Android APK加壳技术的研究-内存动态加载

本文主要参考博客: Android4.0内存Dex数据动态加载技术 APK加壳【2】内存加载dex实现详解 CSDN的大牛写的博客太简洁了,内存动态加载主要参考taoyuanxiaoqi的博文,写得比较详细。我的上一篇文章提到使用DexClassLoader函数,把apk文件加载进来,不过这样的做法会导致apk文件躺在文件系统中,这样的做法并不安全,在4.0之后,可以通过封装Dalvik_dalvik_system_DexFile_openDexFile_bytearray函数,可以在解密出dex文件的byteArray数组后,不需要保存到文件系统的路径上,直接通过4.0的函数在内存中读取。 参考博客他们的做法是,通过修改DexShellTool,并不是把payload.apk拼接到unshell.dex的后面,只是把payload.apk的classes.dex拼接到unshell.dex的后面。然后通过读取出classes.dex数组,并不保存到文件系统中,实现在内存中动态加载。 但是我比较懒,不想修改DexShellTool,还是把payload.apk拼接到后面,然后把payload.apk解压放到文件系统中,然后把里面的classes.dex数组读出来,这样进行动态加载,主要是想验证Dalvik_dalvik_system_DexFile_openDexFile_bytearray函数,文件系统还是躺着一个apk。

1.配置环境

本文的编译环境如下: Android Studio 1.2.1.1 JDK 1.7.0_79 SDK NDK 跟我的上一篇文章的环境是一样的,由于taoyuanxiaoqi的博文写的比较详细,代码我就不一一copy了,主要说一下编译过程中可能由于编译版本不同而提示的错误。 建立一个com.droider.dexunshellram的project,app里面的build.gradle如下,minSdkVersion为14,安卓4.0。

apply plugin: ‘com.android.application’

android {
compileSdkVersion 22
buildToolsVersion “22.0.1”

defaultConfig {
    applicationId "com.droider.dexunshellram"
    minSdkVersion 14
    targetSdkVersion 22
    versionCode 1
    versionName "1.0"

    ndk {
        moduleName "unshellram"
        abiFilters "armeabi-v7a"
    }
}
buildTypes {
    release {
        minifyEnabled false
        proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro'
    }
}

}

dependencies {
compile fileTree(dir: ‘libs’, include: [‘*.jar’])
compile ‘com.android.support:appcompat-v7:22.1.1’
}

AndroidManifest.xml如下:











2.java层

在jni文件的编写,基本上是没有提示错误的,完全参考第二篇taoyuanxiaoqi博主那样编写就行了,编写3个文件,分别是com_droider_dexunshellram_unshellram.c、com_droider_dexunshellram_unshellram.h和dalvik_common.h。 遇到的问题: 1.在java层中,主要是基于我上一篇文章的com.droider.dexunshell应用修改。无意中发现上一篇文章的RefInvoke.java有漏洞,因为taoyuanxiaoqi博主在DynamicDexClassLoader中使用了import com.eebbk.mingming.k7utils.ReflectUtils;,应该是别人写的反射函数,我想用回自己的RefInvoke。但是上一篇文章中CSDN博主的RefInvoke写法有问题。应该在invokeStaticMethod函数中加入method.setAccessible(true);

public static  Object invokeStaticMethod(String class\_name, String method\_name, Class\[\] pareTyple, Object\[\] pareVaules){

    try {
        Class obj\_class = Class.forName(class\_name);
        Method method = obj\_class.getDeclaredMethod(method\_name, pareTyple);
        method.setAccessible(true);

2.在DynamicDexClassLoader.java中,需要把defineClass的defineClass改成defineClassNative,要不会提示找不到defineClass的错误。

private Class defineClass(String name, ClassLoader loader, int cookie) {
    return (Class) RefInvoke.invokeStaticMethod(DexFile.class.getCanonicalName(),
            "defineClassNative", new Class\[\]{String.class, ClassLoader.class,
                    int.class}, new Object\[\]{name, loader, cookie});
}

3.在DynamicDexClassLoader.java的findClass函数中,需要加一个break和注释两行函数,要不会一直不断defineClass。

protected Class findClass(String name) throws ClassNotFoundException {
    ……
    for (int z = 0; z < as.length; z++) {
        Log.d(TAG, "findClass-as\[z\]" + as\[z\]);
        if (as\[z\].equals(name)) {
            Log.d(TAG, "findClass-name" + as\[z\]);
            cls = defineClass(as\[z\].replace('.', '/'),
                    mContext.getClassLoader(), cookie);
            break;
        } else {

// defineClass(as[z].replace(‘.’, ‘/‘), mContext.getClassLoader(),
// cookie);
}
}
……

所以在Java层中按taoyuanxiaoqi博主的文章相应修改一下ProxyApplication.java和RefInvoke.java。然后添加DynamicDexClassLoader.java和unshellram.java。就大功告成,其实上面这些错误的解决方法是在taoyuanxiaoqi的博文评论中找到的。 编译通过后,也需要向我上一篇文章一样,运行一下DexShellTool,把apk拼接到后面,再重新签名安装。apk为上一篇博文的crackme0201 dexunshellram程序app文件夹的代码包链接。 搞定,收工。