[原创]FartExt超进化之奇奇怪怪的新ROM工具MikRom

​ 一眨眼就到春节了，好久没有写文章了，趁着新年空闲，赶紧把自己折腾了一段时间的东西整理了一下。在折腾的过程中，碰到了不少问题，感谢大佬们的帮助。目前这个工具不算是怎么完善吧，但是感觉能凑合使用了，剩下的部分在使用中再慢慢完善吧，其中部分代码我会开源，其实感觉实现的核心并不怎么复杂。算是一个萌新学习定制ROM过程的一个作品把。而且还有个调试超级慢的BUG，如果有大佬知道是啥原因，还请指导一下。万分感谢。

看雪高研班课程

FART脱壳王课程

珍惜大佬的android进阶课程

FartExt

​ 详细的介绍请看：FartExt之优化更深主动调用的FART10

​ FartExt是我之前学习脱壳实践时做的一个自动脱壳机，是基于FART的主动调用思想实现对特定的抽取壳进行优化处理的工具。由于原本的FART没有配置相关的，所以我增加了配置对指定app脱壳。大致就是对FART的简单优化。由于感觉当时做的功能并不怎么完善，所以只是短暂的放了下载地址，就删掉了。不知道有没有人实际使用。使用的效果到底咋样。现在放出开源代码。

github：FartExt

MikRom

​ 首先回顾一下当时FartExt文章最后的思考部分

整个流程梳理完成后，我们可以由此来借鉴来思考延伸一下。

比如，包装一些属于自己的系统层api调用。便于我们使用xposed或者是frida来调用一些功能。

再比如，加载应用时，读取配置文件作为开关，我们来对网络流量进行拦截写入保存，或者对所有的jni函数调用，或者是java函数调用进行trace。这种就属于是rom级别的打桩。

再比如，可以做一个应用来读写作为开关的配置文件，而rom读取配置文件后，对一些流程进行调整。例如控制FART是否使用更深调用。控制是否开启rom级别的打桩。

以上纯属个人瞎想。刚刚入门，想的有点多，以后了解更深了，我再看看如何定制一个专属的rom逆向集合

​ MikRom就是当时个人瞎想的成果，做一个Rom层面的逆向工具，为我们提供比较常用的插桩、注入、脱壳等一系列功能。下面列上目前MikRom中包含的功能

• 内核修改过反调试
• 开启硬件断点
• USB调试默认连接
• 脱壳（黑名单、白名单过滤、更深的主动调用链）
• ROM打桩（ArtMethod调用、RegisterNative调用、JNI函数调用）
• frida持久化（支持listen,wait,script三种模式）
• 支持自行切换frida-gadget版本
• 反调试（通过sleep目标函数，再附加进程来过掉起始的反调试）
• trace java函数（smali指令的trace）
• 内置dobby注入
• 注入dex（实现对应的接口触发调用。目前还未测试）

github：MikRom

MikManager

​ 由于功能做的更加复杂了，我们自行编辑配置文件不再那么方便了，所以我特地做了一个界面化的工具来操作。最后将我们的设置保存到文件，然后MikRom会在打开app时读取文件，解析后做对应的操作。MikManager就是用来管理这个配置的。界面较为简陋，如果对MikRom感兴趣的，但是感觉我的界面太丑，也可以自己编写一个界面管理工具。我正向开发比较渣，所以代码较为粗糙。不过目前使用没啥问题。

github：MikManager

开发的始末

​ 虽然功能不是很多，但是做这个工具却折腾了我很长的时间，这里我将记录下这样一个简陋的Rom工具开发的历程，由于并不是很清楚其他大佬是如何处理的，所以有些功能都是我不断的试错中找到的方案。在试错的过程中，走了不少弯路，希望能帮到一些小伙伴。如果我采用的方案犯了什么比较低级的错误，还请大佬能指点一下。另外有大佬说，做越简单化的工具，越危险。如果有什么和谐的风险或者是法律的问题，还请联系我进行修改。

​ 早先FartExt我采用的是aosp10r2的源码进行修改编译。后来有同学觉得界面太简陋了，看起来就像山寨系统。确实如此，然后我就参考了hanbingle老师在Fart脱壳王使用的rom，选择了PixelExperience来进行修改。编译的marlin版本，测试手机是pixel XL。

参考文章：https://blog.csdn.net/weixin_42443075/article/details/118084535

​ 上面是我当时编译参考的文章。另外在编译PixelExperience时编译碰到错误，需要修改build/blueprint/Blueprints

​ 另外一个问题就是这个rom居然没法在mac进行编译，最后没办法只能用ubuntu来开发了。

配置管理优化

​ 最早先在FartExt中的配置是我们自己在/data/local/tmp/中写入一个fext.config的文件，然后在应用启动过程中的handleBindApplication调用时，解析这个配置文件，来决定是否要脱壳。而现在配置更加复杂了，我们需要使用一个app来对配置进行管理生成，而app没有对/data/local/tmp写入文件的权限。所以我们这里就有了一个简单的需求，要将配置文件落地到一个所有应用都有权限访问的地方。

​ 有人就要说了，我们可以落地到sdcard，是的，早期我就是这么干的。配置文件落地到sdcard后，所有的app要使用功能，就必须先打开sdcard，并且，由于我使用的rom版本是安卓10的，而安卓10中，你想要直接访问sdcard的任意目录，是需要设置requestLegacyExternalStorage="true"。所以这就导致了，即使我们不嫌麻烦，每个想处理的app都打开sdcard，也会出现有些app无法访问到配置文件。

​ 在这里我使用的方案是，创建一个系统服务，这个系统服务提供一个读和写的函数，然后通过调用系统服务将配置文件落地到/data/system/目录中，然后每个应用打开时再通过这个系统服务来读取配置。

添加系统服务

​ 这个系统服务目前主要就是为配置管理提供读写权限。可能这样干会有些漏洞的问题，不过我这个rom本身就是逆向使用的工具，而面向正常用户，所以就暂时不考虑漏洞问题了。

参考文章：Android AOSP 添加系统服务【aidl接口服务】Java层

参考文章：android 10 添加系统服务步骤

​ 下面贴上我定义的系统服务

​ 至于详细的读写方法我就不贴了，就是和android正常的读写文件处理一样。我就说一下在这里我碰到的坑，我按照参考文章一样的方式做完之后，发现无法找到服务，但是service list|grep mikrom是可以匹配到我自己定义的服务的。最后经过排查日志发现selinux提示缺少了find权限，于是我修改文件system/sepolicy/public/untrusted_app.te，内容如下

最后成功找到服务，将配置文件写入到了/data/system/目录中。

这里我只简单的贴一下相关

MikManager的写入的相关代码

MikRom中读取数据

测试的配置文件内容如下

到这里第一步的优化就完成了，读写配置成功脱离了对sdcard的权限依赖，以及能全局应用都可以访问到。具体的详细相关代码可参考我放出的部分源码。

脱壳相关优化

​ 由于我走向了另外一条偏向更易于使用的优化方向，所以关于脱壳的关键部分我并没有做什么优化，所以如果脱壳需求较大的朋友可以考虑看看hanbingle大佬的脱壳王是否能满足需求。

​ 我对脱壳的优化主要分为两点，由于FartExt当时的脱壳结果保存是在sdcard中，所以对于权限有一定依赖，所以我优化掉了这块的依赖，让我们不用再手动开启sdcard权限，也能保存下脱壳结果。另外一点就是当时如果是抽取壳的情况，我们需要拿出两个文件来手动修复一下。我这里也优化了一下，会直接将函数执行完的dex重新再保存一份，这样就无需我们再手动修复了。当然同时也保留了原本的做法，仍然保存大佬说的几个重要元素。

优化1方案：解决sdcard权限问题

​ 我尝试了很多种办法来避免我们手动开启sdcard权限的情况下保存脱壳结果文件。最后测试成功了两种办法。这两种办法我都简单说下。

​ 第一种办法，我们直接将数据可以写入应用本身的内部空间中。也就是/data/data/<PackageName>中。但是这样有权限写入，但是没有root的话就无法访问到保存的结果了，当然没有root的情况也是能访问到应用内部数据的。我们可以通过命令run-as <PackageName>来直接进入应用数据内部。但是也有人会问，如果对方应用没有开启debuggable，不就没办法使用run-as了吗？这就是改Rom的优势所在了。我们可以直接修改PackageParser中的函数parseBaseApplication。在里面为我们默认打开debuggable即可。这样即使对方没有设置，在加载xml的时候，也会打开这个功能。

​ 第二种办法，既然第一个办法最后可以直接改xml为我们默认打开debuggable，那么我们解决sdcard权限，也可以修改PackageParser中的函数parseBaseApplication来直接打开sdcard权限。不过由于安卓10的特殊性，即使打开了sdcard权限，也只能在sdcard中自己的目录写入数据，所以使用这个办法时，脱壳结果应保存在/sdcard/Android/data/<PackageName>/目录中。

​ 下面贴上相关的代码，其中包含了两种解决方案

优化2方案：解决抽取壳在脱壳完成后还需要手动修复

​ 在优化这个问题前，首先要意识到为什么会需要手动修复，当我们理解了大佬的处理之后，就发现hanbingle大佬为了避免每个函数主动调用都将dex给保存，所以只有文件不存在的时候才保存。也就意味着我们保存的dex是第一个主动调用执行时的dex。如果这个抽取壳是必须函数执行后才会恢复的，那么后面的函数在这个保存dex中都依然是被抽取的。FART的做法是将codeitem保存出来后，然后再修复。所以我将这里优化了一下。

​ 知道问题所在后，优化的思路就清晰了，我采用了比较简单的一种优化方式，就是每个dex文件保存时，将这个dex的地址以及长度给保存下来。最后在所有主动调用完成时，重新将所有dex文件再保存一次。下面看看优化后的相关代码

最后生成的_repair.dex文件就是无需再修复的了，如果想要手动修复按照原来的方式也可以。当然，如果主动调用未能成功跑完，这个repair文件也是不会生成的。

1、修改内核反调试

​ 关于修改内核反调试已经有相当多的文章讲解了，我这里也是和他们用的同一个方案，基本都是根据正向检测调试的方式，来进行反调试，当然如果有人用其他方式来判断是否被调试，这个反调试就无效了。详细的过反调试原理可以看参考文章。

参考文章：修改内核源码绕过反调试检测（Android10）

​ 虽然我改了。但是没测试效果咋样。修改的代码如下，kernel/google/marlin/fs/proc/array.c

当对方检测/proc/<pid>/status文件时，获取到的TracerPid就会一直是0，并且应用的状态不会出现stopped和tracing stop。下面是status的部分内容

还有一处修改文件是kernel/google/marlin/fs/proc/base.c

2、sleep反调试

​ 通过sleep的反调试方式是在看雪高研班中学习到的，据说这个办法可以过掉一些在前期检测的native的反调试。思路就是需要调试的JNI函数执行前会调用JniMethodStart，那么我们只要在这里进行判断，如果这个函数是目标函数，就sleep睡眠若干秒。在睡眠期间，我们再调试附加上即可。相关代码如下

3、ROM级打桩

​ 这个其实没什么难的，在关键的函数位置直接打印即可。我只讲一下jni的打桩部分，我查资料的时候看到了两种做法，第一种是打印jni部分是在jni函数中找比较通用的调用函数，例如InvokeVirtualOrInterfaceWithJValues、InvokeWithVarArgs、InvokeWithJValues，然后在里面加上打印。第二种就是像jnitracer一样，通过偏移，找到所有的函数指针，然后再包装处理，比如加一个外层函数调用。由于我c++非常烂，所以我采用最笨的方法，我写了几个较为通用的打印函数，jni_internal.cc中的所有我关心的jni函数，就调用各自对应的打印函数。下面贴上我的例子。

处理完判断部分，接下来就是对于参数的打印部分了，这里我只处理了下将字符串参数打印出来，其他特殊的参数我就没有处理了。

搞定了封装部分，就看看调用部分是怎么使用的

到这里就搞定了jni的打印以及参数的打印，大多数调用我都打印了，由于我实战的少，所以可能会漏掉一些常用的打印，如果有发现什么比较有用的打印，也可以告诉我优化下。

4、frida-gadget持久化

​ 这个frida持久化的问题，论坛里面也发过一遍又一遍了。我也是参考他们的文章，然后测试优化。先贴上参考文章。

参考文章：ubuntu 20.04系统AOSP(Android 11)集成Frida

参考文章：从0开始实现一个简易的主动调用框架

​ 不过我的加载时机和他的不太一样，并且我扩展了可自行切换frida-gadget的版本，默认集成到系统中的版本是15.1，如果你喜欢用14.2的版本，可以自己上传到手机进行切换，如果你想不root的情况下，也可以通过MikManager设置切换的版本。下面贴上加载的部分代码。

同时也是支持以三种模式加载gadget的，比如默认加载脚本，或者监听模式，也就是可以frida连接上去，或者是监听并阻塞等待。不过我留意到，有些自己写的简单app似乎使用gadget注入似乎并不成功。好像需要app对native有什么实现才行。

5、so注入以及dobby的内置

​ 前面gadget的部分实际就是注入so了，但是前面的部分主要是针对gadget的注入相关处理的。我又特地单独处理了一下对so的注入，如果我们自己写了一个so想要单独注入进去也是可以的。为了方便演示，我特地将dobby内置进去。由于dobby是一个hook框架，并且没有注入功能，往往都是需要通过其他手段注入到应用中。所以我直接内置进来了。下面贴上相关代码

6、smali trace

​ 实际上这个功能在ROM中是有的，就是TraceExecution函数，只是需要控制打开就行了，但是必须走switch解释器执行才能执行到便于我们修改的地方。所以这个就有两个地方需要修改，第一个是判断打印的部分，第二个是强制以解释器执行的部分。下面看看我的修改部分

另外就是强制以解释器执行的部分

除了这里，在LinkerCode的地方也需要修改

变量enter_interpreter决定了是否使用解释器执行，如果是quick快速模式执行，将无法执行到我们修改的函数。最后测试发现，函数第一次调用的时候，是走的解释执行，成功打印出trace记录，第二次调用时，又被优化到快速模式执行了。不过我们已经拿到想要的结果了，我就不继续优化了。关于LinkCode这里的修改如果不理解的，可以看看下面的参考文章，里面有详细的流程图了。我就不重复了。

参考文章：将FART和Youpk结合来做一次针对函数抽取壳的全面提升

7、dex注入（未完成）

​ 这个功能我原本是想内置一个IO重定向，或者是内置一个Sandhook，然后直接通过配置勾选就能自动注入使用了。然后我们修改的dex直接注入进去即可使用。不过目前还没想好怎么设计里面的一些交互部分。所以只是简单的做了下注入的步骤。后续也不一定有时间继续实现，先暂时搁置把。

MikManager展示

​ 操作起来非常简单，选择想要处理的应用，然后选择对应功能即可。记得勾选完后，回到应用栏目点保存，如果是要使用frida脚本，或者是要选择so，需要把文件放在sdcard中的对应应用的目录中。如果sdcard中没有对应目录，可以打开一下应用会自动生成的。

​ 脱壳功能的保存结果在/sdcard/Android/data/<PackageName>/dump中查看

​ 查看logcat输出日志统一搜索mikrom，jni调用的输出的格式如下

​ RegisterNative的输出格式如下

​ ArtInvoke的输出格式如下

​ smali trace日志的输出结果如下

​ so注入如果勾选自动注入dobby后，就会注入系统中自带的，如果你想注入自己编译的dobby，也可以在so注入里面导入dobby，注入顺序会默认按照导入顺序。

​ 整理一遍之后，感觉好像做了很多，又感觉好像也没搞点啥。也碰到很多问题让我一遍又一遍的编译测试。不过总算大致实现了当时的想法。后续应该不会有啥升级了。调转方向研究点其他东西了。如果以后内核功底深一些了，可能会回头扩展把。重要的事情再提一次，不知道修改到了art部分的哪个点，导致了调试超级慢，如果有大佬知道啥原因的，麻烦指导一下。

【公告】欢迎大家踊跃尝试高研班11月试题，挑战自己的极限！