Android逆向学习：我记录的几个关键技术点和经验

文档内容涵盖了从2021年3月31日至2021年4月24日期间作者在Android应用逆向工程领域的一些实际操作和研究成果，主要围绕着hook技术在Android应用中的应用，以及如何通过动态加载和内存操作技术来绕过应用的安全保护机制。 在这些笔记中，作者首先提到了hook_constructors代码，这可能意味着作者在尝试利用hook技术对类的构造函数进行拦截和修改，这是一种常见的动态分析技术，用于监控或改变应用程序的行为。接着，作者在2021年4月6日的笔记中提到了增加了一个hook RegisterNative函数的脚本，这表明了作者对Android原生层函数注册机制的兴趣，这是一个更加深入的逆向工程技巧，通常用于分析和修改原生代码。 到了2021年4月14日，作者进一步探讨了在native层遍历HashMap的方法。在Android应用中，HashMap是一种常用的数据结构，能够存储键值对数据。掌握如何在native层操作和遍历HashMap对于理解应用程序的底层数据结构和逻辑流程具有重要意义。 到了4月17日，作者又学习到了如何更改进程名来进一步混淆逆向工程的难度，这是Android逆向工程中的一种防护技巧，能够使得追踪和分析应用变得更加困难。仅过一周，4月24日作者又发现了一种新的对抗Frida工具的方式，这表明作者在逆向工程的对抗技术方面也在不断进步。 在标签方面，可以看到作者提到了hook、frida、unicorn和androidsec，这些都是Android逆向工程领域中常用的工具和概念。其中，hook技术用于拦截和修改方法调用；Frida是一个动态代码插桩工具，广泛用于Android应用的分析和调试；Unicorn是一个轻量级的多架构CPU模拟器，常用于逆向工程中的代码执行；androidsec则可能指代Android安全相关的内容。 最后，文件列表中提到了一个名为AndroidSec-master的压缩包文件，这可能意味着这是一个包含了所有上述研究成果和脚本的主压缩文件。" 知识点总结: - Android逆向工程：涉及到对Android应用代码的逆向分析，以理解其运行机制和安全特性。 - Hook技术：通过动态拦截方法调用，可以监控或改变程序执行流程的技术，常用工具有Frida。 - 修改Context获取：在Android应用中，Context是一个非常核心的类，通过hook技术获取Context可以进一步分析应用行为。 - RegisterNative函数：与动态注册原生方法有关，了解这个函数有助于分析和修改应用的原生代码。 - 在native层操作HashMap：HashMap在native层的遍历和操作对于理解应用的数据存储和管理至关重要。 - 更改进程名：这是一种安全防护手段，用以混淆逆向工程的过程。 - Anti-Frida技术：这是对抗Frida这类动态分析工具的方法，使得逆向工程的难度增加。 - Dalvik与Art虚拟机：Dalvik是Android早期的虚拟机，而Art是Android Lollipop及更高版本中引入的新虚拟机，它们对动态加载机制有不同的实现。 - DexClassLoader：这是Android中用于动态加载Dex字节码的类加载器，逆向工程师常用它来加载和分析APK中的Dex文件。 - InMemoryDexClassLoader：与DexClassLoader类似，但是它将Dex文件加载到内存中执行，而不是从文件系统中加载。 - Unicorn模拟器：在逆向工程中用作执行二进制代码的工具，帮助分析程序逻辑。 - Android安全（androidsec）：专门针对Android平台的安全研究，包括应用安全、系统安全、网络通信安全等。