APP逆向過程中，需要對dex文件和elf文件進(jìn)行分析，又因現(xiàn)在各APP都有各種代碼保護(hù)手法，因此都需要進(jìn)行動態(tài)分析。

今天就分享下對elf文件也就是so文件中動態(tài)分析so文件中JNI函數(shù)的方案。

jnitrace它是基于frida基礎(chǔ)上的一個工具，它是一個動態(tài)分析追蹤SO文件中的JNI API調(diào)用的工具，它可以進(jìn)行指定SO文件進(jìn)行跟蹤JNI調(diào)用。

基礎(chǔ)知識

1、JavaVM 和 JNIEnv

JNI 它定義了兩個關(guān)鍵數(shù)據(jù)結(jié)構(gòu)：JavaVM和JNIEnv。它們本質(zhì)上都是指向函數(shù)表的二級指針。（在 C++ 版本中，它們是一些類，這些類具有指向函數(shù)表的指針，并具有每個通過該函數(shù)表間接調(diào)用的 JNI 函數(shù)的成員函數(shù)。）JavaVM 提供“調(diào)用接口”函數(shù)，可以利用此類來函數(shù)創(chuàng)建和銷毀 JavaVM。

JNIEnv 提供了大部分 JNI 函數(shù)， so中的原生函數(shù)都會收到 JNIEnv 作為第一個參數(shù)。該 JNIEnv 將用于線程本地存儲。因此無法在線程之間共享 JNIEnv。如果一段代碼無法通過其他方法獲取自己的 JNIEnv，應(yīng)該共享相應(yīng) JavaVM，然后使用 GetEnv 發(fā)現(xiàn)線程的 JNIEnv。

JNIEnv 和 JavaVM 的 C 聲明與 C++ 聲明不同。"jni.h" include 文件會提供不同的類型定義符，具體取決于該文件是包含在 C 還是 C++ 中。因此不建議在這兩種語言包含的頭文件中添加 NIEnv 參數(shù)。

2、spawn和attach注入?yún)^(qū)別

Frida支持spawn和attach兩種啟動方式。

attach模式下，F(xiàn)rida會附加到當(dāng)前的目標(biāo)進(jìn)程中，即需要App處于啟動狀態(tài)，這也意味著它只能從當(dāng)前時(shí)機(jī)往后Hook；

spawn模式下，F(xiàn)rida會自行啟動并注入進(jìn)目標(biāo)App，Hook的時(shí)機(jī)非常早，好處在于不會錯過App中相對較早(比如App啟動時(shí)產(chǎn)生的參數(shù)),缺點(diǎn)是假如想要Hook的時(shí)機(jī)點(diǎn)偏后，則會帶來大量干擾信息，嚴(yán)重甚至?xí)?dǎo)致server崩潰。

attach注入：APP啟動后再 hook，不能 hook APP的啟動階段。

spawn注入 ：重啟 APP，適合 hook APP啟動階段。

基本操作

jnitrace使用需要配合python環(huán)境和frida工具(版本需要配套好)

這個jnitrace安裝后主要核心的實(shí)現(xiàn)功能都在jnitrace.py和jnitrace.js

下圖是jnitrace.py中主要功能：首先判斷連接設(shè)備的方式 是以remote_device還是usb_device,接著默認(rèn)采用spawn的注入方式，在去執(zhí)行jnitrace.js文件中的hook功能，最后在輸出執(zhí)行后的數(shù)據(jù)。

下圖是jnitrace.js的關(guān)鍵功能點(diǎn)，注入后實(shí)際功能還是調(diào)用到底層的dlopen。

實(shí)踐分析

Frida啟動后會往要hook的進(jìn)程中注入frida的so文件

下圖是所有功能組成的解析

通過jnitrace -l libxxx.so com.xxx.xxx 可以打印輸出so中的jni函數(shù)，以及這些jni函數(shù)的調(diào)用獲取數(shù)據(jù)

通過 jnitrace -l libxxx.so com.xxx.xxx -i RegisterNatives 可以查看到so中的所有動態(tài)注冊的函數(shù)。

審核編輯：劉清