打造基于 ART 的 Android 函数抽取壳:原理剖析与完整源码实战

原创 已于 2025-06-25 17:50:28 修改 · 804 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #逆向 #c++ #app加固 #安全 #python

于 2025-05-14 16:23:15 首次发布

版权归作者所有,如有转发,请注明文章出处:https://cyrus-studio.github.io/blog/

ART 下类加载流程

1. 类加载的时机

1、隐式加载:

  • 创建类的实例

  • 访问类的静态变量,或者为静态变量赋值

  • 调用类的静态方法

  • 使用反射方式来强制创建某个类或接口对应的 java.lang.Class 对象

  • 初始化某个类的子类

2、显示加载:

  • 使用 loadClass() 加载

  • 使用 forName() 加载

两者又有所不同。

2. 类加载的流程

loadClass 和 forName 也是有区别的;

loadClass 只完成了第一步,就是加载;

Class.forName 是完成了3步,加载、链接和初始化。

阶段 发生了什么
加载 字节码文件 -> Class 对象
验证 检查字节码合法性
准备 静态变量分配内存,默认值
解析 符号引用 → 真实引用
初始化 调用 <clinit> 函数,static 代码块执行,静态变量赋值

一个类从“加载” 到 “可以使用” 的完整生命周期:加载(Loading)→ 连接(Linking)→ 初始化(Initialization)。

加载(Loading)
  ↓
连接(Linking)
    → 验证(Verification)
    → 准备(Preparation)
    → 解析(Resolution)
  ↓
初始化(Initialization)
  ↓
使用(Use)
  ↓
卸载(Unload)

相关文章:Android 下的 ClassLoader 与 双亲委派机制

ClassLinker::LoadMethod

ClassLinker::LoadMethod 是 ART 中负责将 dex 文件中的方法信息解析并填充到 ArtMethod(Java 函数的 native 表示) 结构体中的关键函数,是抽取壳的实现基础。

从 ClassLoader.loadClass() 开始,逐步分析 ART 下类加载的完整流程。

word/media/image1.png
https://cs.android.com/android/platform/superproject/main/+/main:libcore/ojluni/src/main/java/java/lang/ClassLoader.java;l=557

ClassLoader 的 loadClass(String name, boolean resolve) 方法的核心实现,它正是 双亲委派机制(Parent Delegation Model) 的体现。

protected Class<?> loadClass(String name, boolean resolve)
    throws ClassNotFoundException
{
        // 1️⃣ 首先检查类是否已经加载过
        Class<?> c = findLoadedClass(name);
        if (c == null) {
            try {
                if (parent != null) {
                    c = parent.loadClass(name, false); // 2️⃣ 向父类加载器请求加载
                } else {
                    c = findBootstrapClassOrNull(name); // 3️⃣ 否则用 BootstrapClassLoader
                }
            } catch (ClassNotFoundException e) {
                // ClassNotFoundException thrown if class not found
                // from the non-null parent class loader
            }

            if (c == null) {
                // 4️⃣ 父加载器找不到,当前类加载器自己尝试加载
                c = findClass(name);
            }
        }
        return c;
}

https://cs.android.com/android/platform/superproject/main/+/main:libcore/ojluni/src/main/java/java/lang/ClassLoader.java;l=617

https://cs.android.com/android/platform/superproject/main/+/main:libcore/dalvik/src/main/java/dalvik/system/BaseDexClassLoader.java;l=245

ClassLoader.loadClass → ClassLinker::LoadMethod 调用路径

ClassLoader.loadClass(name)
  ↓
BaseDexClassLoader.findClass(name)
  ↓
DexPathList.findClass(name)
  ↓
Element.findClass(name)
  ↓
DexFile.loadClassBinaryName(name)
  ↓
DexFile.defineClass(name)
  ↓
DexFile.defineClassNative(name)
  ↓
→ ClassLinker::DefineClass(Thread* self, const char* descriptor, size_t hash, Handle<mirror::ClassLoader> class_loader, const DexFile& dex_file, const dex::ClassDef& dex_class_def)
    → ClassLinker::LoadClass(Thread* self, const DexFile& dex_file, const dex::ClassDef& dex_class_def, Handle<mirror::Class> klass)
        → LoadField(field, klass, ...)
        → LoadMethod(dex_file, method, klass, art_method)  ←🎯目标函数

https://cs.android.com/android/platform/superproject/+/android-10.0.0_r47:art/runtime/native/dalvik_system_DexFile.cc;l=456

https://cs.android.com/android/platform/superproject/+/android-10.0.0_r47:art/runtime/class_linker.cc;l=3094

https://cs.android.com/android/platform/superproject/+/android-10.0.0_r47:art/runtime/class_linker.cc;l=3732

ClassLinker::LoadMethod 真正进入到对类中 Java 函数对应的 ArtMethod 对象的初始化,ArtMethod 包含了当前指向内存中 CodeItem 的偏移

调用 SetCodeItemOffset 方法设置 ArtMethod 中 CodeItem 的偏移

word/media/image2.png
https://cs.android.com/android/platform/superproject/+/android-10.0.0_r47:art/runtime/class_linker.cc;l=3743

如果拿到了 CodeItemOffset 我们是不是就可以通过打补丁的方式恢复被抽取的 CodeItem 了。

hook execve 函数,禁用 dex2oat

ART 下实现抽取壳的另一个难点:dex2oat 编译流程。

如果 dex2oat 对抽取的 dex 进行编译生成了

最低0.47元/天 解锁文章
CYRUS STUDIO
关注
多模态大模型:技术原理实战 智能顾问
AI架构师小马
07-30 448
多模态大模型:技术原理实战 智能顾问 作者:禅计算机程序设计艺术 / Zen and the Art of Computer Programming 1. 背景介绍 1.1 问题的由来 随着互联网和物联网的快速发展,人们
Spacy 原理代码实战案例讲解
AI天才研究院
06-19 780
1. 背景介绍 自然语言处理(NLP)是人工智能领域的一个重要分支,它涉及到计算机如何理解和处理人类语言。在NLP领域,Spacy是一个备受欢迎的Python库,它提供了一系列高效的工具和算法,可以帮助开发者快速地构建自然语言处理应用程序。 Spacy的设计目标是提供一个高效、易用、可扩展的自然语言处理库,它的核心算法基于最新的研究成果
Android运行时ART加载类和方法的过程分析
热门推荐
老罗的Android之旅
10-20 5万+
在前一篇文章中,我们通过分析OAT文件的加载过程,认识了OAT文件的格式,其中包含了原始的DEX文件。既然ART运行时执行的都是翻译DEX字节码后得到的本地机器指令了,为什么还需要在OAT文件中包含DEX文件,并且将它加载到内存去呢?这是因为ART运行时提供了Java虚拟机接口,而要实现Java虚拟机接口不得不依赖于DEX文件。本文就通过分析ART运行时加载类及其方法的过程来理解DEX文件的作用。
Android 逆向ART ( DexClassLoader 脱 | ART 虚拟机下 DexClassLoader 类加载器脱点总结 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
12-15 1902
一、ART 虚拟机下 DexClassLoader 类加载器脱点总结、 1、file_magic.cc#OpenAndReadMagic 函数、 2、dex_file.cc#DexFile::OpenCommon、 3、dex_file.cc#DexFile::DexFile、 总结 ( 兼容 InMemoryDexClassLoader 和 DexClassLoader 两种类加载器的 脱点 )
入门ART虚拟机(3)——加载类和方法
zhangmiaoping23的专栏
10-17 417
在DexFile_defineClassNative方法中,调用class_linker对象的DefineClass来加载类。在DexPathList类的findClass方法中,遍历dexElements数组的每一个成员(前面笔记提到过,每一个Element对象里面封装着一个DexFile),然后调用DexFile的loadClassBinaryName方法来加载类。调用FindOatClass查找被加载类对应的OatClass,然后调用LoadClassMembers加载类的成员。
Android虚拟机和类加载机制
weixin_75207021的博客
02-29 1126
介绍Android虚拟机及类加载机制
精选资源
java安卓辅助源码-Android-Reverse-learn:安卓逆向学习
06-04
ART抽取实现 FART中的脱点 FART主动调用组件设计和源码分析 FART frida FART修复组件和辅助VMP分析 03 ARM & C++算法还原原理 ARM可执行程序的生成过程 ARM汇编寻址、汇编指令、汇编开发 ARM汇编指令集 Thumb...
函数抽取工具 fart代码阅读
flygle~的博客
05-10 1346
这里传null 是有讲究的 过滤如果传进来的是我们伪造的invoke调用 直接return 不执行 但是这时候其实已经触发函数解密 直接保存即可。具体实现在 art\runtime\native\dalvik_system_DexFile.cc。4 通过调用DexFile自定义的函数从而主动调用实现类dump。dumpArtMethod fart 的核心函数 即保存dex。该函数是一个native 函数 参数为一个 method 对象。1 获取当前应用的类加载器 的 (类列表)反射使函数可以调用。
【个人笔记三】ART系统类和方法加载分析
朱小南的博客
08-22 3179
- 在ART上用YAHFA、Legend以及一个java层实现的Andix: http://weishu.me/2017/03/20/dive-into-art-hello-world/,发现除了framework层的类(如telephonymanager)和应用中的类有效外,对于java核心库的类(如IOBridge和Class等)的hook都无效,所以我就以telephonymanager和IOBridge这两
android类的加载过程,Android运行时ART加载类和方法的过程分析
weixin_31601663的博客
05-25 384
在前一篇文章中,我们通过分析OAT文件的加载过程,认识了OAT文件的格式,其中包含了原始的DEX文件。既然ART运行时执行的都是翻译DEX字节码后得到的本地机器指令在前一篇文章中,我们通过分析OAT文件的加载过程,认识了OAT文件的格式,其中包含了原始的DEX文件。既然ART运行时执行的都是翻译DEX字节码后得到的本地机器指令了,为什么还需要在OAT文件中包含DEX文件,并且将它加载到内存去呢?这...
Art虚拟机(2)--加载类流程
leif 的博客
04-26 577
Art虚拟机(2)–加载类流程 参考老罗博客整理Art虚拟机加载类流程。如下:
ART执行类方法解析流程
朱小南的博客
07-13 5028
在类的加载过程中,需要对类的各个方法进行链接,实际上就是确定它们是通过解释器来执行,还是以本地机器指令来直接执行(art/runtime/class_linker.cc),如下所示: void ClassLinker::LinkCode(ArtMethod* method, const OatFile::OatClass* oat_class,
ClassLoader类加载器(二):Android DavilkART
bugyinyin的博客
12-11 332
一、什么是Dalvik虚拟机 Dalvik是Google公司自己设计用于Android平台的Java虚拟机,它是Android平台的重要组成部分,支持dex格式(Dalvik Executable)的Java应用程序的运行。dex格式是专门为Dalvik设计的一种压缩格式,适合内存和处理器速度有限的系统。Google对其进行了特定的优化,使得Dalvik具有高效、简洁、节省资源的特点。从Android系统架构图知,Dalvik虚拟机运行在Android的运行时库层。 Dalvik作为面向Linux、为嵌入式
《零基础学PHP:从入门到实战》教程-模块七:MySQL 数据库基础-4
zwh821的博客
12-03 593
PHP连接MySQL数据库操作指南 本章介绍了使用PHP的mysqli扩展连接和操作MySQL数据库的核心方法。主要内容包括: 两种编程风格:面向对象和面向过程方式,推荐使用面向对象风格 数据库连接:建立连接的标准流程和必要的错误处理 SQL操作: SELECT查询及结果处理 INSERT/UPDATE/DELETE操作 安全防护: 重点讲解SQL注入攻击原理 演示不安全的字符串拼接方式的风险 推荐使用预处理语句(prepare/bind_param/execute)作为唯一正确的防护手段 通过代码示例展示
数据库锁死解决途径
最新发布
zjw541806的博客
12-05 30
本文详细介绍了多种数据库系统的锁检测方法,包括MySQL、PostgreSQL、SQL Server和Oracle。主要内容涵盖:1)通用检测思路,如识别锁类型和分析阻塞链;2)各数据库系统的特定查询命令,包括查看当前锁状态、阻塞关系和事务信息;3)关键监控指标告警建议;4)诊断工具和自动化脚本;5)锁死问题的解决步骤和预防措施。文章强调应定期监控并分析根本原因,而非仅临时处理,同时提供了注意事项和检查清单,帮助DBA全面掌握数据库锁情况。
Android 初学者入门:Fragment ListView 基础概念使用方法
am_g123的博客
12-03 392
类别关键点Fragment是 Activity 的子组件,用于构建可复用 UI 部分,适用于大屏适配。生命周期Fragment 生命周期依赖于 Activity,不可独立存在。托管机制必须由 Activity 或其他 Fragment 托管。动态管理使用 FragmentManager 进行 add/remove/replace 操作。通信方式通过 Activity 作为中介进行 Fragment 之间的通信。ListView使用 Adapter 绑定数据,自动适配列表长度,常见于商品、菜单等场景。
如何将照片从 Mac 传输到 Android
Digitally的博客
12-03 939
将照片从 Mac 传输到 Android 手机或平板电脑有时会感觉像是跨越数字鸿沟。由于 Mac 和 Android 运行在不同的生态系统中,直接拖放的方法行不通。如果您想将照片从 Mac 传输到 Android,可以尝试本指南中介绍的有效方法,这些方法可以高质量地传输照片。
PHP框架的资源管理机制如何优雅适配后台任务?
12-04 843
PHP传统的资源管理遵循请求-响应模型,当HTTP请求到达时,PHP初始化执行环境,处理业务逻辑,返回结果并释放所有资源。这种模型对后台任务存在根本性限制:短生命周期无法支持长时间运行的任务,资源即时释放难以维持持久数据库连接,同步处理模式让用户必须等待任务完成。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值