更強脫殼器的不同思路

分析Fart和Youpk的整體dump組件

Fart整體dump思路的演進

1.0：classloader中dump

1、時機

• APP中的Application類中的attachBaseContext和onCreate函數(shù)是app中最先執(zhí)行的方法。

• 因此需要選在在Application的onCreate函數(shù)執(zhí)行之后才開始被調(diào)用的任意一個函數(shù)中。

• 比如選擇在ActivityThread中的performLaunchActivity函數(shù)作為時機，來獲取最終的應用的Classloader。
    
  

2、方式：“hook” →、反射和“dump”

• 獲取到應用解密后的dex文件最終依附的Classloader之后

• 通過java的反射機制最終獲取到對應的DexFile的結(jié)構(gòu)體，并完成dex的dump
  
  

v1.0：classloader中dump

1、時機：ActivityThread.java

2、方式：art/runtime/native/dalvik_system_DexFile.cc

v2.0：更多”海量“的脫殼點

1、時機：

• 所有類和方法的裝載和鏈接/編譯和執(zhí)行流程之中

2、方式：基于“hook”→ ”dump“

• ART下DexFile類中定義了兩個關(guān)鍵的變量： begin_、size_以及用于獲取這兩個變量的Begin()和Size()函數(shù)

• 這兩個變量分別代表著當前DexFile對象對應的內(nèi)存中的dex文件加載的起始位置和大小。

• 只要有了這兩個值，我們就可以完成對這個dex的dump。
  
  

類裝載的流程

1、裝載：查找和導入Class文件

2、鏈接：其中解析步驟是可以選擇的
    （a）檢查：檢查載入的class文件數(shù)據(jù)的正確性
    （b）準備：給類的靜態(tài)變量分配存儲空間
    （c）解析：將符號引用轉(zhuǎn)成直接引用

3、初始化：即調(diào)用<clinit>函數(shù)，對靜態(tài)變量，靜態(tài)代碼塊執(zhí)行初始化工作

Fart整體dump思路的演進

 v3.0：優(yōu)中選優(yōu)后 的脫殼點

1、時機：

• 找到繞過dex2oat的時機

• 類的初始化函數(shù)始終運行在ART下的inpterpreter模式
     
  

2、方式：

• 在解釋執(zhí)行<clinit>時進行脫殼 實現(xiàn)“繞過”dex2oat

• 因此必然進入到interpreter.cc文件中的Execute函數(shù)，進而進入ART下的解釋器解釋執(zhí)行
  
  

v 4.0：優(yōu)中選優(yōu) + 雙保險

1、時機和方法：

• 同時在dex2oat和類的初始化流程函數(shù)設置“hook”

Youpk的整體dump思路

 v 4.0：優(yōu)中選優(yōu) + 雙保險

1、時機：

• App啟動后10s開始

2、方式：

• 禁用dex2oat：在dex2oat中設置 CompilerFilter 為僅驗證
  compiler_options_->SetCompilerFilter(CompilerFilter::kVerifyAtRuntime);

  
  

• 從ClassLinker中遍歷DexFile對象并dump
  
  
  推薦閱讀：https://bbs.pediy.com/thread-254028.htm
  
  

Youpk+Fart 整體dump進一步提升

• 每個脫殼點都可以脫殼DexFile

• 在安卓8上禁用dex2oat

• 結(jié)合fart所提出的海量脫殼點

•       每個脫殼點都可以脫殼
  

推薦閱讀

- https://bbs.pediy.com/thread-252630.htm

- https://bbs.pediy.com/thread-254028.htm