【Android 安全】DEX 加密 ( 代理 Application 开发 | 加载 dex 文件 | 反射获取系统的 Element[] dexElements )

2023-03-28 19:02:37 浏览数 (1)

文章目录

  • 一、dex 文件准备
  • 二、加载 dex 文件流程
  • 三、Element[] dexElements 分析
  • 四、反射获取系统的 Element[] dexElements

参考博客 :

  • 【Android 安全】DEX 加密 ( 常用 Android 反编译工具 | apktool | dex2jar | enjarify | jd-gui | jadx )
  • 【Android 安全】DEX 加密 ( Proguard 简介 | Proguard 相关网址 | Proguard 混淆配置 )
  • 【Android 安全】DEX 加密 ( Proguard 简介 | 默认 ProGuard 分析 )
  • 【Android 安全】DEX 加密 ( Proguard keep 用法 | Proguard 默认混淆结果 | 保留类及成员混淆结果 | 保留注解以及被注解修饰的类/成员/方法 )
  • 【Android 安全】DEX 加密 ( Proguard 混淆 | 混淆后的报错信息 | Proguard 混淆映射文件 mapping.txt )
  • 【Android 安全】DEX 加密 ( Proguard 混淆 | 将混淆后的报错信息转为原始报错信息 | retrace.bat 命令执行目录 | 暴露更少信息 )
  • 【Android 安全】DEX 加密 ( DEX 加密原理 | DEX 加密简介 | APK 文件分析 | DEX 分割 )
  • 【Android 安全】DEX 加密 ( 多 DEX 加载 | 65535 方法数限制和 MultiDex 配置 | PathClassLoader 类加载源码分析 | DexPathList )
  • 【Android 安全】DEX 加密 ( 不同 Android 版本的 DEX 加载 | Android 8.0 版本 DEX 加载分析 | Android 5.0 版本 DEX 加载分析 )
  • 【Android 安全】DEX 加密 ( DEX 加密使用到的相关工具 | dx 工具 | zipalign 对齐工具 | apksigner 签名工具 )
  • 【Android 安全】DEX 加密 ( 支持多 DEX 的 Android 工程结构 )
  • 【Android 安全】DEX 加密 ( 代理 Application 开发 | multiple-dex-core 依赖库开发 | 配置元数据 | 获取 apk 文件并准备相关目录 )
  • 【Android 安全】DEX 加密 ( 代理 Application 开发 | 解压 apk 文件 | 判定是否是第一次启动 | 递归删除文件操作 | 解压 Zip 文件操作 )

在 【Android 安全】DEX 加密 ( 支持多 DEX 的 Android 工程结构 ) 博客中介绍了 DEX 加密工程的基本结构 ,

app 是主应用 , 其 Module 类型是 “Phone & Tablet Module” ,

multiple-dex-core 是 Android 依赖库 , 其作用是解密并加载多 DEX 文件 , 其 Module 类型是 “Android Library” ,

multiple-dex-tools 是 Java 依赖库 , 其类型是 “Java or Kotlin Library” , 其作用是用于生成主 DEX ( 主 DEX 的作用就是用于解密与加载多 DEX ) , 并且还要为修改后的 APK 进行签名 ;

在 【Android 安全】DEX 加密 ( 代理 Application 开发 | multiple-dex-core 依赖库开发 | 配置元数据 | 获取 apk 文件并准备相关目录 ) 博客中讲解了 multiple-dex-core 依赖库开发 , 每次启动都要解密与加载 dex 文件 , 在该博客中讲解到了 获取 apk 文件 , 并准备解压目录 ;

在 【Android 安全】DEX 加密 ( 代理 Application 开发 | 解压 apk 文件 | 判定是否是第一次启动 | 递归删除文件操作 | 解压 Zip 文件操作 ) 博客中讲解了 apk 文件解压操作 ;

本博客中主要讲解 dex 文件加载操作 ;

一、dex 文件准备


上一篇博客讲解的是 apk 文件解压 , 继续后面的步骤 ;

如果本次是第一次启动 , 则需要 解压 apk 文件 ,

解压后 , 将所有的 dex 文件放到 dexDir 中 , 解密该 dex 文件 ,

解密完成后 , 将文件路径存放在 var dexFiles : ArrayList<File> 集合中 ;

如果本次不是第一次启动 , 则直接从 dexDir 中获取 dex 文件 ,

将所有的 dex 文件路径放在 var dexFiles : ArrayList<File> 集合中 ;

代码语言:javascript复制
        // 遍历解压后的 apk 文件 , 将需要加载的 dex 放入如下集合中
        var dexFiles : ArrayList<File> = ArrayList<File>()

        // 如果该 dexDir 存在 , 并且该目录不为空 , 并进行 MD5 文件校验
        if( !dexDir.exists() || dexDir.list().size == 0){
            // 将 apk 中的文件解压到了 appDir 目录
            unZipApk(apkFile, appDir)

            // 获取 appDir 目录下的所有文件
            var files = appDir.listFiles()

            // 遍历文件名称集合
            for(i in files.indices){
                var file = files[i]
                // 如果文件后缀是 .dex , 并且不是 主 dex 文件 classes.dex
                // 符合上述两个条件的 dex 文件放入到 dexDir 中
                if(file.name.endsWith(".dex") &&
                    TextUtils.equals(file.name, "classes.dex")){
                    // 筛选出来的 dex 文件都是需要解密的
                    // 解密需要使用 OpenSSL 进行解密

                    // 获取该文件的二进制 Byte 数据
                    // 这些 Byte 数组就是加密后的 dex 数据
                    var bytes = Utils.getBytes(file)

                    // 解密该二进制数据, 并替换原来的加密 dex, 直接覆盖原来的文件即可
                    Utils.decrypt(bytes, file.absolutePath)

                    // 将解密完毕的 dex 文件放在需要加载的 dex 集合中
                    dexFiles.add(file)

                }// 判定是否是需要解密的 dex 文件
            }// 遍历 apk 解压后的文件

        }else{
            // 已经解密完成, 此时不需要解密, 直接获取 dexDir 中的文件即可
            for (file in dexDir.listFiles()) {
                dexFiles.add(file)
            }
        }

二、加载 dex 文件流程


加载上述 dex 文件集合 , 这些 dex 文件已经解密 ;

加载 dex 文件流程 :

1 . 步骤一 : 获得系统 DexPathList 中的 Element[] dexElements 数组 ,

( libcore/dalvik/src/main/java/dalvik/system/DexPathList.java ) ;

2 . 步骤二 : 在本应用中创建 Element[] dexElements 数组 , 用于存放解密后的 dex 文件 ;

3 . 步骤三 : 将 系统加载的 Element[] dexElements 数组 , 与我们自己创建的 Element[] dexElements 数组进行 合并操作

4 . 步骤四 : 替换 ClassLoader 加载过程中的 Element[] dexElements 数组 ( 封装在 DexPathList 中 ) ;

三、Element[] dexElements 分析


系统的 Element[] dexElements 数组 封装在 libcore/dalvik/src/main/java/dalvik/system/DexPathList.java 中

代码语言:javascript复制
/*package*/ final class DexPathList {
    /**
     * dex/resource (class path) 元素集合.
     * 应该调用 pathElements , 但是 Facebook 应用通过反射修改 dexElements .
     */
    private final Element[] dexElements;
    public DexPathList(ClassLoader definingContext, String dexPath,
            String libraryPath, File optimizedDirectory) {
        // save dexPath for BaseDexClassLoader
        this.dexElements = makePathElements(splitDexPath(dexPath), optimizedDirectory,
                                            suppressedExceptions);
	}
}

参考源码地址 : 6.0.1_r16/xref/libcore/dalvik/src/main/java/dalvik/system/DexPathList.java

DexPathList 对象被封装在 libcore/dalvik/src/main/java/dalvik/system/BaseDexClassLoader.java 中 ;

代码语言:javascript复制
public class BaseDexClassLoader extends ClassLoader {
    private final DexPathList pathList;
}

参考源码地址 : libcore/dalvik/src/main/java/dalvik/system/BaseDexClassLoader.java

PathClassLoader 是我们可以拿到的类加载器 , 该类是 BaseDexClassLoader 的子类 ,

源码位置是 libcore/dalvik/src/main/java/dalvik/system/PathClassLoader.java ;

代码语言:javascript复制
public class PathClassLoader extends BaseDexClassLoader {
}

参考源码地址 : libcore/dalvik/src/main/java/dalvik/system/PathClassLoader.java

在 Context 中调用 getClassLoader() 方法 , 可以拿到 PathClassLoader 后 , 需要从其父类 BaseDexClassLoader 中找到 DexPathList , 进而获取封装在 DexPathList 类中的 Element[] dexElements 数组 ;

四、反射获取系统的 Element[] dexElements


上述的 DexPathList 对象 是 BaseDexClassLoader 的 私有成员 , Element[] dexElements 数组 也是 DexPathList 的 私有成员 , 因此只能使用 反射 获取 Element[] dexElements 数组 ;

反射获取系统的 Element[] dexElements , 需要分三个阶段完成 ;

第一阶段 : 在 Context 中调用 getClassLoader() 方法 , 可以 拿到 PathClassLoader ;

代码语言:javascript复制
classLoader

第二阶段 : 从 PathClassLoader 父类 BaseDexClassLoader 中 找到 DexPathList ;

代码语言:javascript复制
        // 阶段一二 : 调用 getClassLoader() 方法可以获取 PathClassLoader 对象
        // 从 PathClassLoader 对象中获取 private final DexPathList pathList 成员
        var pathListField = reflexField(classLoader, "DexPathList");
        // 获取 classLoader 对象对应的 DexPathList pathList 成员
        var pathList = pathListField.get(classLoader)

第三阶段 : 获取封装在 DexPathList 类中的 Element[] dexElements 数组 ;

代码语言:javascript复制
        /*
            1 . 获得系统 DexPathList 中的 Element[] dexElements 数组

            第一阶段 : 在 Context 中调用 getClassLoader() 方法 , 可以拿到 PathClassLoader ;

            第二阶段 : 从 PathClassLoader 父类 BaseDexClassLoader 中找到 DexPathList ;

            第三阶段 : 获取封装在 DexPathList 类中的 Element[] dexElements 数组 ;

            上述的 DexPathList 对象 是 BaseDexClassLoader 的私有成员
            Element[] dexElements 数组 也是 DexPathList 的私有成员
            因此只能使用反射获取 Element[] dexElements 数组
         */

        // 阶段一二 : 调用 getClassLoader() 方法可以获取 PathClassLoader 对象
        // 从 PathClassLoader 对象中获取 private final DexPathList pathList 成员
        var pathListField = reflexField(classLoader, "DexPathList");
        // 获取 classLoader 对象对应的 DexPathList pathList 成员
        var pathList = pathListField.get(classLoader)

        //阶段三 : 获取封装在 DexPathList 类中的 Element[] dexElements 数组
        var dexElementsField = reflexField(pathList, "dexElements")
        // 获取 pathList 对象对应的 Element[] dexElements 数组成员
        var dexElements : Array<Any> = dexElementsField.get(pathList) as Array<Any>

0 人点赞