应用安全 --- 安卓安全 之 调用隐藏
可能会将调用的so中方法写入jnionload中动态注册同时将函数字符串加密存储
这个问题很常见,有几种可能的原因。让我帮你分析一下:
可能的原因和解决方案
1. 函数名被混淆或压缩
# 查看所有导出函数,不限于Engine
readelf -s libengine.so | grep -i start
nm -D libengine.so | grep -i start
objdump -T libengine.so | grep -i start# 查看所有JNI相关函数
readelf -s libengine.so | grep -i java
nm -D libengine.so | grep -i jni
2. 使用动态注册(RegisterNatives)
这是最常见的原因 - 函数没有使用标准的JNI命名约定:
# 查找JNI_OnLoad函数(动态注册通常在这里)
objdump -t libengine.so | grep -i jni_onload
nm -D libengine.so | grep -i jni_onload# 查看所有函数,寻找注册相关的代码
strings libengine.so | grep -i register
3. 函数没有被导出
# 查看所有符号(包括未导出的)
nm -g libengine.so > all_symbols.txt
readelf -s libengine.so > all_symbols_detailed.txt# 然后在这些文件中搜索
grep -i engine all_symbols.txt
grep -i start all_symbols.txt
4. 使用IDA Pro或Ghidra深度分析
# 首先用strings查看可能的函数名线索
strings libengine.so | grep -E "(start|Start|START|engine|Engine)"
5. 检查是否是静态链接或内联
# 查看文件信息
file libengine.so
readelf -h libengine.so# 查看所有段和节
readelf -S libengine.so
动态分析方案
既然静态分析找不到,我们可以通过动态方式来定位:
方案1:使用Frida Hook JNI调用
Java.perform(function() {// Hook System.loadLibrary来知道so何时加载var System = Java.use("java.lang.System");System.loadLibrary.overload('java.lang.String').implementation = function(library) {console.log("[+] Loading library: " + library);if (library.indexOf("engine") !== -1) {console.log("[!] Target engine library loaded!");}return this.loadLibrary(library);};// Hook Engine.start方法var Engine = Java.use("com.main.engine.Engine");Engine.start.overload('long', 'int', 'java.lang.String', 'java.lang.String', 'java.lang.String').implementation = function(a, b, c, d, e) {console.log("[+] Engine.start called!");// 打印调用栈console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new()));return this.start(a, b, c, d, e);};
});
方案2:使用Frida Stalker追踪Native执行
Java.perform(function() {var engine_start = null;// 枚举模块中的导出函数Process.enumerateModules({onMatch: function(module) {if (module.name.indexOf("engine") !== -1) {console.log("[+] Found module: " + module.name + " at " + module.base);// 枚举该模块的所有导出函数Module.enumerateExports(module.name, {onMatch: function(exp) {console.log(" Export: " + exp.name + " at " + exp.address);if (exp.name.indexOf("start") !== -1) {engine_start = exp.address;}},onComplete: function() {}});}},onComplete: function() {}});
});
方案3:检查JNI_OnLoad
// 在JNI_OnLoad中通常有这样的模式:
JNIEXPORT jint JNICALL JNI_OnLoad(JavaVM* vm, void* reserved) {JNIEnv* env;(*vm)->GetEnv(vm, (void**)&env, JNI_VERSION_1_6);// 注册Native方法JNINativeMethod methods[] = {{"start", "(JILjava/lang/String;Ljava/lang/String;Ljava/lang/String;)I", (void*)native_start}};jclass clazz = (*env)->FindClass(env, "com/main/engine/Engine");(*env)->RegisterNatives(env, clazz, methods, 1);return JNI_VERSION_1_6;
}
建议的排查步骤
-
先用strings命令查看so文件中是否有相关字符串
-
检查JNI_OnLoad是否存在
-
使用Frida动态分析实际的函数调用
-
用IDA Pro/Ghidra进行深度静态分析
你能先运行这些命令看看输出结果吗?特别是 strings 和检查 JNI_OnLoad 的命令。
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/928640.shtml
如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!
加密视频 - 教程)
;)
