Android4.0記憶體Dex資料動態載入技術

英文原版：http://2013.hackitoergosum.org/presentations/Day1-05.Nifty%20stuff%20that%20you%20can%20still%20do%20with%20Android%20by%20Xavier%20Martin.pdf    一、Android DEX 動態載入技術       在Android開發過程中，開發人員可以使用DexClassLoader動態載入另一個DEX檔案。       API介面：          DexClassLoader(String dexPath, String optimizedDirectory, String libraryPath,ClassLoader parent)      缺點：需要DEX以檔案形式明文存放在存放裝置上。         Android4.0版本增加了對記憶體中DEX資料的動態載入，這樣就克服了使用DexClassLoader時DEX以檔案形式明文存放在存放裝置上的缺點，記憶體中DEX資料可以來源於解密後的檔案或者網路。這樣就增加了DEX資料的安全性。但是DexClassLoader並沒有暴露該種載入方式。開發人員需要在JAVA層實現自己的Dex ClassLoader。         Android相關原始碼位置：    JAVA層原始碼：libcore\dalvik\src\main\java\dalvik\system\DexFile.java    /*     * Open a DEX file based on a {@code byte[]}. The value returned     * is a magic VM cookie. On failure, a RuntimeException is thrown.     */    nativeprivatestaticint openDexFile(byte[] fileContents);     開發人員可以通過反射調用DexFile實現自己的Dex ClassLoader，但是這種方式DEX資料在JAVA層，比較容易擷取，安全度比較低。   開發人員可以通過JNI調用底層函數解析：    C++層原始碼：dalvik2\vm\native\dalvik_system_DexFile.cpp        const DalvikNativeMethod dvm_dalvik_system_DexFile[] = {              { "openDexFile", "(Ljava/lang/String;Ljava/lang/String;I)I",Dalvik_dalvik_system_DexFile_openDexFile },              { "openDexFile", "([B)I",Dalvik_dalvik_system_DexFile_openDexFile_bytearray },              { "closeDexFile", "(I)V",Dalvik_dalvik_system_DexFile_closeDexFile },              { "defineClass", "(Ljava/lang/String;Ljava/lang/ClassLoader;I)Ljava/lang/Class;",Dalvik_dalvik_system_DexFile_defineClass },              { "getClassNameList", "(I)[Ljava/lang/String;",Dalvik_dalvik_system_DexFile_getClassNameList },              { "isDexOptNeeded", "(Ljava/lang/String;)Z",Dalvik_dalvik_system_DexFile_isDexOptNeeded },              { NULL, NULL, NULL },   };       第一步首先擷取Dalvik_dalvik_system_DexFile_openDexFile_bytearray方法指標：       JNINativeMethod *dvm_dalvik_system_DexFile;    void (*openDexFile)(const u4* args, JValue* pResult);   JNIEXPORT jint JNI_OnLoad(JavaVM* vm, void* reserved) {       void *ldvm = (void*)dlopen("libdvm.so", RTLD_LAZY);       dvm_dalvik_system_DexFile = (JNINativeMethod*)dlsym(ldvm, "dvm_dalvik_system_DexFile");        lookup(dvm_dalvik_system_DexFile, "dvm_dalvik_system_DexFile", "([B)I", &openDexFile)    }   int lookup (JNINativeMethod *table, const char *name, const char *sig, void (**fnPtrout)(u4 const *, union JValue *)) {        int i = 0;        while (table[i].name != NULL) {           if ( (strcmp(name, table[i].name) == 0) && (strcmp(sig, table[i].signature) == 0) ) {                 *fnPtrout = table[i].fnPtr;                 return 1;             }            i++;        }       return 0;   }        第二步調用Dalvik_dalvik_system_DexFile_openDexFile_bytearray方法解析Dex資料      ArrayObject *ao; // header+dex content     u4 args[] = { (u4)ao };     JValue pResult ;     jint result ;    openDexFile(args, &pResult);    result = (jint)pResult.l;    return result;       第三步實現JAVA層Dex ClassLoader完成類的載入：       int cookie = openDexFile(...);      Class<?> cls = null;      String as[] = getClassNameList(cookie);      for(int z=0; z<as.length; z++) {           if(as[z].equals("com.immunapp.hes2013.MainActivity")) {                cls=defineClass(as[z].replace('.', '/'), context.getClassLoader(), cookie );      } else {               defineClass(as[z].replace('.', '/'), context.getClassLoader(), cookie );      }       缺點：只能使用在Android4.0以上裝置    二、自篡改Davlik位元組碼（原理：http://blog.csdn.net/androidsecurity/article/details/8833710）       1、搜尋記憶體尋找DEX特徵（dex\n035）          讀取\proc\self\maps檔案擷取dex map地址         它將以_SC_PAGESIZE記憶體頁對齊, 相對Map開始地址位移0x28    2、DEX格式解析（http://blog.csdn.net/androidsecurity/article/details/8664778）    3、找到代碼正確的位置         第一步定位到具體類，第二步定位到具體方法，擷取方法位元組碼相對data section位移量。    4、解鎖記憶體         mprotect((unsigned char*)aligned,PROT_WRITE | PROT_READ, len);    5、修改相應的代碼         memcpy((unsigned char*)code_off,opcodes, len);
文章連結：http://blog.csdn.net/jiazhijun/article/details/9674251 作者：Jack_Jia    郵箱： 309zhijun@163.com