【原创】Dalvik模式基于Xposed Hook的脱壳工具

好久没写笔记了，因为好久没有研究技术了，最近一年来工作做了转型后，比较忙，一直没时间去研究自己喜欢的Android技术，刚好前段时间有个项目需要涉及到一些Android安全分析的，之前有段时间倒是研究过Substrate的Hook框架，但是由于当时C++完全不懂，看代码像看天书，而Xposed的框架当时只是安装后测试了一下别人写好的一些模块（比如抢红包模块），刚好趁这次机会，与同事一同学习一下Xposed的框架，闲话不多说，开整！

老早之前写过Xposed框架的安装，那时候的Android Studio还用的1.x版本，对于C/C++的集成可以说非常差，有兴趣的可以参看我之前写的Xposed框架安装笔记：

Xposed模块折腾记

而如今N久没用AS，发现已更新至2.x 版本，而且谷歌官方宣布对C/C++的集成愈加完善，于是果断安装最新版本的AS（2.3.3），在新建项目时，即可直接勾选C/C++支持，如下图所示：

1.AS会自动下载并安装C/C++编译所需的NDK环境，接着下载Xposed的api JAR包，我下载的是api-82.jar，将其放入项目的libs文件夹中，然后bulid-library，接着在测试机上安装Xposed的安装包，因为我的测试机是Android 4.4.4系统，因此我安装的是xposed 2.7版本（http://dl-xda.xposed.info/modules/de.robv.android.xposed.installer_v33_36570c.apk）。

2.修改AndroidMainfest.xml文件，在application中添加如下代码：

3.新建一个assets文件夹，记得放在main目录下，在assets文件夹下创建一个文件，名叫xposed_init，写入你要创建的类名，我的是“com.example.kuhn.xposed.Module”

4.接着修改app目录下的build.gradle 文件，将dependencies 中的fileTree和files前面的compile改为“provided”，如下图：

5.然后创建Module类，代码如下：

6.在cpp文件中创建dumpdex.cpp文件，代码如下：

7.创建Object.h文件，代码如下：

8.修改CMakeList.txt文件，加入dumpdex.cpp文件，如下图：

9.编译apk，安装至测试机，然后Xposed中在模块中勾选“Xposed”模块，软重启后，就会看到相应的提示了，如下图：

10.在sdcard的根目录下即会出现dump出来的dex文件。

11.使用JEB打开dex：

额外笔记：

1.Android加固实现一般是基于DexClassLoader的加载流程来实现的，DexClassLoader在整个java层的实现流程如下图：

2.从DexClassLoader到openDexFileNative函数的整个流程下来，DexClassLoader的java层实现全部完成，openDexFileNative之后是由native层函数实现，dex文件的加固是基于DexClassLoader的加载流程而来的，dex文件优化为odex文件后加载到apk进程的内存中返回是mCookie值，这个mCookie值就是dex文件加载到内存之后的镜像描述结构体指针DexOrJar* ，DexOrJar结构体的具体代码可参见：

http://androidxref.com/4.4.4_r1/xref/dalvik/vm/native/dalvik_system_DexFile.cpp#DexOrJar

3.openDexFileNative在native层对应的实现函数是 Dalvik_dalvik_system_DexFile_openDexFileNative，代码具体参见：

http://androidxref.com/4.4.4_r1/xref/dalvik/vm/native/dalvik_system_DexFile.cpp#151

4.基于Xposed Hook开发脱壳工具其实就是使用Xposed Hook框架Hook掉 DexClassLoader加载dex文件流程中类dalvik.system.DexFile的方法loadDex函数，等到loadDex函数返回时拿到dex文件内存加载后的mCookie值，然后内存dump出mCookie值描述的dex文件的值。dalvik.system.DexFile的loadDex函数的实现如下：

http://androidxref.com/4.4.4_r1/xref/libcore/dalvik/src/main/java/dalvik/system/DexFile.java#141

PS：因为dump的方法比较暴力，故dump出来的dex可以通过手动优化一下（如dd大法，dd if=in.dat of=out.dat count=1 bs=6941960），后面可以考虑将dump这块的代码改为dexhunter的代码进行结合，相信会更加强大。

 

另外，如果要复习dex文件格式，可参见我以前写的这篇文章：

深入理解DEX文件格式

参考文章：

http://blog.csdn.net/QQ1084283172/article/details/77966109