unidbg 简介、基本使用、调用so中方法、unidbg-web

爬虫工程师的unidbg入门教程：https://www.cnblogs.com/xbjss/p/12110083.html
日常逆向分析的app：https://github.com/zhaoboy9692/dailyanalysis
分析unidbg(unidbgMutil)多线程机制：https://bbs.kanxue.com/thread-266999.htm

逆向调试时还是 IDA 的图形化界面更方便，一般首选 IDA 调试分析，后期要在生产线上生成 sign 字段，这时再用 unidbg 就更合适了！

1、调用 so 库中函数的一些方式

frida 的 rpc
xposed+andserver
unicorn+web 框架
unidbg (基于 Unicorn 引擎 )
qiling (基于 Unicorn 引擎 )
AndroidNativeEmu
等等。

2、Unidbg 简介

Unidbg 是什么

unidbg 是一个标准的 java 项目，是一款基于 unicorn 和 dynarmic 的逆向工具。可以直接黑盒调用 Android 和 IOS 的 so 文件，无论是黑盒调用 so 层算法，还是白盒 trace 输出 so 层寄存器值变化都是一把利器～尤其是动态 trace 方面堪比 ida trace。

unidbg github 地址：https://github.com/zhkl0228/unidbg

做脱机协议，首先要找到关键的加密代码，然而这些代码一般都在so里面，因为逆向c/c++的难度远比java大多了！找到关键代码后，一般情况下是逐行分析，然后自己写代码复现整个加密过程。但是，有些非标准的加密算法是由一个团队实现的，整个过程非常复杂。逆向人员再去逐行分析和复现，有点“不划算”！怎么才能直接调用so里面的这些关键代码了？可以通过前面的介绍的frida hook，也可以通过今天介绍的这个so的模拟框架–unidbg！

Unidbg特色

模拟 JNI 调用 API，以便可以调用 JNI_OnLoad。
支持 JavaVM，JNIEnv。
模拟 syscalls 调用。
支持 ARM32 和 ARM64。
基于 HookZz 实现的 inline hook。
基于 xHook 实现的 import hook。
支持 iOS fishhook 、 substrate 、 whale hook。
支持简单的控制台调试器，gdb，IDA android 调试器服务器，指令跟踪，内存读/写跟踪。
支持 iOS objc 和 Swift 运行时。

unidbg 基于以下项目

unicorn
dynarmic
HookZz
xHook
AndroidNativeEmu
usercorn
keystone
capstone
idaemu
jelf
whale
kaitai_struct
fishhook
runtime_class-dump
mman-win32

看着很多，实际并不复杂。开发android app，在Android studio配置好各种环境和参数后是能直接在java层调用so层函数的。那么在unidbg，也能实现同样的功能：即调用so层的函数！这也是unidbg最核心的功能之一了！

keystone-engine汇编框架

：https://github.com/keystone-engine/keystone
keystone-engine 是⼀个开源的轻量级多平台、多架构汇编框架，⽀持 Arm, Arm64 (AArch64/Armv8), Hexagon, Mips, PowerPC, Sparc, SystemZ、 X86 (16/32/64bit). ⾮常强⼤！！
pip 安装：pip install keystone-engine
源码可以在Linux、Windows下顺利编译，自带一个kstool用于演示。
利用Keystone，很简单，大致这么几步:
ks_open()指定CPU
ks_asm()指定基址、汇编指令
printf()输出机器码
ks_free()释放动态分配的机器码空间
ks_close() 关闭

unidgb 有3 种调试模式，源码写得很清楚，分别是

CONSOLE
GDB_SERVER
ANDROID_SERVER_V7

Unidbg 有什么用

现在许多app 把签名算法已经放到了 so 文件中，所以要想破解签名算法，必须能够破解 so 文件。但是 C++ 的逆向远比 Java 的逆向要难得多了，所以好多时候是没法破解的，那么这个时候还可以采用 hook 的方法，直接读取程序中算出来的签名，但是这样的话，需要实际运行这个应用，需要模拟器或者真机，效率又不是很高。unidbg 就是一个很巧妙地解决方案，他不需要直接运行 app，也无需逆向 so 文件，而是通过在 app 中找到对应的 JNI 接口，然后用 unicorn 引擎直接执行这个 so 文件，所以效率也比较高。

现在很多的 app 使用了so加密，可能你会直接破解 so 进行算法破解，但是也可以不用破解so，利用很多大佬写好的轮子即可 直接调用 so 中的函数方法。

Frida + IDA 动静态分析流程

使用 Frida + IDA 的动静态分析中，流程是这样的

找线索 —>Frida Hook验证 —>验证成功继续下一步 / 验证失败继续找线索
在以 Frida 为中心的逆向分析中，写 hook 代码是工作重心

Unidbg模拟执行、算法还原流程

以 Unidbg 为中心去做模拟执行/算法还原时，流程是这样的

Frida 主动调用获取一份正确结果
Unidbg写代码尝试运行→Unidbg给出报错→补环境
循环往复，最后得到和Frida主动调用一致的结果
以 Unidbg 为中心的逆向分析里，补环境是工作重心。

Unidbg 补环境

Unidbg 中的补环境，大体上可以分成两类，运行环境缺失和上下文缺失，

上下文缺失则是由于样本在运行目标函数前对SO或目标函数做了一些初始化工作，Unidbg中对目标函数单独运行，自然就导致了上下文缺失。上下文缺失相较于运行环境缺失，是一种更加隐蔽的环境缺失。
运行环境缺失。最简单的例子就是目标函数中通过 JNI 调用到了某个自己的 JAVA 方法，Unidbg 会及时报错，给出堆栈以及这个 JAVA 方法的签名，需要我们补上对应的 JAVA 方法，

补 JAVA 环境是补运行环境中主要的一部分，但是，补 JAVA 环境并不是工作的全部。还有哪些环境需要补呢？

文件读写——对linux虚拟文件的读写，对ASSETS资源文件的读写、对app目录下文件的读取，对 Sharedpreference 的读取等等
系统调用具体实现——比如popen函数所涉及的系统调用等
系统库SO，Unidbg并没有，实际上也不可能模拟完整的 Android 系统 SO 环境，有的 SO 所依赖的 SO 比较多，很难调起来，所以 Unidbg 设计了 VirtualModule（虚拟SO模块），有时候我们需要和它打交道。
补不了，打 patch

Unidbg 在大多数情况下是好的方案

在补环境的过程中，对算法细节有了一定的理解，而且用 Unidbg 跑出结果后，分析和还原算法会更快，因为 Unidbg 的 code trace / hook / console debugger 相比较 IDA trace，Frida hook 更快、更稳定、更方便复现。而且环境完全是我们的，有绝对的掌控。

Unidbg 并不是过往某个工具的替代品，而是 IDA、Frida 以及其工具套件的互补品。它和过去的工具结合在一起 1+1>2

Unidbg 环境配置、使用

Unidbg环境配置

unidbg 项目用 Java 编写，并且官网下载的下来的代码使用的是标准的 maven 构建的，所以在使用 unidbg 之前需要修改先安装好 JDK 环境和 Maven 环境。将下载的 unidbg-master.zip 进行解压，然后使用 IDEA 导入项目。【File】 –> 【New】–> 【Project from Existing Sources】

1、IntelliJ IDEA。官网：https://www.jetbrains.com.cn/idea/
2、Maven 环境。官网：https://maven.apache.org/download.cgi
解压文件：tar -zxvf apache-maven-3.8.7-bin.tar.gz
配置环境变量：
export MAVEN_HOME=/usr/local/apache-maven-3.8.7
export PATH=$MAVEN_HOME/bin:$PATH
测试是否配置成功：mvn -version

MAVEN_HOME : D:\Software\apache-maven-3.8.7
PATH : %MAVEN_HOME%\bin;
MAVEN_OPTS : -Xms128m -Xmx512m -Duser.language=zh -Dfile.encoding=UTF-8

idea 配置 maven

导入代码：git clone https://github.com/zhkl0228/unidbg.git

基本使用步骤

下载 unidbg 框架，框架的目录 unidbg-android/src/test/java 放置了很多示例，足以支撑入门

简单罗列了一下基本的使用，十分好上手～！

// 创建模拟器实例,建议使用实际进程名，可以规避进程名校验
emulator = AndroidEmulatorBuilder.for64Bit().setProcessName(“com.xxx.xxx”).build();
// 创建模拟器内存接口
final Memory memory = emulator.getMemory();
// 设置系统类库解析
memory.setLibraryResolver(new AndroidResolver(23));
// 创建 Android 虚拟机，传入 APK，unidbg 可以协助做一部分签名工作
vm = emulator.createDalvikVM(new File(“unidbg-android/src/test/java/com/xxx/xxx.apk”));
// 加载 so 到虚拟内存,第二个参数的意思表示是否执行动态库的初始化代码
DalvikModule dm = vm.loadLibrary(new File(“unidbg-android/src/test/java/com/xxx/libxxx.so”),true);
// 获取 so 模块的句柄
module = dm.getModule();
// 设置 JNI
vm.setJni(this);
// 打印日志
vm.setVerbose(true);
// 调用 JNI_Onload
dm.callJNI_OnLoad(emulator);
// 构建函数参数格式
List args = new ArrayList(10);
// 各种基本参数格式兼容
// 参数1：JNIEnv *env
args.add(vm.getJNIEnv());
// 参数2：jobject或jclass 用不到直接填0即可
// 创建 jobject，如果没用到的话可以不写
// cNative = vm.resolveClass(“com/xxx/xxx”);
// DvmObject args.add(vm.addLocalObject(new StringObject(vm, input)));
// 参数4 bytes 数组
String input = “abcdef”;
byte[] input_bytes = input.getBytes(StandardCharsets.UTF_8);
ByteArray input_byte_array = new ByteArray(vm,input_bytes);
args.add(vm.addLocalObject(input_byte_array));
// 参数5 bool
// false 填 0，true 填 1
args.add(1);
// unidbg 主动调用函数
// 第二个参数是函数偏移量(thumb 记得+1)
// 第三个参数是参数列表
Number number = module.callFunction(emulator,0x10618, args.toArray());
// unicorn trace（贼好用！！！堪比 ida trace！！！）
String traceFile = “trace.txt”;
PrintStream traceStream = null;
try{
traceStream = new PrintStream(new FileOutputStream(traceFile), true);
} catch (FileNotFoundException e) {
e.printStackTrace();
}
// 核心 trace 开启代码，也可以自己指定函数地址和偏移量
emulator.traceCode(module.base,module.base+module.size).setRedirect(traceStream);
// 获取最终返回值，同时运行过程中的汇编代码和寄存器值会写入到文件中
return vm.getObject(number.intValue()).getValue().toString();
看看 trace log，建议搭配 010 editor 使用，更香
示例：代码分析
入口点
第一步：补环境跟踪 TTEncrypt 函数，注释写的很清楚了，不做过多分析。基本套路都是这个样子。
第二步： HOOK 相关的函数跟踪 ttEncrypt，可知代码 hook 了 ssencrypt 和 ssencrypted_size 两个函数。
第三步：添加调试及主动调用
第四步：销毁环境。跟踪 destroy
运行结果。如下图所示，运行成功就代表成功
这个时候按 c 继续，可以看到 hook 的结果以及JNI调用细节。
单步调试，ida_server 的 Debug方式相对简单，对于 unidbg 的强大之一在于它的单步调试– Console Debugger，例子是以抖音作为例子的，还是很不错的。注释都写的比较清楚了。unidbg单步调试做的很棒，这个弥补了 frida 调试能力比较弱的缺点。
此示例就是对如下目录中的 so 进行操作。
unidbg-android/src/test/resources/example_binaries/libttEncrypt.so
查找 so 中的 sbox0、sbox1 导出符号，并打印其内存数据。
Hook一些函数，使用多个框架。
调用 so 中的 ttEncrypt 静态注册函数。
运行结果如下图所示：
打包成 jar 文件：https://www.jianshu.com/p/59e08e48ac20
打包成 jar 包
调用so 的有一个可执行程序呀，总不能让别人机器上也装个IDEA来陪你玩吧？
File –>Project Structure … 然后选择 Artifacts，点加号 Add —>jar —>From modules with dependencies… 然后如下配置，别忘了勾上Include tests
OK了，Build → Build Artifacts 编译成功之后就在 unidbg-0.9.0/out/artifacts/unidbg_parent_jar 目录下生成了一堆依赖jar包和unidbg-parent.jar 我们把要载入的 fenfei/libnative-lib.so 放到和 unidbg-parent.jar同级目录
跑一下，成功输出，手工。 (努力的字都不会打了)
fenfeideMacBook-Pro:unidbg_parent_jar fenfei$ java -jar unidbg-parent.jar
call stringFromJNI rc = Hello from C++
unidbg 调用so层函数 (普通的so方法、jni_onload调用、jni函数调用 )
1、选择执行引擎：如果明确使用了以下代码，那么unidbg使用dynarmic引擎，否则默认使用unicorn引擎！
static {
DynarmicLoader.useDynarmic();
}
2、创建虚拟机/模拟器，并执行虚拟机的类型是art还是dailvik：
AndroidARMEmulator emulator= new AndroidARMEmulator(“com.sun.jna”,null,null);
final Memory memory = emulator.getMemory();
VM vm = emulator.createDalvikVM();
vm.setVerbose(true);//这里如果是true，后续调用jni_onload的时候就能打印日志
3、指定SDK的版本，这里用23版本：
LibraryResolver resolver = new AndroidResolver(23);
memory.setLibraryResolver(resolver);
4、开始加载so库了：
Module unicorn08module=emulator.loadLibrary(new File(“D:\\xxxx\\unidbg-master\\unidbg-android\\src\\test\\java\\com\\unicorncourse08\\unicorn08.so”));
5、调用so层的导出函数：这两个都是导出函数，直接用符号名就行了；
Number result=unicorn08module.callFunction(emulator,”_Z3addii”,1,2)[0];//导出函数直接用符号名就行了
System.out.println(“_Z3addii result:”+result.intValue());
//_Z7add_sixiiiiii
result=unicorn08module.callFunction(emulator,”_Z7add_sixiiiiii”,1,2,3,4,5,6)[0];
System.out.println(“_Z7add_sixiiiiii result：”+result.intValue());
这个是打印的结果：
_Z3addii result:3
_Z7add_sixiiiiii result：21
6、这两个都是对字符串做操作的，so层仅仅求了传入字符串的长度：
MemoryBlock block1=memory.malloc(10,true);
UnidbgPointer str1_ptr=block1.getPointer();
str1_ptr.write(“hello”.getBytes());
String content=ARM.readCString(emulator.getBackend(),str1_ptr.peer);
System.out.println(“_Z15getstringlengthPKc:”+str1_ptr.toString()+”—“+content);
result=unicorn08module.callFunction(emulator,”_Z15getstringlengthPKc”,new PointerNumber(str1_ptr))[0];
Number r0value=emulator.getBackend().reg_read(ArmConst.UC_ARM_REG_R0);
System.out.println(“_Z15getstringlengthPKc result:”+result.intValue()+”—-“+r0value);
MemoryBlock block2=memory.malloc(10,true);
UnidbgPointer str2_ptr=block2.getPointer();
str2_ptr.write(“666”.getBytes());
String content2=ARM.readCString(emulator.getBackend(),str2_ptr.peer);
System.out.println(“_Z16getstringlength2PKcS0_:”+str2_ptr.toString()+”—“+content2);
result=unicorn08module.callFunction(emulator,”_Z16getstringlength2PKcS0_”,new PointerNumber(str1_ptr),new PointerNumber(str2_ptr))[0];
r0value=emulator.getBackend().reg_read(ArmConst.UC_ARM_REG_R0);
System.out.println(“_Z16getstringlength2PKcS0_ result:”+result.intValue()+”—-“+r0value);
打印结果：
_Z15getstringlengthPKc:RW@0x4016b000—hello
_Z15getstringlengthPKc result:5—-5
_Z16getstringlength2PKcS0_:RW@0x4016c000—666
_Z16getstringlength2PKcS0_ result:8—-8
7、这核心的核心：直接调用jni_onload
vm.callJNI_OnLoad(emulator,unicorn08module);
打印结果：这里可以看到分别在so的0x8c7、0xccb调用了FindClass和RegisterNative方法，然后注册MainActivity这个类的stringFromJNI2方法，该方法和so层中0xb35的方法是映射的！
JNIEnv->FindClass(com/example/unicorncourse08/MainActivity) was called from RX@0x40000c87[libnative-lib.so]0xc87
JNIEnv->RegisterNatives(com/example/unicorncourse08/MainActivity, unidbg@0xbffff778, 1) was called from RX@0x40000ccb[libnative-lib.so]0xccb
RegisterNative(com/example/unicorncourse08/MainActivity, stringFromJNI2(Ljava/lang/String;)Ljava/lang/String;, RX@0x40000b35[libnative-lib.so]0xb35)
去so的0xc87和0xccb查看，果然是FindClass和RegisterNative方法，unidbg诚不我欺！作为逆向，其实最重要的还是最后那个打印结果：java层的stringFromJNI2方法就是和so层的这个方法是映射的：
进入里面调用的各个函数仔细分析，发现这个函数还是比较简单：先接受传入的string，再打印出来！由于这个函数并未导出，但是和java层的函数做了映射，所以这里也可以直接通过java层的名字来直接调用，代码如下：
//调用jni函数，对于动态注册的jni函数必须在完成地址的绑定才能调用
System.out.println(“stringFromJNI1————————-“);
DvmClass MainActivity_dvmclass=vm.resolveClass(“com/example/unicorncourse08/MainActivity”);//先把类找到，这里的原理很像反射
DvmObject resultobj=MainActivity_dvmclass.callStaticJniMethodObject(emulator,”stringFromJNI1(Ljava/lang/String;)Ljava/lang/String;”,”helloworld”);//再通过类去调用里面的函数
System.out.println(“resultobj:”+resultobj);
resultobj=MainActivity_dvmclass.callStaticJniMethodObject(emulator,”stringFromJNI1(Ljava/lang/String;)Ljava/lang/String;”,new StringObject(vm, “hellokanxue”));
System.out.println(“resultobj:”+resultobj);
System.out.println(“stringFromJNI1————————-“);
//动态注册的jni函数stringFromJNI2
resultobj=MainActivity_dvmclass.callStaticJniMethodObject(emulator,”stringFromJNI2(Ljava/lang/String;)Ljava/lang/String;”,new StringObject(vm, “hellostringFromJNI2”));
System.out.println(“resultobj:”+resultobj);
System.out.println(“stringFromJNI2————————-“);
DvmObject mainactivity=MainActivity_dvmclass.newObject(null);
mainactivity.callJniMethodObject(emulator,”stringFromJNI2(Ljava/lang/String;)Ljava/lang/String;”,new StringObject(vm, “hellostringFromJNI2”));
System.out.println(“resultobj:”+resultobj);
System.out.println(“stringFromJNI2————————-“);
打印的结果如下：这里面除了我们显式调用println打印的日志，还有unidbg这个框架自身打印的日志（主要是JNIenv这个类的函数调用）：
stringFromJNI1————————-
Find native function Java_com_example_unicorncourse08_MainActivity_stringFromJNI1(Ljava/lang/String;)Ljava/lang/String; => RX@0x40000a71[libnative-lib.so]0xa71
JNIEnv->GetStringUtfChars(“helloworld”) was called from RX@0x40000b03[libnative-lib.so]0xb03
JNIEnv->NewStringUTF(“helloworld”) was called from RX@0x40000b2f[libnative-lib.so]0xb2f
resultobj:”helloworld”
Find native function Java_com_example_unicorncourse08_MainActivity_stringFromJNI1(Ljava/lang/String;)Ljava/lang/String; => RX@0x40000a71[libnative-lib.so]0xa71
JNIEnv->GetStringUtfChars(“hellokanxue”) was called from RX@0x40000b03[libnative-lib.so]0xb03
[main]I/stringFromJNI1: content:helloworld,length:10
[main]I/stringFromJNI1: content:hellokanxue,length:11
[main]I/stringFromJNI2: content:hellostringFromJNI2,length:19
[main]I/stringFromJNI2: content:hellostringFromJNI2,length:19
JNIEnv->NewStringUTF(“hellokanxue”) was called from RX@0x40000b2f[libnative-lib.so]0xb2f
resultobj:”hellokanxue”
stringFromJNI1————————-
Find native function Java_com_example_unicorncourse08_MainActivity_stringFromJNI2(Ljava/lang/String;)Ljava/lang/String; => RX@0x40000b35[libnative-lib.so]0xb35
JNIEnv->GetStringUtfChars(“hellostringFromJNI2”) was called from RX@0x40000b03[libnative-lib.so]0xb03
JNIEnv->NewStringUTF(“hellostringFromJNI2”) was called from RX@0x40000b2f[libnative-lib.so]0xb2f
resultobj:”hellostringFromJNI2″
stringFromJNI2————————-
Find native function Java_com_example_unicorncourse08_MainActivity_stringFromJNI2(Ljava/lang/String;)Ljava/lang/String; => RX@0x40000b35[libnative-lib.so]0xb35
JNIEnv->GetStringUtfChars(“hellostringFromJNI2”) was called from RX@0x40000b03[libnative-lib.so]0xb03
JNIEnv->NewStringUTF(“hellostringFromJNI2”) was called from RX@0x40000b2f[libnative-lib.so]0xb2f
resultobj:”hellostringFromJNI2″
stringFromJNI2————————-
完整的代码：
package com.unicorncourse08;
import com.github.unidbg.LibraryResolver;
import com.github.unidbg.Module;
import com.github.unidbg.PointerNumber;
import com.github.unidbg.arm.ARM;
import com.github.unidbg.arm.backend.dynarmic.DynarmicLoader;
import com.github.unidbg.linux.android.AndroidARMEmulator;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.DvmClass;
import com.github.unidbg.linux.android.dvm.DvmObject;
import com.github.unidbg.linux.android.dvm.StringObject;
import com.github.unidbg.linux.android.dvm.VM;
import com.github.unidbg.memory.Memory;
import com.github.unidbg.memory.MemoryBlock;
import com.github.unidbg.pointer.UnidbgPointer;
import unicorn.ArmConst;
import java.io.File;
public class MainActivity {
static {
DynarmicLoader.useDynarmic();
}
public static void main(String[] args) {
AndroidARMEmulator emulator= new AndroidARMEmulator(“com.sun.jna”,null,null);
final Memory memory = emulator.getMemory();
VM vm = emulator.createDalvikVM();
vm.setVerbose(true);
LibraryResolver resolver = new AndroidResolver(23);
memory.setLibraryResolver(resolver);
Module unicorn08module=emulator.loadLibrary(new File(“D:\\xxxx\\unidbg-master\\unidbg-android\\src\\test\\java\\com\\unicorncourse08\\unicorn08.so”));
Number result=unicorn08module.callFunction(emulator,”_Z3addii”,1,2)[0];//导出函数直接用符号名就行了
System.out.println(“_Z3addii result:”+result.intValue());
//_Z7add_sixiiiiii
result=unicorn08module.callFunction(emulator,”_Z7add_sixiiiiii”,1,2,3,4,5,6)[0];
System.out.println(“_Z7add_sixiiiiii result：”+result.intValue());
//_Z15getstringlengthPKc
MemoryBlock block1=memory.malloc(10,true);
UnidbgPointer str1_ptr=block1.getPointer();
str1_ptr.write(“hello”.getBytes());
String content=ARM.readCString(emulator.getBackend(),str1_ptr.peer);
System.out.println(“_Z15getstringlengthPKc:”+str1_ptr.toString()+”—“+content);
result=unicorn08module.callFunction(emulator,”_Z15getstringlengthPKc”,new PointerNumber(str1_ptr))[0];
Number r0value=emulator.getBackend().reg_read(ArmConst.UC_ARM_REG_R0);
System.out.println(“_Z15getstringlengthPKc result:”+result.intValue()+”—-“+r0value);
MemoryBlock block2=memory.malloc(10,true);
UnidbgPointer str2_ptr=block2.getPointer();
str2_ptr.write(“666”.getBytes());
String content2=ARM.readCString(emulator.getBackend(),str2_ptr.peer);
System.out.println(“_Z16getstringlength2PKcS0_:”+str2_ptr.toString()+”—“+content2);
result=unicorn08module.callFunction(emulator,”_Z16getstringlength2PKcS0_”,new PointerNumber(str1_ptr),new PointerNumber(str2_ptr))[0];
r0value=emulator.getBackend().reg_read(ArmConst.UC_ARM_REG_R0);
System.out.println(“_Z16getstringlength2PKcS0_ result:”+result.intValue()+”—-“+r0value);
//调用jni_OnLoad函数
vm.callJNI_OnLoad(emulator,unicorn08module);
//调用jni函数，对于动态注册的jni函数必须在完成地址的绑定才能调用
System.out.println(“stringFromJNI1————————-“);
DvmClass MainActivity_dvmclass=vm.resolveClass(“com/example/unicorncourse08/MainActivity”);//先把类找到，这里的原理很像反射
DvmObject resultobj=MainActivity_dvmclass.callStaticJniMethodObject(emulator,”stringFromJNI1(Ljava/lang/String;)Ljava/lang/String;”,”helloworld”);//再通过类去调用里面的函数
System.out.println(“resultobj:”+resultobj);
resultobj=MainActivity_dvmclass.callStaticJniMethodObject(emulator,”stringFromJNI1(Ljava/lang/String;)Ljava/lang/String;”,new StringObject(vm, “hellokanxue”));
System.out.println(“resultobj:”+resultobj);
System.out.println(“stringFromJNI1————————-“);
//动态注册的jni函数stringFromJNI2
resultobj=MainActivity_dvmclass.callStaticJniMethodObject(emulator,”stringFromJNI2(Ljava/lang/String;)Ljava/lang/String;”,new StringObject(vm, “hellostringFromJNI2”));
System.out.println(“resultobj:”+resultobj);
System.out.println(“stringFromJNI2————————-“);
DvmObject mainactivity=MainActivity_dvmclass.newObject(null);
mainactivity.callJniMethodObject(emulator,”stringFromJNI2(Ljava/lang/String;)Ljava/lang/String;”,new StringObject(vm, “hellostringFromJNI2”));
System.out.println(“resultobj:”+resultobj);
System.out.println(“stringFromJNI2————————-“);
}
}
总结一下，上述API包括了3种so函数的调用方法：
普通的so方法
jni_onload调用
jni 函数调用
上面举例的这些内容相对简单，并不涉及到so层调用java层的函数。如果遇到so层函数调用java层函数怎么办么？我们如果自己在apk写java代码调用so层函数，遇到so通过反射调用java层函数时，需要自己补上java层对应的类、方法和变量，因为这些需要执行的代码是绕不过去的！unidbg是这么样的么？答案是肯定的！
示例：Unidbg模拟执行某段子so实操教程 (跑 native_init、执行sign)
：http://91fans.com.cn/post/unidbgzyone/
：http://91fans.com.cn/post/unidbgzytwo/
so 通过反射调用 java 层 ( 补环境)
比如下面的这个so层的方法，会在jni_onload中被调用；这里需要获取java层普通变量、static变量后打印出来；也会获取java层的普通方法然后调用，这该怎么办了？
上面说了：so层调用java层的代码肯定是要补齐的（如果直接简单粗暴改so层代码，可能导致别人原来的逻辑错误）！这里该怎么实操了？大概的思路是：
自己补上缺失的方法（当然java层的方法可以用jadx、jeb等反编译得到，不用自己反编译smali），这里缺失了base64方法，需要补上！
自己补上缺失的变量，方法同上！
重写getStaticObjectField、getObjectField、callObjectMethodV等方法，然后检测传入的参数。一旦发现使用/调用的是java层变量、方法，用自己补上的哪些代码替换（原理像不像平时常用的hook？）
说了那么多，完整的demo代码如下：
package com.unicorncourse08;
import com.github.unidbg.Module;
import com.github.unidbg.linux.android.AndroidARMEmulator;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.linux.android.dvm.jni.ProxyClassFactory;
import com.github.unidbg.memory.Memory;
import com.github.unidbg.virtualmodule.android.AndroidModule;
import com.github.unidbg.virtualmodule.android.JniGraphics;
import org.apache.commons.codec.binary.Base64;
import sun.applet.Main;
import java.io.File;
import java.lang.reflect.Field;
public class MainActivitymethod1 extends AbstractJni {
private static DvmClass MainActivityClass;
@Override
/*
* staticcontent是java层的静态变量；getStaticObjectField，一旦检测到so层引用这个变量，那么自己返回这个变量的值
* */
public DvmObject”+signature);
if(signature.equals(“com/example/testjni/MainActivity->staticcontent:Ljava/lang/String;”)){
return new StringObject(vm,”staticcontent”);//源码 public static string staticcontent = “staticcontent”
}
return super.getStaticObjectField(vm, dvmClass, signature);
}
@Override
/*
* objcontent是java层的变量；这里重写getObjectField方法，一旦检测到so层引用这个变量，那么自己返回这个变量的值
* */
public DvmObject getObjectField(BaseVM vm, DvmObject dvmObject, String signature) {
System.out.println(“getObjectField->”+signature);
if(signature.equals(“com/example/testjni/MainActivity->objcontent:Ljava/lang/String;”)){
return new StringObject(vm,”objcontent”);//public string objcontent
}
return super.getObjectField(vm, dvmObject, signature);
}
/*
* java层的方法，这里需要复现，否则不知道怎么执行
* */
public String base64(String arg3) {
String result=Base64.encodeBase64String(arg3.getBytes());
return result;
}
@Override
/*
* base64是java层的方法，这里重写callObjectMethodV方法：一旦发现调用的是java层的base64方法，这里就用自己复现的base64方法替换
* */
public DvmObject callObjectMethodV(BaseVM vm, DvmObject dvmObject, String signature, VaList vaList) {
System.out.println(“callObjectMethodV->”+signature);
if(signature.equals(“com/example/testjni/MainActivity->base64(Ljava/lang/String;)Ljava/lang/String;”)){
DvmObject dvmobj=vaList.getObjectArg(0);
String arg= (String) dvmobj.getValue();
String result=base64(arg);
return new StringObject(vm,result);
}
return super.callObjectMethodV(vm, dvmObject, signature, vaList);
}
public static void main(String[] args) {
MainActivitymethod1 mainActivitymethod1=new MainActivitymethod1();
AndroidARMEmulator emulator = new AndroidARMEmulator(“org.telegram.messenger”,null,null);
final Memory memory = emulator.getMemory();
memory.setLibraryResolver(new AndroidResolver(23));
VM vm = emulator.createDalvikVM();
vm.setVerbose(true);
vm.setJni(mainActivitymethod1);
DalvikModule dm = vm.loadLibrary(new File(“D:\\xxxx\\unidbg-master\\unidbg-android\\src\\test\\java\\com\\unicorncourse08\\calljava.so”), true);
dm.callJNI_OnLoad(emulator);
MainActivityClass=vm.resolveClass(“com/example/testjni/MainActivity”);
DvmObject obj=MainActivityClass.newObject(null);
obj.callJniMethodObject(emulator,”base64byjni(Ljava/lang/String;)Ljava/lang/String;”,”callbase64byjni”);
　　}
}
整个逻辑其实并不复杂，从main函数开始：创建模拟器、创建虚拟机、加载so、调用so层函数！打印的结果如下：
JNIEnv->FindClass(com/example/testjni/MainActivity) was called from RX@0x400009df[libnative-lib.so]0x9df
JNIEnv->RegisterNatives(com/example/testjni/MainActivity, unidbg@0xbffff768, 1) was called from RX@0x40000f19[libnative-lib.so]0xf19
RegisterNative(com/example/testjni/MainActivity, stringFromJNI(Ljava/lang/String;)Ljava/lang/String;, RX@0x40000cb1[libnative-lib.so]0xcb1)
Find native function Java_com_example_testjni_MainActivity_base64byjni(Ljava/lang/String;)Ljava/lang/String; => RX@0x4000088d[libnative-lib.so]0x88d
JNIEnv->FindClass(com/example/testjni/MainActivity) was called from RX@0x400009df[libnative-lib.so]0x9df
getStaticObjectField->com/example/testjni/MainActivity->staticcontent:Ljava/lang/String;
JNIEnv->GetStaticObjectField(class com/example/testjni/MainActivity, staticcontent Ljava/lang/String; => “staticcontent”) was called from RX@0x40000aa5[libnative-lib.so]0xaa5
JNIEnv->GetStringUtfChars(“staticcontent”) was called from RX@0x40000adb[libnative-lib.so]0xadb
[main]I/stringFromJNI: staticcontent:staticcontent
[main]I/stringFromJNI: objcontent:objcontent
getObjectField->com/example/testjni/MainActivity->objcontent:Ljava/lang/String;
JNIEnv->GetObjectField(com.example.testjni.MainActivity@7b3300e5, objcontent Ljava/lang/String; => “objcontent”) was called from RX@0x40000b11[libnative-lib.so]0xb11
JNIEnv->GetStringUtfChars(“objcontent”) was called from RX@0x40000adb[libnative-lib.so]0xadb
JNIEnv->GetMethodID(com/example/testjni/MainActivity.base64(Ljava/lang/String;)Ljava/lang/String;) was called from RX@0x40000b55[libnative-lib.so]0xb55
callObjectMethodV->com/example/testjni/MainActivity->base64(Ljava/lang/String;)Ljava/lang/String;
JNIEnv->CallObjectMethodV(com.example.testjni.MainActivity@7b3300e5, base64(“callbase64byjni”) => “Y2FsbGJhc2U2NGJ5am5p”) was called from RX@0x40000bb1[libnative-lib.so]0xbb1
JNIEnv->GetStringUtfChars(“Y2FsbGJhc2U2NGJ5am5p”) was called from RX@0x40000adb[libnative-lib.so]0xadb
JNIEnv->NewStringUTF(“Y2FsbGJhc2U2NGJ5am5p”) was called from RX@0x40000c05[libnative-lib.so]0xc05
[main]I/stringFromJNI: base64result:Y2FsbGJhc2U2NGJ5am5p
大杀器Unidbg真正的威力
：大杀器Unidbg真正的威力 – 知乎
大杀器内置的HOOK框架
当然Unidbg还内置了多种HOOK框架,今天讲一个分析So比较实用的一款HookZz
// 1. 获取HookZz对象
IHookZz hookZz = HookZz.getInstance(emulator); // 加载HookZz，支持inline hook，文档看https://github.com/jmpews/HookZz
// 2. enable hook
hookZz.enable_arm_arm64_b_branch(); // 测试enable_arm_arm64_b_branch，可有可无
index = 0;
hookZz.replace(module.findSymbolByName(“lrand48”), new ReplaceCallback() {
@Override
public void postCall(Emulator emulator, HookContext context) {
((EditableArm32RegisterContext)context).setR0(0x12345678);
int ptrace_args0 = context.getIntArg(0);
System.out.println(“lrand48=” + ptrace_args0);
}
},true);
//aesdecode hook
hookZz.wrap((module.base)+0x39634+1, new WrapCallback() { // inline wrap导出函数
UnidbgPointer addr = null;
@Override
// 4. 方法执行前
public void preCall(Emulator emulator, RegisterContext ctx, HookEntryInfo info) {
addr= ctx.getPointerArg(0);
UnidbgPointer pointerArg = ctx.getPointerArg(1);
UnidbgPointer pointer = pointerArg.getPointer(12);
int anInt = pointerArg.getInt(8);
byte[] byteArray = pointer.getByteArray(0, anInt);
String s =xuzi1(byteArray);
System.out.println(“aes aesdecode= ” + s);
}
@Override
// 5. 方法执行后
public void postCall(Emulator emulator, RegisterContext ctx, HookEntryInfo info) {
byte[] aaaa = addr.getPointer(0).getPointer(12).getByteArray(0,0×30);
String s =xuzi1(aaaa);
System.out.println(“aes aesdecode1= ” + s);
}
});
同理，此框架也支持导出函数HOOK以及InlineHOOK 有了这个方法,在你分析一些函数的时候，可以充当Log的效果或者强行改变一些函数的返回值让你更容易的分析，比如本例中笔者改变了Lrand48的返回值,让函数每次都强行返回0x12345678，这样在逆向分析的时候能让一些不确定性变成可控性。
拟执行某段子so实操教程
：Unidbg模拟执行某段子so实操教程(一) 先把框架搭起来_奋飞安全的博客-CSDN博客
运行自己的 so 文件
下面我们执行 libnative-lib.so 中的 stringFromJNI 函数。
在 unidbg-android/src/test/java/com 下新建 test 文件夹，然后新建个 java 类 MainActivity。
代码如下：
package com.test;public class MainActivity {public static void main(String[] args) {MainActivity mainActivity = new MainActivity();mainActivity.stringFromJNI();}private final AndroidEmulator emulator;private final VM vm;private DvmClass cNative;private MainActivity() {emulator = new AndroidARMEmulator();Memory memory = emulator.getMemory();// 设置 sdk版本 23LibraryResolver resolver = new AndroidResolver(23);memory.setLibraryResolver(resolver);//创建DalvikVM，可以载入apk，也可以为nullvm = emulator.createDalvikVM(null);// 是否打印日志vm.setVerbose(false);// System.out.println(getPath());// 载入要执行的 soDalvikModule dm = vm.loadLibrary(new File(getPath() + "/fenfei/libnative-lib.so"), false);dm.callJNI_OnLoad(emulator);}private void stringFromJNI() {// Jni调用的类cNative = vm.resolveClass("com/fenfei/myndk/MainActivity");DvmObject
输出如下：
call stringFromJNI rc = Hello from C++
示例 2
调用 libencryptLib.so 文件中的 getGameKey 函数。编写 EncryptUtilsJni 类
package cn.hestyle;import com.github.unidbg.Module;import com.github.unidbg.arm.ARMEmulator;import com.github.unidbg.linux.android.AndroidARMEmulator;import com.github.unidbg.linux.android.AndroidResolver;import com.github.unidbg.linux.android.dvm.*;import com.github.unidbg.memory.Memory;import java.io.File;import java.io.IOException;/** * description: EncryptUtils调用so * * @author hestyle * @version 1.0 * @className unidbg->EncryptUtilsJni * @date 2020-05-20 22:01 **/public class EncryptUtilsJni extends AbstractJni {// ARM模拟器private final ARMEmulator emulator;// vmprivate final VM vm;// 载入的模块private final Module module;private final DvmClass TTEncryptUtils;/** * * @param soFilePath 需要执行的so文件路径 * @param classPath需要执行的函数所在的Java类路径 * @throws IOException */public EncryptUtilsJni(String soFilePath, String classPath) throws IOException {// 创建app进程，包名可任意写emulator = new AndroidARMEmulator("cn.hestyle");Memory memory = emulator.getMemory();// 作者支持19和23两个sdkmemory.setLibraryResolver(new AndroidResolver(23));// 创建DalvikVM，利用apk本身，可以为nullvm = ((AndroidARMEmulator) emulator).createDalvikVM(null);// （关键处1）加载so，填写so的文件路径DalvikModule dm = vm.loadLibrary(new File(soFilePath), false);// 调用jnidm.callJNI_OnLoad(emulator);module = dm.getModule();// （关键处2）加载so文件中的哪个类，填写完整的类路径TTEncryptUtils = vm.resolveClass(classPath);}/** * 调用so文件中的指定函数 * @param methodSign 传入你要执行的函数信息，需要完整的smali语法格式的函数签名 * @param args 是即将调用的函数需要的参数 * @return 函数调用结果 */private String myJni(String methodSign, Object ...args) {// 使用jni调用传入的函数签名对应的方法（）Number ret = TTEncryptUtils.callStaticJniMethod(emulator, methodSign, args);// ret存放返回调用结果存放的地址，获得函数执行后返回值StringObject str = vm.getObject(ret.intValue() & 0xffffffffL);return str.getValue();}/** * 关闭模拟器 * @throws IOException */private void destroy() throws IOException {emulator.close();System.out.println("emulator destroy...");}public static void main(String[] args) throws IOException {// 1、需要调用的so文件所在路径String soFilePath = "src/test/resources/myso/libencryptLib.so";// 2、需要调用函数所在的Java类完整路径，比如a/b/c/d等等，注意需要用/代替.String classPath = "com/.../EncryptUtils";// 3、需要调用函数的函数签名，我这里调用EncryptUtils中的getGameKey方法，由于此方法没有参数列表，所以不需要传入String methodSign = "getGameKey()Ljava/lang/String;";EncryptUtilsJni encryptUtilsJni = new EncryptUtilsJni(soFilePath, classPath);// 输出getGameKey方法调用结果System.err.println(encryptUtilsJni.myJni(methodSign));encryptUtilsJni.destroy();}}
参数说明 EncryptUtilsJni类中最重要的设置为 main 方法中的 soFilePath、classPath、methodSign 三个参数。main方法中已经注释过了，这里再次解释一下。
soFilePath，填写你需要调用的so文件路径
classPath，填写你需要调用的函数所在Java类的完整类路径。
methodSign，填写你要调用的函数签名，语法为smali。（在jadx中，直接可以看smali代码）
备注：如果你要调用的函数还需要传入参数，直接传入 myJni 方法中即可，myJni 方法中省略 args 参数就是供你传入参数。
3、Unidbg 一些基本使用
在 unidbg-android 的 src/test 包含了几个 Demo，可以尝试将 Demo 运行起来，即可看到 Unidbg 的效果：https://github.com/zhkl0228/unidbg/tree/master/unidbg-android/src/test/java
快速使用步骤
//1.创建Android模拟器实例 AndroidEmulator emulator = AndroidEmulatorBuilder .for32Bit() .addBackendFactory(new DynarmicFactory(true)) .build();
// 创建模拟器实例,建议使用实际进程名，可以规避进程名校验 // emulator = AndroidEmulatorBuilder.for64Bit().setProcessName("com.xxx.xxx").build();
//2.创建模拟器内存接口 Memory memory = emulator.getMemory(); // final Memory memory = emulator.getMemory();
//3.设置Android SDK 版本，设置系统类库解析 memory.setLibraryResolver(new AndroidResolver(23));
//4.创建虚拟机 VM vm = emulator.createDalvikVM(); // 创建 Android 虚拟机，传入 APK，unidbg 可以协助做一部分签名工作 vm = emulator.createDalvikVM(new File("unidbg-android/src/test/java/com/xxx/xxx.apk"));
//5.加载ELF文件 // 创建 jobject，如果没用到的话可以不写 cNative = vm.resolveClass("com/xxx/xxx"); // 加载 so 到虚拟内存,第二个参数的意思表示是否执行动态库的初始化代码 DalvikModule dm = vm.loadLibrary(new File("unidbg-android/src/test/java/com/xxx/libxxx.so"),true); DalvikModule dm = vm.loadLibrary(new File("你的ELF文件路径名"), false); // 获取 so 模块的句柄 module = dm.getModule(); // 设置 JNI vm.setJni(this); // 打印日志 vm.setVerbose(true);
//6.调用 JNI_OnLoad dm.callJNI_OnLoad(emulator);
//此时ELF将加载到内存，可以对其做任意操作 //7.执行JNI方法 DvmObject obj = ProxyDvmObject.createObject(vm, this); boolean result = obj.callJniMethodBoolean(emulator, "jnitest(Ljava/lang/String;)Z", str);
构建函数参数格式
// 构建函数参数格式 List

unidbg 简介、基本使用、调用so中方法、unidbg-web

1、调用 so 库中函数的一些方式

2、Unidbg 简介

Unidbg 是什么

Unidbg 有什么用

Frida + IDA 动静态 分析流程

Unidbg模拟执行、算法还原 流程

Unidbg 补环境

Unidbg 环境配置、使用

Unidbg环境配置

基本使用步骤

示例：代码分析

打包成 jar 包

unidbg 调用so层函数 (普通的so方法、jni_onload调用、jni函数调用 )

示例：Unidbg模拟执行某段子so实操教程 (跑 native_init、执行sign)

so 通过反射调用 java 层 ( 补环境)

大杀器Unidbg真正的威力

大杀器内置的HOOK框架

拟执行某段子so实操教程

运行自己的 so 文件

示例 2

3、Unidbg 一些基本使用

快速使用步骤

构建 函数参数 格式

unidbg 主动调用 函数

创建 AndroidEmulator 实例

使用 AndroidEmulator

Memory 操作

VM 操作

unidbg 之打patch

unidbg的单步调试

条件断点

内存检索

4、Unidbg 调用so文件

示例：Unidbg 调用so文件生成京东 sign 参数

打包成 jar，方便其它程序调用

python 调用 打包的 jar 包

示例：com.du.du

代码解析

示例：unidbg 使用姿势

示例：unidbg 过混淆过的 arm64 程序初体验

示例：调用 native 方法、传不同的参数

代码如下

unidbg 实现代码

frida、unidbg 写 hook 方法时的基本数据类型

示例：完整流程分析

​一、Jadx 分析

二、IDA PRO分析

unidbg 脚本编写

Unidbg + Web = Unidbg-server

github 上 unidbg 项目

unidbgweb

unidbg_api

unidbg-local-server

Unidbg 调试 浮点数 运算

先写个floatdemo

IDA 打开 so

Unidbg 调试

打开 Unidbg 浮点数寄存器显示

优化 浮点寄存器的显示

总结

条件断点

进阶学习

相关文章

最新关注

热文推荐

Frida + IDA 动静态分析流程

Unidbg模拟执行、算法还原流程

`示例 2`

`3、Unidbg 一些基本使用`

`快速使用步骤`

`构建函数参数格式`

unidbg 主动调用函数

python 调用打包的 jar 包

`示例：com.du.du`

`代码解析`

`示例：unidbg 使用姿势`

`示例：unidbg 过混淆过的 arm64 程序初体验`

`示例：调用 native 方法、传不同的参数`

`代码如下`

`unidbg 实现代码`

`frida、unidbg 写 hook 方法时的基本数据类型`

`示例：完整流程分析`

`一、Jadx 分析`

`二、IDA PRO分析`

`unidbg 脚本编写`

Unidbg 调试浮点数运算

优化浮点寄存器的显示