Android下通过root实现对system_server中binder的ioctl调用拦截

最新推荐文章于 2024-05-17 10:56:58 发布
VIP文章 最新推荐文章于 2024-05-17 10:56:58 发布
阅读量4.5k 收藏 5
点赞数
文章标签: system server android linker hook linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/passion/article/details/8085197
版权

Android下通过root实现对system_server中binder的ioctl调用拦截

作者:passion
2012-10-17
关键字:Android, Hook, API, Binder, 注入, 拦截
(转载请注明出处)

〇、引言


    Linux下的远程注入与HOOK网上已有不少文章与代码实现,而对于Android平台,注入有不少,但HOOK却不多。经过了两个多礼拜的研究,我初步实现了在拥有root权限的Android 2.3平台上针对system_server中binder通讯的拦截,写下来分享一下。

一、动态链接机制


    首先回顾一下Linux平台上,一个模块甲需要调用另外一个模块乙中的函数时的动态链接机制:

    1、模块甲在编译期间,将要引用的模块乙的名字与函数名写入自身的符号表。
    2、运行期模块甲调用时,调用流程是从调用代码到PLT表到GOT表再跳入模块乙。

    而如何保证模块甲的代码能从其PLT/GOT跳到正确的模块乙入口,这就是链接器做的事情。
    标准Linux链接器是ld.so,支持懒绑定,也就是说,模块甲在编译期间生成的调用模块乙的原始代码,流程是从调用代码到PLT表到链接器。运行期第一次调模块乙时,首先进入链接器,链接器根据调用信息加载模块乙搜寻其符号并将找到的函数地址填入GOT表,之后的后续调用流程就直接走PLT/GOT表了。这种机制能减少加载时的开销,为Linux发行版等采用。

    Android虽然内核基于Linux,但其动态链接机制却不是ld.so而是自带的linker,不支持懒绑定。也就是说,上述模块甲乙如果在Android平台上,则是模块甲加载时,linker就会根据模块甲中的.rel.plt表和字符串表中的内容加载模块乙并搜索其所需函数地址并预先填入GOT表。之后调用流程每次都直接走PLT/GOT表,不再进linker,PLT表中也省去了跳至linker的代码,这种流程和“勤劳”绑定类似,倒是为拦截提供了一点方便。如果拦截懒绑定的入口时模块乙还没加载地址也没找到,拦截就没法进行了。

    要拦截模块甲对乙的调用,一般思路是通过ptrace远程注入并加载一新拦截模块至模块甲,并搜索模块甲的GOT表,找到对模块乙的调用地址,改成新模块内的某函数地址,然后新模块内的这个函数在进行了自己的处理后,再跳到模块乙中。

    Android和Linux的链接器不同导致了内存布局的差异,也导致了网上流行的Linux注入与HOOK的方法行不通。网上的方法是通过ptrace注入后,搜索dynamic的section中的PLTGOT区,去里头取link_map以遍历此进程所加载的模块来搜索需要hook的函数地址。但Android上,dynamic的section的PLTGOT区前几项都是空的,没有link_map这个数据结构,只能通过分析/proc/<pid>/maps来遍历模块。

二、Binder拦截选址


    Binder是Andorid上的轻量级跨进程通讯机制,由用户空间的libbinder.so和内核的binder驱动协作构成。一次完整的Binde

最低0.47元/天 解锁文章
passion
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Android Framework跨进程通信IPC之6——Binder框架
Gaga246的博客
06-17 3645
Android 从下而上分了内核层、硬件抽象层、系统服务层、Binder IPC 层、应用程序框架层Android "应用程序框架层"以 SDK 的形式开放给开发者使用,“系统服务层” 的核心服务随系统启动而运行,通过应用层序框架层提供的 Manager 实时为应用程序提供服务调用。系统服务层每一个服务运行在自己独立的进程空间,应用程序框架层的 Manager 通过 Binder IPC 的方式调用系统服务层的服务。简单的说,BinderAndroid平台上的一种跨进程通信技术。
深入Android系统(三)Binder-3-原理
apigfly的博客
09-05 599
Binder实现原理 涉及到原理源码肯定是少不了的,9.0 binder 相关的源码分为三部分: Java:frameworks/base/core/java/android/os/Binder.java native:frameworks/native/libs/binder/ driver:common/drivers/android/binder.c 还有一点需要明确的是: 用户进程:针对内核空间或者binder驱动来说的,这里指的是向binder驱动发送消息的进程 客户进程:针对binder
android 注入system_server,Android P添加一个可以让system_server进程访问的hal service需要改动的sepolicy文件...
weixin_28932441的博客
05-27 429
在device/sepolicy/common目录:修改文件attributes:attribute hal_newXX;attribute hal_newXX_client;attribute hal_newXX_server;修改文件file_contexts:/(vendor|system/vendor)/bin/hw/android\.hardware\.newXX@1\.0-servi...
Android libcutils库整数溢出导致的堆破坏漏洞的发现与利用
omnispace的博客
03-07 1232
阅读本文之前,您最好理解AndroidBinder机制、用于图形系统的BufferQueue原理、堆管理器je_malloc的基本原理。 此文介绍了如何利用libcutils库的堆破坏漏洞获得system_server权限,此漏洞是研究Android图形子系统时发现的,对应的CVE号为CVE-2015-1474和CVE-2015-1528。 1.漏洞代码的位置 本文次涉及的漏洞位于创建
android 注入system_server,Android system_server Code Loading Bypass
weixin_30830643的博客
05-27 224
Android: Code loading bypasses in system_serverAs of Android Nougat, a new set of SELinux rules have been added which are designed to prevent system_server from loading arbitrary code into its addres...
Android SELinux开发入门指南之权限解决万能规则
IT先森
07-04 3522
  Android SELinux开发入门指南之权限解决万能规则 前言   Android的妈咪谷歌为了解决Android系统一直让人诟病的安全问题,在Android 4.4以后强制引入了SELinux安全管理。SELinux虽然可以将安全提升一个层级,但是有时候的实际效果确实杀敌一千,自损八百给开开发造成许多的困难。今天将带领读者一起看看的是Android开启SELinux后,有没有一种通用...
Android Q 平台 增加文件ioctl 的SElinux权限
sinat_37343534的博客
04-25 2427
Android Q 平台 增加文件ioctl 的SElinux权限 示例问题:avc: denied { ioctl } for path="/**/**" dev="**" ino=4026533781 ioctlcmd=0x6601 scontext=u:r:gap**:s0 tcontext=u:object_r:proc**:s0 tclass=file permissive=0 按照Android Q之前的selinux规则,只需要添加ioctl权限即可 allow gap** proc**:
浅谈Androidbinder调用拦截.pdf
09-21
浅谈Androidbinder调用拦截.pdf
set_eth.zip_Android ip_android_android 设置mac_binder
09-21
android下通过 binder机制 设置ip和mac地址
hook_system
09-17
对system_server进程更近一步的注入拦截ioctl函数
AndroidBinder设计与实现-设计篇
02-26
BinderAndroid系统进程间通信(IPC)方式之一。Linux已经拥有管道,systemVIPC,socket等IPC手段,却还要倚赖Binder实现进程间通信,说明Binder具有无可比拟的优势。深入了解Binder并将之与传统IPC做对比有助于...
Android系统进程间通信(IPC)机制BinderServer启动过程源代码分析
09-01
本文主要介绍Android IPC机制BinderServer启动过程源代码,这里对Binder Server 启动过程的源码做了详细的介绍,有研究Android源码 Binder 通信的小伙伴可以参考下
Frida Hook Android framework system_server插桩调试方法
guohuaqu的博客
05-11 2255
Frida Hook Android framework system_server插桩调试方法 已有环境: Ubuntu20.04.1 使用工具: VS code Python3 概述:由于本人的工作调整,所以最近要转战到framework层开发,因此调试framework就成了重之重,但是在源码修改代码和添加log,再编译烧录到机器上,这一套流程下去,费时费力,尤其开发人员又受限于后台服务器的安全设定,那就更难受,并且效率十分低下,如果在源码开放的情况下,使用AS断点,也是不错..
Android FrameWork——SystemServer
m0_70748458的博客
03-30 814
Android系统在启动的时候有两个非常重要的进程,一个是Zygote,另一个就是system_server。SystemServer是系统用来启动service的入口,比如我们常用的AMS,WMS,PMS等等都是由它创建的。 system_server进程的启动 system_server的启动离不开Zygote,启动Zygote之后会调用ZygoteInit.java的main函数,会执行forkSystemServer。 private static Runnable forkSystemServe
Android SO库文件头分析
云守护的专栏
07-03 9179
转自:https://blog.micblo.com/2018/02/10/Android-SO%E5%BA%93%E6%96%87%E4%BB%B6%E5%A4%B4%E5%88%86%E6%9E%90/因为项目的需要,我对Android系统加载.so文件有一些些研究,把最近看过的一些大牛的分析和现状结合一下,写篇东西做一下笔记。.so 文件是什么.so 文件是 Shared Object 文件...
Android系统启动系列5 SystemServer进程下
liuwg1226的专栏
11-10 1309
一 概述 上一篇文章介绍了 SystemServer 的 main 函数是怎么被调用的,本篇主要分析 SystemServer 进程启动的时候,主要做了哪些事情,SystemServer 运行的服务有八十多种,包括 ActivityManagerService(AMS),WindowManagerService(WMS),PackagManagerService(PMS)等,这些系统服务都是以一个线程的方式存在 Systemserver 进程。接下来我们来看这些服务是怎么被启动的. 二 SystemSe
systemserver binder线程耗尽问题分析及优化方案
一杯咖啡的专栏
08-04 2873
systemserver binder线程耗尽问题分析及优化方案 一、问题场景描述 Systemserver作为系统核心进程,它提供了大量的binder服务,响应大量客户端binder请求,同时也会作为客户端,访问其它进程,如果systemserver有大量请求同时发出或者systemserver同时响应大量请求,并且处理请求的进程又遇到某些原因block住,这样长时间block,就会导致SWT发生。下面描述几个典型场景。 场景1: 场景描述: 整个流程就是进程A,例如com.med...
安卓部署ffmpeg全平台so并实现命令行调用
最新发布
codeofcc的博客
05-17 1058
前面的章节实现了ffmpeg全平台so的生成,接下来的步骤就是部署以及使用了,部署so还是比较简单的,用gradle和cmake都可以部署,部署好了就可以直接使用了,如果需要c++进行封装一层,则需要链接,对cmake熟悉的话链接也是比较简单的。以上就是今天讲述的内容,ffmpeg的so部署还是比较容易的,但是命令行的调用会麻烦一些,尤其是要解决ffmpeg退出问题,在c++比较好解决,java理论上也比较好实现,如果在dart则会比较麻烦,因为dart的方法通常不能跨线程调用,多线程的情况会出问题。
我找到了binder.c 里的binder_ioctl 函数的case BINDER_WRITE_READ,但是他没有binder_call 函数,而是binder_ioctl_write_read
06-13
关于 `binder_call` 函数的问题,可能是我表述不够准确,`binder_call` 并不是一个单独的函数,而是一个宏定义,用于调用 Binder 驱动层的 `binder_ioctl` 函数。具体来说,`binder_call` 宏定义如下: ```c #...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值