认识Unidbg

最新推荐文章于 2025-05-02 14:14:33 发布
最新推荐文章于 2025-05-02 14:14:33 发布
阅读量2.2k 收藏 11
点赞数 29
CC 4.0 BY-SA版权
分类专栏: Unidbg 文章标签: 认识Unidbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_74305514/article/details/142413320

了解Unicorn

Unicorn是一个基于QEMU的轻量级、多平台、多架构的CPU模拟器框架,它允许用户在不同平台上模拟不同架构的CPU操作。

Unidbg

unidbg 是一款基于 unicorn 和 dynarmic(ARM的动态重编译器) 的逆向工具,可以模拟执行so文件。

安装项目

在github上下载项目unidbg,可以直接clone到本地
下载好之后用IDEA打开,等待加载依赖(科学上网)

项目结构

在这里插入图片描述
  在unidbg-android目录包含了特定于 Android 平台的模拟和分析工具,src下有main和test两个目录,main包含主程序的代码,test包含用于测试 Unidbg 功能的测试代码。
  在unidbg-api目录里面包含了unidbg提供的API接口。

分析实例

unidbg\unidbg-android\src\test\java\com\bytedance\frameworks\core\encrypt

在这里插入图片描述

构造函数里的模拟器介绍

    TTEncrypt(boolean logging) {
        this.logging = logging;

        emulator = AndroidEmulatorBuilder
        	.for32Bit()  //指定模拟器目标平台
        	.setProcessName("com.qidian.dldl.official") //设置进程名
            .addBackendFactory(new Unicorn2Factory(true)) //模拟器的底层执行引擎
            .build(); // 创建模拟器实例
            
        // 获取模拟器的内存操作接口
        final Memory memory = emulator.getMemory(); 
        // 设置系统库解析器
        memory.setLibraryResolver(new AndroidResolver(23)); 
        
        // 创建一个 Dalvik 虚拟机实例。
        vm = emulator.createDalvikVM(); 
        // 设置虚拟机的日志输出模式。
        vm.setVerbose(logging); 
        
        // 调用虚拟机的 loadLibrary 方法来加载指定的本地库
        // 第二个参数 false 表示不自动调用库的 JNI_OnLoad 函数。
        DalvikModule dm = vm.loadLibrary(new File("unidbg-android/src/test/resources/example_binaries/libttEncrypt.so"), false); 
        // 手动执行JNI_OnLoad函数
        dm.callJNI_OnLoad(emulator); 
        // 获取加载的库对应的模块对象
        module = dm.getModule(); 
		// 解析类TTEncryptUtils
        TTEncryptUtils = vm.resolveClass("com/bytedance/frameworks/core/encrypt/TTEncryptUtils");
    }

destroy()

    void destroy() {
    	// 调用 IOUtils.close 方法来关闭 emulator 实例。
        IOUtils.close(emulator);
        if (logging) {
        	// 在控制台上打印字符串 "destroy"。
            System.out.println("destroy");
        }
    }

ttEncrypt()

这个函数代码比较多,我把关键的部分留下来

    byte[] ttEncrypt() {
        if (logging) {
            ...
        }
        if (logging) {
            emulator.attach(DebuggerType.ANDROID_SERVER_V7); // 附加IDA android_server,可输入c命令取消附加继续运行
        }
        byte[] data = new byte[16];
        ByteArray array = TTEncryptUtils.callStaticJniMethodObject(emulator, "ttEncrypt([BI)[B", new ByteArray(vm, data), data.length); // 执行Jni方法
        return array.getValue();
    }

main()

    public static void main(String[] args) throws Exception {
    	// 创建TTEncrypt 类实例
        TTEncrypt test = new TTEncrypt(true);
		// 调用 TTEncrypt 实例的 ttEncrypt 方法
        byte[] data = test.ttEncrypt();
        // 用于打印或以其他方式检查 data 数组的内容。"ttEncrypt" 是一个标签,用于标识这些数据是来自 ttEncrypt 方法的结果。
        Inspector.inspect(data, "ttEncrypt");
		// 调用 TTEncrypt 实例的 destroy 方法,清理和释放与 emulator 相关的资源。
        test.destroy();
    }

ttEncrypt函数里的callStaticJniMethodObject

在 Unidbg 框架中,callStaticJniMethodObject 是一个用于调用 Android 应用中静态 JNI 方法的方法。

ByteArray array = TTEncryptUtils.callStaticJniMethodObject(emulator, "ttEncrypt([BI)[B", new ByteArray(vm, data), data.length);

这里面TTEncryptUtils是获取的Java类的DvmClass对象。
callStaticJniMethodObject方法用于调用该类的静态JNI方法。
emulator是AndroidEmulator 实例,它提供了执行环境。
ttEncrypt([BI)[B是 JNI 方法的签名。指定了方法的名称(ttEncrypt),参数类型(一个字节数组 byte[],表示为 [B),I表示整型,和返回类型(一个字节数组 byte[])。
new ByteArray(vm, data) 创建了一个新的 ByteArray 实例,它包装了要加密的数据 data。vm 是虚拟机实例,用于创建和管理 ByteArray 对象。
data.length 是传递给 JNI 方法的第二个参数,它可能是加密方法需要的额外信息,例如数据的长度。

callStaticJniMethodObject

通过符号寻找函数的地址,在动态注册函数中以符号为键寻找函数地址,如果找不到,则按静态注册规则拼接符号,然后寻找函数地址函数名和函数签名

运动世界校园3.0版本逆向分析破解
画船吹风听雨眠
04-13 1万+
不知不觉,运动世界校园已经到了3.0版本,从运动世界校园出生之日起分析到现在也属实是一件不容易的事情,此博客仅作为学习总结,请勿用于商业用途! 目录 软件加密壳探测 方法一:手动编写静态脱壳机 ...
unidbg工具使用
YJJYXM的博客
04-28 2715
一、下载IntelliJ IDEA 在此处不过多赘述了,去官方网站下载IDEA就可以了。当然此处有社区版和专业版,那么这里就看个人需求了。安装教程网上还是很多的,在此处也不多说了。 二、IDEA相关配置 在使用之前需要配置好Maven以及修改默认Repository,接下来就说一下此方面。 1.配置Maven环境 (1) .下载apache-maven文件,选择自己需要的版本,这里下载3.6的就可以,地址:http://maven.apache.org/ (2) 解压1所下载文件,本人解压到:D:\apac
Unidbg使用指南
小李的便利店
08-12 2541
Unidbg使用指南
unidbg0.9.5 Jar包下载仓库
最新发布
gitblog_06706的博客
05-02 654
unidbg0.9.5 Jar包下载仓库 去发现同类优质开源项目:https://gitcode.com/ 欢迎来到unidbg0.9.5 Jar包的下载仓库。本仓库提供了unidbg0.9.5版本的Jar包资源,具体包括以下两个文件: unidbg-android-0.9.5.jar unidbg-api-0.9.5.jar 这两个Jar包是unidbg项目的组成部分,unidbg是一个用于...
Unidbg使用指南(一)
fenfei331的博客
11-27 7040
一、目标 除了AndroidNativeEmu我们还有一个选择 Unidbg 来实现模拟执行so, GitHub链接 https://github.com/zhkl0228/unidbg 特色 模拟JNI调用API,以便可以调用JNI_OnLoad。 支持JavaVM,JNIEnv。 模拟syscalls调用。 支持ARM32和ARM64。 基于HookZz实现的inline hook。 基于xHook实现的import hook。 支持 iOS fishhook 、 substrate 、 whale
Unidbg:全面解析与实战操作手册
m0_57836225的博客
12-24 2676
Unidbg 是一个基于 Java 的跨平台逆向工具框架,专注于对原生库(如.so 文件和.dll 文件)的模拟分析。它支持多种 CPU 架构,包括 ARM、ARM64、x86 和 x86 - 64 等,这使得它能够广泛应用于 Android 和 iOS 应用的逆向工程中。通过模拟 CPU 环境、内存管理以及系统函数调用等关键组件,Unidbg 能够在 Java 虚拟机(JVM)上精准地执行原生代码,为深入探究应用的内部逻辑和安全机制提供了可能。
探索技术边界:Unidbg - 跨平台的Android动态调试工具
gitblog_00041的博客
03-22 1139
探索技术边界:Unidbg - 跨平台的Android动态调试工具 unidbgAllows you to emulate an Android native library, and an experimental iOS emulation项目地址:https://gitcode.com/gh_mirrors/un/unidbg 项目简介 是一个由zhkl0228开发的开源项目,它是一个强...
unidbg 入门(一)
xubaoyong的专栏
12-06 3341
1 学习内容 1.1:调用native方法 1.1 .1使用方法:callStaticJniMethodObject 1.1.2 先new出对象再调用方法callJniMethodObject 1.2:传不同的参数: 1.2.1 调用无参函数 1.2.2 int类型参数 1. 2.3 btye数组类型参数 1.2.4 多个String类型的参数 2 代码如下 2.1:so...
unidbg0.9.5 Jar包
01-09
本文将深入探讨unidbg的0.9.5版本,包括其核心组件`unidbg-android-0.9.5.jar`和`unidbg-api-0.9.5.jar`。 一、unidbg概述 unidbg是由知名安全研究团队Deeplab开发的一个跨平台的动态二进制分析框架。它提供了对...
unidbg.zip
10-06
《深入理解unidbg:模拟JNI调用与API支持》 在现代的计算机科学领域,尤其是在逆向工程、软件安全分析以及调试工作中,有一个强大的工具是必不可少的——unidbgunidbg是一个开源的、跨平台的动态二进制调试器,其...
unidbg多个版本集合
04-30
这个压缩包包含了unidbg的四个不同版本:unidbg-0.9.0、unidbg-0.9.3、unidbg-0.9.5和unidbg-0.9.7。这些版本的集合为我们提供了研究unidbg演进历程以及不同版本间差异的宝贵资源。 unidbg,全称Universal Debugger...
unidbg:允许您模拟Android ARM32和/或ARM64本机库以及实验性iOS模拟
01-31
unidbg 允许您模拟Android ARM32和/或ARM64本机库以及实验性iOS ARM32模拟。 这是一个教育性项目,旨在了解有关ELF文件格式和ARM汇编的更多信息。 需要您自担风险使用它 ! 执照 unidbg使用来自软件库。 unidbg开发人员Idea企业许可证受支持。 可用于编辑unidbg源。 src / test目录下的简单测试 更多测试 产品特点 JNI调用API的仿真,因此可以调用JNI_OnLoad。 支持JavaVM,JNIEnv。 仿真系统调用指令。 支持ARM32和ARM64。 内联钩子,感谢 。 Android导入挂钩,这要感谢 。 iOS,底物和钩。 支持简单的控制台调试器,gdb存根,实验性IDA android调试器服务器,指令跟踪,内存读/写跟踪。 支持iOS objc和Swift运行时。 支持后端。 支持Apple M1虚拟机管理程序后端。 谢谢
arm64 树莓派 unidbg 专用 libunicorn_java.so
11-24
原生unidbg不支持arm64,自己编译的支持 arm64树莓派 unidbg 专用 libunicorn_java.so
京东加密参数Unidbg生成
10-25
本文将深入探讨“京东加密参数Unidbg生成”这一主题,解析相关技术细节,并介绍如何利用Unidbg工具来模拟执行和分析加密过程。 Unidbg是一款开源的、跨平台的动态二进制分析框架,主要用于逆向工程和调试。它能够...
unidbg一、符号调用、地址调用
12-26
unidbg一、符号调用、地址调用
安卓逆向环境检测--unidbg&unicorn
weixin_44348983的博客
06-27 1947
安卓、逆向、检测
unidbg、frida、xpose:用于系统性能分析和调优,帮助我们发现和解决系统性能瓶颈,提升系统的稳定性和性能。
百态老人的博客
04-14 606
以上是使用unidbg、Frida和Xposed进行系统性能分析和调优的基本流程和例子。在实际应用中,可能还会涉及到更多的细节和技巧,具体操作还需根据具体场景和需求进行调整和优化。unidbg、frida和Xposed都是针对Android系统的工具,用于系统性能分析和调优,以及进行系统级别的修改和hook操作。
unidbg学习笔记
爬虫工程师的日常笔记
04-03 1988
修改src/main/java/com/github/unidbg/AbstractEmulator.java 中的如下位置,使PID固定,因为PID不停变动可能会影响后续分析,但这不是必须的操作。千万不要先管它,非法JNI Verision的错误往往代表JNI OnLoad的总体执行情况不符合预期,它是。JNIOnLoad的最终结果,我们应该在修复完其他错误后看它是否存在。
unidbg实现淘宝请求参数算法,实现脱离模拟器/手机请求淘宝、闲鱼
bugtraq的博客
03-15 8392
但是,随着研究的深入,相关的学习资料越来越少,unidbg和直接逆向学习的资料,虽然有一些,但对于问题的深入,原理的解析,以及具体API方法的使用,可以说是少之又少。鱼和渔的问题,越来越尖锐了。已经研究了差不多几个月,总感觉临门一脚了,程序调试也没有完全通过。虽然越挫越勇,会继续研究,但还是感觉得慢慢来,研究、学习,本身也是一场永远止境的修行。相对于直接逆向x-sign的算法而言,用unidbg调用so文件的难度要小很多。下面的代码面向的是mtop6.5.27, 代码还存在不少问题,并不能直接使用。
unidbg逆向sdk检测
01-18
### 使用 Unidbg 进行 SDK 逆向工程检测 #### 准备工作 为了使用 Unidbg 对 APK 文件及其关联的 `.so` 库进行逆向分析,需先准备好环境并加载必要的依赖项。通常情况下,APK 可以被当作 ZIP 文件处理来提取其中的内容。 ```bash $ unzip app.apk -d output_directory/ ``` 这一步骤允许访问 APK 中嵌入的所有资源文件以及本地库(`.so`),这些对于后续的动态分析至关重要[^1]。 #### 加载与配置 Unidbg 实例 创建一个 Java 或 Python 的开发环境用于集成 Unidbg 框架,并编写脚本来初始化模拟器实例: ```java // 创建Unidbg实例 Darm arm = new DarmImpl(); Emulator emulator = Emulator.createARM(); // 设置系统路径和架构类型 emulator.setSyscall(new LinuxARM SyscallHandler(emulator)); RegisterContext context = emulator.getContext(); context.setArmMode(true); // 注册内存管理模块 Memory memory = emulator.getMemory(); memory.setLibraryResolver(new AndroidResolver(23)); // API Level设置为23 ``` 通过上述代码片段可以构建起基础运行平台,在此基础上可进一步挂接目标应用所需的共享对象(`.so`)。 #### 动态链接 .so 文件 将之前从 APK 解包出来的 `libsignature.so` 添加到仿真环境中以便于调用其导出函数: ```java // 将 so 文件映射至虚拟地址空间内 File file = new File("/path/to/libsignature.so"); byte[] bytes = Files.readAllBytes(file.toPath()); long baseAddr = MemoryBlock.allocate(memory, "libsignature", bytes.length); memory.write(baseAddr, bytes, true); // 执行 dlopen 来完成实际装载过程 Pointer handle = Native.loadLibrary("libsignature", null).getHandle(); if (handle == Pointer.NULL){ throw new RuntimeException("Failed to load library."); } ``` 此时已经成功地让 Unidbg 虚拟机认识到了外部引入的目标二进制组件,接下来就可以着手准备具体的功能测试了。 #### Hook 关键方法实现监控 针对特定场景下的需求,比如想要拦截某些敏感操作或是观察内部状态变化,则可以通过 hook 技术达到目的。这里给出一段基于 frida-gadget 的 JavaScript 示例说明如何挂钩 open() 系统调用来捕捉所有尝试打开的文件名: ```javascript var pth = Module.findExportByName(null,"open"); Interceptor.attach(ptr(pth),{ onEnter:function(args){ let filename = args[0].readUtf8String(); console.log("[OPEN]",filename); if(filename.endsWith('.so')){ // 自定义逻辑... } }, onLeave:function(retval){} }); ``` 这段脚本能够帮助识别哪些动态库正在被加载,从而为进一步深入研究提供线索[^2]。 #### 结合调试工具辅助分析 当遇到复杂情况难以仅靠自动化手段解决时,还可以借助专业的反汇编软件如 OllyDbg 辅助查看机器指令级细节,理解程序执行流程,定位潜在漏洞位置[^3]。 综上所述,利用 Unidbg 平台配合其他技术手段可以使开发者更高效地开展移动安全领域内的探索活动。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值