文章同时发表在我个人博客上。转载请务必注明出处。
2018年发布的 Android P 中引入了对隐藏API的限制,这对整个Android生态来说当然是一件好事,但也严重限制了以往我们通过反射等手段实现的“黑科技”(如插件化等),所以开发者们纷纷寻找手段绕过这个限制。比如 Canyie 就曾经提出了两个绕过方法,其中一个便是几乎完美的双重反射(即“元反射”,现在来看叫“套娃反射”比较好);而在即将发布的Android R中把这个方法封杀了。
这是 Canyie 在其博客上^1提到的安卓隐藏 API 的问题。博客上还提出了一个看似可行的解决方案:设置类的 classloader 为 null 成为 BootClassPath 中的类以解除限制。此法看似可行,然并非万全:
这样看来,纯 Java 绕过隐藏 API 似乎没戏了。只能通过 native 代码,用魔法绕过 dlopen 限制来 dlsym 在 libart.so 中的 _ZN3artL32VMRuntime_setHiddenApiExemptionsEP7_JNIEnvP7_jclassP13_jobjectArray 来设置允许隐藏 API 了。
等等。
我们好像还有一个非常适合玩魔法的 Java 自带的 API:Unsafe!
这个魔法类顾名思义,是非常不安全的:它可以纯 Java 读写内存!也就是说,有了这个东西,我们就可以读写类中的任意数据成员了!甚至如果拿到 native 指针,还能直接读指针指向的内存内容。那么我们是不是可以藉此来读取类的隐藏函数?答案是肯定的。
但是,ART 中的函数不是存在一个 Java 数组中乖乖等着给你拿的。ART 的模型是 Java 代码中的重要类和 native 代码中的一个类相互 mirror:即共享同一块内存。所以在 Java 中读写这些 Java 类对象的成员相当于同时修改对应的 native 对象成员。一些常见的类就是 Class、Method、Field 等。于是为了方便 native 代码访问这些对象,这些类的成员很多都不是以 Java 对象形式存在,而是以 native 指针形式存在。比如一个 Class 对应的 Java 结构如下^3:
可以看到有很多 long 成员,这些就是 native 指针了。很可惜,我们想要的 methods 就是以指针形式存在的,而且指针对应的是 ArtMethod 的 native 对象,并非一个对应到 Java 的 mirror 的 Method。感兴趣的小伙伴可以看看 Executable 的实现,其中有一个 long 成员是 artMethod 对应的就是这个东西。
那么我们需要把这个 methods 指针对应的 artMethod 给一个一个枚举出来,并且想办法把他们转换为 Java 可以用的 Executable (用 Executable 是这个包含 Constructor 和 Method)。
要理解这个指针到底存了啥,我们就要回到 native 代码^4。
这里解释它是一个 length-prefixed array 对象。实际上我们看使用它的地方:
可以看到,它强转成一个模板类 LengthPrefixedArray 的指针,其部分定义如下:
很明显,“类”如其名,就是一个数组,但是前面塞了一个 uint32_t 的长度的数组而已。并且看其取成员的函数 AtUnchecked,可以看到数组首元素就是 this + sizeof(size_) 对齐到 alignof(T)。sizeof(size_) 就是 4,而 alignof 的话,看 ArtMethod 定义是没有 alignas 或者 pack 的属性定义,那么在 32 位下就是 4 在 64 位下就是 8,对应 Unsafe 就是 addressSize() 了。
总结来说,首个元素地址就是 methods + unsafe.addressSize()。而读取方法数量就是 unsafe.readInt(methods)。
拿到数组首个元素的地址 base,接下来第 i 个元素就是 base + i * size 啦。但是问题来了,怎么计算 ArtMethod 的大小呢?这个直接参考 SandHook 的实现就可以了:直接在 Java 定义两个连续的方法,然后指针相减就是了^5。
这时候就涉及第二个问题:怎么从 Java 的 Method 转换成 ArtMethod 指针?反过来又如何?
我们之前提到过,Executable 里面放了一个 ArtMethod 的指针。既然映射到 Java 就证明它有被使用的地方,我们看看它的源码:
非常明确地说明给 java.lang.invoke.* 接口使用的。这很好,因为这些接口都是 Java 原生地公开接口,谷歌可不能隐藏他们。那么怎么被使用的呢?或者说,怎么被转换的呢?
原来是放在了 MethodHadle 上。而且这个东西也是一个 mirror 类,native 和 Java 一对一的。也就是说,只要把一个 Method 转换成 MethodHandle 然后读出这个 artFieldOrMethod 就可以了。
然后就是转回来。我们把某个 MethodHandle 的这个 artFieldOrMethod 设置成 ArtMethod 指针之后,再把这个 MethodHandle 转成 Executable 就行了。要注意,转换成 Member 时候,这个接口会检查解析出来的 Member 是否能被当前类访问。 不过好在,他得先转换出来才能进行检查。那么,只要忽略这个检查(抛出的异常),然后直接拿出这个成员就行了。
这个方法在 P-S DP2 上均进行了测试,都能完美运行。并且,谷歌方面已经承诺 Unsafe 不会被彻底隐藏,而剩下使用的都是 Java 公开接口,更不可能被隐藏。依赖的 mirror 类的 offset 都被谷歌小心翼翼地维护,改动可能性也不大。因而可以说方法稳定切通用,并且大概率不会被谷歌后续掐掉。
源码已经公开,并且已经上架 Maven,欢迎推广和使用。
public final class Class<T> {
private transient ClassLoader classLoader;
private transient Class<?> componentType;
private transient Object dexCache;
private transient ClassExt extData;
private transient Object[] ifTable;
private transient Class<? super T> superClass;
private transient Object vtable;
private transient long iFields;
private transient long methods;
private transient long sFields;
private transient int accessFlags;
private transient int classFlags;
//还有其他成员,这里就写了
}
public final class Class<T> {
private transient ClassLoader classLoader;
private transient Class<?> componentType;
private transient Object dexCache;
private transient ClassExt extData;
private transient Object[] ifTable;
private transient Class<? super T> superClass;
private transient Object vtable;
private transient long iFields;
private transient long methods;
private transient long sFields;
private transient int accessFlags;
private transient int classFlags;
//还有其他成员,这里就写了
}
class Class {
// Pointer to an ArtMethod length-prefixed array. All the methods where this class is the place
// where they are logically defined. This includes all private, static, final and virtual methods
// as well as inherited default methods and miranda methods.
//
// The slice methods_ [0, virtual_methods_offset_) are the direct (static, private, init) methods
// declared by this class.
//
// The slice methods_ [virtual_methods_offset_, copied_methods_offset_) are the virtual methods
// declared by this class.
//
// The slice methods_ [copied_methods_offset_, |methods_|) are the methods that are copied from
// interfaces such as miranda or default methods. These are copied for resolution purposes as this
// class is where they are (logically) declared as far as the virtual dispatch is concerned.
//
// Note that this field is used by the native debugger as the unique identifier for the type.
uint64_t methods_;
};
class Class {
// Pointer to an ArtMethod length-prefixed array. All the methods where this class is the place
// where they are logically defined. This includes all private, static, final and virtual methods
// as well as inherited default methods and miranda methods.
//
// The slice methods_ [0, virtual_methods_offset_) are the direct (static, private, init) methods
// declared by this class.
//
// The slice methods_ [virtual_methods_offset_, copied_methods_offset_) are the virtual methods
// declared by this class.
//
// The slice methods_ [copied_methods_offset_, |methods_|) are the methods that are copied from
// interfaces such as miranda or default methods. These are copied for resolution purposes as this
// class is where they are (logically) declared as far as the virtual dispatch is concerned.
//
// Note that this field is used by the native debugger as the unique identifier for the type.
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2021-4-24 20:52
被yujincheng08编辑
,原因:
