ART 下使用的两种类加载器 ( InMemoryDexClassLoader | DexClassLoader )
• 二、InMemoryDexClassLoader 源码分析

一、加固厂商在 ART 下使用的两种类加载器 ( InMemoryDexClassLoader | DexClassLoader )

---

脱壳就是要在加固厂商使用类加载器加载 DEX 文件时 , 从加载过程中 , 从内存中获取 DEX 文件 ;

• 在 Dalvik 虚拟机的 android 系统 中 , 即 Android $4.4$ 及以下的系统 , 加固厂商 使用 DexClassLoader 加载 DEX 字节码文件 ;

• 在 ART 虚拟机的 Android 系统 中 , 即 Android $5.0$ 及以上的系统 , 加固厂商使用 InMemoryDexClassLoader 或者 DexClassLoader 加载 DEX 字节码文件 ;

• 其中 InMemoryDexClassLoader 是 Android $8.0$ 引入的类加载器 ;

由于要分析 ART 虚拟机下的 InMemoryDexClassLoader 和 DexClassLoader 类加载器 , 这里分析 Android $8.0$ 源码 ;

二、InMemoryDexClassLoader 源码分析

---

在 InMemoryDexClassLoader 类加载器源码中 , 只定义了构造函数 , 没有定义实际业务逻辑 , 与 DexClassLoader 类似 ;

第 $2$ 个构造函数调用了第 $1$ 个构造函数 , 第一个构造函数中 , 调用了 BaseDexClassLoader 的构造函数 ,

super(dexBuffers, parent);

InMemoryDexClassLoader 源码 :

package dalvik.system;

import java.nio.ByteBuffer;

/**
 * 一个@link ClassLoader实现，从
 * 包含DEX文件的缓冲区。这可用于执行以下代码：
 * 尚未写入本地文件系统。
 */
public final class InMemoryDexClassLoader extends BaseDexClassLoader 
	/**
	* 使用给定的DEX缓冲区创建内存中的DEX类装入器。
	* 
	* @param dexBuffers 包含之间的DEX文件的缓冲区数组
	* <tt>缓冲区。位置（）</tt>和<tt>缓冲区。限制（）</tt>。
	* @param parent 委托的父类加载器。
	* @隐藏
	*/
    public InMemoryDexClassLoader(ByteBuffer[] dexBuffers, ClassLoader parent) 
        super(dexBuffers, parent);
    

	/**
	 * 创建一个新的内存中DEX类装入器。
	 * 
	 * @param dexBuffer缓冲区，包含之间的DEX文件内容
	 * <tt>缓冲区。位置（）</tt>和<tt>缓冲区。限制（）</tt>。
	 * @param parent委托的父类加载器。
	 */
    public InMemoryDexClassLoader(ByteBuffer dexBuffer, ClassLoader parent) 
        this(new ByteBuffer[]  dexBuffer , parent);
    

源码路径 : /libcore/dalvik/src/main/java/dalvik/system/InMemoryDexClassLoader.java