FART 脱壳机原理分析

FART是一个基于Android 源码修改的脱壳机

可以脱整体壳和抽取壳

FART脱壳的步骤主要分为三步：

1.内存中DexFile结构体完整dex的dump

2.主动调用类中的每一个方法，并实现对应CodeItem的dump

3.通过主动调用dump下来的方法的CodeItem进行dex中被抽取的方法的修复

1. 整体壳脱壳分析

这里利用的是dex2oat过程中,如果是构造函数将不会native化,还是走java解释器执行,于是在interpreter.cc中添加了如下代码

static inline JValue Execute(Thread* self, const DexFile::CodeItem* code_item,

ShadowFrame& shadow_frame, JValue result_register) {

if(strstr(PrettyMethod(shadow_frame.GetMethod()).c_str(),"")!=nullptr)

{

dumpDexFileByExecute(shadow_frame.GetMethod());

}

......

}

也就是说,一旦发现方法是构造函数,那么就立刻执行脱壳操作

dumpDexFileByExecute在 art_method.cc 中

extern "C" void dumpDexFileByExecute(ArtMethod * artmethod)

SHARED_LOCKS_REQUIRED(Locks::mutator_lock_) {

char *dexfilepath = (char *) malloc(sizeof(char) * 2000);

if (dexfilepath == nullptr) {

LOG(INFO) <<

"ArtMethod::dumpDexFileByExecute,methodname:"

<< PrettyMethod(artmethod).

c_str() << "malloc 2000 byte failed";

return;

}

int fcmdline = -1;

char szCmdline[64] = { 0 };

char szProcName[256] = { 0 };

int procid = getpid();

sprintf(szCmdline, "/proc/%d/cmdline", procid);

fcmdline = open(szCmdline, O_RDONLY, 0644);

if (fcmdline > 0) {

read(fcmdline, szProcName, 256);

close(fcmdline);

}

if (szProcName[0]) {

const DexFile *dex_file = artmethod->GetDexFile();

const uint8_t *begin_ = dex_file->Begin(); // Start of data.

size_t size_ = dex_file->Size(); // Length of data.

memset(dexfilepath, 0, 2000);

int size_int_ = (int) size_;

memset(dexfilepath, 0, 2000);

sprintf(dexfilepath, "%s", "/sdcard/fart");

mkdir(dexfilepath, 0777);

memset(dexfilepath, 0, 2000);

sprintf(dexfilepath, "/sdcard/fart/%s",

szProcName);

mkdir(dexfilepath, 0777);

memset(dexfilepath, 0, 2000);

sprintf(dexfilepath,

"/sdcard/fart/%s/%d_dexfile_execute.dex",

szProcName, size_int_);

int dexfilefp = open(dexfilepath, O_RDONLY, 0666);

if (dexfilefp > 0) {

close(dexfilefp);

dexfilefp = 0;

} else {

dexfilefp =

open(dexfilepath, O_CREAT | O_RDWR,

0666);

if (dexfilefp > 0) {

write(dexfilefp, (void *) begin_,

size_);

fsync(dexfilefp);

close(dexfilefp);

}

}

}

if (dexfilepath != nullptr) {

free(dexfilepath);

dexfilepath = nullptr;

}

}

脱下来的dex 会写入到xxx_dexfile_execute.dex 文件中, 这里的原理是 artMethod 本身是持有对应的DexFile的指针的,那么就有Dex在文件中的偏移和大小,就可以dump下来

( const DexFile *dex_file = artmethod->GetDexFile(); )

2. 脱抽取壳

在APP启动流程中会执行performLaunchActivity方法,在这里的末尾 FART 添加了一些代码

fartthread();

public static void fartthread() {

new Thread(new Runnable() {

@Override

public void run() {

try {

Log.e("ActivityThread", "start sleep,wait for fartthread start......");

Thread.sleep(1 * 60 * 1000);

} catch (InterruptedException e) {

e.printStackTrace();

}

Log.e("ActivityThread", "sleep over and start fartthread");

fart();

Log.e("ActivityThread", "fart run over");

}

}).start();

}

从这里可以看出,FART 会先休眠1分钟,然后开始干活,但只干一次, youpk 每十秒就干一次

public static void fart() {

ClassLoader appClassloader = getClassloader();

List