Unidbg实战避坑：手把手教你处理JNI Long参数与jbyteArray数据查看（附代码）

Unidbg实战指南：JNI Long参数处理与jbyteArray数据查看的深度解析

在安卓逆向工程领域，Unidbg作为一款强大的动态二进制插桩工具，已经成为分析SO文件的利器。但对于刚接触Unidbg的开发者来说，JNI接口中的数据类型处理和Java对象查看往往是两个最令人头疼的"拦路虎"。本文将深入剖析这两个高频问题的技术细节，提供可直接落地的解决方案。

1. JNI Long参数传递的底层机制与实战处理

当我们在Unidbg中调用包含long类型参数的JNI函数时，经常会遇到数值错乱的诡异现象。这背后隐藏着ARM架构下的参数传递规则：

// 原生函数声明示例 JNIEXPORT void JNICALL Java_com_example_NativeClass_processData (JNIEnv *env, jobject obj, jlong timestamp, jbyteArray data);

在ARM32架构中，64位的long类型参数会被拆分为两个32位寄存器传递。这种拆分行为可能导致以下典型错误场景：

• 错误示例：直接传入long值

emulator.getBackend().reg_write(ArmConst.UC_ARM_REG_R0, 0x1234567890L); // 错误写法

1.1 两种正确的参数传递方式

方法一：手动拆分高低位

// 将64位long拆分为两个32位int long value = 0x1234567890L; int low = (int)(value & 0xFFFFFFFF); int high = (int)(value >> 32); emulator.getBackend().reg_write(ArmConst.UC_ARM_REG_R0, low); // R0存储低32位 emulator.getBackend().reg_write(ArmConst.UC_ARM_REG_R1, high); // R1存储高32位

方法二：利用Unidbg自动拆分

// Unidbg会自动处理long类型拆分 emulator.eFunc(module.base + 0x1234, new Object[]{env, obj, 0x1234567890L, byteArrayObj});

提示：时间戳等常见long参数建议使用方法二，代码更简洁且不易出错

1.2 调试技巧：验证参数传递

在Hook点添加寄存器检查代码，确保参数传递正确：

HookZz.getInstance(emulator).wrap( module.base + 0x5678, new WrapCallback<HookZzArm32RegisterContext>() { @Override public void preCall(Emulator<?> emulator, HookZzArm32RegisterContext ctx, HookEntryInfo info) { long arg2 = ((long)ctx.getR1() << 32) | (ctx.getR0() & 0xFFFFFFFFL); System.out.println("Received long value: 0x" + Long.toHexString(arg2)); } } );

2. jbyteArray数据查看的三种高效方法

与Frida的hexdump类似，Unidbg中查看jbyteArray内容也有多种方式，各有适用场景。

2.1 基础方法：直接转换输出

public void inspectByteArray(Emulator<?> emulator, DvmObject<?> byteArrayObj) { byte[] data = (byte[])byteArrayObj.getValue(); System.out.println("Hex dump: " + HexUtil.encodeHexString(data)); System.out.println("As string: " + new String(data)); }

2.2 进阶方法：格式化hexdump输出

public static void hexDump(byte[] bytes, int offset, int length) { for (int i = 0; i < length; i += 16) { System.out.printf("%08x: ", offset + i); for (int j = 0; j < 16; j++) { if (i + j < length) { System.out.printf("%02x ", bytes[offset + i + j]); } else { System.out.print(" "); } } System.out.print(" "); for (int j = 0; j < 16; j++) { if (i + j < length) { char c = (char)bytes[offset + i + j]; System.out.print(Character.isISOControl(c) ? '.' : c); } } System.out.println(); } }

2.3 Hook框架集成方案

在HookZz回调中直接查看参数：

HookZz.getInstance(emulator).wrap(targetAddress, new WrapCallback<HookZzArm32RegisterContext>() { @Override public void preCall(Emulator<?> emulator, HookZzArm32RegisterContext ctx, HookEntryInfo info) { Pointer byteArrayPtr = ctx.getPointerArg(2); // 假设jbyteArray是第三个参数 DvmObject<?> byteArrayObj = vm.getObject(byteArrayPtr.toIntPeer()); byte[] data = (byte[])byteArrayObj.getValue(); // 输出带ASCII展示的hexdump hexDump(data, 0, data.length); } });

3. 常见问题排查与性能优化

3.1 内存对齐问题处理

当处理jbyteArray时，可能会遇到内存对齐导致的崩溃：

// 错误示例：直接访问可能未对齐的内存 byte[] data = byteArrayPtr.getByteArray(0, length); // 可能崩溃 // 正确做法：使用安全读取方法 byte[] data = new byte[length]; for (int i = 0; i < length; i++) { data[i] = byteArrayPtr.getByte(i); // 逐字节读取更安全 }

3.2 大数组处理优化

对于大型jbyteArray，建议分块处理：

final int BLOCK_SIZE = 4096; byte[] buffer = new byte[BLOCK_SIZE]; for (int offset = 0; offset < totalLength; offset += BLOCK_SIZE) { int chunkSize = Math.min(BLOCK_SIZE, totalLength - offset); byteArrayPtr.getByteArray(offset, buffer, 0, chunkSize); // 处理当前块数据... }

3.3 类型混淆检查

添加类型验证避免运行时错误：

if (!byteArrayObj.getObjectType().equals("[B")) { System.err.println("Error: Expected jbyteArray but got " + byteArrayObj.getObjectType()); return; }

4. 实战案例：解密算法分析

假设我们遇到一个加密SO，其JNI接口如下：

JNIEXPORT jbyteArray JNICALL Java_com_security_Crypto_decryptData (JNIEnv *env, jobject obj, jlong key, jbyteArray encrypted);

4.1 完整分析流程

1. 参数准备

long secretKey = 0x89ABCDEF12345678L; byte[] encryptedData = {...}; // 待解密数据 DvmObject<?> encryptedArray = vm.resolveClass("[B").newObject(encryptedData);

2. 调用解密函数

Number result = module.callFunction(emulator, 0x1234, new Object[]{env, obj, secretKey, encryptedArray});

3. 获取解密结果

DvmObject<?> decryptedArray = vm.getObject(result.intValue()); byte[] decryptedData = (byte[])decryptedArray.getValue();

4. 结果验证

System.out.println("Decrypted data size: " + decryptedData.length); hexDump(decryptedData, 0, Math.min(decryptedData.length, 256));

4.2 调试技巧集成

在关键地址设置断点并检查中间状态：

// 设置内存写入断点 Debugger debugger = emulator.attach(); debugger.addBreakPoint(module.base + 0x5678, new BreakPointCallback() { @Override public boolean onHit(Emulator<?> emulator, long address) { RegisterContext ctx = emulator.getContext(); Pointer outputPtr = ctx.getPointerArg(0); byte[] intermediate = outputPtr.getByteArray(0, 16); System.out.println("Intermediate state: " + HexUtil.encodeHexString(intermediate)); return true; } });