当前位置: 首页 > article >正文

Native层逆向:ARM汇编与JNI调用分析

1. ARM汇编基础与逆向框架

1.1 ARM指令集核心概念

1.1.1 寄存器体系解析

ARM64寄存器用途速查表

寄存器别名用途
X0-X7参数寄存器函数参数传递与临时存储
X8XR间接结果寄存器
X9-X15临时寄存器局部变量存储
X16-X17IP0-IP1过程调用临时寄存器
X18PR平台保留寄存器
X29FP帧指针
X30LR返回地址
SP栈指针栈内存管理
1.1.2 常用指令模式

数据操作指令

MOV X0, X1          // 寄存器间数据传输  
ADD X2, X3, #0x10   // 立即数加法运算  
LDR X4, [X5, #0x20] // 内存加载(X5+0x20地址的值→X4)  
STR X6, [X7], #8    // 内存存储(X6→X7地址,X7+=8)  

控制流指令

CMP X0, #10        // 比较X0与10  
B.EQ label         // 相等时跳转  
BL _printf         // 调用函数(保存返回地址到LR)  
RET                // 从子程序返回(等效MOV PC, LR)  

2. JNI调用机制深度解析

2.1 JNI接口架构

Java与Native交互流程

sequenceDiagram  
    Java Code->>JNI Bridge: 声明native方法  
    JNI Bridge->>Native Lib: 动态注册/JNI_OnLoad  
    Native Lib->>Java VM: 通过JNIEnv调用Java方法  
    Java VM-->>Native Lib: 返回结果  

2.2 动态注册逆向技巧

动态注册代码特征

JNINativeMethod methods[] = {  
    {"encrypt", "(Ljava/lang/String;)[B", (void*)nativeEncrypt},  
    {"decrypt", "([B)Ljava/lang/String;", (void*)nativeDecrypt}  
};  
env->RegisterNatives(clazz, methods, 2);  

逆向定位策略

  1. 搜索RegisterNatives交叉引用

  2. 分析JNI_OnLoad初始化函数

  3. 追踪方法签名与实现地址映射


3. 逆向工具链实战

3.1 IDA Pro高级分析

函数识别技巧

  • 使用F5伪代码生成快速定位关键逻辑

  • 重命名关键函数(快捷键N)提升可读性

  • 创建结构体还原复杂数据类型:

struct AES_CTX {  
    uint32_t round_key[60];  
    int key_length;  
};  

3.2 Ghidra脚本开发

自动化字符串解密脚本

from ghidra.program.util import DefinedDataIterator  

def decrypt_xor(data, key):  
    return bytes([b ^ key for b in data])  

for data in DefinedDataIterator.definedStrings(currentProgram()):  
    if data.length == 16:  
        encrypted = data.value  
        decrypted = decrypt_xor(encrypted, 0x5A)  
        print(f"{data.address}: {decrypted}")  

4. Native层Hook技术

4.1 Frida Native Hook

拦截JNI函数调用

const env = Java.vm.getEnv();  
const GetStringUTFChars = env.GetStringUTFChars;  
env.GetStringUTFChars = function(str, isCopy) {  
    const result = GetStringUTFChars.call(this, str, isCopy);  
    console.log(`GetStringUTFChars: ${result.readCString()}`);  
    return result;  
};  

Hook ARM函数实例

const nativeFunc = Module.findExportByName("libnative.so", "AES_encrypt");  
Interceptor.attach(nativeFunc, {  
    onEnter: function(args) {  
        this.plaintext = args[0];  
        this.key = args[1];  
        console.log(hexdump(this.plaintext, { length: 16 }));  
    },  
    onLeave: function(retval) {  
        console.log(hexdump(retval, { length: 16 }));  
    }  
});  

4.2 Inline Hook实战

ARM64指令修补示例

// 原指令(地址0x1234)  
LDR X0, [X1]  

// Hook跳转指令  
LDR X16, =hook_entry  
BR X16  

修补代码实现

void hook_entry() {  
    // 保存寄存器上下文  
    asm volatile("STP X0, X1, [SP, #-16]!");  
    // Hook逻辑处理  
    log_parameters();  
    // 恢复执行  
    asm volatile("LDP X0, X1, [SP], #16");  
    asm("LDR X0, [X1]"); // 执行原始指令  
}  

5. 复杂数据结构逆向

5.1 结构体还原技术

内存布局分析

// 逆向生成的JNI结构体  
struct JNIInvokeInterface {  
    void* reserved0;  
    void* reserved1;  
    void* reserved2;  
    jint (*GetVersion)(JNIEnv*);  
    jclass (*FindClass)(JNIEnv*, const char*);  
    // ...其他方法指针  
};  

IDA结构体定义

  1. Shift+F1打开结构体窗口

  2. 创建JNIEnv结构并添加方法指针

  3. 应用结构体到反汇编代码

5.2 多级指针追踪

链表结构逆向案例

LDR X0, [X19, #0x18]   // 加载next指针  
LDR W1, [X0, #0x4]      // 读取data字段  
CMP W1, #0x20  
B.EQ found_target  

6. 反调试与反逆向对抗

6.1 调试器检测绕过

PTRACE反调试对抗

// 原始检测代码  
if (ptrace(PTRACE_TRACEME, 0, 1, 0) == -1) {  
    exit(0);  
}  

// Hook绕过方案  
Interceptor.attach(Module.findExportByName("libc.so", "ptrace"), {  
    onEnter: function(args) {  
        if (args[0].toInt32() == PTRACE_TRACEME) {  
            this.bypass = 1;  
        }  
    },  
    onLeave: function(retval) {  
        if (this.bypass) retval.replace(0);  
    }  
});  

6.2 代码混淆对抗

控制流平坦化破解

  1. 识别状态分发器函数

  2. 分析状态转移逻辑

  3. 重建原始控制流程图

; 混淆后的控制流片段  
MOV W0, #0x3A  
CMP X1, X2  
ADRP X8, #jumptable@PAGE  
ADD X8, X8, #jumptable@PAGEOFF  
LDR X9, [X8, W0, UXTP#2]  
BR X9  

7. 企业级实战案例

7.1 视频加密协议逆向

破解流程

  1. 定位libmedia.so中的decryptFrame函数

  2. 分析ARM汇编确定密钥调度逻辑

  3. Hookav_aes_init获取密钥与IV

  4. 重写FFmpeg解密过滤器

关键代码

class VideoDecryptor:  
    def __init__(self, key, iv):  
        self.cipher = AES.new(key, AES.MODE_CBC, iv)  

    def decrypt_frame(self, data):  
        return self.cipher.decrypt(data)  

7.2 游戏引擎逆向

Unity IL2CPP分析

  1. 提取global-metadata.dat

  2. 使用Il2CppDumper恢复符号

  3. 分析il2cpp_codegen_raise_exception异常处理

  4. HookPhysics.Raycast实现游戏作弊


技术验证清单

  • 完成ARM64基本指令集逆向分析

  • 实现JNI动态注册方法追踪

  • 开发Ghidra自动化分析脚本

  • 构建Frida Native Hook框架

  • 复现企业级Native层逆向案例

本章实验需基于ARM64架构设备(如Pixel 6),建议使用开源Native项目(如FFmpeg)作为分析目标。所有Hook操作应限制在测试进程空间内,禁止修改生产环境二进制文件。

关于作者:

15年互联网开发、带过10-20人的团队,多次帮助公司从0到1完成项目开发,在TX等大厂都工作过。当下为退役状态,写此篇文章属个人爱好。本人开发期间收集了很多开发课程等资料,需要可联系我


http://www.kler.cn/a/588462.html

相关文章:

  • node.js-WebScoket心跳机制(服务器定时发送数据,检测连接状态,重连)
  • 游戏成瘾与学习动力激发策略研究——自我效能理论
  • 深入理解Linux网络随笔(七):容器网络虚拟化--Veth设备对
  • 基于javaweb的SSM+Maven网上选课管理系统设计与实现(源码+文档+部署讲解)
  • JavaScript性能优化的12种方式
  • Function 和 Consumer函数式接口
  • Ubuntu docker镜像恢复至原始文件
  • React使用路由表
  • 使用GoldenGate完成SQLserver到Oracle的数据实时同步
  • Django项目之订单管理part3
  • Markdig:强大的 .NET Markdown 解析器详解
  • 【AI时代移动端安全开发实战:从基础防护到智能应用】
  • 责任链模式:优雅处理请求的设计艺术
  • k8s 网络基础解析
  • 织梦dedecmsV5.7提示信息提示框美化(带安装教程和效果展示)
  • python中print函数的flush如何使用
  • kubernetes|云原生|部署单master的kubernetes 1.25.5版本集群完全记录(使用contained 运行时)
  • 【VUE2】第五期——VueCli创建项目、Vuex多组件共享数据、json-server——模拟服务端api
  • CSS3学习教程,从入门到精通,CSS3 文字样式语法知识点及案例代码(7)
  • 消息队列的特性与使用场景:Kafka、ActiveMQ、RabbitMQ与RocketMQ的深度剖析