Android 逆向ART 脱壳 ( dex2oat 脱壳 | /art/dex2oat/dex2oat.cc#Dex2oat 函数源码 )
Posted 韩曙亮
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Android 逆向ART 脱壳 ( dex2oat 脱壳 | /art/dex2oat/dex2oat.cc#Dex2oat 函数源码 )相关的知识,希望对你有一定的参考价值。
前言
在上一篇博客 【Android 逆向】ART 脱壳 ( dex2oat 脱壳 | aosp 中搜索 dex2oat 源码 | dex2oat.cc#main 主函数源码 ) 中 , 分析到 dex2oat 工具源码中的主函数为 /art/dex2oat/dex2oat.cc#main , 在该函数中调用了 /art/dex2oat/dex2oat.cc#Dex2oat 函数 ;
在将 dex 文件编译为 oat 文件的过程中 , 只要出现了 DexFile 对象 , 就可以将该对象对应的 dex 文件导出 , 即 dex 脱壳 , 该过程的脱壳点很多 ;
脱壳方法参考 【Android 逆向】ART 脱壳 ( 修改 /art/runtime/dex_file.cc#OpenCommon 系统源码进行脱壳 ) 博客 , 在脱壳点添加将内存中的 dex 文件 dump 到本地 SD 卡中的源码 , 然后在编译好的系统中运行要脱壳的应用 , 即可完成脱壳操作 ;
一、/art/dex2oat/dex2oat.cc#Dex2oat 函数源码
在 /art/dex2oat/dex2oat.cc#Dex2oat 函数中 , 调用了 /art/dex2oat/dex2oat.cc#Setup 函数 , 其中就遍历了 DexFile 对象 , 在遍历时可以将内存中的 dex 数据 dump 到 SD 卡中 ;
在调用的 /art/dex2oat/dex2oat.cc#CompileApp 函数中 , 也有脱壳点 ;
/art/dex2oat/dex2oat.cc#Dex2oat 函数源码 :
static dex2oat::ReturnCode Dex2oat(int argc, char** argv)
b13564922();
TimingLogger timings("compiler", false, false);
// 在堆上而不是堆栈上分配'dex2oat',如Clang
// 可能产生的堆栈帧对于此函数或
// 将其内联的函数(如main),这些函数不适合
// “-Wframe大于”选项的要求。
std::unique_ptr<Dex2Oat> dex2oat = MakeUnique<Dex2Oat>(&timings);
// 解析参数。参数错误将导致UsageError中的exit(exit_失败)。
dex2oat->ParseArgs(argc, argv);
// 如果需要,处理概要文件信息以进行概要文件引导编译。
// 此操作涉及I/O。
if (dex2oat->UseProfile())
if (!dex2oat->LoadProfile())
LOG(ERROR) << "Failed to process profile file";
return dex2oat::ReturnCode::kOther;
art::MemMap::Init(); // For ZipEntry::ExtractToMemMap, and vdex.
// 尽早检查编译结果是否可以写入
if (!dex2oat->OpenFile())
return dex2oat::ReturnCode::kOther;
// 当以下任一项为真时,打印整行:
// 1)调试生成
// 2)编译图像
// 3)使用--host编译
// 4)在主机上编译(不是目标版本)
// 否则,打印剥离的命令行。
if (kIsDebugBuild || dex2oat->IsBootImage() || dex2oat->IsHost() || !kIsTargetBuild)
LOG(INFO) << CommandLine();
else
LOG(INFO) << StrippedCommandLine();
// 核心跳转
dex2oat::ReturnCode setup_code = dex2oat->Setup();
if (setup_code != dex2oat::ReturnCode::kNoFailure)
dex2oat->EraseOutputFiles();
return setup_code;
// 帮助在设备上调试。可用于确定哪个dalvikvm实例调用了dex2oat
// 例如。由工具/对分搜索/对分搜索使用。皮耶。
VLOG(compiler) << "Running dex2oat (parent PID = " << getppid() << ")";
dex2oat::ReturnCode result;
if (dex2oat->IsImage())
result = CompileImage(*dex2oat);
else
result = CompileApp(*dex2oat);
dex2oat->Shutdown();
return result;
源码路径 : /art/dex2oat/dex2oat.cc#Dex2oat
二、/art/dex2oat/dex2oat.cc#Setup 函数源码 ( 脱壳点 )
在 /art/dex2oat/dex2oat.cc#Setup 函数的最后位置 , 逐个遍历 dex 文件 , 此时是可以拿到 dex_file 直接导出 dex 文件数据到 SD 卡中 , 此处可以进行脱壳 ;
只要出现了 DexFile
实例对象 , 就可以进行脱壳操作 ;
/art/dex2oat/dex2oat.cc#Setup 函数源码 :
// 确保dex缓存保持活动状态,因为我们不希望在编译期间发生类卸载。
for (const auto& dex_file : dex_files_)
ScopedObjectAccess soa(self);
dex_caches_.push_back(soa.AddLocalReference<jobject>(
class_linker->RegisterDexFile(*dex_file,
soa.Decode<mirror::ClassLoader>(class_loader_).Ptr())));
if (dex_caches_.back() == nullptr)
soa.Self()->AssertPendingException();
soa.Self()->ClearException();
PLOG(ERROR) << "Failed to register dex file.";
return dex2oat::ReturnCode::kOther;
// 预注册dex文件,以便在编译和验证期间无需锁定即可访问验证结果。
verification_results_->AddDexFile(dex_file);
/art/dex2oat/dex2oat.cc#Setup 函数源码 :
// 设置编译环境。包括启动运行时和加载/打开引导类路径。
dex2oat::ReturnCode Setup()
TimingLogger::ScopedTiming t("dex2oat Setup", timings_);
if (!PrepareImageClasses() || !PrepareCompiledClasses() || !PrepareCompiledMethods())
return dex2oat::ReturnCode::kOther;
verification_results_.reset(new VerificationResults(compiler_options_.get()));
callbacks_.reset(new QuickCompilerCallbacks(
verification_results_.get(),
IsBootImage() ?
CompilerCallbacks::CallbackMode::kCompileBootImage :
CompilerCallbacks::CallbackMode::kCompileApp));
RuntimeArgumentMap runtime_options;
if (!PrepareRuntimeOptions(&runtime_options))
return dex2oat::ReturnCode::kOther;
CreateOatWriters();
if (!AddDexFileSources())
return dex2oat::ReturnCode::kOther;
if (IsBootImage() && image_filenames_.size() > 1)
// 如果我们正在编译引导映像,请将引导类路径存储到键值存储中。
// 我们需要这个多图像的情况。
key_value_store_->Put(OatHeader::kBootClassPathKey,
gc::space::ImageSpace::GetMultiImageBootClassPath(dex_locations_,
oat_filenames_,
image_filenames_));
if (!IsBootImage())
// 编译应用程序时,尽早创建运行时以检索oat头所需的映像位置键。
if (!CreateRuntime(std::move(runtime_options)))
return dex2oat::ReturnCode::kCreateRuntime;
if (CompilerFilter::DependsOnImageChecksum(compiler_options_->GetCompilerFilter()))
TimingLogger::ScopedTiming t3("Loading image checksum", timings_);
std::vector<gc::space::ImageSpace*> image_spaces =
Runtime::Current()->GetHeap()->GetBootImageSpaces();
image_file_location_oat_checksum_ = image_spaces[0]->GetImageHeader().GetOatChecksum();
image_file_location_oat_data_begin_ =
reinterpret_cast<uintptr_t>(image_spaces[0]->GetImageHeader().GetOatDataBegin());
image_patch_delta_ = image_spaces[0]->GetImageHeader().GetPatchDelta();
// Store the boot image filename(s).
std::vector<std::string> image_filenames;
for (const gc::space::ImageSpace* image_space : image_spaces)
image_filenames.push_back(image_space->GetImageFilename());
std::string image_file_location = android::base::Join(image_filenames, ':');
if (!image_file_location.empty())
key_value_store_->Put(OatHeader::kImageLocationKey, image_file_location);
else
image_file_location_oat_checksum_ = 0u;
image_file_location_oat_data_begin_ = 0u;
image_patch_delta_ = 0;
// Open dex files for class path.
std::vector<std::string> class_path_locations =
GetClassPathLocations(runtime_->GetClassPathString());
OpenClassPathFiles(class_path_locations,
&class_path_files_,
&opened_oat_files_,
runtime_->GetInstructionSet(),
classpath_dir_);
// Store the classpath we have right now.
std::vector<const DexFile*> class_path_files = MakeNonOwningPointerVector(class_path_files_);
std::string encoded_class_path;
if (class_path_locations.size() == 1 &&
class_path_locations[0] == OatFile::kSpecialSharedLibrary)
// When passing the special shared library as the classpath, it is the only path.
encoded_class_path = OatFile::kSpecialSharedLibrary;
else
encoded_class_path = OatFile::EncodeDexFileDependencies(class_path_files, classpath_dir_);
key_value_store_->Put(OatHeader::kClassPathKey, encoded_class_path);
// 现在我们已经完成了key\\u value\\u store\\u,开始编写oat文件。
TimingLogger::ScopedTiming t_dex("Writing and opening dex files", timings_);
rodata_.reserve(oat_writers_.size());
for (size_t i = 0, size = oat_writers_.size(); i != size; ++i)
rodata_.push_back(elf_writers_[i]->StartRoData());
// 直接将dex文件解压或复制到oat文件。
std::unique_ptr<MemMap> opened_dex_files_map;
std::vector<std::unique_ptr<const DexFile>> opened_dex_files;
// 无需验证以下各项的dex文件:
// 1)Dexlayout,因为它进行了验证。也可能无法通过验证,因为
// 我们不更新dex校验和。
// 2)当我们有一个vdex文件,这意味着它已经被验证。
const bool verify = !DoDexLayoutOptimizations() && (input_vdex_file_ == nullptr);
if (!oat_writers_[i]->WriteAndOpenDexFiles(
kIsVdexEnabled ? vdex_files_[i].get() : oat_files_[i].get(),
rodata_.back(),
instruction_set_,
instruction_set_features_.get(),
key_value_store_.get(),
verify,
update_input_vdex_,
&opened_dex_files_map,
&opened_dex_files))
return dex2oat::ReturnCode::kOther;
dex_files_per_oat_file_.push_back(MakeNonOwningPointerVector(opened_dex_files));
if (opened_dex_files_map != nullptr)
opened_dex_files_maps_.push_back(std::move(opened_dex_files_map));
for (std::unique_ptr<const DexFile>& dex_file : opened_dex_files)
dex_file_oat_index_map_.emplace(dex_file.get(), i);
opened_dex_files_.push_back(std::move(dex_file));
else
DCHECK(opened_dex_files.empty());
dex_files_ = MakeNonOwningPointerVector(opened_dex_files_);
// 我们不得不将互换决定推迟到现在,因为这是我们真正需要的时候
// 了解我们将要使用的dex文件。
// 确保我们还没有创建驱动程序。
CHECK(driver_ == nullptr);
// 如果我们使用交换文件,请确保我们高于阈值以使其成为必要。
if (swap_fd_ != -1)
if (!UseSwap(IsBootImage(), dex_files_))
close(swap_fd_);
swap_fd_ = -1;
VLOG(compiler) << "Decided to run without swap.";
else
LOG(INFO) << "Large app, accepted running with swap.";
// 请注意,dex2oat不会关闭 swap_fd_。编译器驱动程序的交换空间可以做到这一点。
// 如果由于大小原因需要降级编译器筛选器,请立即执行该检查。
if (!IsBootImage() && IsVeryLarge(dex_files_))
if (!CompilerFilter::IsAsGoodAs(CompilerFilter::kExtract,
compiler_options_->GetCompilerFilter()))
LOG(INFO) << "Very large app, downgrading to extract.";
// 注意:这个更改不会反映在键值存储中,这是必须的
// 在加载dex文件之前完成。当前需要此设置
// 从DexFile对象获取大小。
// TODO:重构。b/29790079
compiler_options_->SetCompilerFilter(CompilerFilter::kExtract);
if (IsBootImage())
// 对于启动映像,将打开的dex文件传递给运行时::Create()。
// 注意:运行时获得这些dex文件的所有权。
runtime_options.Set(RuntimeArgumentMap::BootClassPathDexList, &opened_dex_files_);
if (!CreateRuntime(std::move(runtime_options)))
return dex2oat::ReturnCode::kOther;
// 如果我们正在处理映像,请重写编译器过滤器以强制进行完整编译。必须是
// 在导致验证的WellKnownClasses::Init之前完成。注意:不强制
// 类初始值设定项的编译。
// 当我们在本机中时,请抓住机会初始化众所周知的类。
Thread* self = Thread::Current();
WellKnownClasses::Init(self->GetJniEnv());
ClassLinker* const class_linker = Runtime::Current()->GetClassLinker();
if (!IsBootImage())
constexpr bool kSaveDexInput = false;
if (kSaveDexInput)
SaveDexInput();
// 句柄和类加载器的创建需要在Runtime::Create之后进行。
ScopedObjectAccess soa(self);
// 类路径:首先是给定的类路径。
std::vector<const DexFile*> class_path_files = MakeNonOwningPointerVector(class_path_files_);
// 然后我们将编译dex文件。因此,我们将首先解析类路径。
class_path_files.insert(class_path_files.end(), dex_files_.begin(), dex_files_.end());
class_loader_ = class_linker->CreatePathClassLoader(self, class_path_files);
// 确保打开的dex文件对于dex到dex转换是可写的。
for (const std::unique_ptr<MemMap>& map : opened_dex_files_maps_)
if (!map->Protect(PROT_READ | PROT_WRITE))
PLOG(ERROR) << "Failed to make .dex files writeable.";
return dex2oat::ReturnCode::kOther;
// 确保dex缓存保持活动状态,因为我们不希望在编译期间发生类卸载。
for (const auto& dex_file : dex_files_)
ScopedObjectAccess soa(self);
dex_caches_.push_back(soa.AddLocalReference<jobject>(
class_linker->RegisterDexFile(*dex_file,
soa.Decode<mirror::ClassLoader>(class_loader_).Ptr())));
if (dex_caches_.back() == nullptr)
soa.Self()->AssertPendingException();
soa.Self()->ClearException();
PLOG(ERROR) << "Failed to register dex file.";
return dex2oat::ReturnCode::kOther;
// 预注册dex文件,以便在编译和验证期间无需锁定即可访问验证结果。
verification_results_->AddDexFile(dex_file);
return dex2oat::ReturnCode::kNoFailure;
以上是关于Android 逆向ART 脱壳 ( dex2oat 脱壳 | /art/dex2oat/dex2oat.cc#Dex2oat 函数源码 )的主要内容,如果未能解决你的问题,请参考以下文章
Android 逆向ART 脱壳 ( InMemoryDexClassLoader 脱壳 | DexFile 构造函数及相关调用函数 | Android 源码中查找 native 函数 )
Android 逆向ART 脱壳 ( 修改 /art/runtime/dex_file.cc#OpenCommon 系统源码进行脱壳 )
Android 逆向ART 脱壳 ( InMemoryDexClassLoader 脱壳 | InMemoryDexClassLoader 类加载器脱壳点总结 )
Android 逆向ART 脱壳 ( InMemoryDexClassLoader 脱壳 | 加固厂商在 ART 下使用的两种类加载器 | InMemoryDexClassLoader 源码 )(代码
Android 逆向ART 脱壳 ( InMemoryDexClassLoader 脱壳 | dex_file.cc 中创建 DexFile 实例对象的相关函数分析 )
Android 逆向ART 脱壳 ( DexClassLoader 脱壳 | DexClassLoader 构造函数 | 参考 Dalvik 的 DexClassLoader 类加载流程 )(代码片段