[求助]fart dump 函数指令请教-Android安全-看雪-安全社区|安全招聘|kanxue.com

[求助]fart dump 函数指令请教

发表于: 2021-8-4 17:15 14574

[求助]fart dump 函数指令请教

wx_阿达西

2021-8-4 17:15

14574

先看fart dump 指令的代码。代码如下:

extern "C" void myfartInvoke(ArtMethod* artmethod)  REQUIRES_SHARED(Locks::mutator_lock_) {
    JValue *result=nullptr;
    Thread *self=nullptr;
    uint32_t temp=6;
    uint32_t* args=&temp;
    uint32_t args_size=6;
    artmethod->Invoke(self, args, args_size, result, "fart");
}

void ArtMethod::Invoke(Thread* self, uint32_t* args, uint32_t args_size, JValue* result,
                       const char* shorty) {
 
    if (self== nullptr) {
        dumpArtMethod(this);
        return;
    }
 
  if (UNLIKELY(__builtin_frame_address(0) < self->GetStackEnd())) {
    ThrowStackOverflowError(self);
    return;
  }
    //此处省略部分代码
}

在myfartInvoke中调用ArtMethod::Invoke函数，然后在Invoke函数中根据self参数，条件执行dumpArtMethod。

问题：
这里调用Invoke函数有啥意义？
在myfartInvoke中直接调用dumpArtMethod可以吗？
比如这样：

extern "C" void myfartInvoke(ArtMethod* artmethod)  REQUIRES_SHARED(Locks::mutator_lock_) {
    JValue *result=nullptr;
    Thread *self=nullptr;
    uint32_t temp=6;
    uint32_t* args=&temp;
    uint32_t args_size=6;
    dumpArtMethod(this);
}

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2021-8-5 14:30 被wx_阿达西编辑，原因：调整段落结构

#逆向分析 #混淆加固 #脱壳反混淆

收藏・3

免费・0

支持

最新回复 (14)
wx_阿达西雪币： 1 活跃值： (1072) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	wx_阿达西 2 楼真心请教，这里我想了很久没搞明白 2021-8-4 17:17 0
misskings 雪币： 1490 活跃值： (9913) 能力值： ( LV9，RANK：240 ) 在线值：发帖 57 回帖 274 粉丝 502 关注私信	misskings 4 3 楼第一点，抽取壳，是在函数执行的时候，才会对函数进行恢复。你下面的做法，函数压根没有执行。所以函数不会恢复。所以你保存出来的codeitem就是没恢复的。第二点，其实我那篇文章的重点也是一个原因。有些函数恢复是在函数执行更深的地方才恢复。所以也需要函数真正执行。 2021-8-5 14:55 0
wx_阿达西雪币： 1 活跃值： (1072) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	wx_阿达西 4 楼 misskings 第一点，抽取壳，是在函数执行的时候，才会对函数进行恢复。你下面的做法，函数压根没有执行。所以函数不会恢复。所以你保存出来的codeitem就是没恢复的。第二点，其实我那篇文章的重点也是一个原因 ... 大佬说的我理解了。抽取壳原理是函数将要执行时去还原指令。那么是否可以下这样一个结论：我启动app，一顿乱点，把功能都跑一篇。再去整体dump dex。其实是可以拿到完整的dex文件。另外再问下： fart是在myfartInvoke函数中直接调用Invoke，然后在Invoke函数中判断self是否等于null，如果等于null就去dump。这里如果self == null成立，那么对Invoke函数的调用不就是来自myfartInvoke吗？这样的话，还有必要把dumpArtMethod函数放大Invoke中去调用吗，这和直接在myfartInvoke中调用没啥区别吧。比较笨，不知道大佬理解我表达的意思了没 2021-8-5 18:14 0
wx_阿达西雪币： 1 活跃值： (1072) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	wx_阿达西 5 楼 wx_阿达西大佬说的我理解了。抽取壳原理是函数将要执行时去还原指令。那么是否可以下这样一个结论：我启动app，一顿乱点，把功能都跑一篇。再去整体dump dex。其实是可以拿到完整的dex文件。另外再问下 ... 我想表达的是，这样执行的效果，等价于fart中函数调用效果 extern "C" void myfartInvoke(ArtMethod* artmethod) REQUIRES_SHARED(Locks::mutator_lock_) { JValue result=nullptr; Thread self=nullptr; uint32_t temp=6; uint32_t* args=&temp; uint32_t args_size=6; dumpArtMethod(artmethod); } 2021-8-5 18:17 0
misskings 雪币： 1490 活跃值： (9913) 能力值： ( LV9，RANK：240 ) 在线值：发帖 57 回帖 274 粉丝 502 关注私信	misskings 4 6 楼是对的。你启动app后。一顿乱点。触发到的那些函数一般是会恢复的。这种行为叫做被动调用。如果被动调用还原出来的那些函数能满足你的需求那当然是最好。主动调用是为了大量的还原所有函数。另外你单独的看myfartInvoke这里dump。和Invoke后脱壳还是有区别的。一个是在函数调用前。函数实际没有执行。一个是在函数执行中。不能简单的看成是我们自己开发的程序那样两个方法的调用。毕竟安卓内部还有其他的处理 2021-8-5 18:25 0
misskings 雪币： 1490 活跃值： (9913) 能力值： ( LV9，RANK：240 ) 在线值：发帖 57 回帖 274 粉丝 502 关注私信	misskings 4 7 楼我这样说个简单的情况。例如我在Invoke处理的时候。出现了错误。崩溃了。然后会打印出堆栈。但是我明明是myfartInvoke内直接调用artMethod的Invoke。但是你在堆栈中看到的却不是这样。而是有很多一层层的调用。 2021-8-5 18:28 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 8 楼 invoke是主动调用的精髓 2021-8-5 19:21 0
wx_阿达西雪币： 1 活跃值： (1072) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	wx_阿达西 9 楼 misskings 是对的。你启动app后。一顿乱点。触发到的那些函数一般是会恢复的。这种行为叫做被动调用。如果被动调用还原出来的那些函数能满足你的需求那当然是最好。主动调用是为了大量的还原所有函数。另外你单独的看myf ... 好的，非常感谢。我实践一把看看。 2021-8-5 19:24 0
mb_yvvzfcdo 雪币： 334 活跃值： (392) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 61 粉丝 2 关注私信	mb_yvvzfcdo 10 楼 misskings 我这样说个简单的情况。例如我在Invoke处理的时候。出现了错误。崩溃了。然后会打印出堆栈。但是我明明是myfartInvoke内直接调用artMethod的Invoke。但是你在堆栈中看到的却不是这 ... 大佬，有些加固厂商开始检测fart啦，比如某加密，有啥好的解决办法吗 2021-8-12 18:25 0
misskings 雪币： 1490 活跃值： (9913) 能力值： ( LV9，RANK：240 ) 在线值：发帖 57 回帖 274 粉丝 502 关注私信	misskings 4 11 楼 mb_yvvzfcdo 大佬，有些加固厂商开始检测fart啦，比如某加密，有啥好的解决办法吗这个加固厂商我测试过。我的fartext方案可以用。不过暂时不会放出来在持续优化中。整完会开源的。你可以先看我的那篇文章。做个低配版的出来先用着 2021-8-12 19:57 0
小黄鸭爱学习雪币： 2141 活跃值： (4522) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 273 粉丝 117 关注私信	小黄鸭爱学习 12 楼 mb_yvvzfcdo 大佬，有些加固厂商开始检测fart啦，比如某加密，有啥好的解决办法吗删掉特征就行亲测可以 2021-10-18 09:52 0
james_mvb 雪币： 232 活跃值： (237) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 1 关注私信	james_mvb 13 楼小黄鸭爱学习删掉特征就行亲测可以如何删掉特征大佬能回复下吗 2022-2-16 14:18 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 14 楼 misskings 我这样说个简单的情况。例如我在Invoke处理的时候。出现了错误。崩溃了。然后会打印出堆栈。但是我明明是myfartInvoke内直接调用artMethod的Invoke。但是你在堆栈中看到的却不是这 ... 我也无法理解多出来的调用堆栈是怎么实现的从程序的执行上来说楼主说的没错确实是没区别区别invoke函数是被系统hook了不然无法解释你所说的多出来的堆栈调用 2022-2-16 23:52 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 15 楼万里星河我也无法理解多出来的调用堆栈是怎么实现的从程序的执行上来说楼主说的没错确实是没区别区别invoke函数是被系统hook了不然无法解释你所说的多出来的堆栈调用或者说 ArtMethod::invoke函数是被壳hook了这也能解释壳是如何知道哪个函数被调用了从而完成解密操作 2022-2-16 23:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wx_阿达西

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
wx_阿达西雪币： 1 活跃值： (1072) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	wx_阿达西 2 楼真心请教，这里我想了很久没搞明白 2021-8-4 17:17 0
misskings 雪币： 1490 活跃值： (9913) 能力值： ( LV9，RANK：240 ) 在线值：发帖 57 回帖 274 粉丝 502 关注私信	misskings 4 3 楼第一点，抽取壳，是在函数执行的时候，才会对函数进行恢复。你下面的做法，函数压根没有执行。所以函数不会恢复。所以你保存出来的codeitem就是没恢复的。第二点，其实我那篇文章的重点也是一个原因。有些函数恢复是在函数执行更深的地方才恢复。所以也需要函数真正执行。 2021-8-5 14:55 0
wx_阿达西雪币： 1 活跃值： (1072) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	wx_阿达西 4 楼 misskings 第一点，抽取壳，是在函数执行的时候，才会对函数进行恢复。你下面的做法，函数压根没有执行。所以函数不会恢复。所以你保存出来的codeitem就是没恢复的。第二点，其实我那篇文章的重点也是一个原因 ... 大佬说的我理解了。抽取壳原理是函数将要执行时去还原指令。那么是否可以下这样一个结论：我启动app，一顿乱点，把功能都跑一篇。再去整体dump dex。其实是可以拿到完整的dex文件。另外再问下： fart是在myfartInvoke函数中直接调用Invoke，然后在Invoke函数中判断self是否等于null，如果等于null就去dump。这里如果self == null成立，那么对Invoke函数的调用不就是来自myfartInvoke吗？这样的话，还有必要把dumpArtMethod函数放大Invoke中去调用吗，这和直接在myfartInvoke中调用没啥区别吧。比较笨，不知道大佬理解我表达的意思了没 2021-8-5 18:14 0
wx_阿达西雪币： 1 活跃值： (1072) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	wx_阿达西 5 楼 wx_阿达西大佬说的我理解了。抽取壳原理是函数将要执行时去还原指令。那么是否可以下这样一个结论：我启动app，一顿乱点，把功能都跑一篇。再去整体dump dex。其实是可以拿到完整的dex文件。另外再问下 ... 我想表达的是，这样执行的效果，等价于fart中函数调用效果 extern "C" void myfartInvoke(ArtMethod* artmethod) REQUIRES_SHARED(Locks::mutator_lock_) { JValue result=nullptr; Thread self=nullptr; uint32_t temp=6; uint32_t* args=&temp; uint32_t args_size=6; dumpArtMethod(artmethod); } 2021-8-5 18:17 0
misskings 雪币： 1490 活跃值： (9913) 能力值： ( LV9，RANK：240 ) 在线值：发帖 57 回帖 274 粉丝 502 关注私信	misskings 4 6 楼是对的。你启动app后。一顿乱点。触发到的那些函数一般是会恢复的。这种行为叫做被动调用。如果被动调用还原出来的那些函数能满足你的需求那当然是最好。主动调用是为了大量的还原所有函数。另外你单独的看myfartInvoke这里dump。和Invoke后脱壳还是有区别的。一个是在函数调用前。函数实际没有执行。一个是在函数执行中。不能简单的看成是我们自己开发的程序那样两个方法的调用。毕竟安卓内部还有其他的处理 2021-8-5 18:25 0
misskings 雪币： 1490 活跃值： (9913) 能力值： ( LV9，RANK：240 ) 在线值：发帖 57 回帖 274 粉丝 502 关注私信	misskings 4 7 楼我这样说个简单的情况。例如我在Invoke处理的时候。出现了错误。崩溃了。然后会打印出堆栈。但是我明明是myfartInvoke内直接调用artMethod的Invoke。但是你在堆栈中看到的却不是这样。而是有很多一层层的调用。 2021-8-5 18:28 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 8 楼 invoke是主动调用的精髓 2021-8-5 19:21 0
wx_阿达西雪币： 1 活跃值： (1072) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	wx_阿达西 9 楼 misskings 是对的。你启动app后。一顿乱点。触发到的那些函数一般是会恢复的。这种行为叫做被动调用。如果被动调用还原出来的那些函数能满足你的需求那当然是最好。主动调用是为了大量的还原所有函数。另外你单独的看myf ... 好的，非常感谢。我实践一把看看。 2021-8-5 19:24 0
mb_yvvzfcdo 雪币： 334 活跃值： (392) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 61 粉丝 2 关注私信	mb_yvvzfcdo 10 楼 misskings 我这样说个简单的情况。例如我在Invoke处理的时候。出现了错误。崩溃了。然后会打印出堆栈。但是我明明是myfartInvoke内直接调用artMethod的Invoke。但是你在堆栈中看到的却不是这 ... 大佬，有些加固厂商开始检测fart啦，比如某加密，有啥好的解决办法吗 2021-8-12 18:25 0
misskings 雪币： 1490 活跃值： (9913) 能力值： ( LV9，RANK：240 ) 在线值：发帖 57 回帖 274 粉丝 502 关注私信	misskings 4 11 楼 mb_yvvzfcdo 大佬，有些加固厂商开始检测fart啦，比如某加密，有啥好的解决办法吗这个加固厂商我测试过。我的fartext方案可以用。不过暂时不会放出来在持续优化中。整完会开源的。你可以先看我的那篇文章。做个低配版的出来先用着 2021-8-12 19:57 0
小黄鸭爱学习雪币： 2141 活跃值： (4522) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 273 粉丝 117 关注私信	小黄鸭爱学习 12 楼 mb_yvvzfcdo 大佬，有些加固厂商开始检测fart啦，比如某加密，有啥好的解决办法吗删掉特征就行亲测可以 2021-10-18 09:52 0
james_mvb 雪币： 232 活跃值： (237) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 1 关注私信	james_mvb 13 楼小黄鸭爱学习删掉特征就行亲测可以如何删掉特征大佬能回复下吗 2022-2-16 14:18 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 14 楼 misskings 我这样说个简单的情况。例如我在Invoke处理的时候。出现了错误。崩溃了。然后会打印出堆栈。但是我明明是myfartInvoke内直接调用artMethod的Invoke。但是你在堆栈中看到的却不是这 ... 我也无法理解多出来的调用堆栈是怎么实现的从程序的执行上来说楼主说的没错确实是没区别区别invoke函数是被系统hook了不然无法解释你所说的多出来的堆栈调用 2022-2-16 23:52 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 15 楼万里星河我也无法理解多出来的调用堆栈是怎么实现的从程序的执行上来说楼主说的没错确实是没区别区别invoke函数是被系统hook了不然无法解释你所说的多出来的堆栈调用或者说 ArtMethod::invoke函数是被壳hook了这也能解释壳是如何知道哪个函数被调用了从而完成解密操作 2022-2-16 23:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复