进击的Android注入术《四》

最新推荐文章于 2022-08-04 18:05:32 发布
置顶 最新推荐文章于 2022-08-04 18:05:32 发布
阅读量1.5w 收藏 16
点赞数
分类专栏: 移动安全 文章标签: JavaInjection JNIEnv JavaVM Binder
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/L173864930/article/details/38467497
版权

继续

在前 《一》《二》《三》里已经把注入的技术介绍完了,这章开始说注入之后需要做的事情。如果对注入技术已经比较熟悉了,那么可以直接看本章,否则建议先把前三章阅读一遍会比较好。

注入之后

完成了注入,那只是万里长征的第一步。
众所周知,Android的应用进程,都是由Zygote孵化的子进程,每个进程都运行在独立的JVM中。通过ptrace的注入方式,我们得到了在目标进程执行代码的机会,但距离修改JVM的内容,还差那么一点点。我们重新看一下《二》中被注入SO的关键代码: 
void Main();  
  
static void* _main(void*){  
    Main();  
    return NULL;  
}  
  
class EntryClass {  
public:  
  
    EntryClass() {  
        pthread_t tid;  
        pthread_create(&tid, NULL, _main, NULL);  
        pthread_detach(tid);  
    }  
  
} boy;
当so被注入后,我们的逻辑代码实际上是跑在一个Linux线程上,这样做的目的是为了不对主线程造成干扰。我们的目标是打通Java层,很自然的联想到JNI,通过JNI我们就是可以跟Java层互动了。但这里缺少了一个非常重要的元素——JNIEnv,没有这个对象,JNI就无从说起了。

示例三

我们知道,在JVM进程中,JavaVM是全局唯一的,而JNIEnv则是按线程分配。另外,Dalvik的线程跟Linux线程是一一对应的,因此我们可以把自身所在的线程Attatch到JavaVM,JavaVM就会为我们分配JNIEnv对象了。通过阅读Dalvik源码,从AndroidRuntime中我们可以得到JavaVm的地址,再通过JavaVm所提供的AttachCurrentThead和DetachCurrentThread两个函数,即可完成JNIEnv的获取,示例代码如下: 
JNIEnv *jni_env = NULL;
JavaVM *jvm = AndroidRuntime::getJavaVM();
jvm-AttachCurrentThread(&jni_env, NULL);
//TODO 使用JNIEnv

jvm->DetachCurrentThread();
至此,我们就拿到了至关重要的JNIEnv对象了。接下来,我们通过DexClassLoader加载我们的dex文件,关键代码如下所示:
先找到SystemClassLoader 
//ClassLoader.getSystemClassLoader()
static jobject getSystemClassLoader(){
 jclass class_loader_claxx = jni_env->FindClass("java/lang/ClassLoader");
 snprintf(sig_buffer, 512, "()%s", JCLASS_LOADER);
 jmethodID getSystemClassLoader_method = jni_env->GetStaticMethodID(class_loader_claxx, "getSystemClassLoader", sig_buffer);
 return jni_env->CallStaticObjectMethod(class_loader_claxx, getSystemClassLoader_method);
}
然后通过SystemClassLoader,生成DexClassLoader对象 
snprintf(sig_buffer, 512, "(%s%s%s%s)V", JSTRING, JSTRING, JSTRING, JCLASS_LOADER);
jmethodID dexloader_init_method = jni_env->GetMethodID(dexloader_claxx, "<init>", sig_buffer);

snprintf(sig_buffer, 512, "(%s)%s", JSTRING, JCLASS);
jmethodID loadClass_method = jni_env->GetMethodID(dexloader_claxx, "loadClass", sig_buffer);

jobject class_loader = getSystemClassLoader();
check_value(class_loader);

jobject dex_loader_obj = jni_env->NewObject(dexloader_claxx, dexloader_init_method, apk_path, dex_out_path, NULL, class_loader);
最后再通过dex_loader_obj加载dex,找到自定义方法的入口,并调用 
jstring class_name = jni_env->NewStringUTF("com.demo.inject2.EntryClass");
jclass entry_class = static_cast<jclass>(jni_env->CallObjectMethod(dex_loader_obj, loadClass_method, class_name));

jmethodID invoke_method = jni_env->GetStaticMethodID(entry_class, "invoke", "(I)[Ljava/lang/Object;");
check_value(invoke_method);

jobjectArray objectarray = (jobjectArray) jni_env->CallStaticObjectMethod(entry_class, invoke_method, 0);
至此我们的dex逻辑开始执行了。我让com.demo.inject2.EntryClass.invoke作为的入口函数,从invoke里用上《三》示例中的com.demo.inject的代码,对com.demo.host打印的数据再进行修改(同一个进程被连续注入两次,应该是比较痛苦的)。下面看看inject2中invoke的代码: 
package com.demo.inject2;

import java.lang.reflect.Method;

import android.content.Context;
import android.util.Log;

/**
 * 
 * @author boyliang
 * 
 */
public final class EntryClass {

	public static Object[] invoke(int i) {

		try {
			Log.i("TTT", ">>>>>>>>>>>>>I am in, I am a bad boy 2!!!!<<<<<<<<<<<<<<");
			Context context = ContexHunter.getContext();
			Class<?> MainActivity_class = context.getClassLoader().loadClass("com.demo.host.MainActivity");
			Method setA_method = MainActivity_class.getDeclaredMethod("setA", int.class);
			setA_method.invoke(null, 1);
		} catch (Exception e) {
			e.printStackTrace();
		}

		return null;
	}
}
代码跟《三》的示例非常相似,只是入口点不一样罢了。注意,这里同样有双亲委派的限制。

输出

am start com.demo.host/.MainActivity
./poison /data/local/tmp/libimportdex.so 738

看看示例三的输出 
com.demo.inject starts.
I/TTT     (  738): com.demo.host starts
I/TTT     (  738): 1
I/TTT     (  738): 2
I/TTT     (  738): 3
I/TTT     (  738): 4
I/TTT     (  738): 5
I/TTT     (  738): >>>>>>>>>>>>>I am in, I am a bad boy!!!!<<<<<<<<<<<<<<
I/TTT     (  738): 998
I/TTT     (  738): 999
I/TTT     (  738): 1000
I/TTT     (  738): 1001
I/TTT     (  738): 1002
I/TTT     (  738): 1003
I/TTT     (  738): >>>>>>>>>>>>>I am in, I am a bad boy 2!!!!<<<<<<<<<<<<<<
I/TTT     (  738): 1
I/TTT     (  738): 2
I/TTT     (  738): 3
I/TTT     (  738): 4
I/TTT     (  738): 5
I/TTT     (  738): 6
I/TTT     (  738): 7
从两次的字符串输出,证明这次的注入修改已经成功了。
示例中的所有代码,都已经上传到https://github.com/boyliang/Java_Injection

最后

到目前为止,我们已经实现如下功能:
  • 注入目标进程
  • 获取JNIEnv地址;
  • 另目标进程加载Dex,并执行指定的方法;
距离我们的目标,还差一步——截获broadcastIntent方法,在 《五》里我会再介绍一种叫BinderProxy的技术,通过这种技术,我们可以截获任意的BinderService的方法。






Boyliang1987
关注
  • 0
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 20
    评论
专栏目录
android studio 优秀插件汇总
03-04
第一部分 插件的介绍 Google 在2013年5月的I/O...ButterKnife是一个专注于Android系统的View注入框架,可以减少大量的findViewById以及setOnClickListener代码,可视化一键生成。 PS:效果图就不贴了,打开插件下载地
一年半Android工作经验剑指杭州:我是如何拿下头条、阿里和滴滴 offer
weixin_43901866的博客
08-14 819
前言 笔者毕业于非双大学,大学毕业社招进入环球网,Android开发工程师一职。 成果 来到杭州的目标非常的明确,大厂。其实就是网易、阿里和滴滴。好在基本三家都拿到了offer。最终决定选择阿里p6。 面试题 大厂流程比较长,比如阿里就面试了将近三周。所以期间也面试了很多别的公司,创业公司or上市公司。这里我把我所被问到的面试题总结梳理一下。简单深入的都有。笔者个人工作经验不丰富,如...
Android 广播(Broadcast)
m0_61130325的博客
08-04 6100
Broadcast是android中的大组件之一(其他的组件分别是:),是在组件之间传播数据(Intent)的一种机制。广播的发送者和接收者事先是不需要知道对方的存在的。这样带来的好处便是,系统的各个组件可以松耦合地组织在一起,这样系统就具有高度的可扩展性,容易与其它系统进行集成。1.广播接收者的生命周期是非常短暂的,在接收到广播的时候创建,onReceive()方法结束之后销毁2.广播接收者中不要做一些耗时的工作,否则会弹出Application No Response错误对话框。...........
BroadcastReceiver Hook
Jack的博客
08-02 779
6,BroadcastReceiver Hook BroadcastReceiver过程在插件加载时论述过,并且在插件加载的过程中完成。 LoadedPlugin的构造方法中有关BroadcastReceiver方法如下, Map receivers = new HashMap(); for (PackageParser.Activity receiver : this.mPackage.r
Android 插件化之——给插件中的静态注册的BroadcastReceiver发送广播
hujin2017的博客
10-24 456
为了演示静态广播的插件化,我们首先想到的也是使用类似Activity的占坑方案,但是,由于广播的action是不确定的,就 无法确定占坑的广播的action,这样就无法使用在宿主中预先使用占坑广播的方案,还有一点,就是,静态广播是在apk安装时就被PMS解析,并将manifest文件中的关于大组件的配置信息都保存起来,当然也包括了广播的信息。由于插件apk是没有被安装的,所以,插件apk中的静态...
Android hook jni,android jnihook
weixin_36294852的博客
05-27 474
用途用于hook JNI相关函数用法可以参考jnihook 目录下的Main.cpp文件创建回调类需要继承JNIInterface如下:并在回调类中实现要hook的方法/*** 创建一个类继承JNIInterface* 用于实现所要hook的方法*/class Test : public JNIInterface {public:void NewStringUTF(JNIEnv *env, con...
AndroidStudio 优秀插件汇总
最新发布
03-11
为了适应所有Android屏幕的大小和密度,每个Android项目都会包含drawable文件夹。任何具备Android开发经验的开发人员都知道,为了支持所有的屏幕尺寸,你必须给每个屏幕类型导入不同的画板。Android Drawable ...
AndroidFine,Android快速开发框架
03-02
UI组件,不止是简单整合,更易用, 主要包含如下内容: 1.沉浸式状态栏,界面更漂亮 2.左滑返回,非常流畅 3.简单、可复用、易扩展的底部导航 ...14.Android编码规范,简单才能规范(已更新,更合理,欢迎建议)
进击的弹幕网站.doc
11-29
进击的弹幕网站.doc
Android自动化测试UIautomator-UiObject
06-11
UI Automator 是 Android 提供的一个 UI 自动化测试框架,可以用来实现自动化测试。UiObject 是这个框架中最常用的工具之一,它可以代表应用程序中的某个 UI 元素,并提供了一系列方法帮助测试人员进行 UI 操作和...
android inject (三) 跨进程注入so
qq_17748035的专栏
11-27 1658
前两篇主要说了一些基本内容,如pid的获取,都是查询后手动输入的,本片介绍注入第三方so到目标进程并执行so的方法。 前两篇的地址:android inject(一)ptrace基础 android inject (二) 跨进程注入 /* * 注入so到进程 * 1.获取目标进程pid * 2.附加目标进程 * 3.获取/保存目标进程寄存器的内容 * 4.计算mmap方法的地址...
android注入详解
深耕安全技术研究
03-22 1万+
Android注入
android studio如何添加jni
mrright55的博客
06-30 3088
        最近公司在做jni方面的东西,自己做了小demo在创建新project的时候直接勾选include C++ support,然后项目就会自动在MainActivity中添加static { System.loadLibrary("native-lib"); }public native String stringFromJNI();        同时也会自动创建jni的文...
进击Android注入《五》
热门推荐
简行之旅
08-10 2万+
继续 在Android,几乎所有的IPC通讯都是
Android 源码系列之<三>从安全的角度深入理解BroadcastReceiver(下)
快乐de灰太狼的专栏
04-24 4586
在上一篇文章中我们结合实验讲解了有关使用BroadcastReceiver存在的安全性问题并且给出了相应的解决方案,如果你还没有看过上篇文章请点击这里,最后一条的解决方案是采用官方v4包中的LocalBroadcastManager来解决的,官方介绍说这种方式不仅安全而且更高效,今天我们就从源码的角度来了解一下LocalBroadcastManager,如果你对它非常熟悉,可以跳过本文了(*^__^*)
Android-broadcast-详解
mjyy10181103的博客
04-09 299
http://www.cnblogs.com/playing/archive/2011/03/23/1992030.html 基础用法 BroadcastReceiver: 在Android中,Broadcast是一种广泛运用的在应用程序之间传输信息的机制。而BroadcastReceiver是对发送出来的 Broadcast进行过滤接受并响应的一类组件。下面将详细的阐述如何发送
注入安卓进程,并hook java世界的方法
尘埃落定
01-23 1808
注入安卓进程,并hook java世界的方法          说明: 安卓系统的可执行对象有两个世界,一个是Linux Native世界,一个是Java世界.两个世界能够通过jvm产生交互,具体来说就是通过jni进行互相干涉.但是在正常情况下,只能在Java世界通过jni调用native方法,二native不能在没有任何java上的支持下干涉java世界. 在一些应用中,我们需要对一个
android 全局注入,一种简单的Android全局注入方案
weixin_29048309的博客
05-30 1090
Xposed和CydiaSubstrate是android上两款比较知名的全局Hook框架,但都不尽善尽美,有时为了实现某个功能往往要绕许多弯路去配合框架,结果也差强人意,与其浪费精力去熟悉框架不如自己实现一套框架。既然Xposed可以通过修改app_process源码实现全局注入,那自然我们也可通过修改app_process的ELF结构达成相同目的,简单观察发现app_process普遍存在一个...
进击的丑胖 csdn
12-28
进击的丑胖csdn是一家创立于2017年的IT技社区网站,致力于为广大IT爱好者分享最新的技动态、行业资讯和实用教程。网站内容涵盖了计算机编程、软件开发、网络安全、人工智能等众多领域,为广大技人员提供了一个学习、交流的平台。 进击的丑胖csdn网站秉承着“IT就是力量”的理念,不断推动技的传播与应用,促进技人员的成长和进步。通过分享优质的技文章和视频教程,为初学者提供了学习的指导,同时也为专业人士提供了技探讨的平台。网站还定期举办各种线上线下的技活动和培训课程,帮助网友们不断提升自己的技水平。 进击的丑胖csdn致力于打造一个开放、共享、互助的技社区,通过积极的互动交流,激发每个技爱好者的创造力和学习热情。网站目前拥有庞大的注册用户群体和访问量,是中国IT技领域中具有影响力的垂直社区之一。未来,进击的丑胖csdn将继续不断完善和拓展站点功能,为更多的技人员提供更全面、更便捷的学习和交流环境,助力他们在技领域取得更大的成功。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 20
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值