前言

继续上一篇分享，本文主要分享下怎么使用 unidbg 跑起来。话不多说直接开干

unidbg

老规矩，先搭架子

package com.xiayu.meituxiuxiu;

import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.Emulator;
import com.github.unidbg.Module;
import com.github.unidbg.debugger.BreakPointCallback;
import com.github.unidbg.debugger.Debugger;
import com.github.unidbg.debugger.DebuggerType;
import com.github.unidbg.linux.android.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.linux.android.dvm.array.ArrayObject;
import com.github.unidbg.linux.android.dvm.array.ByteArray;
import com.github.unidbg.memory.Memory;
import unicorn.ArmConst;

import java.io.File;
import java.io.IOException;
import java.security.MessageDigest;

public class GetSig_v9080Test extends AbstractJni {
    private final AndroidEmulator emulator;
    private final Module module;
    private final VM vm;

    public String apkPath = "/Volumes/T7/android/android-file/meituxiuxiu-9.0.8.0.apk";
    public String soPath2 = "unidbg-android/src/test/resources/test_so/meituxiuxiu/librelease_sig-9.0.8.0.so";

    GetSig_v9080Test() {
        emulator = AndroidEmulatorBuilder.for32Bit().build();
        final Memory memory = emulator.getMemory();
        memory.setLibraryResolver(new AndroidResolver(23));
        vm = emulator.createDalvikVM(new File(apkPath));
        vm.setVerbose(true);
        vm.setJni(this);

        DalvikModule dm2 = vm.loadLibrary(new File(soPath2), true);
        dm2.callJNI_OnLoad(emulator);
        module = dm2.getModule();

    }

    public static void main(String[] args) {
        GetSig_v9080Test getSig = new GetSig_v9080Test();
        getSig.destroy();
    }

    private void destroy() {
        try {
            emulator.close();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

又是熟悉的 bug，这里依赖了 libgnustl_shared.so 我们给他加上

跑起来，发现啥都没有输出，这没啥事，只要没报错就是好事。下面直接 call 函数

注意这里的 byte[][] 类型，千万不要直接 vm.resolveClass("[[B") 这样在后面取值会报错，需要使用 ArrayObject + ByteArray 构建（龙哥指点）

public ArrayObject getByteByte() {
    String[] arg5 = {这里大家自行填充 frida hook 出来的参数即可};

    DvmObject<?>[] dvm = new DvmObject<?>[arg5.length];
    for (int v1 = 0; v1 < arg5.length; ++v1) {
        if (arg5[v1] == null) {
            arg5[v1] = "";
        }
        dvm[v1] = new ByteArray(vm, arg5[v1].getBytes());
    }

    return new ArrayObject(dvm);
}

public void call() {
    String methodId = "nativeGeneratorSig(Ljava/lang/String;[[BLjava/lang/String;Ljava/lang/Object;)Lcom/meitu/secret/SigEntity;";
    DvmClass SigEntity = vm.resolveClass("com/meitu/secret/SigEntity");

    SigEntity.callStaticJniMethodObject(
            emulator, methodId,
            new StringObject(vm, "search/feeds.json"),
            getByteByte(),
            new StringObject(vm, "6184556633574670337"),
            vm.resolveClass("android/content/Context").newObject(null)
    );
}

报错，正常补环境

又报错，但是看不出来啥问题，日志全开看看

发现这里是调用 GetSuperClass JNI 函数报错的。不知道啥问题点进源码看看 DalvikVM.java:150

这里调用了 dvmClass.getSuperclass 函数，返回空，才报错的。跟进去看看

这个函数返回 superClass 字段，该字段的值来源于初始化的时候。在哪里初始化的呢。这个跟一下源码就可以了，我这里就不再继续分析了。是在 vm.resolveClass 的时候

这里可以传递多个参数，正常都是传递一个，如果有两个第二个参数就是 superClass

咱们加上试试

跑起来，成功了，没有报 superClass 错误了，但是又出现其他的了，不慌点进源码一探究竟

发现这里是个未实现的 JNI 函数，这里为了简单，就直接返回需要的值就行了。使用 jnitrace 看看返回值是啥

这里是个 0 直接返回

上面正常补环境即可

这里需要注意下，android base64 跟 java base64 还是有点区别的（龙哥的精讲课程里也说到过），这里为了不出问题，就直接复制了 android base64 的代码，大家自行复制就行

环境补完，但是出奇的是结果尽然为空就很奇怪。不慌继续分析

复制最后一次 NewStringUTF 的地址，ida 里跳过去

是在这里操作的，x 查看该函数的交叉引用

跟到了这里 LABEL_8 代码块，很明显是在 ValidateKey::getValidateResult 函数之后的 if 判断里调用的，在分析该函数逻辑

这里有多地方会返回 -1 那就应该是该函数出了问题

Tips: 这里应该是单步调试或者 hook 排除，博主就不去一步步分析了，大家可以自行尝试（具体啥原因也是没分析出来，直接使用 patch 大法搞定它）

还记得上一篇的 frida hook 里面就有 hook while 循环里 v11 的值，来看一下

这里循环了三次，最后一次结果为 0，刚好前面的 if 判断不成立就可以继续了

这里直接使用 unidbg hook 强制修改函数返回值为 0，最后也是成功运行出了结果