unidbg 加载 so 并调用 so 中函数

最新推荐文章于 2025-09-16 10:48:50 发布
原创 最新推荐文章于 2025-09-16 10:48:50 发布 · 1.7k 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#逆向 #安卓 #android #unidbg #JNI #汇编 #反汇编

版权归作者所有,如有转发,请注明文章出处:https://cyrus-studio.github.io/blog/

unidbg 简介

unidbg 是一个基于 Java 的 Android 动态分析框架,专注于模拟 Android 应用中的 native 代码。以下是它的主要功能:

  • 支持对so的加载;

  • 支持对JNI接口函数的模拟调用;

  • 支持常见syscalls的模拟调用;

  • 支持ARM32和ARM64。

  • 支持Android以及iOS

  • 基于HookZz实现的inline hook

  • xHook实现的hook

  • iOS fishhook,substrate、whale hook等

  • 支持gdb、IDA远程调试等高级功能。

Unidgb 项目地址:https://github.com/zhkl0228/unidbg

unidbg 底层引擎

unidbg 的 CPU 指令模拟主要由 dynarmic 和 unicorn 驱动。

dynarmic 是专注于 ARM 架构的模拟器,虽然它和 unicorn 都提供 ARM 模拟功能,但它们的设计目标和性能特点不同。unicorn 更加通用,而 dynarmic 则更注重效率。

dynarmic 与 unicorn 效率对比

clone unidbg 源码到本地并导入 IDEA,在 unidbg-android/src/test/java/com/kanxue/test2

word/media/image1.png

MainActivity.java 中示例代码实现了爆破 so 中 test 函数 flag 参数(已知 so 中 test 函数参数为一个字符串,该字符串长度为3且仅包含大小写字母),如果 flag 正确函数会返回 true,通过不断调用该 jni 函数测试所有字母组合直到得到正确结果。

package com.kanxue.test2;

import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.LibraryResolver;
import com.github.unidbg.arm.backend.DynarmicFactory;
import com.github.unidbg.linux.android.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.DalvikModule;
import com.github.unidbg.linux.android.dvm.DvmObject;
import com.github.unidbg.linux.android.dvm.VM;
import com.github.unidbg.linux.android.dvm.jni.ProxyDvmObject;
import com.github.unidbg.memory.Memory;

import java.io.File;

/**
 * <a href="https://bbs.pediy.com/thread-263345.htm">CrackMe</a>
 */
public class MainActivity {

    public static void main(String[] args) {
        long start = System.currentTimeMillis();
        MainActivity mainActivity = new MainActivity();
        System.out.println("load offset=" + (System.currentTimeMillis() - start) + "ms");
        mainActivity.crack();
    }

    private final AndroidEmulator emulator;
    private final VM vm;

    private MainActivity() {
        emulator = AndroidEmulatorBuilder
                .for32Bit()
                .addBackendFactory(new DynarmicFactory(true))
                .build();
        Memory memory = emulator.getMemory();
        LibraryResolver resolver = new AndroidResolver(23);
        memory.setLibraryResolver(resolver);

        vm = emulator.createDalvikVM();
        vm.setVerbose(false);
        DalvikModule dm = vm.loadLibrary(new File("unidbg-android/src/test/resources/example_binaries/armeabi-v7a/libnative-lib.so"), false);
        dm.callJNI_OnLoad(emulator);
    }

    private static final char[] LETTERS = {
            'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M',
            'N', 'O', 'P', 'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z',
            'a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm',
            'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v', 'w', 'x', 'y', 'z'
    };

    private void crack() {
        DvmObject<?> obj = ProxyDvmObject.createObject(vm, this);
最低0.47元/天 解锁文章
CYRUS STUDIO
关注
Unidbg系列--模拟调用So文件
Tasfa的博客
05-21 1677
unidbg在pc端模拟调用so函数
左右互博02-unidbg主动调用so函数
qq_42423940的博客
01-25 171
这篇来说一下unidbg 怎么调用
unidbg极简调用so文件的入门教程(配详细注释)
qq_41866988的博客
05-21 3574
注释已经非常详细写了,后续的apk和so文件也会发到下面(用的是r0ysue-大数据安全入门课程里面的课件)。记得电脑先安装好JDK,下载好idea后打开unidbg文件夹即可自动安装依赖。打开标记出的项目文件直接运行即可,然后正常打印出结果代表项目可以正常运行。如果需要永久激活idea的请私我。目前支持2023.1版本。最终打印的会是一个md5加密的字符串。r0ysue-大数据安全入门课程。
unidbg调用so文件生成xgorgon
李玺
08-14 1万+
unidbgunidbg特点unidbg环境配置加载libcms.somore articles 目前很多 App 的加密签名算法都在so文件中,强行逆向so的话可能会消耗大量时间和资源。 之前用 xposed 采用 hook 的方法从程序计算签名,但是需要模拟器或者真机运行这个应用,使用效率不高。 也用过 jtype 启动JVM,然后通过 native 对so文件进行调用,因为每次都需要启动JVM,所以效率也不高。 unidbg 他不需要运行 app,也无需逆向 so 文件,通过在 app 中找到对应的.
逆向教程 unidbg调用so函数完成签名
最新发布
hhtt19820919的博客
09-16 923
unidbg可以直接调用app中的so函数,可以不使用模拟器和frida的组合.因此可以节约很多资源,且部署到服务器中,下面是执行代码,分别对应源码中的add,md5,encode函数
Unidbg调用so学习
09-09 7811
某音加密参数对于识别用户设备以及获取用户相关的数据非常重要。测试过程中发现一些特定的接口会对这6个参数进行验证,如何构造这些加密参数呢?
模拟执行apk的so文件方法(unidbg的配置与使用)
一个啥也不会的小菜鸡!
05-21 1450
随便选个项目就可以开始运行了,但是会发生很多报错,需要继续配置IDEA环境!配置完成之后就可以实验IDEA打开这个github项目的解压出来的文件了!还有一个原因是因为没有配置源码目录、测试目录、资源目录,所以会报错!选择文件自带的项目,且点击运行就可以试试环境是否配置完成!软件:IntelliJ IDEA 2023.3.4。直接手动下载github的zip文件来解压!下载好后直接添加环境变量进行验证!最后点击运行就会发现成功了!
unidbg模拟执行so文件调用解密函数
小龙在线
05-17 1956
引入jar包 com.github.zhkl0228:unidbg-android:0.9.6 测试用例 import com.github.unidbg.AndroidEmulator; import com.github.unidbg.Module; import com.github.unidbg.linux.android.AndroidEmulatorBuilder; import com.github.unidbg.linux.android.AndroidResolver; import c
Unidbg模拟执行某段子so实操教程(一) 先把框架搭起来
fenfei331的博客
05-19 2265
一、目标 最近又开始研究Unidbg了,费了好大劲,没有跑起来。今天就先找个软柿子捏捏看。 今天的目标是 之前研究的 某段子App签名计算方法(一) 某段子App版本 5.5.10 二、步骤 先搭起框架来 在 /unidbg/unidbg-android/src/test/java/ 下面新建一个 com/fenfei/test 包, 我们的例子都放在这个包下。 然后再创建一个 RunZy 类 public class RunZy extends AbstractJni { public s
使用Unidbg进行Hook和Patch
Qiled的博客
12-25 7315
http://zhuoyue360.com/crack/75.html 什么是unidbg就不多说了,大家自行百度。 文章目录写个demo,搭架子Hookzzhookzz基本代码Hook实例1. 汇编子程序参数传递的调用约定2. 获取和修改参数.获取参数内容修改参数内容3.获取和修改返回结果Patch1.加改成减法方式一 writeByte方式二:keystore代码: 写个demo,搭架子 写个简单的加减法来给unidbg调用。 public native String add(int a,int b
逆向工具之unidbg(在pc端模拟执行so文件中的函数
热门推荐
hestyle的博客
05-21 2万+
  昨天在逆向某App的时候,发现有个加密工具类中的native方法是用C语言编写的,隐藏在so文件中。某大佬推荐逆向工具unidbg,能在pc端直接调用so文件中的函数,最终成功解决了问题。 逆向工具之unidbg目录一、`unidbg`引入二、`unidbg`概述三、`unidbg`使用姿势1、下载`unidbg`项目2、导入到IDEA中①、解压压缩包②、打开`IDEA`,导入解压的项目3、测试`unidbg`4、运行自己的`so`文件①、编写`EncryptUtilsJni`类②、参数说明③、执行结果
arm64 树莓派 unidbg 专用 libunicorn_java.so
11-24
原生unidbg不支持arm64,自己编译的支持 arm64树莓派 unidbg 专用 libunicorn_java.so
unidbg-0.3.0-SNAPSHOT.jar
11-09
unidbg-0.3.0-CMC
安卓 java hook调用so_Android开发 Unidbg模拟执行so使用指南
weixin_30186743的博客
02-26 588
一、目标除了AndroidNativeEmu我们还有一个选择 Unidbg 来实现模拟执行so,GitHub链接https://github.com/zhkl0228/unidbg特色模拟JNI调用API,以便可以调用JNI_OnLoad。支持JavaVM,JNIEnv。模拟syscalls调用。支持ARM32和ARM64。基于HookZz实现的inline hook。基于xHook实现的impo...
从零开始写一个unidbg调用so库的案例
zhang_991998287的博客
09-06 508
2021年9月6日22:17:50 占坑
Unidbg调用-补环境V3-主动调用
dafan0的博客
06-29 479
*注意:**这一部分没有看见有价值的内容,复习时可略过,需要时再看。
Unidbg调用-补环境V3-Hook
dafan0的博客
06-29 462
结合IDA和unidbg,可以在so的执行过程进行Hook,这样可以让我们了解分析具体的执行步骤。:基于unidbg调试执行步骤 或 还原算法(以Hookzz为例)。
unidbg调用so
01-18
### 使用 Unidbg 加载调用 Android SO 动态库 #### 准备工作 为了使用 Unidbg 调试加载 Android 的 `.so` 文件,需先设置好开发环境。确保已安装 Java 开发工具包 (JDK),Unidbg 库加入项目依赖。 #### 创建 Unidbg 实例 创建一个新的 `Unidbg` 对象实例用于模拟 ARM 架构下的执行环境: ```java // 初始化 Unidbg 实例 Unidbg unidbg = new Unidbg(ArchEnum.ARM); ``` #### 设置文件系统路径映射 为了让被调试的应用程序能够找到所需的共享对象(`.so`),需要配置虚拟文件系统的根目录以及应用程序私有数据存储位置: ```java // 配置 so 文件所在的真实路径到 /data/app-lib/ 下的映射关系 unidbg.setAppPath("/path/to/apk"); unidbg.addFileSystem("/path/to/lib"); // 存放 .so 文件的实际路径 ``` #### 注册必要的模块和服务 某些情况下可能还需要注册特定的服务接口或实现类以便于更好地支持目标应用的功能需求: ```java // 如果需要的话可以在这里添加自定义服务或其他初始化操作 unidbg.getEmulator().addService(new MyCustomService()); ``` #### 加载指定的动态链接库 通过 `loadLibrary()` 方法传入要分析的目标 `.so` 名字来进行加载动作: ```java Dlfcn dlopen = unidbg.loadLibrary("libexample.so", Dlfcn.class); // libexample.so 是待测试的具体 so 文件名 ``` #### 定义回调函数处理 API 请求 当遇到未实现的标准 C/C++ 运行时函数或者其他外部符号引用时,可以通过重写相应的方法来自定义行为逻辑: ```java public class HookedFunction implements Function { @Override public ReturnAction hook(Emulator<?> emulator, long originFunction) { Memory memory = emulator.getMemory(); // 获取参数列表 Stack stack = ((ARM32RegisterContext)emulator.getContext()).getStack(); Pointer ptrArg0 = stack.popPointer(); Log.d("HookedFunction", "Called with arg0=" + ptrArg0.getStringUtf8()); // 返回期望的结果给原生层 return new ReturnAction(emulator).returnNow(0L /* 成功 */); } } ``` #### 执行具体功能 最后一步就是触发想要研究的那个导出函数入口点了。这通常涉及到构造合适的输入参数通过指针传递进去,之后读取返回值完成整个交互过程: ```java long addressOfTargetFunc = dlopen.dlsym(dlopen.dlopen("libexample.so"), "target_function_name"); if(addressOfTargetFunc != 0){ RegisterContext context = unidbg.getEmulator().getContext(); // 填充 R0 寄存器作为第一个参数... context.setR0(/* 参数1 */); // ...其他寄存器也可能用来携带更多参数... // 让 CPU 开始运行直到该地址处指令被执行完毕 unidbg.runUntilAddress(addressOfTargetFunc); } else { throw new RuntimeException("Failed to find symbol 'target_function_name'"); } // 取得结果 long resultValue = context.getR0(); // 或者根据实际情况调整获取方式 Log.i("Result:", Long.toString(resultValue)); ``` 以上即为利用 Unidbg 工具集加载调用 Android 平台上的本地二进制组件的一个基本流程概述[^1]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值