Android 逆向中使用 Unidbg 进行离线执行时,native 层调用 Java 方法常因缺少实现而报错。文章分析了常见错误类型如 FindClass 失败、GetMethodID 返回 null 及类型不匹配等问题,并提供了四种解决方案:通过 AbstractJni 子类自定义返回值、加载真实 APK 文件、使用轻量级 Dex 模拟类以及监控 RegisterNatives 动态注册。重点展示了如何通过拦截 JNI 回调返回伪造数据以绕过检测,确保 native 函数正常执行,适用于安全审计与逆向分析场景。
在使用 Unidbg 对 Android .so 进行离线执行时,常会遇到 native 函数内部调用 Java 方法(JNIEnv 回调)的情况。若未在 Unidbg 中提供对应的 Java 实现或模拟,通常会报出 "not implemented"、"FindClass 失败"、"GetMethodID 返回 null"、"类型不匹配"等错误。
| 错误类型 | 原因 | 解决方案 |
|---|---|---|
| UnsupportedOperationException | AbstractJni 未实现 | 实现对应方法 |
| FindClass 失败 | 类名不准或未加载 | 确认类名,加载 APK/Dex |
| GetMethodID 为 null | 签名不匹配 | 校验 JNI 签名 |
| 类型不匹配 | 返回 DvmObject 类型错误 | 返回正确类型 |
| native 崩溃 | 寄存器/内存问题 | 开启 verbose,Inspect |
在真实的 Android 环境中,native 获取到 JNIEnv* 后,会使用如下调用:
FindClass("com/example/Device")GetStaticMethodID(...) / GetMethodID(...)CallStaticObjectMethod(...) / CallObjectMethod(...)GetStaticFieldID(...) / GetObjectField(...)这些都属于"native 回调 Java"的过程。只要 native 里有这些调用,Unidbg 默认是"不知道如何返回"的,除非你提供"Java 世界"的实现或 stub。
vm.setJni(...) 绑定一个 AbstractJni 的子类。AbstractJni 子类中对应的函数,例如:
callObjectMethod(...)callStaticObjectMethod(...)getStaticIntField(...) / getStaticObjectField(...) 等DvmObject<?>(如 StringObject、DvmInteger)。这样 native 就能得到期望值,继续执行。执行流程:
doWork(Context ctx) 需要调用 Java 层获取设备信息(如 packageName、deviceId、Build.MODEL 等),再拼接返回一个签名字符串。jstring Java_com_example_NativeBridge_doWork(JNIEnv* env, jclass clazz, jobject ctx){
jclass devCls = env->FindClass("com/example/Device");
jmethodID getId = env->GetStaticMethodID(devCls,"getDeviceId","(Landroid/content/Context;)Ljava/lang/String;");
jstring deviceId =(jstring) env->CallStaticObjectMethod(devCls, getId, ctx);
jclass ctxCls = env->FindClass("android/content/Context");
jmethodID pkg = env->GetMethodID(ctxCls,"getPackageName","()Ljava/lang/String;");
jstring pkgName =(jstring) env->CallObjectMethod(ctx, pkg);
jclass buildCls = env->FindClass("android/os/Build");
jfieldID modelField = env->GetStaticFieldID(buildCls,"MODEL","Ljava/lang/String;");
jstring model =(jstring) env->GetStaticObjectField(buildCls, modelField);
// 拼接签名(伪)
// return "sign:" + deviceId + "|" + pkgName + "|" + model;
}
import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.memory.Memory;
import com.github.unidbg.Module;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.utils.Inspector;
public class UnidbgJniDemo {
private AndroidEmulator emulator;
private VM vm;
private Module module;
public UnidbgJniDemo() {
// 1) 构建 32 位 Emulator(如需 64 位:for64Bit)
emulator = AndroidEmulatorBuilder.for32Bit().build();
Memory memory = emulator.getMemory();
memory.setLibraryResolver(new AndroidResolver(23)); // 指定 API Level
// 2) 创建 VM(不加载 APK,亦可传 APK 文件以更真实)
vm = emulator.createDalvikVM(null);
vm.setVerbose(true); // 打开详细日志
// 3) 设置自定义 Jni
vm.setJni(new MyJni(vm));
// 4) 加载目标 so 并执行 JNI_OnLoad
// 确保 libdemo.so 可被找到(工作目录或搜索路径)
DalvikModule dm = vm.loadLibrary("demo", true);
module = dm.getModule();
dm.callJNI_OnLoad(emulator);
}
// 调用导出 JNI 函数:Java_com_example_NativeBridge_doWork
public void {
vm.resolveClass();
DvmObject<?> context = vm.resolveClass().newObject();
DvmObject<?> result = bridge.callStaticJniMethodObject(
emulator,
,
context
);
System.out.println( + result.getValue());
}
{
();
demo.callDoWork();
}
{
VM vm;
{
.vm = vm;
}
DvmClass {
vm.resolveClass(className);
}
DvmObject<?> callStaticObjectMethod(VM vm, DvmClass dvmClass, String methodName, String signature, VarArgs varArgs) {
dvmClass.getName();
(.equals(className) && .equals(methodName) && .equals(signature)) {
DvmObject<?> context = varArgs.getObjectArg();
(vm, );
}
( + className + + methodName + signature);
}
DvmObject<?> callObjectMethod(VM vm, DvmObject<?> dvmObject, String methodName, String signature, VarArgs varArgs) {
dvmObject.getObjectType().getName();
(.equals(className) && .equals(methodName) && .equals(signature)) {
(vm, );
}
( + className + + methodName + signature);
}
DvmObject<?> getStaticObjectField(VM vm, DvmClass dvmClass, String fieldName, String signature) {
dvmClass.getName();
(.equals(className) && .equals(fieldName) && .equals(signature)) {
(vm, );
}
(.equals(className) && .equals(fieldName) && .equals(signature)) {
(vm, );
}
.getStaticObjectField(vm, dvmClass, fieldName, signature);
}
{
dvmClass.getName();
(.equals(className) && .equals(fieldName)) {
;
}
.getStaticIntField(vm, dvmClass, fieldName);
}
{
System.out.println( + className + + methods.length);
.registerNativeMethods(vm, dvmClass, className, methods);
}
}
}
配置说明: 将真实 APK 文件放在指定路径(修改 new File("path/to/your/app.apk")) 确保 APK 中包含 com.example.NativeBridge 类 将目标 SO 库(如 libnative-lib.so)放在工作目录或指定路径 只需在 JNI 中补充 APK 中缺少的 Android 系统方法
import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.memory.Memory;
import com.github.unidbg.Module;
import java.io.File;
public class ApkLoadedDemo {
private AndroidEmulator emulator;
private VM vm;
private Module module;
public ApkLoadedDemo() {
// 1. 创建模拟器
emulator = AndroidEmulatorBuilder.for32Bit().build();
Memory memory = emulator.getMemory();
memory.setLibraryResolver(new AndroidResolver(23)); // API Level 23
// 2. 加载真实 APK 文件
File apkFile = new File("path/to/your/app.apk");
vm = emulator.createDalvikVM(apkFile);
vm.setVerbose(true); // 启用详细日志
// 3. 设置自定义 Jni 实现
vm.setJni(new ApkJni(vm));
// 4. 加载目标 SO 库
DalvikModule dm = vm.loadLibrary("native-lib", true);
module = dm.getModule();
dm.callJNI_OnLoad(emulator);
}
public {
vm.resolveClass();
DvmObject<?> context = vm.resolveClass().newObject();
DvmObject<?> result = bridge.callStaticJniMethodObject(
emulator,
,
context
);
System.out.println( + result.getValue());
}
{
();
demo.executeNativeMethod();
}
{
VM vm;
{
.vm = vm;
}
DvmObject<?> getStaticObjectField(VM vm, DvmClass dvmClass, String fieldName, String signature) {
(.equals(dvmClass.getName()) && .equals(fieldName) && .equals(signature)) {
(vm, );
}
.getStaticObjectField(vm, dvmClass, fieldName, signature);
}
{
(.equals(dvmClass.getName()) && .equals(fieldName)) {
;
}
.getStaticIntField(vm, dvmClass, fieldName);
}
}
}
import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.memory.Memory;
import com.github.unidbg.Module;
import com.github.unidbg.utils.Inspector;
import java.io.ByteArrayOutputStream;
import java.io.FileOutputStream;
import java.util.jar.JarEntry;
import java.util.jar.JarOutputStream;
public class LightDexImplementation {
private AndroidEmulator emulator;
private VM vm;
private Module module;
public LightDexImplementation() {
// 创建模拟器
emulator = AndroidEmulatorBuilder.for32Bit().build();
Memory memory = emulator.getMemory();
memory.setLibraryResolver(new AndroidResolver(23)); // API Level 23
// 创建虚拟机
vm = emulator.createDalvikVM(null);
vm.setVerbose(true); // 启用详细日志
// 加载轻量 Dex
byte[] dexBytes = generateLightDex();
DalvikModule dm = vm.load(dexBytes);
dm.callJNI_OnLoad(emulator);
// 设置 Jni 实现
vm.setJni(new LightJni(vm));
// 加载目标 SO 库
dm = vm.loadLibrary(, );
= dm.getModule();
dm.callJNI_OnLoad(emulator);
}
[] generateLightDex() {
();
dexBuilder.addClass(, +
+
);
dexBuilder.addClass(, +
+
+
+
);
dexBuilder.build();
}
Exception {
();
(baos);
jar.putNextEntry( ());
jar.write(generateLightDex());
jar.closeEntry();
jar.putNextEntry( ());
jar.write(( +
+
+
+
+
).getBytes());
jar.closeEntry();
jar.close();
( ()) {
fos.write(baos.toByteArray());
}
}
{
vm.resolveClass();
DvmObject<?> context = vm.resolveClass().newObject();
DvmObject<?> result = bridge.callStaticJniMethodObject(
emulator,
,
context
);
System.out.println( + result.getValue());
}
{
();
demo.executeDoWork();
}
{
VM vm;
{
.vm = vm;
}
DvmObject<?> callObjectMethod(VM vm, DvmObject<?> dvmObject, String methodName, String signature, VarArgs varArgs) {
(.equals(dvmObject.getObjectType().getName()) && .equals(methodName) && .equals(signature)) {
(vm, );
}
.callObjectMethod(vm, dvmObject, methodName, signature, varArgs);
}
DvmObject<?> getStaticObjectField(VM vm, DvmClass dvmClass, String fieldName, String signature) {
(.equals(dvmClass.getName()) && .equals(fieldName) && .equals(signature)) {
(vm, );
}
.getStaticObjectField(vm, dvmClass, fieldName, signature);
}
}
}
一些 .so 通过 RegisterNatives 动态注册 JNI 方法,Unidbg 会回调到 registerNativeMethods,便于记录与分析。
import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.memory.Memory;
import com.github.unidbg.Module;
import com.github.unidbg.arm.backend.Backend;
public class RegisterNativesMonitor {
private AndroidEmulator emulator;
private VM vm;
private Module module;
public RegisterNativesMonitor() {
// 创建模拟器
emulator = AndroidEmulatorBuilder.for32Bit().build();
Memory memory = emulator.getMemory();
memory.setLibraryResolver(new AndroidResolver(23)); // API Level 23
// 创建虚拟机
vm = emulator.createDalvikVM(null);
vm.setVerbose(true); // 启用详细日志
// 设置 Jni 实现
vm.setJni(new MonitorJni(vm));
// 加载目标 SO 库
DalvikModule dm = vm.loadLibrary("demo", true);
module = dm.getModule();
dm.callJNI_OnLoad(emulator);
// 设置 RegisterNatives 钩子
setupRegisterNativesHook();
}
private void setupRegisterNativesHook() {
.findSymbol();
(registerNativesAddr == ) {
System.out.println();
;
}
emulator.getBackend().addHook( (), registerNativesAddr);
}
{
vm.resolveClass();
DvmObject<?> context = vm.resolveClass().newObject();
DvmObject<?> result = bridge.callStaticJniMethodObject(
emulator,
,
context
);
System.out.println( + result.getValue());
}
{
();
demo.executeDoWork();
}
{
{
backend.getRegisters()[];
backend.getRegisters()[];
backend.getRegisters()[];
backend.getRegisters()[];
vm.findClassByAddress(clazz).getName();
System.out.println( + className);
System.out.println( + methodCount);
methodsPtr;
( ; i < methodCount; i++) {
backend.readPointer(currentPtr);
backend.readCString(namePtr);
backend.readPointer(currentPtr + emulator.getPointerSize());
backend.readCString(sigPtr);
backend.readPointer(currentPtr + emulator.getPointerSize() * );
System.out.printf(, i + , name, signature, fnPtr);
currentPtr += emulator.getPointerSize() * ;
}
}
}
{
VM vm;
{
.vm = vm;
}
DvmObject<?> callStaticObjectMethod(VM vm, DvmClass dvmClass, String methodName, String signature, VarArgs varArgs) {
(.equals(dvmClass.getName()) && .equals(methodName) && .equals(signature)) {
(vm, );
}
.callStaticObjectMethod(vm, dvmClass, methodName, signature, varArgs);
}
DvmObject<?> callObjectMethod(VM vm, DvmObject<?> dvmObject, String methodName, String signature, VarArgs varArgs) {
(.equals(dvmObject.getObjectType().getName()) && .equals(methodName) && .equals(signature)) {
(vm, );
}
.callObjectMethod(vm, dvmObject, methodName, signature, varArgs);
}
DvmObject<?> getStaticObjectField(VM vm, DvmClass dvmClass, String fieldName, String signature) {
(.equals(dvmClass.getName()) && .equals(fieldName) && .equals(signature)) {
(vm, );
}
.getStaticObjectField(vm, dvmClass, fieldName, signature);
}
}
}
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
查找任何按下的键的javascript键代码、代码、位置和修饰符。 在线工具,Keycode 信息在线工具,online
JavaScript 字符串转义/反转义;Java 风格 \uXXXX(Native2Ascii)编码与解码。 在线工具,Escape 与 Native 编解码在线工具,online
使用 Prettier 在浏览器内格式化 JavaScript 或 HTML 片段。 在线工具,JavaScript / HTML 格式化在线工具,online
Terser 压缩、变量名混淆,或 javascript-obfuscator 高强度混淆(体积会增大)。 在线工具,JavaScript 压缩与混淆在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online