Unidbg模拟执行某段子so实操教程(一) 先把框架搭起来_unidbg调用so文件

一、目标

最近又开始研究Unidbg了，费了好大劲，没有跑起来。今天就先找个软柿子捏捏看。

今天的目标是 之前研究的 某段子App签名计算方法(一)

• 某段子App版本 5.5.10

二、步骤

先搭起框架来

在 /unidbg/unidbg-android/src/test/java/ 下面新建一个 com/fenfei/test 包, 我们的例子都放在这个包下。

然后再创建一个 RunZy 类

public class RunZy extends AbstractJni {public static void main(String[] args) throws IOException {// 1、需要调用的Apk文件所在路径String apkFilePath = "/Users/fenfei/Desktop/zy/cn.xxxxchuanxxxx.tieba_5.5.10_505100.apk";// 2、需要调用函数所在的Java类完整路径，比如a/b/c/d等等，注意需要用/代替.String classPath = "com/izxxyxx/network/NetCrypto";// 3、需要调用方法,再jadx中找到对应的方法，然后点击下面的Smail,复制方法的Smail代码。String methodSign = "sign(Ljava/lang/String;[B)Ljava/lang/String;";RunZy runZyObj = new RunZy(apkFilePath, classPath);runZyObj.destroy();}// ARM模拟器private final ARMEmulator emulator;// vmprivate final VM vm;// 载入的模块private final Module module;private final DvmClass TTEncryptUtils;/** * * @param apkFilePath需要执行的apk文件路径 * @param classPath需要执行的函数所在的Java类路径 * @throws IOException */public RunZy(String apkFilePath, String classPath) throws IOException {// 创建app进程，包名可任意写emulator = AndroidEmulatorBuilder.for32Bit().setProcessName("com.fenfei.RunZy").build(); // 创建模拟器实例，要模拟32位或者64位，在这里区分final Memory memory = emulator.getMemory(); // 模拟器的内存操作接口// 作者支持19和23两个sdkmemory.setLibraryResolver(new AndroidResolver(23));// 创建DalvikVM，利用apk本身，可以为nullvm = ((AndroidARMEmulator) emulator).createDalvikVM(new File(apkFilePath));vm.setVerbose(true);vm.setJni(this);new AndroidModule(emulator, vm).register(memory);// （关键处1）加载so，填写so的文件路径DalvikModule dm = vm.loadLibrary("net_crypto", false);// 调用jnidm.callJNI_OnLoad(emulator);module = dm.getModule();//emulator.traceCode(module.base, module.base + module.size);// （关键处2）加载so文件中的哪个类，填写完整的类路径TTEncryptUtils = vm.resolveClass(classPath);}/** * 关闭模拟器 * @throws IOException */private void destroy() throws IOException {emulator.close();System.out.println("emulator destroy...");}

} 
1
2
3

跑 native_init

从之前的分析我们知道，在执行 sign函数之前，需要执行 native_init

// runZyObj.initCall();private void initCall(){TTEncryptUtils.callStaticJniMethod(emulator,"native_init()V");} 
1

执行一下

java.lang.UnsupportedOperationException: com/izxxyxx/common/base/BaseApplication->getAppContext()Landroid/content/Context;
	at com.github.unidbg.linux.android.dvm.AbstractJni.callStaticObjectMethodV(AbstractJni.java:402) 
1
2

这个报错好解决，我们重写 callStaticObjectMethodV 来实现这个函数

@Overridepublic DvmObject<?> callStaticObjectMethodV(BaseVM vm, DvmClass dvmClass, String signature, VaList vaList) {switch (signature) {case "com/izxxyxx/common/base/BaseApplication->getAppContext()Landroid/content/Context;":return vm.resolveClass("android/content/Context", vm.resolveClass("android/content/ContextWrapper", vm.resolveClass("android/content/Context"))).newObject(signature);return super.callStaticObjectMethodV(vm,dvmClass,signature,vaList);} 
1

这个 getAppContext 我们之前的文章实现过，这里就依葫芦画瓢。

再跑一下，Ok，native_init 算是跑过了。

执行sign

通过之前的分析我们知道，sign的入参有两个，第一个参数是个字符串，实际是个url，第二个参数也是这个so里面的加密结果，一个buf。我们从hook结果里面找一个入参来玩玩。

String InBuf = "50027f7f7f7f8e8e8e8e8e1......";

String ret = runZyObj.getSign(methodSign,new StringObject(runZyObj.vm, "https://zyadapi.izxxyxx.com/ad/popup_ad"),hexStringToBytes(InBuf));

// Out Rc=v2-1ff7402d2b4fa9a4c39b3853262f18fd
System.out.printf("ret:%s\n", ret);

/**
 * 调用so文件中的指定函数
 * @param methodSign 传入你要执行的函数信息，需要完整的smali语法格式的函数签名
 * @param args 是即将调用的函数需要的参数
 * @return 函数调用结果
 */
private String getSign(String methodSign, Object ...args) {// 使用jni调用传入的函数签名对应的方法（）Object value = TTEncryptUtils.callStaticJniMethodObject(emulator, methodSign, args).getValue();return value.toString();
} 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

再跑一下

java.lang.UnsupportedOperationException: android/content/Context->getClass()Ljava/lang/Class;
	at com.github.unidbg.linux.android.dvm.AbstractJni.callObjectMethodV(AbstractJni.java:349) 
1
2

没明白这个 getClass 是干啥用的，不管了，先实现再说

@Override
public DvmObject<?> callObjectMethodV(BaseVM vm, DvmObject<?> dvmObject, String signature, VaList vaList) {switch (signature) {case "android/content/Context->getClass()Ljava/lang/Class;":return vm.resolveClass("java/lang/Class");}return super.callObjectMethodV(vm, dvmObject, signature, vaList);
} 
1
2
3

继续跑

java.lang.UnsupportedOperationException: java/lang/Class->getSimpleName()Ljava/lang/String;
	at com.github.unidbg.linux.android.dvm.AbstractJni.callObjectMethodV(AbstractJni.java:349) 
1
2

这次是找我们要个 getSimpleName 这个值是啥呀？我也不知道，后面我再教大家找这个值的方法，这里先写死一个值吧。

case "java/lang/Class->getSimpleName()Ljava/lang/String;":
	return new StringObject(vm, "izxxyxx"); 
1
2

继续跑一下，

java.lang.UnsupportedOperationException: cn/xiaochuankeji/tieba/common/debug/AppLogReporter->reportAppRuntime(Ljava/lang/String;Ljava/lang/String;)V
	at com.github.unidbg.linux.android.dvm.AbstractJni.callStaticVoidMethodV(AbstractJni.java:576) 
1
2

遇上 debug 之类的要敏感，这个报错后面分析的时候会用到。 这里我们就先实现 reportAppRuntime

@Override
public void callStaticVoidMethodV(BaseVM vm, DvmClass dvmClass, String signature, VaList vaList) {switch (signature) {case "cn/xiaochuankeji/tieba/common/debug/AppLogReporter->reportAppRuntime(Ljava/lang/String;Ljava/lang/String;)V":return;}

	throw new UnsupportedOperationException(signature);

} 
1
2
3
4
5
6

因为这个函数没有返回值，所以我们直接return即可。 继续跑…

java.lang.UnsupportedOperationException: android/content/Context->getFilesDir()Ljava/io/File;
	at com.github.unidbg.linux.android.dvm.AbstractJni.callObjectMethodV(AbstractJni.java:349) 
1
2

要读文件？先实现一把

case "android/content/Context->getFilesDir()Ljava/io/File;":
	return vm.resolveClass("java/io/File"); 
1
2

继续跑

java.lang.UnsupportedOperationException: java/lang/Class->getAbsolutePath()Ljava/lang/String;
	at com.github.unidbg.linux.android.dvm.AbstractJni.callObjectMethodV(AbstractJni.java:349) 
1
2

获取路径?我们也给他实现一个

case "java/lang/Class->getAbsolutePath()Ljava/lang/String;":
	return new StringObject(vm, "/sdcard"); 
1
2

再来

java.lang.UnsupportedOperationException: android/os/Debug->isDebuggerConnected()Z
	at com.github.unidbg.linux.android.dvm.AbstractJni.callStaticBooleanMethodV(AbstractJni.java:154) 
1
2

判断是否被调试？这我哪能让你得逞

@Override
public boolean callStaticBooleanMethodV(BaseVM vm, DvmClass dvmClass, String signature, VaList vaList) {switch (signature) {case "android/os/Debug->isDebuggerConnected()Z":return Boolean.FALSE;}return super.callStaticBooleanMethodV(vm,dvmClass,signature,vaList);
} 
1
2
3

必须是要告诉你，我根本木有在调试呀。

java.lang.UnsupportedOperationException: android/os/Process->myPid()I
	at com.github.unidbg.linux.android.dvm.AbstractJni.callStaticIntMethodV(AbstractJni.java:174) 
1
2

要pid？给你一个

@Override
public int callStaticIntMethodV(BaseVM vm, DvmClass dvmClass, String signature, VaList vaList) {switch (signature) {case "android/os/Process->myPid()I":return 123;}return super.callStaticIntMethodV(vm,dvmClass,signature,vaList);
} 
1
2
3

终极一跑

ret:v2-ABC1ff7402d2b4fa9a4c39b3853262f18fd
emulator destroy... 
1
2

欧耶，结果出来了。

结果很忧伤

我们之前Hook的结果是 v2-1ff7402d2b4fa9a4c39b3853262f18fd 现在跑出来的结果是 v2-ABC1ff7402d2b4fa9a4c39b3853262f18fd , 不大对劲呀。

以结果轮英雄，我们可以多跑几组，如果确定模拟执行出来的结果都是 加上了固定的 ABC ，那也好办，直接过滤掉就行。

但是我们是写教程了，得搞明白。 怎么搞明白？模拟执行的结果有些不对劲该怎么办？ 我们下回分解。

网安零基础入门
对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

路线图原图，或xmind文件，可以扫下方二维码下载：

同时每个成长路线对应的板块都有配套的视频提供：


当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。

因篇幅有限，仅展示部分资料，有需要的小伙伴，可以【扫下方二维码】免费领取：