unidbg 实现 JNI 与 Java 交互

原创 于 2025-03-03 10:37:50 发布 · 1.4k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #逆向 #汇编 #jni #unidbg #unicorn

版权归作者所有,如有转发,请注明文章出处:https://cyrus-studio.github.io/blog/

Android 示例代码

在 com.cyrus.example.unidbg.UnidbgActivity 编写一个静态变量 a 和非静态变量 b,还有 base64 方法。

代码如下:

package com.cyrus.example.unidbg

import android.os.Bundle
import androidx.appcompat.app.AppCompatActivity
import android.util.Base64

class UnidbgActivity : AppCompatActivity() {

    companion object {
        // 静态变量 a
        var a: String? = null
    }

    // 非静态变量 b
    var b: String? = null

    override fun onCreate(savedInstanceState: Bundle?) {
        super.onCreate(savedInstanceState)
        setContentView(R.layout.activity_unidbg)

        // 初始化静态变量 a 和 非静态变量 b
        a = "StaticA"
        b = "NonStaticB"
    }

    // Base64 方法
    fun base64(content: String): String {
        val combined = (a ?: "") + content + (b ?: "")
        return Base64.encodeToString(combined.toByteArray(), Base64.NO_WRAP)
    }
    
    // Native 方法 sign
    external fun sign(content: String): String
}

再实现一个 native 方法 sign 接受一个字符串 content,将 java 层 UnidbgActivity 中 静态变量 a + content + 非静态变量 b 拼接,再调用 java 层的 base64 方法传入拼接后的字符串得到加密串作为返回值。

cpp 源码如下:

#include <jni.h>
#include <string>

extern "C" JNIEXPORT jstring JNICALL
Java_com_cyrus_example_unidbg_UnidbgActivity_sign(JNIEnv *env, jobject thiz, jstring content) {
    // 获取 content 字符串
    const char *contentChars = env->GetStringUTFChars(content, nullptr);

    // 获取静态变量 a 和 非静态变量 b
    jclass clazz = env->GetObjectClass(thiz);
    jfieldID aField = env->GetStaticFieldID(clazz, "a", "Ljava/lang/String;");
    jfieldID bField = env->GetFieldID(clazz, "b", "Ljava/lang/String;");

    jstring a = (jstring) env->GetStaticObjectField(clazz, aField);
    jstring b = (jstring) env->GetObjectField(thiz, bField);

    // 将 a, content 和 b 拼接
    const char *aChars = env->GetStringUTFChars(a, nullptr);
    const char *bChars = env->GetStringUTFChars(b, nullptr);

    std::string combined = std::string(aChars) + contentChars + std::string(bChars);

    // 释放字符串
    env->ReleaseStringUTFChars(content, contentChars);
    env->ReleaseStringUTFChars(a, aChars);
    env->ReleaseStringUTFChars(b, bChars);

    // 调用 base64 方法
    jmethodID base64Method = env->GetMethodID(clazz, "base64", "(Ljava/lang/String;)Ljava/lang/String;");
    jstring combinedStr = env->NewStringUTF(combined.c_str());
    jstring base64Result = (jstring) env->CallObjectMethod(thiz, base64Method, combinedStr);

    return base64Result;
}

点击按钮 sign 调用 sign 方法加密字符串并 toast,编译运行得到 apk 文件。

word/media/image1.png

逆向分析 apk

把 apk 拖入 JEB , 经过反编译后可以找到 调用了 目标 jni 方法 sign

word/media/image2.png

JEB 下载地址:https://bbs.kanxue.com/thread-282148.htm

模拟目标 JNI 方法

把 apk 中目标 so 解压并放到 resources 目录下

通过 unidbg 加载 so 并调用 目标 jni 方法 sign,源码如下:

package com.cyrus.example;

import com.alibaba.fastjson.util.IOUtils;
import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.LibraryResolver;
import com.github.unidbg.Module;
import com.github.unidbg.linux.android.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.AbstractJni;
import com.github.unidbg.linux.android.dvm.DvmClass;
import com.github.unidbg.linux.android.dvm.DvmObject;
import com.github.unidbg.linux.android.dvm.VM;
import com.github.unidbg.memory.Memory;

import java.io.File;

public class Demo2 extends AbstractJni {

    public static void main(String[] args) {
        Demo2 demo = new Demo2();
        demo.run();
        demo.destroy();
    }

    private void destroy() {
        IOUtils.close(emulator);
    }

    private final AndroidEmulator emulator;

    private Demo2() {
        // 创建一个 64 位的 Android 模拟器实例
        emulator = AndroidEmulatorBuilder
                .for64Bit()  // 设置为 64 位模拟
                .setProcessName("com.cyrus.example") // 进程名称
                .build();    // 创建模拟器实例

        // 获取模拟器的内存实例
        Memory memory = emulator.getMemory();

        // 创建一个库解析器,并设置 Android 版本为 23(Android 6.0)
        LibraryResolver resolver = new AndroidResolver(23);

        // 将库解析器设置到模拟器的内存中,确保加载库时能够解析符号
        memory.setLibraryResolver(resolver);

    }

    public void run(){
        // 加载共享库 libunidbg.so 到 Dalvik 虚拟机中,并设置为需要自动初始化库
        Module module = emulator.loadLibrary(new File("unidbg-android/src/test/resources/example_binaries/cyrus/libunidbg.so"));

        // 创建一个 Dalvik 虚拟机实例
        VM vm = emulator.createDalvi
最低0.47元/天 解锁文章
CYRUS STUDIO
关注
Unidbg源码分析系列-- unidbg-android分析(三)
Tasfa的博客
06-07 900
本文主要阅读并分析unidbg-android目录下源码的作用 文件操作相关源码目录xHook相关接口主要的文件目录,包括android虚机实现、文件系统的实现等等待更新,会详细讲这一趴实现系统文件内容的读写操作,比如读写 等等系统文件例如读写操作MapsFile ......
Unidbg源码分析系列--源码架构(一)
Tasfa的博客
06-24 828
Unidbg源码分析系列文章将从整体到细节,全面深入地去分析Unidbg的源码,从而加深对Android虚拟机/模拟器的理解,进一步提升在逆向分析中使用Unicorn/Unidbg的能力。本篇是系列第一篇,将主要罗列一下Unidbg整体的源码架构/目录架构,后续系列文章将会对每一个结构进行深入详细分析。
unidbg极简调用so文件的入门教程(配详细注释)
qq_41866988的博客
05-21 3574
注释已经非常详细写了,后续的apk和so文件也会发到下面(用的是r0ysue-大数据安全入门课程里面的课件)。记得电脑先安装好JDK,下载好idea后打开unidbg文件夹即可自动安装依赖。打开标记出的项目文件直接运行即可,然后正常打印出结果代表项目可以正常运行。如果需要永久激活idea的请私我。目前支持2023.1版本。最终打印的会是一个md5加密的字符串。r0ysue-大数据安全入门课程。
Unidbg-Linker部分源码分析(下)
热门推荐
大数据安全技术学习
10-29 3万+
Unidbg-Linker部分源码分析(下) Unidbg-Linker部分源码分析(下) 概要 align resolveLibrary VirtualModule initFunctions call 总结 概要 上篇我们分析了AndroidElfLoader类中的loadInternal方法,很长,很大,忍一忍才能读完。那么我们下篇就来分析下Unidbg中Linker部分的其他细枝末节 align 上文中有很多地方调用了ARM.align方法进行页对齐操作,我们看一下这个方法的实现 p
Unidbg源码分析系列-- unidbg-api分析(五)
Tasfa的博客
10-16 565
占坑 慢慢写 先买的肯定会值得的,后续专栏补充完肯定会涨价。
unidbg 入门(一)
xubaoyong的专栏
12-06 3620
1 学习内容 1.1:调用native方法 1.1 .1使用方法:callStaticJniMethodObject 1.1.2 先new出对象再调用方法callJniMethodObject 1.2:传不同的参数: 1.2.1 调用无参函数 1.2.2 int类型参数 1. 2.3 btye数组类型参数 1.2.4 多个String类型的参数 2 代码如下 2.1:so...
unidbg-master.zip
08-27
unidbg模拟了JNI调用过程,使得在非Android环境下也能运行Java代码本地代码的交互,这对于分析Java应用的行为、调试或者开发插件具有重要意义。 二、unidbg的功能特性 1. **JavaVM模拟**:unidbg能够模拟Java...
unidbg.zip
10-06
这对于分析Java应用本地库之间的交互,或者在没有源代码的情况下研究二进制文件的行为,具有极大的价值。 其次,unidbg对ARM架构的支持是其另一大亮点。无论是32位的ARMv7还是64位的AArch64,unidbg都能够有效地...
unidbg0.9.5 Jar包
01-09
`unidbg-api-0.9.5.jar`是unidbg的API库,提供了unidbg交互的接口。主要功能包括: 1. **模块加载**:支持加载目标程序的动态链接库(如.so文件),并提供调用其中函数的能力。 2. **命令行工具**:提供命令行...
unidbg调用Java
最新发布
05-01
用户之前可能已经接触过Unidbg的基本用法,但遇到了Java交互的问题。根据用户提供的引用内容,特别是引用[1]中提到的补Java环境的问题,以及引用[2]中提到的反调试和hook技术,我需要结合这些信息来构建一个清晰...
某车联网App 通讯协议加密分析(二) Unidbg手把手跑通
dzqxwzoe的博客
12-28 1570
unidbg补环境实际是考验你的Android编程能力。谷歌一下关键字 unidbg + 报错信息,一般都有同道趟过坑。什么?你打不开谷歌?我现在劝你改行还来得及吗?1:ffshow好味止园葵,大欢止稚子。平生不止酒,止酒情无喜。
某车联网App 通讯协议加密分析(三) Trace Block
fenfei331的博客
09-13 1395
何以解忧,唯有Trace。能下断点Debug的App,一定就逃不出手心了。所以现在App的关注点都是抵抗Debug,抵抗下断点。结果不对,就和正确的结果去对比流程,跑的和你一模一样,总没毛病吧?1:ffshow凡说之难 在知所说之心 可以吾说当之。
Android JNI参数传递
Q1009355422的专栏
08-29 2071
android添加自定义键值 /frameworks/native/include/input KeycodeLabels.h /frameworks/base/core/java/android/view KeyEvent.java /frameworks/base/core/res/res/values attrs.xml
unidbg第三讲 com.github.unidbg.android.AndroidTest
xubaoyong的专栏
12-28 2224
讲解例子 类似的例子还有 com.github.unidbg.android.Android64Test 学习内容 手动调用native方法 手动调用JNI_OnLoad方法 手动调用模拟器入口方法 对jni里的env调用callStaticFloatMethod、newObject、setFloatField、SetDoubleField、 getStaticBooleanField等方法进行hook 课前准备及了解的知识: 从源码中知道test文件和libnative.so文.
unidbg 加载 so 并调用 so 中函数
02-27 1759
unidbg 是一个基于 JavaAndroid 动态分析框架,专注于模拟 Android 应用中的 native 代码。以下是它的主要功能:支持对so的加载;支持对JNI接口函数的模拟调用;支持常见syscalls的模拟调用;支持ARM32和ARM64。支持Android以及iOS基于HookZz实现的inline hookxHook实现的hookiOS fishhook,substrate、whale hook等支持gdb、IDA远程调试等高级功能。…Unidgb 项目地址:https://git
unidbg实现淘宝请求参数算法,实现脱离模拟器/手机请求淘宝、闲鱼
bugtraq的博客
03-15 9169
但是,随着研究的深入,相关的学习资料越来越少,unidbg和直接逆向学习的资料,虽然有一些,但对于问题的深入,原理的解析,以及具体API方法的使用,可以说是少之又少。鱼和渔的问题,越来越尖锐了。已经研究了差不多几个月,总感觉临门一脚了,程序调试也没有完全通过。虽然越挫越勇,会继续研究,但还是感觉得慢慢来,研究、学习,本身也是一场永远止境的修行。相对于直接逆向x-sign的算法而言,用unidbg调用so文件的难度要小很多。下面的代码面向的是mtop6.5.27, 代码还存在不少问题,并不能直接使用。
app安全之安卓native层安全分析(四):unidbg模拟调用
app安全逆向、移动开发、tls/ja3、爬虫、反爬
04-25 1438
SO逆向入门实战教程四:mfw_so层逆向_白龙~的博客-优快云博客还是那句,我会借鉴龙哥的文章,以一个初学者的角度,加上自己的理解,把内容丰富一下,尽量做到不在龙哥的基础上画蛇添足,哈哈。第四部分没啥技术知识点,都是老套路。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值