[关闭]
@oro-oro 2015-08-18T11:16:26.000000Z 字数 2465 阅读 2424

2. JebAPI 之 jeb.api.dex

JebAPI


1. jeb.api.dex.Dex

这个类代表正在被JEB处理的DEX文件。
要想更好的了解这个类定义的方法,可以去读一下DEX文件格式的说明。

这里的类/方法/变量格式,跟smali一样:

Class: Lcom/foo/bar/Blob;
Method: Lcom/foo/bar/Blob;->methodX([BILjava/lang/String;)V
Field: Lcom/foo/bar/Blob;->var:J

感兴趣的方法列表

方法 说明
getClass(int index) 通过序号获得Class对象
getClass(java.lang.String name) 通过名字获得Class对象
getClassCount() 获取Dex文件里面定义的类的数量
getField(int index) 通过序号获得一个变量(DexField)
getFieldCount() 获得DEX文件中定义的变量的数量
getFieldData(java.lang.String name) 通过名字获得一个变量(DexFieldData)
getMethod(int index) 通过索引获得一个方法()
getMethodCount() 获取DEX中方法数量
getMethodData(java.lang.String name) 通过名字获得一个方法()
getStrings() 从DEX字符串池中获取所有字符串
getType(int index) 返回类型字符串
getTypeCount() 获得类型字符串的数量
  1. # coding:utf-8
  2. from jeb.api import IScript
  3. class TestDexGetType(IScript):
  4. def run(self, jeb):
  5. dex = jeb.getDex()
  6. jeb.print("type number : " + str(dex.getTypeCount()))
  7. jeb.print("type 1 : " + dex.getType(1))
  8. jeb.print("type 20 : " + dex.getType(20))
  9. jeb.print("type 30 : " + dex.getType(30))

2. jeb.api.dex.DexClass

这个类表示的是DEX的class_def_item对象。
jeb.api.dex.Dex的getClass方法可以拿到DexClass对象。

方法 说明
getClasstypeIndex() 获得该类的类型索引
getData() 获得该类的DexClassData对象
getInterfaceIndexes() 获取实现的接口的索引
getSuperclassIndex() 获取父类索引
  1. # coding:utf-8
  2. from jeb.api import IScript
  3. class TestDexClass(IScript):
  4. def run(self, jeb):
  5. dex = jeb.getDex()
  6. jeb.print("class number : " + str(dex.getClassCount()))
  7. cls = dex.getClass(10)
  8. cls_type_index = cls.getClasstypeIndex()
  9. jeb.print(str(cls_type_index))
  10. jeb.print("class name : " + dex.getType(cls_type_index))
  11. super_cls_idx = cls.getSuperclassIndex()
  12. if super_cls_idx != -1:
  13. jeb.print("super class name : " + dex.getType(super_cls_idx))
  14. if_idx = cls.getInterfaceIndexes()
  15. for idx in if_idx:
  16. jeb.print("inerface name : " + dex.getType(idx))

3. jeb.api.dex.DexField

该类对应了DEX的field_id_item对象。

  1. # coding:utf-8
  2. from jeb.api import IScript
  3. class TestDexField(IScript):
  4. def run(self, jeb):
  5. dex = jeb.getDex()
  6. dex_field = dex.getField(110)
  7. idx = dex_field.getIndex()
  8. jeb.print("Field Index : " + str(idx))
  9. cls_type_idx = dex_field.getClassTypeIndex()
  10. jeb.print("Class Type : " + dex.getType(cls_type_idx))
  11. jeb.print("Field Name : " + dex_field.getName())
  12. jeb.print("Field Type : " + dex.getType(dex_field.getTypeIndex()))
  13. jeb.print("field sig : " + dex_field.getSignature(True))

4. jeb.api.dex.DexMethod

参考 DexClass、DexField的用法。

5. 实例之对抗混淆

有时候分析会遇到一些混淆过的类名、方法名、变量名,如果是abc还好,有一些根本就不是人看的字符。

通过前面了解的API,我们可以拿到类名、方法名、变量名,又有rename系列方法,则可以对这些混淆的名字进行重命名。

JEB的脚本例子:
https://www.pnfsoftware.com/jeb1/downloads

其中有一个是简单的重命名混淆类名的脚本:
https://github.com/SecureBrain/JEB-sample-scripts/blob/master/RenameObfuscatedClasses.py

这只是一个例子,要完全实用的话,还得自己去修改。

添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注