使用Unidbg进行Hook和Patch

最新推荐文章于 2025-03-17 22:41:41 发布
原创 最新推荐文章于 2025-03-17 22:41:41 发布 · 7.3k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #java

本文详细介绍了如何使用Unidbg在Android环境中模拟调用JNI函数,并通过Hookzz库实现对特定函数的Hook,包括获取和修改参数、返回结果。文章通过一个简单的加法示例,演示了在64位ARM架构下,如何将加法函数修改为减法,涉及汇编子程序调用约定和参数传递规则。同时,还展示了使用汇编指令转换网站生成HEX代码以实现Patch。

http://zhuoyue360.com/crack/75.html

什么是unidbg就不多说了,大家自行百度。

文章目录

写个demo,搭架子

写个简单的加减法来给unidbg调用。

public native String add(int a,int b);

extern "C"
JNIEXPORT jint JNICALL
Java_com_example_lesson2_MainActivity_add(JNIEnv *env, jobject thiz, jint a, jint b) {
   
   
    // TODO: implement add()
    if(a<0){
   
   
        a = -a;
    }
    if(b<0){
   
   
        b=-b;
    }
    return a+b;
}

unidbg的基础调用代码

package com.example.lesson2;

import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.Module;
import com.github.unidbg.arm.backend.DynarmicFactory;
import com.github.unidbg.linux.android.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.DalvikModule;
import com.github.unidbg.linux.android.dvm.DvmObject;
import com.github.unidbg.linux.android.dvm.StringObject;
import com.github.unidbg.linux.android.dvm.VM;
import com.github.unidbg.linux.android.dvm.jni.ProxyDvmObject;
import com.github.unidbg.memory.Memory;
import com.sun.jna.Pointer;


import java.io.File;
import java.util.ArrayList;
import java.util.List;

public class MainActivity {
   
   
    // 1. 环境初始化
    private final AndroidEmulator emulator;
    private final VM vm;
    private final Memory memory;
    private final Module module;

    public MainActivity(){
   
   
        // 2.1 创建模拟机
        emulator = AndroidEmulatorBuilder
                .for64Bit()
                .addBackendFactory(new DynarmicFactory(true))
                .build();
        // 2.2 创建memory
        memory = emulator.getMemory();
        // 2.2 创建Android sdk版本. 支持19和23版
        memory.setLibraryResolver(new AndroidResolver(23));
        // 2.3 创建vm
        vm = emulator.createDalvikVM(new File("unidbg-android/src/test/java/com/example/lesson2/app-debug.apk"));

        // 载入so文件 且 初始化,返回的说so加载到虚拟机的一个对象
        DalvikModule dalvikModule = vm.loadLibrary(new File("unidbg-android/src/test/java/com/example/lesson2/liblesson2.so"), true);
        module = dalvikModule.getModule();
        vm.callJNI_OnLoad(emulator,module);

    }



    public void callAdd(int a,int b){
   
   
        DvmObject obj = ProxyDvmObject.createObject(vm,this);
        int result  = obj.callJniMethodInt(emulator,"add(II)I",a,b);
        System.out.println(result);

    }
   
    public static void main(String[] args) {
   
   
        long start = System.currentTimeMillis();
        MainActivity mainActivity = new MainActivity();
        System.out.println("load the vm " + (System.currentTimeMillis() - start) + "ms");
        mainActivity.callAdd(1,
最低0.47元/天 解锁文章
Unidbg调用-补环境V3-Hook
dafan0的博客
06-29 475
结合IDAunidbg,可以在so的执行过程进行Hook,这样可以让我们了解并分析具体的执行步骤。:基于unidbg调试执行步骤 或 还原算法(以Hookzz为例)。
某东 jdgs参数unidbg环境检测patch分析
最新发布
Codeooo 博客
07-15 625
可通过一些定值hex进行内存搜索匹配:"a2":"com.jingdong.app.mall" 或者 "a5" 的版本号等。时间戳 + 拼接a11,作为rc4的秘钥,将第一步压缩计算后的值,再进行一些查表异或算法后 得出最后拼接的20个字节动态值。该函数看伪C代码是一个 查表算法,后hook参数,可知为sha1算法。hook验证后,真机走0x215c0,0x22b00上面几个都不走。调用返回结果与真机不一致,排查不一致的地方,b5;设备初始化的一些值,只要是提供给b算法进行加密。
代码还原的技术: Unidbg hook_add_new实现条件断点(二)
fenfei331的博客
09-04 1325
一、目标 在做代码还原的时候,有时候会分析一组结果,希望在中途下个条件断点,比如在代码行0x1234,R0=0x5678的时候触发断点。 今天我们就来试着搞一下。 TIP: Unidbg代码同步到官方最新版,最新版已经支持浮点寄存器的显示了。 二、步骤 先写个floatdemotwo 把祖传算法升个级 extern "C" JNIEXPORT jstring JNICALL Java_com_fenfei_app_floatdemo_MainActivity_stringFromJNI(
app安全之安卓native层安全分析(八):unidbg补前置环境+IO重定向
app安全逆向、移动开发、tls/ja3、爬虫、反爬
05-17 4123
SO逆向入门实战教程七:main_unidbg 重定向_白龙~的博客-优快云博客还是那句,我会借鉴龙哥的文章,以一个初学者的角度,加上自己的理解,把内容丰富一下,尽量做到不在龙哥的基础上画蛇添足。1.找不到该native方法引入的哪个so文件时,用hook_RegisterNative脚本分析2.执行结果发现不对返回空指针时,很大可能是逻辑问题,需要结合jnitrace分析3.报dirfd=-100,就是读取文件错误,需要指导程序到正确的路径4.补文件读取有两个方法。
UnidbgHookPatch
Codeooo 博客
11-09 9379
patch两种方式,直接修改hex,以及指令转化hex(keystone 将汇编指令转化为hex)hook之前之后类似于xposed。
app安全之安卓native层安全分析(四):unidbg模拟调用
app安全逆向、移动开发、tls/ja3、爬虫、反爬
04-25 1458
SO逆向入门实战教程四:mfw_so层逆向_白龙~的博客-优快云博客还是那句,我会借鉴龙哥的文章,以一个初学者的角度,加上自己的理解,把内容丰富一下,尽量做到不在龙哥的基础上画蛇添足,哈哈。第四部分没啥技术知识点,都是老套路。
unidbg第二讲 例子讲解com.sun.jna.JniDispatch32
xubaoyong的专栏
12-23 3349
讲解例子 com.sun.jna.JniDispatch32 需求 1:学习IDA分析 2:学习使用java手动分配内存,并调用符号__system_property_get方法,从内存中读取数据 3:学会自己hook导入函数,例如:mallocfree。使用ida可以静态分析,定位导入函数。 3.1 写hook方法。 3.1.1 使用XHookImpl进行hook 3.1.2 使用Whale进行hoo...
当我们谈论Unidbg时我们在谈什么
lilac的博客
06-15 5614
文章目录一、前言二、使用Unidbg的工作量是什么三、补环境补的是什么3.1 运行环境缺失3.2 上下文缺失四、Unidbg 不是所有情况下最优的解决方案五、Unidbg在大多数情况下是好的方案六、Unidbg风控无关七、尾声 一、前言 这是一篇漫谈Unidbg的文章,我对Unidbg使用理解都还很浅,日后会更新或修改看法,欢迎大佬指点,也期待同侪讨论。 二、使用Unidbg的工作量是什么 我们常规使用Frida + IDA的动静态分析中,工作可能是这样的 找线索→Frida Hook验证→验证成功继
unidbg 加载 so 并调用 so 中函数
02-27 1795
unidbg 是一个基于 Java 的 Android 动态分析框架,专注于模拟 Android 应用中的 native 代码。以下是它的主要功能:支持对so的加载;支持对JNI接口函数的模拟调用;支持常见syscalls的模拟调用;支持ARM32ARM64。支持Android以及iOS基于HookZz实现的inline hookxHook实现的hookiOS fishhook,substrate、whale hook等支持gdb、IDA远程调试等高级功能。…Unidgb 项目地址:https://git
逆向工具之unidbg(在pc端模拟执行so文件中的函数)
热门推荐
hestyle的博客
05-21 2万+
  昨天在逆向某App的时候,发现有个加密工具类中的native方法是用C语言编写的,隐藏在so文件中。某大佬推荐逆向工具unidbg,能在pc端直接调用so文件中的函数,最终成功解决了问题。 逆向工具之unidbg目录一、`unidbg`引入二、`unidbg`概述三、`unidbg`使用姿势1、下载`unidbg`项目2、导入到IDEA中①、解压压缩包②、打开`IDEA`,导入解压的项目3、测试`unidbg`4、运行自己的`so`文件①、编写`EncryptUtilsJni`类②、参数说明③、执行结果
unidbg模拟执行so文件并调用解密函数
小龙在线
05-17 1965
引入jar包 com.github.zhkl0228:unidbg-android:0.9.6 测试用例 import com.github.unidbg.AndroidEmulator; import com.github.unidbg.Module; import com.github.unidbg.linux.android.AndroidEmulatorBuilder; import com.github.unidbg.linux.android.AndroidResolver; import c
Unidbg调用-补环境V3-主动调用
dafan0的博客
06-29 485
*注意:**这一部分没有看见有价值的内容,复习时可略过,需要时再看。
Apijar包两种方式调用某东App(Spring Boot + Unidbg
weixin_41259961的博客
09-22 1363
版本:某东v10.1.4,应该再高一些版本也是通用的。本文主要记录unidbg的搭建可以打包jar,如果后期有时间再出一版加密分析&定位。现在很多APP的加密逻辑都是在so层了,大大提高了逆向的难度,如果要在so层还原出纯加密代码难度还是不小的(当然一些传统的加密算法且特征比较明显的是比较简单的)。unidbg其中的作用之一就可以模拟调用so,也就是模拟 JNI 调用 API,以便可以调用 JNI_OnLoad。
unidbg实现淘宝请求参数算法,实现脱离模拟器/手机请求淘宝、闲鱼
bugtraq的博客
03-15 9292
但是,随着研究的深入,相关的学习资料越来越少,unidbg直接逆向学习的资料,虽然有一些,但对于问题的深入,原理的解析,以及具体API方法的使用,可以说是少之又少。鱼渔的问题,越来越尖锐了。已经研究了差不多几个月,总感觉临门一脚了,程序调试也没有完全通过。虽然越挫越勇,会继续研究,但还是感觉得慢慢来,研究、学习,本身也是一场永远止境的修行。相对于直接逆向x-sign的算法而言,用unidbg调用so文件的难度要小很多。下面的代码面向的是mtop6.5.27, 代码还存在不少问题,并不能直接使用
unidbg学习笔记
爬虫工程师的日常笔记
04-03 2310
修改src/main/java/com/github/unidbg/AbstractEmulator.java 中的如下位置,使PID固定,因为PID不停变动可能会影响后续分析,但这不是必须的操作。千万不要先管它,非法JNI Verision的错误往往代表JNI OnLoad的总体执行情况不符合预期,它是。JNIOnLoad的最终结果,我们应该在修复完其他错误后看它是否存在。
大杀器Unidbg真正的威力
2403_87755661的博客
03-17 1332
同理,此框架也支持导出函数HOOK以及InlineHOOK 有了这个方法,在你分析一些函数的时候,可以充当Log的效果 或者强行改变一些函数的返回值让你更容易的分析,比如本例中笔者改变了Lrand48的返回值,让函数每次都强行返回0x12345678,这样在逆向分析的时候能让一些不确定性变成可控性.上面那张图片呢,用的就是小弟魔改的UnidbgTraceCode出来的文件,通过Trace方法可以快速定位某个函数在指令级别的作用,帮助逆向人员更快的分析出想要的算法.该函数的第一个参数毋庸置疑是当前的模拟器。
模拟执行apk的so文件方法(unidbg的配置与使用
一个啥也不会的小菜鸡!
05-21 1472
随便选个项目就可以开始运行了,但是会发生很多报错,需要继续配置IDEA环境!配置完成之后就可以实验IDEA打开这个github项目的解压出来的文件了!还有一个原因是因为没有配置源码目录、测试目录、资源目录,所以会报错!选择文件自带的项目,并且点击运行就可以试试环境是否配置完成!软件:IntelliJ IDEA 2023.3.4。直接手动下载github的zip文件来解压!下载好后直接添加环境变量并进行验证!最后点击运行就会发现成功了!
Unidbg使用指南(一)
fenfei331的博客
11-27 7283
一、目标 除了AndroidNativeEmu我们还有一个选择 Unidbg 来实现模拟执行so, GitHub链接 https://github.com/zhkl0228/unidbg 特色 模拟JNI调用API,以便可以调用JNI_OnLoad。 支持JavaVM,JNIEnv。 模拟syscalls调用。 支持ARM32ARM64。 基于HookZz实现的inline hook。 基于xHook实现的import hook。 支持 iOS fishhook 、 substrate 、 whale
unidbg hook 修改返回值
03-22
<think>好的,用户现在问的是关于在Unidbg中如何hook并修改返回值。首先,我需要回顾一下之前的对话历史。用户之前询问了openat系统调用的返回值,我详细解释了返回值的情况、错误码使用示例。现在用户的问题转向了Unidbg,这是一个用于模拟执行Android Native代码的工具,常用于逆向工程分析。 用户的问题具体是“unidbg hook 修改返回值”,需要解释如何在Unidbg中通过hook技术来修改某个函数的返回值。首先,我需要确认用户对Unidbghook的基本概念是否了解,可能需要先简要介绍Unidbg及其用途,然后解释hook的概念,再具体到如何修改返回值。 接下来,需要确定用户的使用场景。可能的用户身份是逆向工程师或安全研究人员,他们可能需要在模拟执行过程中动态修改函数的返回值,以绕过某些检查或测试不同情况下的程序行为。用户的真实需求可能是希望了解具体的实现步骤,或者遇到问题需要解决方案,比如如何定位目标函数、如何编写hook代码等。 然后,我需要组织回答的结构。首先介绍Unidbghook的基本概念,然后分步骤说明如何实现修改返回值,包括选择hook工具(如Dynarmic或Unicorn引擎)、定位目标函数、编写回调函数、替换返回值等。同时需要提供代码示例,帮助用户更直观地理解。此外,还要提到常见错误及调试方法,以及适用场景,确保回答全面。 还需要注意用户可能的深层需求。比如,用户可能在实际操作中遇到hook失败的情况,需要知道如何排查问题,或者如何确保hook后的稳定性。因此,回答中应包括调试技巧注意事项,比如检查函数签名、内存地址有效性、堆栈平衡等。 在技术细节方面,需要解释Unidbg中不同引擎的hook方法,比如使用Dynarmic的addHook方法,或者Unicorn引擎的hook_add函数。同时,强调修改返回值时的参数传递约定,比如ARM架构下返回值存放在R0寄存器中,x86则在EAX中,确保用户理解不同架构的区别。 最后,总结适用场景注意事项,帮助用户正确应用该技术,避免滥用导致的问题。提供示例代码时,要确保语法正确,并注释关键步骤,便于用户理解。</think>以下是关于在 **Unidbg** 中通过 Hook 修改函数返回值的分步解析: --- ### **1. 核心原理** **Unidbg** 是一个动态二进制分析框架,用于模拟执行 Android/iOS 的 Native 代码。通过 Hook 目标函数,可以拦截其执行流程,并修改寄存器或返回值。关键点: - **Hook 时机**:在函数执行前或执行后注入自定义逻辑 - **返回值修改**:覆盖寄存器中存储的返回值(如 ARM 的 R0/x86 的 EAX) - **场景**:绕过校验、模拟特定条件、动态调试等 --- ### **2. 实现步骤** #### **步骤 1:选择 Hook 工具** 在 Unidbg 中常用两种 Hook 方式: - **Dynarmic 引擎**:通过 `addHook` 方法直接 Hook 指令地址 - **Unicorn 引擎**:使用 `hook_add` 结合回调函数 #### **步骤 2:定位目标函数** 找到需修改返回值的函数地址: - 静态分析:通过 IDA/Ghidra 反编译获取函数偏移 - 动态追踪:结合 Unidbg 的日志输出或 `console.debugger()` #### **步骤 3:编写 Hook 回调函数** 以修改返回值(ARM 32 位为例): ```java // 使用 Dynarmic 引擎示例 emulator.getBackend().addHook(new Hook() { @Override public void hook(Backend backend, long address, int size, Object user) { // 判断是否为函数返回前的指令(如 BX LR) if (isFunctionExit(backend, address)) { // 修改 R0 寄存器的值(即返回值) backend.reg_write(ArmConst.UC_ARM_REG_R0, 0x1); // 强制返回 1 } } }, startAddress, endAddress, null); // 指定 Hook 的地址范围 ``` #### **步骤 4:替换返回值** 根据架构修改对应的寄存器: | 架构 | 返回值寄存器 | 示例代码 | |-----------|--------------|-----------------------------------| | ARM 32 | R0 | `reg_write(ArmConst.UC_ARM_REG_R0, value)` | | ARM 64 | X0 | `reg_write(Arm64Const.UC_ARM64_REG_X0, value)` | | x86 | EAX | `reg_write(X86Const.UC_X86_REG_EAX, value)` | --- ### **3. 完整代码示例** ```java public class ModifyReturnValue { public static void main(String[] args) { AndroidEmulator emulator = new AndroidARMEmulator(); Memory memory = emulator.getMemory(); // 加载目标 SO 文件 Module module = memory.load(new File("target.so")); // 获取目标函数地址(假设函数偏移为 0x1234) long targetFuncAddr = module.base + 0x1234; // 添加 Hook emulator.getBackend().addHook(new Hook() { @Override public void hook(Backend backend, long address, int size, Object user) { // 判断是否在目标函数范围内 if (address >= targetFuncAddr && address < targetFuncAddr + 0x10) { // 修改返回值(例如强制返回 0xABCD) backend.reg_write(ArmConst.UC_ARM_REG_R0, 0xABCD); } } }, targetFuncAddr, targetFuncAddr + 0x10, null); // 调用目标函数 emulator.eFunc(targetFuncAddr); } } ``` --- ### **4. 常见错误与调试** | 问题现象 | 解决方法 | |---------------------------|--------------------------------------------------------------------------| | Hook 未触发 | 检查地址范围是否正确,确认引擎是否支持 Hook(如 Unicorn 需手动启用) | | 程序崩溃 | 确保修改寄存器时未破坏其他上下文(如 LR/SP),检查堆栈平衡 | | 返回值未生效 | 确认 Hook 时机是否在函数返回前,检查寄存器与架构是否匹配 | --- ### **5. 适用场景** - **绕过许可证校验**:强制让 `check_license()` 返回成功 - **模拟硬件特性**:让 `get_device_id()` 返回指定字符串 - **动态测试**:测试不同返回值对程序流程的影响 --- ### **总结** 通过 UnidbgHook 机制修改返回值,需明确目标函数地址、架构寄存器规则及 Hook 范围。实际应用中需结合动态调试确保准确性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值