DexClassLoader加载流程

本文深入探讨Android平台上的DEX动态加载技术,包括DexClassLoader的使用及局限,通过JNI调用底层函数实现更安全的DEX加载。同时,介绍了自篡改Dalvik字节码的方法,用于增强应用程序的安全性和灵活性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、Android DEX 动态加载技术

在Android开发过程中,开发者可以使用DexClassLoader动态加载另一个DEX文件。
API接口:
DexClassLoader(String dexPath, String optimizedDirectory, String libraryPath,ClassLoader parent)
缺点:需要DEX以文件形式明文存放在存储设备上。

Android4.0版本增加了对内存中DEX数据的动态加载,这样就克服了使用DexClassLoader时DEX以文件形式明文存放在存储设备上的缺点,内存中DEX数据可以来源于解密后的文件或者网络。这样就增加了DEX数据的安全性。但是DexClassLoader并没有暴露该种加载方式。开发者需要在JAVA层实现自己的Dex ClassLoader。

Android相关源代码位置:

JAVA层源代码:libcore\dalvik\src\main\java\dalvik\system\DexFile.java

   /*
     * Open a DEX file based on a {@code byte[]}. The value returned
     * is a magic VM cookie. On failure, a RuntimeException is thrown.
     */
    nativeprivatestaticint openDexFile(byte[] fileContents);

开发者可以通过反射调用DexFile实现自己的Dex ClassLoader,但是这种方式DEX数据在JAVA层,比较容易获取,安全度比较低。
开发者可以通过JNI调用底层函数解析:

C++层源代码:dalvik2\vm\native\dalvik_system_DexFile.cpp

const DalvikNativeMethod dvm_dalvik_system_DexFile[] = {
          { "openDexFile", "(Ljava/lang/String;Ljava/lang/String;I)I",Dalvik_dalvik_system_DexFile_openDexFile },
          { "openDexFile", "([B)I",Dalvik_dalvik_system_DexFile_openDexFile_bytearray },
          { "closeDexFile", "(I)V",Dalvik_dalvik_system_DexFile_closeDexFile },
          { "defineClass", "(Ljava/lang/String;Ljava/lang/ClassLoader;I)Ljava/lang/Class;",Dalvik_dalvik_system_DexFile_defineClass },
          { "getClassNameList", "(I)[Ljava/lang/String;",Dalvik_dalvik_system_DexFile_getClassNameList },
          { "isDexOptNeeded", "(Ljava/lang/String;)Z",Dalvik_dalvik_system_DexFile_isDexOptNeeded },
          { NULL, NULL, NULL },

};

第一步首先获取Dalvik_dalvik_system_DexFile_openDexFile_bytearray方法指针:

   JNINativeMethod *dvm_dalvik_system_DexFile;

   void (*openDexFile)(const u4* args, JValue* pResult);
   JNIEXPORT jint JNI_OnLoad(JavaVM* vm, void* reserved) {
       void *ldvm = (void*)dlopen("libdvm.so", RTLD_LAZY);
       dvm_dalvik_system_DexFile = (JNINativeMethod*)dlsym(ldvm, "dvm_dalvik_system_DexFile");

       lookup(dvm_dalvik_system_DexFile, "dvm_dalvik_system_DexFile", "([B)I", &openDexFile)

   }
   int lookup (JNINativeMethod *table, const char *name, const char *sig, void (**fnPtrout)(u4 const *, union JValue *)) {
        int i = 0;
        while (table[i].name != NULL) {
           if ( (strcmp(name, table[i].name) == 0) && (strcmp(sig, table[i].signature) == 0) ) {
                 *fnPtrout = table[i].fnPtr;
                 return 1;

            }
            i++;
        }
       return 0;
   }

第二步调用Dalvik_dalvik_system_DexFile_openDexFile_bytearray方法解析Dex数据

 ArrayObject *ao; // header+dex content
 u4 args[] = { (u4)ao };
 JValue pResult ;
 jint result ;
openDexFile(args, &pResult);
result = (jint)pResult.l;
return result;

第三步实现JAVA层Dex ClassLoader完成类的加载:

  int cookie = openDexFile(...);
     Class<?> cls = null;
      String as[] = getClassNameList(cookie);
      for(int z=0; z<as.length; z++) {
           if(as[z].equals("com.immunapp.hes2013.MainActivity")) {
                cls=defineClass(as[z].replace('.', '/'), context.getClassLoader(), cookie );
      } else {
               defineClass(as[z].replace('.', '/'), context.getClassLoader(), cookie );
      }

缺点:只能使用在Android4.0以上设备

二、自篡改Davlik字节码(原理:http://blog.youkuaiyun.com/androidsecurity/article/details/8833710)

1、搜索内存查找DEX特征(dex\n035)

    读取\proc\self\maps文件获取dex map地址

    它将以_SC_PAGESIZE内存页对齐, 相对Map开始地址偏移0x28

2、DEX格式解析(http://blog.youkuaiyun.com/androidsecurity/article/details/8664778)

3、找到代码正确的位置

    第一步定位到具体类,第二步定位到具体方法,获取方法字节码相对data section偏移量。

4、解锁内存

    mprotect((unsigned char*)aligned,PROT_WRITE | PROT_READ, len);

5、修改相应的代码

    memcpy((unsigned char*)code_off,opcodes, len);
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值