今天就分享下对elf文件也就是so文件中动态分析so文件中JNI函数的方案。
jnitrace它是基于frida基础上的一个工具,它是一个动态分析追踪SO文件中的JNI API调用的工具,它可以进行指定SO文件进行跟踪JNI调用。
基础知识
1、JavaVM 和 JNIEnv
JNI 它定义了两个关键数据结构:JavaVM和JNIEnv。它们本质上都是指向函数表的二级指针。(在 C++ 版本中,它们是一些类,这些类具有指向函数表的指针,并具有每个通过该函数表间接调用的 JNI 函数的成员函数。)JavaVM 提供“调用接口”函数,可以利用此类来函数创建和销毁 JavaVM。JNIEnv 提供了大部分 JNI 函数, so中的原生函数都会收到 JNIEnv 作为第一个参数。该 JNIEnv 将用于线程本地存储。因此无法在线程之间共享 JNIEnv。如果一段代码无法通过其他方法获取自己的 JNIEnv,应该共享相应 JavaVM,然后使用 GetEnv 发现线程的 JNIEnv。
JNIEnv 和 JavaVM 的 C 声明与 C++ 声明不同。"jni.h" include 文件会提供不同的类型定义符,具体取决于该文件是包含在 C 还是 C++ 中。因此不建议在这两种语言包含的头文件中添加 NIEnv 参数。
2、spawn和attach注入区别
Frida支持spawn和attach两种启动方式。
attach模式下,Frida会附加到当前的目标进程中,即需要App处于启动状态,这也意味着它只能从当前时机往后Hook;
spawn模式下,Frida会自行启动并注入进目标App,Hook的时机非常早,好处在于不会错过App中相对较早(比如App启动时产生的参数),缺点是假如想要Hook的时机点偏后,则会带来大量干扰信息,严重甚至会导致server崩溃。
attach注入:APP启动后再 hook,不能 hook APP的启动阶段。
spawn注入 :重启 APP,适合 hook APP启动阶段。
基本操作
jnitrace使用需要配合python环境和frida工具(版本需要配套好)
这个jnitrace安装后主要核心的实现功能都在jnitrace.py和jnitrace.js
下图是jnitrace.py中主要功能:首先判断连接设备的方式 是以remote_device还是usb_device,接着默认采用spawn的注入方式,在去执行jnitrace.js文件中的hook功能,最后在输出执行后的数据。
下图是jnitrace.js的关键功能点,注入后实际功能还是调用到底层的dlopen。
实践分析
Frida启动后会往要hook的进程中注入frida的so文件
下图是所有功能组成的解析
通过jnitrace -l libxxx.so com.xxx.xxx 可以打印输出so中的jni函数,以及这些jni函数的调用获取数据
通过 jnitrace -l libxxx.so com.xxx.xxx -i RegisterNatives 可以查看到so中的所有动态注册的函数。
推荐阅读
原文始发于微信公众号(哆啦安全):App逆向之so分析方法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论