通过主动调用脱函数抽取类壳

被动调用#

以自实现的抽取壳为例，对Test01.proc1函数进行抽空，但这次不同的是此Test01类在apk加载的过程中并不会被加载。通过之前被动调用的方式dump dex发现此函数还是被抽空的状态。

总结：单单通过在LoadMethod调用后进行dump dex是一种被动调用的脱壳手段。因为APK在执行过程中只有显式/隐式加载此类时才会调用LoadMethod，然后壳进行抽取函数的回填，在调用LoadMethod函数后我们进行dump dex就可以得到回填后的dex文件。但是如果还没有显式/隐式加载此类的话就不会调用LoadMethod，壳也就暂时不会对抽取的函数进行回填，这样我们dump的dex中此函数就还是被抽空的状态。

主动调用的优点#

由于只有一个类在被显式/隐式加载的时候才会调用LoadMethod进行函数的加载，这样壳代码才会对抽取的函数进行回填，我们的dump代码才有执行的时机。所以就可以通过遍历加载apk的所有类来实现主动调用，从而让我们的dump代码得到执行时机，这里使用寒冰大佬的frida_fart中的脚本。熟悉android dex热修复的对这段代码肯定很了解，因为每一个classloader类加载器都有其对应的DexPathList类，DexPathList类对应一个Element内部类数组，Element内部类数组的每一项都对应此classloader加载的dex文件信息，其中每一个dex文件信息都用一个DexFile类描述，其中包含了此dex文件中所有的类名称等信息，通过调用DexFile类的entries方法得到类名后就可以利用classloader对其进行主动加载（显式加载）。

function dealwithClassLoader(classloaderobj) {
    if (Java.available) {
        Java.perform(function () {
            try {
                var dexfileclass = Java.use("dalvik.system.DexFile");
                var BaseDexClassLoaderclass = Java.use("dalvik.system.BaseDexClassLoader");
                var DexPathListclass = Java.use("dalvik.system.DexPathList");
                var Elementclass = Java.use("dalvik.system.DexPathList$Element");
                var basedexclassloaderobj = Java.cast(classloaderobj, BaseDexClassLoaderclass);
                var tmpobj = basedexclassloaderobj.pathList.value;
                var pathlistobj = Java.cast(tmpobj, DexPathListclass);
                var dexElementsobj = pathlistobj.dexElements.value;
                if (dexElementsobj != null) {
                    for (var i in dexElementsobj) {
                        var obj = dexElementsobj[i];
                        var elementobj = Java.cast(obj, Elementclass);
                        tmpobj = elementobj.dexFile.value;
                        var dexfileobj = Java.cast(tmpobj, dexfileclass);
                        const enumeratorClassNames = dexfileobj.entries();
                        while (enumeratorClassNames.hasMoreElements()) {
                            var className = enumeratorClassNames.nextElement().toString();
                            if(-1 != className.indexOf("com.reverccqin")){
                                console.log("start loadclass->", className);
                                var loadclass = classloaderobj.loadClass(className);
                                console.log("after loadclass->", loadclass);
                            }
                        }
                    }
                }
            } catch (e) {
                console.log(e)
            }
        });
    }
}

通过执行此脚本可以发现被抽空的Test01.proc1函数对应的Test01类已经被主动加载了。

然后再次查看dump文件就可以发现Test01.proc1函数已经被成功回填。