首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. Android安全
    3. 发新帖
[原创]unidbg入门笔记
发表于: 2024-5-11 00:31 30815

[原创]unidbg入门笔记

西贝巴巴 活跃值
2024-5-11 00:31
30815

一、unidbg 介绍

unidbg 是凯神 在 2019 年初开源的一个轻量级模拟器,一个基于Java的跨平台解密引擎,专门用于动态分析和逆向工程应用程序。它可以模拟不同CPU架构、操作系统和指令集,从而使用户能够在一个统一的环境中分析各种不同类型的二进制文件。unidbg的主要功能包括模拟执行、内存访问、指令跟踪、函数调用跟踪等。
unidbg 是建立在Unicorn引擎之上的,Unicorn引擎是一个强大的开源CPU模拟器框架,支持多种架构,包括x86、ARM、MIPS等,因此unidbg也能够模拟这些不同的CPU架构。UniDGB的另一个核心组成部分是Capstone引擎,它用于反汇编和指令解码。
unidbg 下载地址: be2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6*7K9r3E0D9x3o6t1J5z5q4)9J5c8Y4g2F1K9h3c8T1k6H3`.`.

二、框架快速搭建

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
package com.kanxue.test2;
 
import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.Module;
import com.github.unidbg.arm.backend.DynarmicFactory;
import com.github.unidbg.linux.android.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.AbstractJni;
import com.github.unidbg.linux.android.dvm.DalvikModule;
import com.github.unidbg.linux.android.dvm.VM;
import com.github.unidbg.memory.Memory;
 
import java.io.File;
 
public class Test05 extends AbstractJni {
 
    private final AndroidEmulator emulator;
 
    private final VM vm;
 
    private final Module module;
 
 
    Test05(){
        // 创建模拟器
        emulator = AndroidEmulatorBuilder
                .for32Bit().addBackendFactory(new DynarmicFactory(true))
                .setProcessName("cc.ccc.cc")
                .build();
 
        // 内存调用
        Memory memory = emulator.getMemory();
 
        // 设定 SDK 版本
        memory.setLibraryResolver(new AndroidResolver(23));
 
        //创建虚拟机
        vm = emulator.createDalvikVM(new File("sssss.apk"));
 
        //jni 日志打印
        vm.setVerbose(true);
 
        // jni 设置
        vm.setJni(this);
 
        // 执行so文件
        DalvikModule dm = vm.loadLibrary(new File("ssss.so"), true);
 
        // 获取so 文件模块
        module = dm.getModule();
 
        //调用JNI——onload 函数
        vm.callJNI_OnLoad(emulator,module);
        // dm.callJNI_OnLoad(module);
    }
}

三、基础文档

emulator 的操作

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
// 获取内存操作接口
Memory memory1 = emulator.getMemory();
 
// 获取进程id
int pid = emulator.getPid();
 
//创建虚拟机
VM dalvikVM = emulator.createDalvikVM();
 
//创建虚拟机并指定文件
VM dalvikVM1 = emulator.createDalvikVM(new File("ss/ss/apk"));
 
//获取已经创建的虚拟机
VM dalvikVM2 = emulator.getDalvikVM();
 
//显示当前寄存器的状态 可指定寄存器
emulator.showRegs();
 
// 获取后端CPU
Backend backend = emulator.getBackend();
 
//获取进程名
String processName = emulator.getProcessName();
 
// 获取寄存器
RegisterContext context = emulator.getContext();
 
//Trace 读取内存
emulator.traceRead(1,0);
 
// trace 写内存
emulator.traceWrite(1,0);
 
//trace 汇编
emulator.traceCode(1,0);
 
// 是否在运行
boolean running = emulator.isRunning();

memory 操作

1
2
3
4
5
6
7
8
9
10
11
12
13
14
// 指定安卓sdk  版本 只支持 19 23
memory.setLibraryResolver(new AndroidResolver(23));
 
// 拿到一个指针 指向内存地址 通过该指针可操作内存
UnidbgPointer pointer = memory.pointer(0x11111111);
 
//获取当前内存映射的情况
Collection memoryMap = memory1.getMemoryMap();
 
//根据模块名 来拿某个模块
Module sss = memory1.findModule("sss");
 
// 根据地址 来拿某个模块
Module moduleByAddress = memory1.findModuleByAddress(0x111111);

VM 操作

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
//推荐指定apk 文件 unidbg会自动做许多固定的操作
VM vvm = emulator.createDalvikVM(new File("ssss.apk"));
 
// 是否输出jni 运行日志
vvm.setVerbose(true);
 
//加载so模块 参数二设置是否自动调用init函数
DalvikModule dalvikModule = vvm.loadLibrary(new File("ss.so"), true);
 
// 设置jni 交互接口 参数需要实现jni接口 推荐使用this 继承AbstractJni
vvm.setJni(this);
 
//获取JNIEnv 指针 可以作为参数传递
Pointer jniEnv = vm.getJNIEnv();
 
//获取JavaVM 指针
Pointer javaVM = vm.getJavaVM();
 
//调用jni_onload函数
dalvikModule.callJNI_OnLoad(emulator);
vm.callJNI_OnLoad(emulator,dalvikModule.getModule());

符号调用

1
2
3
4
5
6
7
8
9
10
11
// 创建一个vm 对象,相当于 java 层去调用native函数类的实例对象
// DvmObject obj = ProxyDvmObject.createObject(vm,this); // 默认获取MainActivity 当有很多类的时候,防止默认指定错误,可以以下指定
DvmObject obj = vm.resolveClass("com/example/demo01/MainActivity").newObject(null);
 
String signSting = "123456";
 
DvmObject dvmObject = obj.callJniMethodObject(emulator, "jniMd52([B)Ljava/lang/String;", signSting.getBytes(StandardCharsets.UTF_8));
 
String result = (String) dvmObject.getValue();
 
System.out.println("[symble] Call the so md5 function result is ==> " + result);

地址调用

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
ArrayList<Object> args = new ArrayList<>();
 
Pointer jniEnv = vm.getJNIEnv();
 
DvmObject object1 = ProxyDvmObject.createObject(vm, this);
 
// DvmObject dvmObject = vm.resolveClass("com/xx/xx/MainActivity").newObject(null);
 
args.add(jniEnv);
 
// args.add(vm.addLocalObject(object1));// args.add(null)
 args.add(null);
 
args.add(vm.addLocalObject(new StringObject(vm, "123456")));
 
Number number = module.callFunction(emulator, 0x11AE8 + 1, args.toArray());// 是个地址
 
System.out.println("[addr] number is ==> " + number.intValue());
 
DvmObject object = vm.getObject(number.intValue());
 
System.out.println("[addr] Call the so md5 function result is ==> " + object.getValue());

参数 context

1
2
DvmObject context = vm.resolveClass("android/content/Context").newObject(null);
list.add(vm.addLocalObject(context));

四、unidbg hook

hookZz

HookZz(Dobby)是一个轻量级、多平台、多架构的漏洞利用钩子框架。Unidbg中是HookZz和Dobby是两个独立的Hook库,因为作者认为HookZz在arm32上支持较好,Dobby在arm64上支持较好。HookZz是inline hook方案,因此可以Hook Sub_xxx,缺点是短函数可能出bug,受限于inline Hook 原理。文档看568K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6B7L8i4m8W2N6%4y4Q4x3V1k6t1L8$3!0C8h3Y4Z5`.
hookZz (1)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
IHookZz hookZz = HookZz.getInstance(emulator); // 加载HookZz,支持inline hook
hookZz.enable_arm_arm64_b_branch(); // 测试enable_arm_arm64_b_branch,可有可无
hookZz.wrap(module.findSymbolByName("ss_encrypt"), new WrapCallback() { // inline wrap导出函数
    @Override
    public void preCall(Emulator emulator, RegisterContext ctx, HookEntryInfo info) {
        Pointer pointer = ctx.getPointerArg(2);
        int length = ctx.getIntArg(3);
        byte[] key = pointer.getByteArray(0, length);
        Inspector.inspect(key, "ss_encrypt key");
    }
    @Override
    public void postCall(Emulator emulator, RegisterContext ctx, HookEntryInfo info) {
        System.out.println("ss_encrypt.postCall R0=" + ctx.getLongArg(0));
    }
});
hookZz.disable_arm_arm64_b_branch();
hookZz.instrument(module.base + 0x00000F5C + 1, new InstrumentCallback() {
    @Override
    public void dbiCall(Emulator emulator, Arm32RegisterContext ctx, HookEntryInfo info) { // 通过base+offset inline wrap内部函数,在IDA看到为sub_xxx那些
        System.out.println("R3=" + ctx.getLongArg(3) + ", R10=0x" + Long.toHexString(ctx.getR10Long()));
    }
});

hookZz(2)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
// 加载HookZz
IHookZz hookZz = HookZz.getInstance(emulator);
 
hookZz.wrap(module.base + 0x1BD0 + 1, new WrapCallback() { // inline wrap导出函数
    @Override
    // 类似于 frida onEnter
    public void preCall(Emulator emulator, HookZzArm32RegisterContext ctx, HookEntryInfo info) {
        // 类似于Frida args[0]
        Pointer input = ctx.getPointerArg(0);
        System.out.println("input:" + input.getString(0));
    };
 
    @Override
    // 类似于 frida onLeave
    public void postCall(Emulator emulator, HookZzArm32RegisterContext ctx, HookEntryInfo info) {
        Pointer result = ctx.getPointerArg(0);
        System.out.println("input:" + result.getString(0));
    }
});

Dobby

1
2
3
4
5
6
7
8
9
10
11
12
Dobby dobby = Dobby.getInstance(emulator);
dobby.replace(module.findSymbolByName("ss_encrypted_size"), new ReplaceCallback() { // 使用Dobby inline hook导出函数
    @Override
    public HookStatus onCall(Emulator emulator, HookContext context, long originFunction) {
        System.out.println("ss_encrypted_size.onCall arg0=" + context.getIntArg(0) + ", originFunction=0x" + Long.toHexString(originFunction));
        return HookStatus.RET(emulator, originFunction);
    }
    @Override
    public void postCall(Emulator emulator, HookContext context) {
        System.out.println("ss_encrypted_size.postCall ret=" + context.getIntArg(0));
    }
}, true);

xHook


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 13
支持
分享
最新回复 (7)
你瞒我瞒
雪    币: 2619
活跃值: (11175)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
感谢,适合我这样的新手
2024-5-11 09:17
0
mb_ldbucrik
雪    币: 10
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
3
跟着大佬一起学习
2024-5-11 09:22
0
huangjw
雪    币: 4849
活跃值: (7169)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
学习了谢谢
2024-5-11 10:50
0
TrumpWY
雪    币: 859
活跃值: (945)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
很友好
2024-5-11 11:32
0
koflfy
雪    币: 102
活跃值: (2470)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
6
mark
2024-5-14 16:13
0
养只猫不好么
雪    币: 1461
活跃值: (3336)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
感谢分享
2024-7-15 21:55
0
mb_oyggipfr
雪    币: 343
活跃值: (35)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
感谢分享
2024-8-5 12:05
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回