|
APP逆向過程中����,需要對dex文件和elf文件進(jìn)行分析,又因現(xiàn)在各APP都有各種代碼保護(hù)手法�����,因此都需要進(jìn)行動態(tài)分析。 今天就分享下對elf文件也就是so文件中動態(tài)分析so文件中JNI函數(shù)的方案�����。
jnitrace它是基于frida基礎(chǔ)上的一個工具�����,它是一個動態(tài)分析追蹤SO文件中的JNI API調(diào)用的工具,它可以進(jìn)行指定SO文件進(jìn)行跟蹤JNI調(diào)用�����。
1���、JavaVM 和 JNIEnv JNI 它定義了兩個關(guān)鍵數(shù)據(jù)結(jié)構(gòu):JavaVM和JNIEnv��。它們本質(zhì)上都是指向函數(shù)表的二級指針。(在 C++ 版本中��,它們是一些類�,這些類具有指向函數(shù)表的指針���,并具有每個通過該函數(shù)表間接調(diào)用的 JNI 函數(shù)的成員函數(shù)�。)JavaVM 提供“調(diào)用接口”函數(shù),可以利用此類來函數(shù)創(chuàng)建和銷毀 JavaVM���。JNIEnv 提供了大部分 JNI 函數(shù), so中的原生函數(shù)都會收到 JNIEnv 作為第一個參數(shù)����。該 JNIEnv 將用于線程本地存儲�����。因此無法在線程之間共享 JNIEnv�����。如果一段代碼無法通過其他方法獲取自己的 JNIEnv��,應(yīng)該共享相應(yīng) JavaVM�����,然后使用 GetEnv 發(fā)現(xiàn)線程的 JNIEnv�����。 
JNIEnv 和 JavaVM 的 C 聲明與 C++ 聲明不同��。'jni.h' include 文件會提供不同的類型定義符��,具體取決于該文件是包含在 C 還是 C++ 中����。因此不建議在這兩種語言包含的頭文件中添加 NIEnv 參數(shù)。 2����、spawn和attach注入?yún)^(qū)別 Frida支持spawn和attach兩種啟動方式。 attach模式下�,F(xiàn)rida會附加到當(dāng)前的目標(biāo)進(jìn)程中,即需要App處于啟動狀態(tài)�����,這也意味著它只能從當(dāng)前時機(jī)往后Hook�����; spawn模式下�����,F(xiàn)rida會自行啟動并注入進(jìn)目標(biāo)App����,Hook的時機(jī)非常早����,好處在于不會錯過App中相對較早(比如App啟動時產(chǎn)生的參數(shù)),缺點是假如想要Hook的時機(jī)點偏后����,則會帶來大量干擾信息�,嚴(yán)重甚至?xí)?dǎo)致server崩潰。 attach注入:APP啟動后再 hook����,不能 hook APP的啟動階段。 spawn注入 :重啟 APP�����,適合 hook APP啟動階段���。 jnitrace使用需要配合python環(huán)境和frida工具(版本需要配套好) 
這個jnitrace安裝后主要核心的實現(xiàn)功能都在jnitrace.py和jnitrace.js 
下圖是jnitrace.py中主要功能:首先判斷連接設(shè)備的方式 是以remote_device還是usb_device,接著默認(rèn)采用spawn的注入方式�,在去執(zhí)行jnitrace.js文件中的hook功能���,最后在輸出執(zhí)行后的數(shù)據(jù)����。 
下圖是jnitrace.js的關(guān)鍵功能點,注入后實際功能還是調(diào)用到底層的dlopen����。 
Frida啟動后會往要hook的進(jìn)程中注入frida的so文件 
下圖是所有功能組成的解析 
通過jnitrace -l libxxx.so com.xxx.xxx 可以打印輸出so中的jni函數(shù),以及這些jni函數(shù)的調(diào)用獲取數(shù)據(jù) 
通過 jnitrace -l libxxx.so com.xxx.xxx -i RegisterNatives 可以查看到so中的所有動態(tài)注冊的函數(shù)����。
|
