這篇文章主要介紹“Unicorn模擬CPU執(zhí)行JNI_Onload動(dòng)態(tài)注冊(cè)的方法”的相關(guān)知識(shí),小編通過實(shí)際案例向大家展示操作過程,操作方法簡(jiǎn)單快捷,實(shí)用性強(qiáng),希望這篇“Unicorn模擬CPU執(zhí)行JNI_Onload動(dòng)態(tài)注冊(cè)的方法”文章能幫助大家解決問題。
五河網(wǎng)站制作公司哪家好,找創(chuàng)新互聯(lián)!從網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、成都響應(yīng)式網(wǎng)站建設(shè)等網(wǎng)站項(xiàng)目制作,到程序開發(fā),運(yùn)營維護(hù)。創(chuàng)新互聯(lián)自2013年創(chuàng)立以來到現(xiàn)在10年的時(shí)間,我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn),來保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)。
<br>步驟:
先實(shí)現(xiàn) javavm 中的 GetEnv, (與模擬 jni 過程類似)一共八個(gè)函數(shù)
初始化
# 1. 開始映射 mu.mem_map(0, 0x1000) # 初始化映射 參數(shù)1:地址 參數(shù)2:空間大小 默認(rèn)初始化后默認(rèn)值:0 # 1.1 初始化 java vm 中的每一個(gè)函數(shù) java_vm_base = 700*4 # 從 700*4 開始 for i in range(0, 10, 1): # 一共8個(gè)函數(shù)(5個(gè)+3個(gè)預(yù)留) 這里我預(yù)留了10個(gè)多寫幾個(gè)預(yù)備,也就是 10*4 mu.mem_write(i*4+java_vm_base, b'\x00\xb5\x00\xbd') # 先隨便填充,保持堆棧平衡 push {lr} pop {pc} # 1.2 初始化填充 JNIInvokeInterface 結(jié)構(gòu)體 for i in range(0, 10, 1): mu.mem_write(i*4+java_vm_base+40, struct.pack("I", i*4+java_vm_base+1)) # 注意第二個(gè)參數(shù),要 pack 一下為 bytes, 而且是 thmob 指令集都要+1 # 1.3 初始化 Java vm 指針 javavm_pointer=700*4+80 mu.mem_write(javavm_pointer,struct.pack("I",java_vm_base+40)) # 內(nèi)容指針,頁就是 JNIInvokeInterface 的第一個(gè)位置所以要加 40
**<br>然后添加 Hook 代碼,模擬cpu 執(zhí)行
注意: 想要直接通過 R2 的地址讀出函數(shù)的信息,是有問題的
因?yàn)椋?linker 對(duì)加載的時(shí)候并不是直接映射的,而是分不通的段進(jìn)行加載的?。∷晕恢檬遣煌ǖ?。
解決: 要模擬加載 和 重定位
涉及: 依賴庫加載,符號(hào)的解析等等工作
便捷解決: AndroidNativeEmu 已經(jīng)封裝好了 linker, 并且可以模擬 syscall 的執(zhí)行,還提供了對(duì)函數(shù)的 hook 功能
代碼如下<br>tool
import unicorn import capstone import struct class Tool: """工具類""" def __init__(self): self.CP = capstone.Cs(capstone.CS_ARCH_ARM, capstone.CS_MODE_THUMB) def capstone_print(self, code, offset, total=20): """ code: 代碼 offset: 偏移位置 total: 最大打印行 """ for i in self.CP.disasm(code[offset:], 0, total): print('\033[1;32m地址: 0x%x | 操作碼: %s | %s\033[0m'%(offset + i.address, i.mnemonic, i.op_str)) def readstring(self, mu,address): """讀字符串""" result='' tmp=mu.mem_read(address,1) while(tmp[0]!=0): result=result+chr(tmp[0]) address=address+1 tmp = mu.mem_read(address, 1) return result def printArm32Regs(self, mu, end=78): """打印寄存器""" for i in range(66, end): print("\033[1;30m【R%d】, value:%x\033[0m"%(i-66,mu.reg_read(i))) print("\033[1;30mSP->value:%x\033[0m" % (mu.reg_read(unicorn.arm_const.UC_ARM_REG_SP))) print("\033[1;30mPC->value:%x\033[0m" % (mu.reg_read(unicorn.arm_const.UC_ARM_REG_PC))) tl = Tool() if __name__ == "__main__": with open("so/testcalljni.so",'rb') as f: CODE=f.read() # tl.capstone_print(CODE, 0x0B58, 10)
**<br>_ _<br>core
import unicorn import struct import capstone from arm_tool import tl def init_java_vm(mu): """初始化 java vm java vm 5+3 個(gè)函數(shù) """ # 1. 開始映射 mu.mem_map(0, 0x1000) # 初始化映射 參數(shù)1:地址 參數(shù)2:空間大小 默認(rèn)初始化后默認(rèn)值:0 """注意:要模擬 JNI_OnLoad 同樣也需要先初始化 JNI""" # 0.1 初始化填充 jni 函數(shù) JniFuntionListbase=0x0 for i in range(0, 300): # 接近 300 個(gè)jni函數(shù) (指針是 4 個(gè)字節(jié)) mu.mem_write(i*4+JniFuntionListbase, b'\x00\xb5\x00\xbd') # 先隨便填充,保持堆棧平衡 push {lr} pop {pc} # 0.2 初始化填充 JNINaviteInterface 結(jié)構(gòu)體, 每一項(xiàng)都是,jni函數(shù)的地址 # JniNativeInterFace=301 # 前面300個(gè)用于指針了,從301個(gè)開始 for i in range(300, 600): # 4 個(gè)字節(jié)都是地址 mu.mem_write(i*4, struct.pack("I", (i-300)*4+1)) # 注意第二個(gè)參數(shù),要 pack 一下為 bytes, 而且是 thmob 指令集都要+1 # 0.3 初始化 jnienv 指針 jnienv_pointer = 601*4 mu.mem_write(jnienv_pointer, struct.pack("I", 300*4)) # 內(nèi)容指針,頁就是 JniNativeInterFace 的第一個(gè) 300 """初始化 java vm""" # 1.1 初始化 java vm 中的每一個(gè)函數(shù) java_vm_base = 700*4 # 從 700*4 開始 for i in range(0, 10, 1): # 一共8個(gè)函數(shù)(5個(gè)+3個(gè)預(yù)留) 這里我預(yù)留了10個(gè)多寫幾個(gè)預(yù)備,也就是 10*4 mu.mem_write(i*4+java_vm_base, b'\x00\xb5\x00\xbd') # 先隨便填充,保持堆棧平衡 push {lr} pop {pc} # 1.2 初始化填充 JNIInvokeInterface 結(jié)構(gòu)體 for i in range(0, 10, 1): mu.mem_write(i*4+java_vm_base+40, struct.pack("I", i*4+java_vm_base+1)) # 注意第二個(gè)參數(shù),要 pack 一下為 bytes, 而且是 thmob 指令集都要+1 # 1.3 初始化 Java vm 指針 javavm_pointer=700*4+80 mu.mem_write(javavm_pointer,struct.pack("I",java_vm_base+40)) # 內(nèi)容指針,頁就是 JNIInvokeInterface 的第一個(gè)位置所以要加 40 # 2. 將代碼片段映射到模擬器的虛擬地址 ADDRESS = 0x1000 # 映射開始地址 SIZE = 1024*1024*10 # 分配映射大小(多分一點(diǎn)) # 3. 開始映射 mu.mem_map(ADDRESS, SIZE) # 初始化映射 參數(shù)1:地址 參數(shù)2:空間大小 默認(rèn)初始化后默認(rèn)值:0 mu.mem_write(ADDRESS, CODE) # 寫入指令 參數(shù)1: 寫入位置 參數(shù)2:寫入內(nèi)容 # 4. 寄存器初始化 函數(shù)2個(gè)參數(shù) (JNI_OnLoad 有兩個(gè)參數(shù)) mu.reg_write(unicorn.arm_const.UC_ARM_REG_R0, javavm_pointer) # 參數(shù) javavm 指針 mu.reg_write(unicorn.arm_const.UC_ARM_REG_R1, 0x0) # 0 # 5. 初始化堆棧,因?yàn)橐獙?duì)內(nèi)存進(jìn)行操作 設(shè)置 SP SP = ADDRESS+SIZE-16 # 多減點(diǎn),預(yù)留 sp 剩下兩個(gè)參數(shù)的位置 mu.reg_write(unicorn.arm_const.UC_ARM_REG_SP,SP) # 6. 添加 hook 代碼 """注意: hook 的時(shí)候加上區(qū)間可以極大的提升hook效率??!""" mu.hook_add(unicorn.UC_HOOK_CODE, hook_code) # mu.hook_add(unicorn.UC_HOOK_MEM_WRITE, hook_mem) # 跟蹤 cpu 執(zhí)行內(nèi)存操作, 需要自寫回調(diào)函數(shù) # mu.hook_add(unicorn.UC_HOOK_INTR,hook_syscall) # hook 系統(tǒng)調(diào)用函數(shù) # mu.hook_add(unicorn.UC_HOOK_BLOCK,hook_block) # hook 基本塊 # 7. 開始運(yùn)行 add_satrt = ADDRESS+0xc00+1 # 偏移位置 ida 查看 THUMB 指令集奇數(shù)所以要 ADDRESS +1, add_end = ADDRESS+0xC66 # 調(diào)用完 registnative 返回即可 try: mu.emu_start(add_satrt, add_end) # 參數(shù)1:起始位置,參數(shù)2:結(jié)束位置 print('-------- unicorn 執(zhí)行后--------') r0value = mu.reg_read(unicorn.arm_const.UC_ARM_REG_R0) print('執(zhí)行結(jié)果: ', tl.readstring(mu, r0value)) except unicorn.UcError as e: print('\033[1;31mError: %s \033[0m' % e) def hook_code(mu,address,size,user_data): """定義回調(diào)函數(shù), 在進(jìn)入?yún)R編指令之前就會(huì)先運(yùn)行這里 mu: 模擬器 address: 執(zhí)行地址 size: 匯編指令大小 user_data: 通過 hook_add 添加的參數(shù) """ code=mu.mem_read(address,size) # 讀取 if address>=700*4 and address<=710*4: index=(address-700*4)/4 print('進(jìn)入 Javavm 函數(shù): '+str(index)) if index==6: print("調(diào)用 javavm->GetEnv---------------:" + str(index)) # jint (*GetEnv)(JavaVM*, void**, jint); 第二個(gè)參數(shù)才是,返回的值,所以要用 R1 ?。。。?! """第二個(gè)參數(shù)才是,返回的值,所以要用 R1 ?。。。?!""" r1value = mu.reg_read(unicorn.arm_const.UC_ARM_REG_R1) # 將 ENV 指針 寫入 jni 第一個(gè)參數(shù)中,即可 mu.mem_write(r1value,struct.pack("I",601*4)) # 也就是我們初始化 jni 的時(shí)候的指針地址 CP=capstone.Cs(capstone.CS_ARCH_ARM,capstone.CS_MODE_THUMB) for i in CP.disasm(code,0,len(code)): print("\033[1;32mHook jni | 地址:0x%x | 指令:%s | 內(nèi)容:%s\033[0m"%(address,i.mnemonic,i.op_str)) tl.printArm32Regs(mu) elif address>=0 and address<=300*4: # 返回屬于我們自己寫的 jni 函數(shù)的區(qū)域的時(shí)候 index=(address-0)/4 # 拿到第幾個(gè) jni 函數(shù) if index==6: # 676/4 6 = FindClass 就可以捕獲到,類的完整類名 print("------[jnienv] FindClass-------") # jclass (*FindClass)(JNIEnv*, const char*); 是第二個(gè)參數(shù)返回的值 所以是 R1 r1value = mu.reg_read(unicorn.arm_const.UC_ARM_REG_R1) classname=tl.readstring(mu,r1value) #666 com/example/unicorncourse05/MainActivity print("\033[1;33mjnienv FindClass: %s\033[0m" %classname) mu.reg_write(unicorn.arm_const.UC_ARM_REG_R0,666) # 隨便寫一個(gè)值來代表這個(gè)引用! elif index == 215: # 第二部,調(diào)用 注冊(cè)函數(shù) # jint (*RegisterNatives)(JNIEnv*, jclass, const JNINativeMethod*,jint); print("------[jnienv] RegisterNatives-------") r0value = mu.reg_read(unicorn.arm_const.UC_ARM_REG_R0) # 也就是我們前面寫好的 601 * 4 = 2404 r1value = mu.reg_read(unicorn.arm_const.UC_ARM_REG_R1) # 也就是上面隨便寫的一個(gè)值 r2value = mu.reg_read(unicorn.arm_const.UC_ARM_REG_R2) # JNINativeMethod 地址 (數(shù)組) """ 注意: 想要直接通過 R2 的地址讀出函數(shù)的信息,是有問題的 因?yàn)椋?nbsp;linker 對(duì)加載的時(shí)候并不是直接映射的,而是分不通的段進(jìn)行加載的??!所以位置是不通的。 解決: 要模擬加載 和 重定位 涉及: 依賴庫加載,符號(hào)的解析等等工作 便捷解決: AndroidNativeEmu 已經(jīng)封裝好了 linker, 并且可以模擬 syscall 的執(zhí)行,還提供了對(duì)函數(shù)的 hook 功能 """ # funcname_bytearray=mu.mem_read(r2value,4) # funcname_addr=struct.unpack("I",funcname_bytearray); # print(tl.readstring(mu,funcname_addr)) r3value = mu.reg_read(unicorn.arm_const.UC_ARM_REG_R3) print("\033[1;33menv地址:"+str(r0value)+" | 函數(shù)jclass:"+str(r1value)+" | JNINativeMethod[數(shù)組]地址:"+str(r2value)+" | 注冊(cè)個(gè)數(shù):"+str(r3value)+"\033[0m") CP=capstone.Cs(capstone.CS_ARCH_ARM,capstone.CS_MODE_THUMB) for i in CP.disasm(code,0,len(code)): print("\033[1;32mHook jni | 地址:0x%x | 指令:%s | 內(nèi)容:%s\033[0m"%(address,i.mnemonic,i.op_str)) return def hook_mem(mu, type, address, size, value, user_data): """ 讀和寫內(nèi)存的 mem hook 回調(diào) """ msg = None print('\033[1;32m=== Hook cpu ===\033[0m') if type==unicorn.UC_MEM_WRITE: msg = """\033[1;32m內(nèi)存操作 %s 地址: 0x%x | hook_mem 類型: %s| 大小: %s | 值: 0x%x\033[0m"""%('寫入',address,type,size,value) if type==unicorn.UC_MEM_READ: msg = """\033[1;32m內(nèi)存操作 %s 地址: 0x%x | hook_mem 類型: %s| 大小: %s | 值: 0x%x\033[0m"""%('讀取',address,type,size,value) print(msg) return def hook_syscall(mu,intno,user_data): print("\033[1;36mhook 系統(tǒng)調(diào)用 系統(tǒng)調(diào)用號(hào): 0x%d"%intno) if intno==2: # 例子 2 是退出 print("系統(tǒng)調(diào)用退出!!") # print_result(mu) print("\033[0m") return def hook_block(mu, address, size, user_data): # code = mu.mem_read(address,size) print("\033[1;36mhook 基本塊") # print_result(mu) print("\033[0m") return if __name__ == "__main__": with open("so/unicorn05.so",'rb') as sofile: CODE=sofile.read() mu = unicorn.Uc(unicorn.UC_ARCH_ARM, unicorn.UC_MODE_THUMB) tl.capstone_print(CODE, 0xc00) init_java_vm(mu) # 初始化 java vm
運(yùn)行效果
關(guān)于“Unicorn模擬CPU執(zhí)行JNI_Onload動(dòng)態(tài)注冊(cè)的方法”的內(nèi)容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識(shí),可以關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道,小編每天都會(huì)為大家更新不同的知識(shí)點(diǎn)。
本文標(biāo)題:Unicorn模擬CPU執(zhí)行JNI_Onload動(dòng)態(tài)注冊(cè)的方法
網(wǎng)頁地址:http://aaarwkj.com/article2/gdijoc.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供微信小程序、網(wǎng)站維護(hù)、、移動(dòng)網(wǎng)站建設(shè)、靜態(tài)網(wǎng)站、網(wǎng)站排名
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)