使用 Frida 增强 FART:实现更强大的 Android 脱壳能力

原创 已于 2025-05-28 23:34:00 修改 · 981 阅读 · 30 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #安卓逆向 #脱壳 #Frida #FART #抽取壳

于 2025-05-28 23:32:37 首次发布

版权归作者所有,如有转发,请注明文章出处:https://cyrus-studio.github.io/blog/

FART 和 Frida 结合会发生什么?

对 FART 进一步增强:

  1. 增强 FART 的脱壳能力:解决对抗 FART 的壳、动态加载的 dex 的 dump 和修复;

  2. 控制 FART 主动调用的范围,让 FART 更精细化,比如按需进行类甚至是函数的修复。

非双亲委派关系下动态加载的 dex 脱壳问题

由于动态加载的 dex 没有取改变 android 中 ClassLoader 双亲委派关系,所以动态加载的 dex 没有自动脱壳。

相关文章:

在 android studio 中创建一个 plugin module 其中包含一个 FartTest 类源码如下:

package com.cyrus.example.plugin

import android.util.Log

class FartTest {

    fun test(): String {
        Log.d("FartTest", "call FartTest test().")
        return "String from FartTest."
    }

}

把 plugin-debug.apk push 到 files 目录下

adb push "D:\Projects\AndroidExample\plugin\build\intermediates\apk\debug\plugin-debug.apk" /sdcard/Android/data/com.cyrus.example/files/plugin-debug.apk

ls 一下 files 目录是否存在 plugin-debug.apk

adb shell ls /sdcard/Android/data/com.cyrus.example/files

在 app 动态加载 files 目录下的 plugin-debug.apk 并调用 FartTest 的 test 方法

val apkPath = "/sdcard/Android/data/com.cyrus.example/files/plugin-debug.apk"

// 创建 DexClassLoader 加载 sdcard 上的 apk
val classLoader = DexClassLoader(
    apkPath,
    null,
    this@FartActivity.packageResourcePath,
    classLoader // parent 设为当前 context 的类加载器
)

// classLoader 加载 com.cyrus.example.plugin.FartTest 类并通过反射调用 test 方法
val pluginClass = classLoader.loadClass("com.cyrus.example.plugin.FartTest")
val constructor = pluginClass.getDeclaredConstructor()
constructor.isAccessible = true
val instance = constructor.newInstance()
val method = pluginClass.getDeclaredMethod("test")
method.isAccessible = true
val result = method.invoke(instance) as? String

log("动态加载:${apkPath}\n\ncall ${method}\n\nreuslt=${result}")

mClassLoader = classLoader

脱壳完成,但是没有对 plugin-debug.apk 中的目标类 FartTest 发起主动调用

word/media/image1.png

这时候 frida 就派上用场了,因为 frida 本身具有枚举所有 ClassLoader 的能力。

Frida + FART 脱壳动态加载的 dex

枚举出所有 ClassLoader 后,再结合 FART 的 api 就可以实现动态加载 dex 的脱壳。

function invokeAllClassloaders() {
    Java.perform(function () {
        try {
            // 获取 ActivityThread 类
            var ActivityThread = Java.use("android.app.ActivityThread");

            Java.enumerateClassLoaders({
                onMatch: function (loader) {
                    try {
                        // 过滤掉 BootClassLoader
                        if (loader.toString().includes("BootClassLoader")) {
                            console.log("[-] 跳过 BootClassLoader");
                            return;
                        }

                        // 调用 fartWithClassLoader
                        console.log("[*] 调用 fartwithClassloader -> " + loader);
                        ActivityThread.fartwithClassloader(loader);
                    } catch (e) {
                        console.error("[-] 调用失败: " + e);
                    }
                },
                onComplete: function () {
                    console.log("[*] 枚举并调用完毕");
                }
            });
        } catch (err) {
            console.error("[-] 脚本执行异常: " + err);
        }
    });
}


setImmediate(invokeAllClassloaders)

把 log 导出到 txt

adb logcat -v time > logcat.txt

打开 app 后执行脚本

frida -H 127.0.0.1:1234 -F -l fart_invoke_all_classloaders.js

从输出日志可以看到已经成功对 FartTest 类中方法发起主动调用

word/media/image2.png

局部变量的 ClassLoader 枚举不出来

但还有一个问题呢:局部变量的 ClassLoader 枚举不出来。

因为:

  • enumerateClassLoaders() 只枚举当前 VM 中可访问的、被 GC Root 持有的 ClassLoader;

  • 如果 DexClassLoader 作为临时变量创建后,没有被保存,就会被 GC 回收或无法遍历到。

比如,下面的 Kotlin 代码中,当 DexClassLoader 为局部变量时就没有枚举出这个 DexClassLoader 。

/**
 * 局部
最低0.47元/天 解锁文章
CYRUS STUDIO
关注
frida-fart脱壳
qq_43685281的博客
10-31 727
frida-fart快速脱壳
常用的脱壳方法
2201_75845723的博客
07-28 2329
脱壳工具的使用方法。
frida-dumdex脱壳js
10-31
frida-fart压缩包
FARTfrida结合
Viewz的博客
03-13 2334
1、优点: 1、对FART脱壳能力增强,对主动调用的dex(没有初始函数)进行脱壳 function fartwithClassloader() { Java.perform(function () { Java.choose("dalvik.system. ", { onMatch: function (instance) { console.log(instance); try
Frida + FART 联手:解锁强大Android 脱壳新姿势
最新发布
09-02 1419
主动调用时 dump 得到的 dex (*_dex_file.dex)和此时 dex 中的所有类列表,以及该 dex 中所有函数的 CodeItem( bin 文件)Execute 脱壳点得到的 dex (*_dex_file_execute.dex)和 dex 中的所有类列表( txt 文件)枚举出所有 ClassLoader 后,再结合 FART 的 api 就可以实现动态加载 dex 的脱壳增强 FART脱壳能力:解决对抗 FART、动态加载的 dex 的 dump 和修复;
frida frat手机脱壳
lvfl的博客
02-17 487
frida -U -f 包名 -l frida_fart_hook.js。进行脱壳
FART 精准脱壳:通过配置文件控制脱壳节奏与范围
06-04 1039
由于 FART 默认会对所有 app 进行脱壳,每次 app 启动都会自动脱壳,而且会对 app 中所有类发起主动调用,这样效率比较慢,遇到 FART 对抗类也不能选择性跳过。如何通过一份简单的配置文件,实现FART 脱壳过程的精准控制:包括是否启用脱壳、延迟时间、需要主动调用的类列表、排除类规则等。提高脱壳效率,也可以避开一些垃圾类(FART 对抗类)的调用。FART 自动化脱壳框架简介与脱壳点的选择FART 主动调用组件设计和源码分析移植 FARTAndroid 10 实现自动化脱壳
【胖虎的逆向之路】03——Android一代脱壳办法罗列&实操
无方少年游
01-16 7765
在上文中,我们讲解了关于Android整体加的原理和实际操作,现在我们来针对目前主流的脱壳工具以及流程进行讲解,由于作者能力有限,会尽力的详细描述整体脱壳提示:以下是本篇文章正文内容,下面案例可供参考本文总结了当下dex整体加的常用的一些脱壳方案,并进行复现,但是在这里仅作为实验加深自己的理解为主(目前也不会这么简单的就可以拿到源Dex)但是有兴趣的朋友可以像我一样去把整个流程走一遍,加深自己的理解~
探索趣玩:Android Fart——一个意想不到的技术玩具
gitblog_00044的博客
04-20 957
探索趣玩:Android Fart——一个意想不到的技术玩具 去发现同类优质开源项目:https://gitcode.com/ 在编程的世界中,我们常常寻找创新和有趣的方式来学习或娱乐。今天我们要介绍的项目,是来自开发者luoyesiqiu的一个独特开源项目——Android Fart。不要被它的名字误导,尽管它可能听起来有些搞笑,但这个小程序背后隐藏着一些实用的Android开发知识和技术。 项...
FartAndroid 自动化脱壳技术全解析
m0_57836225的博客
01-20 2915
Fart 是基于主动调用方式实现的自动化脱壳技术,其核心在于利用 ART 运行时的特性,在应用运行过程中主动触发程序对加密代码的解密操作,从而获取原始的未加密代码,实现高效脱壳Fart 作为一款强大Android 自动化脱壳技术,为研究 Android 应用的内部结构、安全漏洞以及进行逆向工程等提供了有力的支持。通过本文介绍的安装、原理、使用步骤和代码示例,希望读者能够对 Fart深入的理解和掌握,在 Android 应用安全研究领域发挥其大的价值。
实现通用脱壳
08-09
本教程介绍了各种常见的加/脱壳的原理和技术,并给出了实现通用脱壳机的方法
android自动化脱壳,[原创] FART:ART环境下基于主动调用的自动化脱壳方案 [android脱壳源码公开,基于android-9.0.0_r36]...
weixin_31243809的博客
05-26 1123
一、背景hanbingle在看雪论坛上分享了[原创]FART:ART环境下基于主动调用的自动化脱壳方案,思路非常棒;可惜并没有公开修改android源码部分,这让深入理解脱壳方案或者定制化自己的脱壳方案存在困难,本文通过逆向FART所提供的system.img镜像得到思路,同时修改源码适配android-9.0.0_r36,并公开脱壳源码。二、如何逆向system.img呢?1、simg2img ...
android程序 函数 流程,Android FART脱壳机流程分析
weixin_39887715的博客
05-26 470
if(szProcName[ 0]) {constDexFile *dex_file = artmethod->GetDexFile;constchar*methodname =PrettyMethod(artmethod).c_str;constuint8_t*begin_ = dex_file->Begin;size_tsize_ = dex_file->Size;memse...
frida 实战_Android安全指南 之 Frida脱壳实战
weixin_34614567的博客
01-17 1397
一、Frida技术原理Android脱壳的目的是从内存中dump下解密的应用dex文件,为了实现这个目的我们需要知道dex文件在内存中dex地址与dex文件大小。Android系统的libart.so库文件中提供了一个导出的OpenMemory函数用来加载dex文件。这个函数的第一个参数指向了内存中的dex文件,如果我们可以Hook 这个函数,就可以得到dex文件加载进内存时的起始地址,再根据de...
探索黑科技:FART - ART环境下的自动化脱壳神器
gitblog_00317的博客
08-09 848
探索黑科技:FART - ART环境下的自动化脱壳神器 FARTART环境下自动化脱壳方案项目地址:https://gitcode.com/gh_mirrors/fa/FART 项目介绍 在移动安全领域,针对Android应用的加固与反加固是一场永不停歇的猫鼠游戏。FART(Fast Automated Runtime Tracing)正是这场博弈中的一款强大工具,它是一款基于主动调用的自动化脱...
Android逆向:脱某软件dex函数抽取
高新园养鸡场
04-05 2740
案例与目标 案例下载 jadx打开以后可以看到很明显的特征。 目标:使用工具和自行实现脱壳。   工具脱壳 FRIDA-DEXDump FRIDA-DEXDump确实很轻松就拿到了dex文件,可惜文件数据有异常,无法正常打开分析。 frida-fart 通过frida-fart同样很轻松的拿到了dex文件,以首屏SplashActivity为例进行分析。 jadx可以正常打开,但里面的函数都是nop。 Fart脱壳机镜像 pixel刷入Fart脱壳机镜像,运行后在/sdcard/fart
FART 不需要刷机,通过脚本动态脱抽取
moyebaobei1的博客
05-14 1682
frida -U -f [包名] frida_fart_hook.js --no-pause。查报名可以参考之前的文章。
基于frida的几种安卓脱壳工具
T_NTRCE的博客
06-04 8906
fridaAndroid脱壳的应用 在上篇文章中,提供了frida安装教程,本篇内容是利用frida安卓应用进行脱壳,提供了几种方法。
抖音数据采集Frida进阶:脱壳、自动化、高频问题
Android技术之家
06-01 3681
https://blog.51cto.com/u_15101562/26224101 Frida用于脱壳 安全工程师在拿到应用评测的任务之后,第一件事情是抓到他的收包发包,第二件事情应该就是拿到它的apk,打开看看里面是什么内容,如果不幸它加了,可能打开就是这样的场景,见下图,什么内容都看不到,这时候就要首先对它进行脱壳的种类非常多,根据其种类不同,使用的技术也不同,这里稍微简单分个类:一代...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值