文章目录
- 一、dex 文件准备
- 二、加载 dex 文件流程
- 三、Element[] dexElements 分析
- 四、反射获取系统的 Element[] dexElements
参考博客 :
- 【Android 安全】DEX 加密 ( 常用 Android 反编译工具 | apktool | dex2jar | enjarify | jd-gui | jadx )
- 【Android 安全】DEX 加密 ( Proguard 简介 | Proguard 相关网址 | Proguard 混淆配置 )
- 【Android 安全】DEX 加密 ( Proguard 简介 | 默认 ProGuard 分析 )
- 【Android 安全】DEX 加密 ( Proguard keep 用法 | Proguard 默认混淆结果 | 保留类及成员混淆结果 | 保留注解以及被注解修饰的类/成员/方法 )
- 【Android 安全】DEX 加密 ( Proguard 混淆 | 混淆后的报错信息 | Proguard 混淆映射文件 mapping.txt )
- 【Android 安全】DEX 加密 ( Proguard 混淆 | 将混淆后的报错信息转为原始报错信息 | retrace.bat 命令执行目录 | 暴露更少信息 )
- 【Android 安全】DEX 加密 ( DEX 加密原理 | DEX 加密简介 | APK 文件分析 | DEX 分割 )
- 【Android 安全】DEX 加密 ( 多 DEX 加载 | 65535 方法数限制和 MultiDex 配置 | PathClassLoader 类加载源码分析 | DexPathList )
- 【Android 安全】DEX 加密 ( 不同 Android 版本的 DEX 加载 | Android 8.0 版本 DEX 加载分析 | Android 5.0 版本 DEX 加载分析 )
- 【Android 安全】DEX 加密 ( DEX 加密使用到的相关工具 | dx 工具 | zipalign 对齐工具 | apksigner 签名工具 )
- 【Android 安全】DEX 加密 ( 支持多 DEX 的 Android 工程结构 )
- 【Android 安全】DEX 加密 ( 代理 Application 开发 | multiple-dex-core 依赖库开发 | 配置元数据 | 获取 apk 文件并准备相关目录 )
- 【Android 安全】DEX 加密 ( 代理 Application 开发 | 解压 apk 文件 | 判定是否是第一次启动 | 递归删除文件操作 | 解压 Zip 文件操作 )
在 【Android 安全】DEX 加密 ( 支持多 DEX 的 Android 工程结构 ) 博客中介绍了 DEX 加密工程的基本结构 ,
app 是主应用 , 其 Module 类型是 “Phone & Tablet Module” ,
multiple-dex-core 是 Android 依赖库 , 其作用是解密并加载多 DEX 文件 , 其 Module 类型是 “Android Library” ,
multiple-dex-tools 是 Java 依赖库 , 其类型是 “Java or Kotlin Library” , 其作用是用于生成主 DEX ( 主 DEX 的作用就是用于解密与加载多 DEX ) , 并且还要为修改后的 APK 进行签名 ;
在 【Android 安全】DEX 加密 ( 代理 Application 开发 | multiple-dex-core 依赖库开发 | 配置元数据 | 获取 apk 文件并准备相关目录 ) 博客中讲解了 multiple-dex-core 依赖库开发 , 每次启动都要解密与加载 dex 文件 , 在该博客中讲解到了 获取 apk 文件 , 并准备解压目录 ;
在 【Android 安全】DEX 加密 ( 代理 Application 开发 | 解压 apk 文件 | 判定是否是第一次启动 | 递归删除文件操作 | 解压 Zip 文件操作 ) 博客中讲解了 apk 文件解压操作 ;
本博客中主要讲解 dex 文件加载操作 ;
一、dex 文件准备
上一篇博客讲解的是 apk 文件解压 , 继续后面的步骤 ;
如果本次是第一次启动 , 则需要 解压 apk 文件 ,
解压后 , 将所有的 dex 文件放到 dexDir 中 , 解密该 dex 文件 ,
解密完成后 , 将文件路径存放在 var dexFiles : ArrayList<File> 集合中 ;
如果本次不是第一次启动 , 则直接从 dexDir 中获取 dex 文件 ,
将所有的 dex 文件路径放在 var dexFiles : ArrayList<File> 集合中 ;
代码语言:javascript复制 // 遍历解压后的 apk 文件 , 将需要加载的 dex 放入如下集合中
var dexFiles : ArrayList<File> = ArrayList<File>()
// 如果该 dexDir 存在 , 并且该目录不为空 , 并进行 MD5 文件校验
if( !dexDir.exists() || dexDir.list().size == 0){
// 将 apk 中的文件解压到了 appDir 目录
unZipApk(apkFile, appDir)
// 获取 appDir 目录下的所有文件
var files = appDir.listFiles()
// 遍历文件名称集合
for(i in files.indices){
var file = files[i]
// 如果文件后缀是 .dex , 并且不是 主 dex 文件 classes.dex
// 符合上述两个条件的 dex 文件放入到 dexDir 中
if(file.name.endsWith(".dex") &&
TextUtils.equals(file.name, "classes.dex")){
// 筛选出来的 dex 文件都是需要解密的
// 解密需要使用 OpenSSL 进行解密
// 获取该文件的二进制 Byte 数据
// 这些 Byte 数组就是加密后的 dex 数据
var bytes = Utils.getBytes(file)
// 解密该二进制数据, 并替换原来的加密 dex, 直接覆盖原来的文件即可
Utils.decrypt(bytes, file.absolutePath)
// 将解密完毕的 dex 文件放在需要加载的 dex 集合中
dexFiles.add(file)
}// 判定是否是需要解密的 dex 文件
}// 遍历 apk 解压后的文件
}else{
// 已经解密完成, 此时不需要解密, 直接获取 dexDir 中的文件即可
for (file in dexDir.listFiles()) {
dexFiles.add(file)
}
}
二、加载 dex 文件流程
加载上述 dex 文件集合 , 这些 dex 文件已经解密 ;
加载 dex 文件流程 :
1 . 步骤一 : 获得系统 DexPathList 中的 Element[] dexElements 数组 ,
( libcore/dalvik/src/main/java/dalvik/system/DexPathList.java ) ;
2 . 步骤二 : 在本应用中创建 Element[] dexElements 数组 , 用于存放解密后的 dex 文件 ;
3 . 步骤三 : 将 系统加载的 Element[] dexElements 数组 , 与我们自己创建的 Element[] dexElements 数组进行 合并操作
4 . 步骤四 : 替换 ClassLoader 加载过程中的 Element[] dexElements 数组 ( 封装在 DexPathList 中 ) ;
三、Element[] dexElements 分析
系统的 Element[] dexElements 数组 封装在 libcore/dalvik/src/main/java/dalvik/system/DexPathList.java 中
代码语言:javascript复制/*package*/ final class DexPathList {
/**
* dex/resource (class path) 元素集合.
* 应该调用 pathElements , 但是 Facebook 应用通过反射修改 dexElements .
*/
private final Element[] dexElements;
public DexPathList(ClassLoader definingContext, String dexPath,
String libraryPath, File optimizedDirectory) {
// save dexPath for BaseDexClassLoader
this.dexElements = makePathElements(splitDexPath(dexPath), optimizedDirectory,
suppressedExceptions);
}
}
参考源码地址 : 6.0.1_r16/xref/libcore/dalvik/src/main/java/dalvik/system/DexPathList.java
DexPathList 对象被封装在 libcore/dalvik/src/main/java/dalvik/system/BaseDexClassLoader.java 中 ;
代码语言:javascript复制public class BaseDexClassLoader extends ClassLoader {
private final DexPathList pathList;
}
参考源码地址 : libcore/dalvik/src/main/java/dalvik/system/BaseDexClassLoader.java
PathClassLoader 是我们可以拿到的类加载器 , 该类是 BaseDexClassLoader 的子类 ,
源码位置是 libcore/dalvik/src/main/java/dalvik/system/PathClassLoader.java ;
代码语言:javascript复制public class PathClassLoader extends BaseDexClassLoader {
}
参考源码地址 : libcore/dalvik/src/main/java/dalvik/system/PathClassLoader.java
在 Context 中调用 getClassLoader() 方法 , 可以拿到 PathClassLoader 后 , 需要从其父类 BaseDexClassLoader 中找到 DexPathList , 进而获取封装在 DexPathList 类中的 Element[] dexElements 数组 ;
四、反射获取系统的 Element[] dexElements
上述的 DexPathList 对象 是 BaseDexClassLoader 的 私有成员 , Element[] dexElements 数组 也是 DexPathList 的 私有成员 , 因此只能使用 反射 获取 Element[] dexElements 数组 ;
反射获取系统的 Element[] dexElements , 需要分三个阶段完成 ;
第一阶段 : 在 Context 中调用 getClassLoader() 方法 , 可以 拿到 PathClassLoader ;
代码语言:javascript复制classLoader
第二阶段 : 从 PathClassLoader 父类 BaseDexClassLoader 中 找到 DexPathList ;
代码语言:javascript复制 // 阶段一二 : 调用 getClassLoader() 方法可以获取 PathClassLoader 对象
// 从 PathClassLoader 对象中获取 private final DexPathList pathList 成员
var pathListField = reflexField(classLoader, "DexPathList");
// 获取 classLoader 对象对应的 DexPathList pathList 成员
var pathList = pathListField.get(classLoader)
第三阶段 : 获取封装在 DexPathList 类中的 Element[] dexElements 数组 ;
代码语言:javascript复制 /*
1 . 获得系统 DexPathList 中的 Element[] dexElements 数组
第一阶段 : 在 Context 中调用 getClassLoader() 方法 , 可以拿到 PathClassLoader ;
第二阶段 : 从 PathClassLoader 父类 BaseDexClassLoader 中找到 DexPathList ;
第三阶段 : 获取封装在 DexPathList 类中的 Element[] dexElements 数组 ;
上述的 DexPathList 对象 是 BaseDexClassLoader 的私有成员
Element[] dexElements 数组 也是 DexPathList 的私有成员
因此只能使用反射获取 Element[] dexElements 数组
*/
// 阶段一二 : 调用 getClassLoader() 方法可以获取 PathClassLoader 对象
// 从 PathClassLoader 对象中获取 private final DexPathList pathList 成员
var pathListField = reflexField(classLoader, "DexPathList");
// 获取 classLoader 对象对应的 DexPathList pathList 成员
var pathList = pathListField.get(classLoader)
//阶段三 : 获取封装在 DexPathList 类中的 Element[] dexElements 数组
var dexElementsField = reflexField(pathList, "dexElements")
// 获取 pathList 对象对应的 Element[] dexElements 数组成员
var dexElements : Array<Any> = dexElementsField.get(pathList) as Array<Any>