APP逆向過程中，需要對dex文件和elf文件進行分析，又因現(xiàn)在各APP都有各種代碼保護手法，因此都需要進行動態(tài)分析。

今天就分享下對elf文件也就是so文件中動態(tài)分析so文件中JNI函數(shù)的方案。

jnitrace它是基于frida基礎上的一個工具，它是一個動態(tài)分析追蹤SO文件中的JNI API調(diào)用的工具，它可以進行指定SO文件進行跟蹤JNI調(diào)用。

基礎知識

1、JavaVM 和 JNIEnv

JNI 它定義了兩個關鍵數(shù)據(jù)結(jié)構(gòu)：JavaVM和JNIEnv。它們本質(zhì)上都是指向函數(shù)表的二級指針。（在 C++ 版本中，它們是一些類，這些類具有指向函數(shù)表的指針，并具有每個通過該函數(shù)表間接調(diào)用的 JNI 函數(shù)的成員函數(shù)。）JavaVM 提供“調(diào)用接口”函數(shù)，可以利用此類來函數(shù)創(chuàng)建和銷毀 JavaVM。

JNIEnv 提供了大部分 JNI 函數(shù)， so中的原生函數(shù)都會收到 JNIEnv 作為第一個參數(shù)。該 JNIEnv 將用于線程本地存儲。因此無法在線程之間共享 JNIEnv。如果一段代碼無法通過其他方法獲取自己的 JNIEnv，應該共享相應 JavaVM，然后使用 GetEnv 發(fā)現(xiàn)線程的 JNIEnv。

JNIEnv 和 JavaVM 的 C 聲明與 C++ 聲明不同。"jni.h" include 文件會提供不同的類型定義符，具體取決于該文件是包含在 C 還是 C++ 中。因此不建議在這兩種語言包含的頭文件中添加 NIEnv 參數(shù)。

2、spawn和attach注入?yún)^(qū)別

Frida支持spawn和attach兩種啟動方式。

attach模式下，F(xiàn)rida會附加到當前的目標進程中，即需要App處于啟動狀態(tài)，這也意味著它只能從當前時機往后Hook；

spawn模式下，F(xiàn)rida會自行啟動并注入進目標App，Hook的時機非常早，好處在于不會錯過App中相對較早(比如App啟動時產(chǎn)生的參數(shù)),缺點是假如想要Hook的時機點偏后，則會帶來大量干擾信息，嚴重甚至會導致server崩潰。

attach注入：APP啟動后再 hook，不能 hook APP的啟動階段。

spawn注入 ：重啟 APP，適合 hook APP啟動階段。

基本操作

jnitrace使用需要配合python環(huán)境和frida工具(版本需要配套好)

這個jnitrace安裝后主要核心的實現(xiàn)功能都在jnitrace.py和jnitrace.js

下圖是jnitrace.py中主要功能：首先判斷連接設備的方式 是以remote_device還是usb_device,接著默認采用spawn的注入方式，在去執(zhí)行jnitrace.js文件中的hook功能，最后在輸出執(zhí)行后的數(shù)據(jù)。

下圖是jnitrace.js的關鍵功能點，注入后實際功能還是調(diào)用到底層的dlopen。

實踐分析

Frida啟動后會往要hook的進程中注入frida的so文件

下圖是所有功能組成的解析

通過jnitrace -l libxxx.so com.xxx.xxx 可以打印輸出so中的jni函數(shù)，以及這些jni函數(shù)的調(diào)用獲取數(shù)據(jù)

通過 jnitrace -l libxxx.so com.xxx.xxx -i RegisterNatives 可以查看到so中的所有動態(tài)注冊的函數(shù)。

審核編輯：劉清