Android加固脱壳实战：Frida Hook与内存Dump技术

如云长翩

1. 项目概述：Android 加固脱壳实战

在移动安全领域，应用加固是开发者保护代码的重要手段。典型的Android加固方案会将原始DEX文件加密存储，运行时在Native层解密后加载到内存执行。这种保护方式使得传统的静态分析工具失效，但也给我们留下了动态分析的突破口。

这次实战的核心思路是：通过Frida框架Hook系统关键函数，在内存中捕获解密后的DEX文件。相比传统脱壳方法，我们引入了两个创新点：

采用dlopen Hook作为触发点，精准把握脱壳时机
利用AI辅助处理Android版本差异带来的符号匹配问题

2. 技术原理深度解析

2.1 Android加固机制剖析

主流加固方案的工作流程通常包含三个阶段：

壳SO加载阶段：通过System.loadLibrary加载包含解密逻辑的Native库
DEX解密阶段：在JNI_OnLoad或.init_array段执行解密算法
内存加载阶段：调用ART虚拟机的OpenMemory等函数加载解密后的DEX

关键点：无论加固方案如何变化，最终都必须将可执行的DEX数据交给ART虚拟机。这正是我们Hook的最佳切入点。

2.2 Frida Hook技术选型

Frida作为动态插桩框架，相比Xposed等方案具有以下优势：

无需修改系统或应用
支持Java/Native双层面Hook
即时生效，无需重启设备
完善的进程注入机制

在本次方案中，我们主要利用Frida的以下能力：

Interceptor拦截Native函数调用
Module枚举和符号查找
内存读写操作

3. 实战步骤详解

3.1 环境准备

基础环境要求：

Ubuntu 20.04 LTS（或其他Linux发行版）
Android设备/模拟器（API 21+）
Frida 15.1.17+
Python 3.8+

环境配置步骤：

安装Frida工具链：

bash复制pip install frida-tools

部署frida-server到设备：

bash复制adb push frida-server /data/local/tmp/
adb shell "chmod 755 /data/local/tmp/frida-server"
adb shell "/data/local/tmp/frida-server &"

3.2 核心Hook实现

3.2.1 dlopen监控模块

javascript复制function monitorLibraryLoading() {
    const dlopenFuncs = [
        'android_dlopen_ext',
        'dlopen'
    ];
    
    let targetLib = 'libart.so';
    
    dlopenFuncs.forEach(funcName => {
        const funcPtr = Module.findExportByName(null, funcName);
        if (funcPtr) {
            Interceptor.attach(funcPtr, {
                onEnter(args) {
                    this.libPath = args[0].readCString();
                },
                onLeave(retval) {
                    if (this.libPath && this.libPath.includes(targetLib)) {
                        console.log(`[+] ${targetLib} loaded, proceeding to ART hook`);
                        hookArtFunctions();
                    }
                }
            });
        }
    });
}

3.2.2 ART函数Hook模块

javascript复制function hookArtFunctions() {
    const libart = Process.findModuleByName('libart.so');
    if (!libart) return;

    // AI辅助的符号模糊匹配
    const candidateSymbols = libart.enumerateSymbols().filter(symbol => {
        return symbol.name.includes('DexFile') && 
               symbol.name.includes('OpenMemory');
    });

    if (candidateSymbols.length === 0) {
        console.log('[-] No matching symbols found');
        return;
    }

    candidateSymbols.forEach(symbol => {
        Interceptor.attach(symbol.address, {
            onEnter(args) {
                const dexPtr = args[0];
                const dexSize = args[1].toInt32();
                
                // 校验DEX魔数
                const magic = dexPtr.readU32();
                if (magic === 0x0A786564) { // 'dex\n'
                    dumpDexFile(dexPtr, dexSize);
                } else {
                    // 处理头部被抹除的情况
                    handleCorruptedHeader(dexPtr, dexSize);
                }
            }
        });
    });
}

3.3 内存Dump与修复

3.3.1 基础Dump实现

javascript复制function dumpDexFile(dexPtr, dexSize) {
    const timestamp = new Date().getTime();
    const outputPath = `/data/local/tmp/dex_dump_${timestamp}.dex`;
    
    const file = new File(outputPath, 'wb');
    const buffer = dexPtr.readByteArray(dexSize);
    
    file.write(buffer);
    file.close();
    
    console.log(`[+] DEX dumped to ${outputPath}`);
}

3.3.2 对抗头部抹除

javascript复制function handleCorruptedHeader(dexPtr, estimatedSize) {
    // 尝试通过文件结构特征定位真实DEX
    const searchPattern = 'dex\n035';
    const memory = dexPtr.readByteArray(estimatedSize);
    
    for (let i = 0; i < estimatedSize - 4; i++) {
        const potentialMagic = memory[i] | (memory[i+1] << 8) | 
                             (memory[i+2] << 16) | (memory[i+3] << 24);
        
        if (potentialMagic === 0x0A786564) {
            const fileSize = memory[i + 0x20] | (memory[i+0x21] << 8) |
                           (memory[i+0x22] << 16) | (memory[i+0x23] << 24);
            
            if (fileSize < estimatedSize - i) {
                console.log(`[!] Found hidden DEX at offset ${i}`);
                dumpDexFile(dexPtr.add(i), fileSize);
                return;
            }
        }
    }
    
    console.log('[-] Failed to locate valid DEX header');
}

4. 高级对抗与解决方案

4.1 函数抽取对抗

现代加固方案常采用函数抽取技术，特征包括：

Method CodeItem被替换为无效指令
真实代码在执行时动态恢复
DEX文件中存在大量空洞区域

解决方案：

javascript复制function dumpRuntimeCode(targetPackage) {
    const ClassLoader = Java.use('java.lang.ClassLoader');
    const DexFile = Java.use('dalvik.system.DexFile');
    
    // 获取目标应用的ClassLoader
    const loaders = Java.enumerateClassLoadersSync();
    const targetLoader = loaders.find(loader => {
        return loader.toString().includes(targetPackage);
    });
    
    Java.classFactory.loader = targetLoader;
    
    // 枚举所有已加载类
    const loadedClasses = DexFile.$new.overloads[0].call(
        null, targetLoader, false
    ).getLoadedClasses();
    
    // 主动调用触发代码还原
    loadedClasses.forEach(className => {
        try {
            const clazz = Java.use(className);
            const methods = clazz.class.getDeclaredMethods();
            
            methods.forEach(method => {
                if (method.toString().includes('native')) return;
                
                try {
                    clazz[method.getName()].call(clazz);
                } catch (e) {
                    // 忽略执行异常
                }
            });
        } catch (e) {
            console.log(`[!] Error processing ${className}: ${e}`);
        }
    });
    
    // 再次扫描内存获取完整DEX
    scanMemoryForDex();
}

4.2 反调试对抗

常见反调试手段及应对：

ptrace检测：

javascript复制Interceptor.replace(Module.findExportByName(null, 'ptrace'), new NativeCallback(() => {
    return 0;
}, 'int', []));

frida-server检测：

javascript复制const fopen = Module.findExportByName(null, 'fopen');
Interceptor.attach(fopen, {
    onEnter(args) {
        const path = args[0].readCString();
        if (path.includes('frida')) {
            this.shouldBlock = true;
            args[0].writeUtf8String('/dev/null');
        }
    }
});

5. 实战经验与优化建议

5.1 性能优化技巧

批量Hook优化：

javascript复制const batchHook = (moduleName, functionPattern, hookCallback) => {
    const targetModule = Process.findModuleByName(moduleName);
    if (!targetModule) return;
    
    const symbols = targetModule.enumerateSymbols()
        .filter(s => s.name.includes(functionPattern));
    
    symbols.forEach(symbol => {
        Interceptor.attach(symbol.address, hookCallback);
    });
};

内存扫描优化：

javascript复制function efficientMemoryScan(start, end, pattern) {
    const pageSize = 4096;
    let current = ptr(start);
    
    while (current.compare(ptr(end)) < 0) {
        try {
            const page = current.readByteArray(pageSize);
            const offset = page.indexOf(pattern);
            
            if (offset !== -1) {
                return current.add(offset);
            }
        } catch (e) {
            console.log(`[!] Error reading ${current}: ${e}`);
        }
        
        current = current.add(pageSize);
    }
    
    return null;
}

5.2 稳定性保障

异常处理框架：

javascript复制function safeHook(funcPtr, callback) {
    try {
        Interceptor.attach(funcPtr, callback);
    } catch (e) {
        console.log(`[!] Hook failed: ${e}`);
        // 尝试替代方案
        const alternative = findAlternativeFunction();
        if (alternative) {
            Interceptor.attach(alternative, callback);
        }
    }
}

多版本兼容方案：

javascript复制const androidVersion = Java.androidVersion;
let openMemorySymbol;

if (androidVersion < 24) {
    openMemorySymbol = '_ZNK3art7DexFile10OpenMemoryEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPNS_6MemMapEPKNS_10OatDexFileEPS9_';
} else if (androidVersion < 28) {
    openMemorySymbol = '_ZN3art7DexFile10OpenMemoryEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPNS_6MemMapEPKNS_10OatDexFileEPS9_';
} else {
    // 使用AI辅助的模糊匹配
    openMemorySymbol = findOpenMemoryByAI();
}