Android 逆向ART 脱壳 ( dex2oat 脱壳 | /art/dex2oat/dex2oat.cc#Dex2oat 函数源码 )

Posted 韩曙亮

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Android 逆向ART 脱壳 ( dex2oat 脱壳 | /art/dex2oat/dex2oat.cc#Dex2oat 函数源码 )相关的知识,希望对你有一定的参考价值。

前言

在上一篇博客 【Android 逆向】ART 脱壳 ( dex2oat 脱壳 | aosp 中搜索 dex2oat 源码 | dex2oat.cc#main 主函数源码 ) 中 , 分析到 dex2oat 工具源码中的主函数为 /art/dex2oat/dex2oat.cc#main , 在该函数中调用了 /art/dex2oat/dex2oat.cc#Dex2oat 函数 ;


在将 dex 文件编译为 oat 文件的过程中 , 只要出现了 DexFile 对象 , 就可以将该对象对应的 dex 文件导出 , 即 dex 脱壳 , 该过程的脱壳点很多 ;


脱壳方法参考 【Android 逆向】ART 脱壳 ( 修改 /art/runtime/dex_file.cc#OpenCommon 系统源码进行脱壳 ) 博客 , 在脱壳点添加将内存中的 dex 文件 dump 到本地 SD 卡中的源码 , 然后在编译好的系统中运行要脱壳的应用 , 即可完成脱壳操作 ;





一、/art/dex2oat/dex2oat.cc#Dex2oat 函数源码



/art/dex2oat/dex2oat.cc#Dex2oat 函数中 , 调用了 /art/dex2oat/dex2oat.cc#Setup 函数 , 其中就遍历了 DexFile 对象 , 在遍历时可以将内存中的 dex 数据 dump 到 SD 卡中 ;

在调用的 /art/dex2oat/dex2oat.cc#CompileApp 函数中 , 也有脱壳点 ;


/art/dex2oat/dex2oat.cc#Dex2oat 函数源码 :

static dex2oat::ReturnCode Dex2oat(int argc, char** argv) 
  b13564922();

  TimingLogger timings("compiler", false, false);

  // 在堆上而不是堆栈上分配'dex2oat',如Clang
  // 可能产生的堆栈帧对于此函数或
  // 将其内联的函数(如main),这些函数不适合
  // “-Wframe大于”选项的要求。
  std::unique_ptr<Dex2Oat> dex2oat = MakeUnique<Dex2Oat>(&timings);

  // 解析参数。参数错误将导致UsageError中的exit(exit_失败)。
  dex2oat->ParseArgs(argc, argv);

  // 如果需要,处理概要文件信息以进行概要文件引导编译。
  // 此操作涉及I/O。
  if (dex2oat->UseProfile()) 
    if (!dex2oat->LoadProfile()) 
      LOG(ERROR) << "Failed to process profile file";
      return dex2oat::ReturnCode::kOther;
    
  

  art::MemMap::Init();  // For ZipEntry::ExtractToMemMap, and vdex.

  // 尽早检查编译结果是否可以写入
  if (!dex2oat->OpenFile()) 
    return dex2oat::ReturnCode::kOther;
  

  // 当以下任一项为真时,打印整行:
  //   1)调试生成
  //   2)编译图像
  //   3)使用--host编译
  //   4)在主机上编译(不是目标版本)
  // 否则,打印剥离的命令行。
  if (kIsDebugBuild || dex2oat->IsBootImage() || dex2oat->IsHost() || !kIsTargetBuild) 
    LOG(INFO) << CommandLine();
   else 
    LOG(INFO) << StrippedCommandLine();
  

  // 核心跳转 
  dex2oat::ReturnCode setup_code = dex2oat->Setup();
  if (setup_code != dex2oat::ReturnCode::kNoFailure) 
    dex2oat->EraseOutputFiles();
    return setup_code;
  

  // 帮助在设备上调试。可用于确定哪个dalvikvm实例调用了dex2oat
  // 例如。由工具/对分搜索/对分搜索使用。皮耶。
  VLOG(compiler) << "Running dex2oat (parent PID = " << getppid() << ")";

  dex2oat::ReturnCode result;
  if (dex2oat->IsImage()) 
    result = CompileImage(*dex2oat);
   else 
    result = CompileApp(*dex2oat);
  

  dex2oat->Shutdown();
  return result;

源码路径 : /art/dex2oat/dex2oat.cc#Dex2oat





二、/art/dex2oat/dex2oat.cc#Setup 函数源码 ( 脱壳点 )



/art/dex2oat/dex2oat.cc#Setup 函数的最后位置 , 逐个遍历 dex 文件 , 此时是可以拿到 dex_file 直接导出 dex 文件数据到 SD 卡中 , 此处可以进行脱壳 ;

只要出现了 DexFile 实例对象 , 就可以进行脱壳操作 ;


/art/dex2oat/dex2oat.cc#Setup 函数源码 :

  // 确保dex缓存保持活动状态,因为我们不希望在编译期间发生类卸载。
  for (const auto& dex_file : dex_files_) 
    ScopedObjectAccess soa(self);
    dex_caches_.push_back(soa.AddLocalReference<jobject>(
        class_linker->RegisterDexFile(*dex_file,
                                      soa.Decode<mirror::ClassLoader>(class_loader_).Ptr())));
    if (dex_caches_.back() == nullptr) 
      soa.Self()->AssertPendingException();
      soa.Self()->ClearException();
      PLOG(ERROR) << "Failed to register dex file.";
      return dex2oat::ReturnCode::kOther;
    
    // 预注册dex文件,以便在编译和验证期间无需锁定即可访问验证结果。
    verification_results_->AddDexFile(dex_file);
  

/art/dex2oat/dex2oat.cc#Setup 函数源码 :

// 设置编译环境。包括启动运行时和加载/打开引导类路径。
dex2oat::ReturnCode Setup() 
  TimingLogger::ScopedTiming t("dex2oat Setup", timings_);

  if (!PrepareImageClasses() || !PrepareCompiledClasses() || !PrepareCompiledMethods()) 
    return dex2oat::ReturnCode::kOther;
  

  verification_results_.reset(new VerificationResults(compiler_options_.get()));
  callbacks_.reset(new QuickCompilerCallbacks(
      verification_results_.get(),
      IsBootImage() ?
          CompilerCallbacks::CallbackMode::kCompileBootImage :
          CompilerCallbacks::CallbackMode::kCompileApp));

  RuntimeArgumentMap runtime_options;
  if (!PrepareRuntimeOptions(&runtime_options)) 
    return dex2oat::ReturnCode::kOther;
  

  CreateOatWriters();
  if (!AddDexFileSources()) 
    return dex2oat::ReturnCode::kOther;
  

  if (IsBootImage() && image_filenames_.size() > 1) 
  // 如果我们正在编译引导映像,请将引导类路径存储到键值存储中。
  // 我们需要这个多图像的情况。
    key_value_store_->Put(OatHeader::kBootClassPathKey,
                          gc::space::ImageSpace::GetMultiImageBootClassPath(dex_locations_,
                                                                            oat_filenames_,
                                                                            image_filenames_));
  

  if (!IsBootImage()) 
    // 编译应用程序时,尽早创建运行时以检索oat头所需的映像位置键。
    if (!CreateRuntime(std::move(runtime_options))) 
      return dex2oat::ReturnCode::kCreateRuntime;
    

    if (CompilerFilter::DependsOnImageChecksum(compiler_options_->GetCompilerFilter())) 
      TimingLogger::ScopedTiming t3("Loading image checksum", timings_);
      std::vector<gc::space::ImageSpace*> image_spaces =
          Runtime::Current()->GetHeap()->GetBootImageSpaces();
      image_file_location_oat_checksum_ = image_spaces[0]->GetImageHeader().GetOatChecksum();
      image_file_location_oat_data_begin_ =
          reinterpret_cast<uintptr_t>(image_spaces[0]->GetImageHeader().GetOatDataBegin());
      image_patch_delta_ = image_spaces[0]->GetImageHeader().GetPatchDelta();
      // Store the boot image filename(s).
      std::vector<std::string> image_filenames;
      for (const gc::space::ImageSpace* image_space : image_spaces) 
        image_filenames.push_back(image_space->GetImageFilename());
      
      std::string image_file_location = android::base::Join(image_filenames, ':');
      if (!image_file_location.empty()) 
        key_value_store_->Put(OatHeader::kImageLocationKey, image_file_location);
      
     else 
      image_file_location_oat_checksum_ = 0u;
      image_file_location_oat_data_begin_ = 0u;
      image_patch_delta_ = 0;
    

    // Open dex files for class path.
    std::vector<std::string> class_path_locations =
        GetClassPathLocations(runtime_->GetClassPathString());
    OpenClassPathFiles(class_path_locations,
                       &class_path_files_,
                       &opened_oat_files_,
                       runtime_->GetInstructionSet(),
                       classpath_dir_);

    // Store the classpath we have right now.
    std::vector<const DexFile*> class_path_files = MakeNonOwningPointerVector(class_path_files_);
    std::string encoded_class_path;
    if (class_path_locations.size() == 1 &&
        class_path_locations[0] == OatFile::kSpecialSharedLibrary) 
      // When passing the special shared library as the classpath, it is the only path.
      encoded_class_path = OatFile::kSpecialSharedLibrary;
     else 
      encoded_class_path = OatFile::EncodeDexFileDependencies(class_path_files, classpath_dir_);
    
    key_value_store_->Put(OatHeader::kClassPathKey, encoded_class_path);
  

  // 现在我们已经完成了key\\u value\\u store\\u,开始编写oat文件。
  
    TimingLogger::ScopedTiming t_dex("Writing and opening dex files", timings_);
    rodata_.reserve(oat_writers_.size());
    for (size_t i = 0, size = oat_writers_.size(); i != size; ++i) 
      rodata_.push_back(elf_writers_[i]->StartRoData());
      // 直接将dex文件解压或复制到oat文件。
      std::unique_ptr<MemMap> opened_dex_files_map;
      std::vector<std::unique_ptr<const DexFile>> opened_dex_files;
	  // 无需验证以下各项的dex文件:
	  // 1)Dexlayout,因为它进行了验证。也可能无法通过验证,因为
	  // 我们不更新dex校验和。
	  // 2)当我们有一个vdex文件,这意味着它已经被验证。
      const bool verify = !DoDexLayoutOptimizations() && (input_vdex_file_ == nullptr);
      if (!oat_writers_[i]->WriteAndOpenDexFiles(
          kIsVdexEnabled ? vdex_files_[i].get() : oat_files_[i].get(),
          rodata_.back(),
          instruction_set_,
          instruction_set_features_.get(),
          key_value_store_.get(),
          verify,
          update_input_vdex_,
          &opened_dex_files_map,
          &opened_dex_files)) 
        return dex2oat::ReturnCode::kOther;
      
      dex_files_per_oat_file_.push_back(MakeNonOwningPointerVector(opened_dex_files));
      if (opened_dex_files_map != nullptr) 
        opened_dex_files_maps_.push_back(std::move(opened_dex_files_map));
        for (std::unique_ptr<const DexFile>& dex_file : opened_dex_files) 
          dex_file_oat_index_map_.emplace(dex_file.get(), i);
          opened_dex_files_.push_back(std::move(dex_file));
        
       else 
        DCHECK(opened_dex_files.empty());
      
    
  

  dex_files_ = MakeNonOwningPointerVector(opened_dex_files_);

  // 我们不得不将互换决定推迟到现在,因为这是我们真正需要的时候
  // 了解我们将要使用的dex文件。

  // 确保我们还没有创建驱动程序。
  CHECK(driver_ == nullptr);
  // 如果我们使用交换文件,请确保我们高于阈值以使其成为必要。
  if (swap_fd_ != -1) 
    if (!UseSwap(IsBootImage(), dex_files_)) 
      close(swap_fd_);
      swap_fd_ = -1;
      VLOG(compiler) << "Decided to run without swap.";
     else 
      LOG(INFO) << "Large app, accepted running with swap.";
    
  
  // 请注意,dex2oat不会关闭 swap_fd_。编译器驱动程序的交换空间可以做到这一点。

  // 如果由于大小原因需要降级编译器筛选器,请立即执行该检查。
  if (!IsBootImage() && IsVeryLarge(dex_files_)) 
    if (!CompilerFilter::IsAsGoodAs(CompilerFilter::kExtract,
                                    compiler_options_->GetCompilerFilter())) 
      LOG(INFO) << "Very large app, downgrading to extract.";
	  // 注意:这个更改不会反映在键值存储中,这是必须的
	  // 在加载dex文件之前完成。当前需要此设置
	  // 从DexFile对象获取大小。
	  // TODO:重构。b/29790079
      compiler_options_->SetCompilerFilter(CompilerFilter::kExtract);
    
  

  if (IsBootImage()) 
    // 对于启动映像,将打开的dex文件传递给运行时::Create()。
    // 注意:运行时获得这些dex文件的所有权。
    runtime_options.Set(RuntimeArgumentMap::BootClassPathDexList, &opened_dex_files_);
    if (!CreateRuntime(std::move(runtime_options))) 
      return dex2oat::ReturnCode::kOther;
    
  

  // 如果我们正在处理映像,请重写编译器过滤器以强制进行完整编译。必须是
  // 在导致验证的WellKnownClasses::Init之前完成。注意:不强制
  // 类初始值设定项的编译。
  // 当我们在本机中时,请抓住机会初始化众所周知的类。
  Thread* self = Thread::Current();
  WellKnownClasses::Init(self->GetJniEnv());

  ClassLinker* const class_linker = Runtime::Current()->GetClassLinker();
  if (!IsBootImage()) 
    constexpr bool kSaveDexInput = false;
    if (kSaveDexInput) 
      SaveDexInput();
    

    // 句柄和类加载器的创建需要在Runtime::Create之后进行。
    ScopedObjectAccess soa(self);

    // 类路径:首先是给定的类路径。
    std::vector<const DexFile*> class_path_files = MakeNonOwningPointerVector(class_path_files_);

    // 然后我们将编译dex文件。因此,我们将首先解析类路径。
    class_path_files.insert(class_path_files.end(), dex_files_.begin(), dex_files_.end());

    class_loader_ = class_linker->CreatePathClassLoader(self, class_path_files);
  

  // 确保打开的dex文件对于dex到dex转换是可写的。
  for (const std::unique_ptr<MemMap>& map : opened_dex_files_maps_) 
    if (!map->Protect(PROT_READ | PROT_WRITE)) 
      PLOG(ERROR) << "Failed to make .dex files writeable.";
      return dex2oat::ReturnCode::kOther;
    
  

  // 确保dex缓存保持活动状态,因为我们不希望在编译期间发生类卸载。
  for (const auto& dex_file : dex_files_) 
    ScopedObjectAccess soa(self);
    dex_caches_.push_back(soa.AddLocalReference<jobject>(
        class_linker->RegisterDexFile(*dex_file,
                                      soa.Decode<mirror::ClassLoader>(class_loader_).Ptr())));
    if (dex_caches_.back() == nullptr) 
      soa.Self()->AssertPendingException();
      soa.Self()->ClearException();
      PLOG(ERROR) << "Failed to register dex file.";
      return dex2oat::ReturnCode::kOther;
    
    // 预注册dex文件,以便在编译和验证期间无需锁定即可访问验证结果。
    verification_results_->AddDexFile(dex_file);
  

  return dex2oat::ReturnCode::kNoFailure;

源码路径 : /art/dex2oat/dex2oat.cc#Setup

以上是关于Android 逆向ART 脱壳 ( dex2oat 脱壳 | /art/dex2oat/dex2oat.cc#Dex2oat 函数源码 )的主要内容,如果未能解决你的问题,请参考以下文章

Android 逆向ART 脱壳 ( InMemoryDexClassLoader 脱壳 | DexFile 构造函数及相关调用函数 | Android 源码中查找 native 函数 )

Android 逆向ART 脱壳 ( 修改 /art/runtime/dex_file.cc#OpenCommon 系统源码进行脱壳 )

Android 逆向ART 脱壳 ( InMemoryDexClassLoader 脱壳 | InMemoryDexClassLoader 类加载器脱壳点总结 )

Android 逆向ART 脱壳 ( InMemoryDexClassLoader 脱壳 | 加固厂商在 ART 下使用的两种类加载器 | InMemoryDexClassLoader 源码 )(代码

Android 逆向ART 脱壳 ( InMemoryDexClassLoader 脱壳 | dex_file.cc 中创建 DexFile 实例对象的相关函数分析 )

Android 逆向ART 脱壳 ( DexClassLoader 脱壳 | DexClassLoader 构造函数 | 参考 Dalvik 的 DexClassLoader 类加载流程 )(代码片段