【Android 逆向】加壳的 Android 应用启动流程 | 使用反射替换 LoadedApk 中的类加载器流程
一、加壳的 Android 应用启动流程
加壳的 Android 应用启动流程 : 加壳的 Android 应用执行时 , 壳代码获取应用的执行权限 , 然后将加壳的应用修正后 , 获得真正的字节码文件 , 由类加载器加载真正的字节码文件 , 然后执行应用的业务逻辑 ;
- ① BootClassLoader 加载 Android 核心库
- ② PathClassLoader 加载应用自身的 DEX 字节码
- ③ 开始 执行 Android 应用的自身组件 ( 如 Activity 等 )
- ④ 执行 Application 的 attachBaseContext 方法
- ⑤ 执行 Application 的 onCreate 方法
注意 , 其中的 ② 步骤 , 针对与应用是否加壳 , 有以下 2 2 2 种不同的情况 ;
- 加壳应用 : 如果应用没有加壳 , 加载 DEX 代码就是完整的应用字节码文件 ;
- 不加壳应用 : 如果应用有加壳 , 加载的 DEX 字节码就是壳应用的 DEX 字节码文件 ;
在之前的 Android 安全 专栏中 , 已经进行过加壳功能的开发 , 是在 Application 的 attachBaseContext 方法中 , 对壳进行的处理 , 将加密后的 DEX 还原成正常的 DEX 字节码文件 ;
在 Application 的 attachBaseContext 方法中 需要 解密 加壳的 DEX 文件 , 反射设置 LoadedApk 中的类加载器 ;
在 Application 的 onCreate 方法中 , 需要获取程序的 Application 名称 , 然后通过反射创建 真实的 Application 对象 , 通过反射设置 ActivityThread 中的真实的 Application 对象 ;
二、使用反射替换 LoadedApk 中的类加载器流程
ActivityThread 是 Android 应用 主线程 起点 , ActivityThread 类是全局单例的 , 其全局唯一的 ActivityThread 实例对象是 , ActivityThread 有一个 sCurrentActivityThread 成员变量 , 该成员就是 ActivityThread 的单例对象 ;
public final class ActivityThread {
/** Reference to singleton {@link ActivityThread} */
private static volatile ActivityThread sCurrentActivityThread;
public static ActivityThread currentActivityThread() {
return sCurrentActivityThread;
}
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
源码路径 : /frameworks/base/core/java/android/app/ActivityThread.java
因此 , 通过反射 , 很容易获取到 ActivityThread 的实例对象 ;
然后 , 获取 ActivityThread 实例对象中的 mPackages , 目的是获取其中的 LoadedApk 实例对象 ;
public final class ActivityThread {
// 这些可以被多个线程访问;mResourcesManager是锁。
// XXX目前,我们保留有关所有软件包的信息
// 已看到,但未从此映射中删除条目。
// 注意:活动和窗口管理器需要调用
// ActivityThread执行更新资源配置等操作,
// 这意味着当活动和窗口管理器
// 他们有自己的锁。因此,您决不能回拨活动管理器
// 或窗口管理器或任何依赖于它们的东西。
// 这些LoadedApk仅对我们正在运行的用户ID有效。
@GuardedBy("mResourcesManager")
final ArrayMap<String, WeakReference<LoadedApk>> mPackages = new ArrayMap<>();
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
源码路径 : /frameworks/base/core/java/android/app/ActivityThread.java
获取到 LoadedApk 实例对象后 , 就可以获取该实例对象的 ClassLoader 类加载器 对象 ;
public final class LoadedApk {
private ClassLoader mClassLoader;
}
- 1
- 2
- 3
- 4
源码路径 : /frameworks/base/core/java/android/app/LoadedApk.java
文章来源: hanshuliang.blog.csdn.net,作者:韩曙亮,版权归原作者所有,如需转载,请联系作者。
原文链接:hanshuliang.blog.csdn.net/article/details/121855117
- 点赞
- 收藏
- 关注作者
评论(0)