Android平台的 Ptrace, 注入, Hook 全攻略

最新推荐文章于 2024-05-15 10:05:34 发布
最新推荐文章于 2024-05-15 10:05:34 发布
阅读量3.6k 收藏 18
点赞数 5
分类专栏: Android调试 android安全 ARM汇编

原帖:http://www.aiuxian.com/article/p-1295924.html

Android平台上的Ptrace已经流行很久了,我记得最早的时候是LBE开始使用Ptrace在Android上做拦截,大概三年前我原来的同事yuki (看雪上的古河) 写了一个利用Ptrace注入的例子,被广泛使用,听说他还因此当上了版主,呵呵:
Android平台上的注入代码

两年前的时候我也写过一篇文章介绍利用Ptrace进行程序控制:
利用Ptrace在Android平台实现应用程序控制

自从我写过文章之后就不断的有人来问我各种各样的问题,问的最多的是能不能和yuki的程序结合起来实现任意代码的hook (不仅仅是函数)并转至注入的so执行,技术上当然是可以的,但我一直没时间去实现.

几年过去了,没想到Android上的Ptrace依然火爆,成为各位安全人员和黑客手中的第一利器,于是这周末抽点时间,实现一下大家一直在问的问题,利用Ptrace进行so注入,并Hook任意函数,转至注入的so中执行。希望这次能多写一些细节,分享给大家。这次的程序参考了部分我自己原先的代码和yuki的代码,在此向yuki表示敬意。

这次有三个独立的程序:
1) hook_d, 这个程序是目标程序,里面循环调用logcat打印日志
2) hook_so, 这是个动态链接库,编出来的名字叫libhook.so, 包含一个函数hookfun, 我们将把这个so注入到hook_d中, 并拦截hook_d的logcat日志打印函数,转到hookfun执行
3) hook_s, 这个是注入和Hook的主程序,将so注入hook_d并hook logcat函数

我们首先看 hook_d, 代码很简单,一个死循环,不断用logcat打印日志:

#include <stdio.h>
#include <dlfcn.h>
#include <pthread.h>
#include <fcntl.h>
#include <unistd.h>
#include <android/log.h>

int main()
{
    int n=0;
    char p1[]="ProjectName";
    char p2[]="I am:%d\n";
    __android_log_print(ANDROID_LOG_INFO, p1, p2, 0);

    while(1)
    {
    n=n+1;
    __android_log_print(ANDROID_LOG_INFO, p1, p2, n);
        sleep(1);
    }

    return 0;
}

然后看hook_so,我们将在hook_d中注入这个so,然后hook __android_log_print 函数,转到so中的hookfun执行,在hookfun中我们将第二个参数地址上的字符串改为hookit!, 第二个参数对应logcat的项目名称ProjectName,所以如果我们成功了应该能看到ProjectName变成hookit!

#include <stdio.h>
#include <dlfcn.h>
#include <pthread.h>
#include <fcntl.h>
#include <unistd.h>

int test()
{
    printf("Hello~\n");
}

int hookfun(void* p1, void* p2, void* p3, void* p4)
{
    memcpy(p2, "hookit!\0", 8);
    return 0;
}

接下来是最主要的工作了,编写hook_s, 整个过程分为好几个步骤,包括不少技术小细节,我们一个个来看。

第1步,利用Ptrace attach到目标进程,没有任何难度

第2步,在目标程序hook_d的进程空间里执行mmap, 映射一块内存,用于后续我们存放参数和机器指令。
这一步会遇到几个问题,我们首先要知道mmap在目标进程中的位置,解决的方法如下:
1) 查看hook_s自己的的maps表,找到libc.so的起始地址 loc_addr
2) 根据mmap函数指针的地址算出mmap相对于libc.so起始地址的偏移offset=mmap - loc_addr
3) 查看hook_d的maps表,找到libc.so的起始地址 remote_addr
4) 根据这几个值算出mmap在hook_d中的地址:remote_addr+offset

利用这个方法可以算出每个函数在hook_d中的位置:

void* get_module_base( pid_t pid, const char* module_name )
{
    FILE *fp;
    long addr = 0;
    char *pch;
    char filename[32];
    char line[1024];

    if ( pid < 0 )
    {
        /* self process */
        snprintf( filename, sizeof(filename), "/proc/self/maps", pid );
    }
    else
    {
        snprintf( filename, sizeof(filename), "/proc/%d/maps", pid );
    }

    fp = fopen( filename, "r" );

    if ( fp != NULL )
    {
        while ( fgets( line, sizeof(line), fp ) )
        {
            if ( strstr( line, module_name ) )
            {
                pch = strtok( line, "-" );
                addr = strtoul( pch, NULL, 16 );

                if ( addr == 0x8000 )
                    addr = 0;

                break;
            }
        }

                fclose( fp ) ;
    }

    return (void *)addr;
}


void* get_remote_addr( pid_t target_pid, const char* module_name, void* local_addr )
{
    void* local_handle, *remote_handle;

    local_handle = get_module_base( -1, module_name );
    remote_handle = get_module_base( target_pid, module_name );

    printf( "get_remote_addr: local[%x], remote[%x]\n", local_handle, remote_handle );

    return (void *)( (uint32_t)local_addr + (uint32_t)remote_handle - (uint32_t)local_handle );
}

mmap_addr = get_remote_addr( tar_pid, "/system/lib/libc.so", (void *)mmap );

紧接着我们遇到的一个问题是如何在hook_d的进程空间中调用mmap,实现并不难,我们只要将$PC指向mmap,并在寄存器中准备好参数就可以了,但问题是如何返回?我们希望不破坏原有的程序执行,mmap结束之后肯定会跳到LR指向的地址,而不是我们希望的跳回程序继续执行。这个问题的解决方法是将LR置为0,mmap结束后跳转就会引发一个NPE,而这时程序处于调试状态,这个异常是可以被hook_s捕获的,捕获以后我们就可以还原上下文,让程序继续执行了。

int ptrace_call( pid_t pid, uint32_t addr, long *params, uint32_t num_params, struct pt_regs* regs )
{
    uint32_t i;

    for ( i = 0; i < num_params && i < 4; i ++ )
    {
        regs->uregs[i] = params[i];
    }

    //
    // push remained params onto stack
    //
    if ( i < num_params )
    {
        regs->ARM_sp -= (num_params - i) * sizeof(long) ;
        ptrace_writedata( pid, (void *)regs->ARM_sp, (uint8_t *)&params[i], (num_params - i) * sizeof(long) );
    }

    regs->ARM_pc = addr;
    if ( regs->ARM_pc & 1 )
    {
        /* thumb */
        regs->ARM_pc &= (~1u);
        regs->ARM_cpsr |= CPSR_T_MASK;
    }
    else
    {
        /* arm */
        regs->ARM_cpsr &= ~CPSR_T_MASK;
    }


    regs->ARM_lr = 0;   

    if ( ptrace_setregs( pid, regs ) == -1 
        || ptrace_continue( pid ) == -1 )
    {
        return -1;
    }


    waitpid( pid, NULL, WUNTRACED );

    return 0;
}

parameters[0] = 0;  // addr
parameters[1] = 0x1000; // size
parameters[2] = PROT_READ | PROT_WRITE | PROT_EXEC;  // prot
parameters[3] =  MAP_ANONYMOUS | MAP_PRIVATE; // flags
parameters[4] = 0; //fd
parameters[5] = 0; //offset
ret = ptrace_call( tar_pid, (uint32_t)mmap_addr, parameters, 6, &regs );

第3步,调用dlopen,将libhook.so注入hook_d的进程空间
有了第2步的基础,这一步几乎没有任何障碍,完成之后我们可以看到hook_d的进程空间里面已经注入了libhook.so

7618E27E_AACB_4392_BBCF_5EDED9F84305

第4步,在hook_d中Hook函数__android_log_print,将地址改到libhook.so中的hookfun
Hook进程内函数的方法有很多种,最简单的就是改got表,我们不采用这种方法,因为改got表只能Hook表里面有的函数,且只能在调用处hook, 我希望做到的是任意代码处的hook.
那么如何做到呢?基本的想法就是像调试器一样修改代码,我手工画了个草图,供大家参考:

IMG_20140720_215710

我们将修改__android_log_print入口处的指令 (当然任意位置的指令也可以),让他跳转到一个bridge, 然后从bridge再跳转到 hookfun, hookfun执行完成后跳回bridge,再跳回__android_log_print,不影响程序继续执行。那么bridge是什么?bridge是我们写在mmap分配的空间里面的一段指令,为什么要用bridge?因为我们在hook的时候有一些操作要做,但我们希望尽量少改动原有的程序指令,所以我们把复杂的操作放在bridge里面,原有的程序只改4Byte,做一次跳转。

这么一说大家应该都明白了,第4步又可以分成两个小步骤:
1)修改__android_log_print的入口指令,让他跳转到bridge. 那么是不是所有的指令都可以修改呢?不是的,因为我们只打算做一次修改,不再改回去了,所以被覆盖的4Byte指令我们要放在别处执行,这样的话如果是基于相对$PC寻址的指令就比较麻烦了,所以修改的时候要尽量避开这种指令。不过函数入口一般都没事, 大都是些PUSH指令。我们看一下__android_log_print的入口指令:

B5401091_D6EE_4898_98CC_78FDCBA15142

呵呵,没事,前两条指令和$PC没毛关系,大胆覆盖。但我们如果想写比较好的程序当然最好验证一下要覆盖的指令有没有相对寻址和跳转。对于覆盖指令写成什么样,取决于被覆盖的指令的形式,基本上有3种可能:Thumb, Thumb-2, ARM, 具体情况具体对待,可以做成自动识别。我看了一下我的这个机子,ARMv7的CPU,当前函数是Thumb-2指令,所以我就生成BL.W来跳转:

void* build_jmp(int jump_forward, int jump_offset)
{
    int bl_h,bl_l;
    void* temp;

    if(jump_forward==0)
        jump_offset = 0-jump_offset;

    bl_h = (jump_offset >> 12) & 0x7ff;
    bl_l = (jump_offset >> 1) & 0xfff;

    temp = (((bl_l | 0xf800) & 0xbfff) << 16) | ((bl_h | 0xf000) & 0xf7ff);

    return temp;
}

if(logcat_addr < buff_addr)
{
jump_forward = 1;
jump_offset = buff_addr - (logcat_addr+4);
}
else
{
jump_forward = 0;
jump_offset = (logcat_addr+4) - buff_addr;
}
jmp_op = build_jmp(jump_forward, jump_offset);

2) 然后建立bridge, 写一组汇编指令:

void build_bridge(pid_t pid, void* buff_addr, void* src_addr, void* op_fill, void* hookfun_addr)
{

    void* jmp_back;
    /*
    "push {r0-r7} \t\n"
    "ldr r5, loc_tar \t\n"
    "mov r6, lr \r\n"
    "mov r4, pc \r\n"
    "add r4, r4, #5 \t\n"
    "mov lr, r4 \t\n"
    "mov pc, r5 \t\n"
    "mov lr, r6 \t\n"
    "pop {r0-r7} \t\n"

    "mov r0, r0 \t\n" //exec fill
    "mov r0, r0 \t\n" //exec fill
    "mov r0, r0 \t\n" //b.w src
    "mov r0, r0 \t\n" //b.w src
    "mov r0, r0 \t\n"

    "loc_tar: \t\n"
    ".word 0x11111111 \t\n"

    */
    char op_code[]={0xFF, 0xB4, 0x06, 0x4D, 0x76, 0x46, 0x7C, 0x46, 0x05, 0x34, 0xA6, 0x46, 0xAF, 0x46, 0xB6, 0x46, 0xFF, 0xBC, 0x00, 0x1C, 0x00, 0x1C, 0x00, 0x1C, 0x00, 0x1C, 0x00, 0x1C, 0x11, 0x11, 0x11, 0x11};
    char* op_codep = op_code;
    int jump_forward;
    int jump_offset;
    int fill_opcount = 9;
    int jback_opcount = 11;
    int hook_opcount = 14;
    int i;

    if(buff_addr < src_addr)
    {
        jump_forward = 1;
        jump_offset = (src_addr+4) - (buff_addr+(jback_opcount*2)+4);
    }
    else
    {
        jump_forward = 0;
        jump_offset = (buff_addr+(jback_opcount*2)+4) - (src_addr+4);
    }

    jmp_back = build_jmp(jump_forward, jump_offset);
    printf("jmp_back op:%x\n",jmp_back);

    memcpy(op_codep+(fill_opcount*2), &op_fill, 4);
    memcpy(op_codep+(jback_opcount*2), &jmp_back, 4);
    memcpy(op_codep+(hook_opcount*2), &hookfun_addr, 4);

    ptrace_writedata(pid, buff_addr, op_code, sizeof(op_code));
    //memcpy(buff_addr, op_code, sizeof(op_code));

    printf("bridge op:");
    for(i=0; i<sizeof(op_code); i++)
        printf("0x%x,", op_code[i]);
    printf("\n");
}

bridge里面指令的含义大致是这样:
需要用的寄存器压栈
保存LR
设置LR为hookfun的返回地址,因为hookfun一定会用BX LR来返回
加载hookfun的地址
跳转至hookfun执行
从hookfun返回后把前面压栈的寄存器出栈
执行被覆盖的4Byte指令
跳回__android_log_print继续执行

当然bridge里面可以做的事情还很多,比如根据hookfun的返回值决定是否直接终止被hook的函数等等,总之想要的基本都能做到。

说到这里大部分的工作都已经做完了,我们看一下实际运行的效果,先运行hook_d:

C609A475_19BE_4F7D_894E_67FE45BE99A1

然后运行hook_s, 可以看到程序将libhook.so注入hook_d, 修改指令hook函数__android_log_print,然后正常detach, 程序退出。

1097DBA5_7850_4094_BABD_C40B6BBF9C94

接着我们看hook_d的输出,已经hook成功,ProjetName变成了hookit!且程序正常运行:

E82246EE_F290_48A2_88E6_779131858761

OK,总结一下,我们完成了从so注入到程序Hook的整个过程,也详细介绍了过程中的每一个技术细节,相信大家看完以后大部分问题都能找到答案了,附件中是全部的源码,供大家进一步研究。

最后欢迎每一个对安全有兴趣的同学来无线安全团队讨论技术,无线安全,有你更精彩!

beyond702
关注
  • 5
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ptrace-for-Android:一个用户级调试应用程序,可以跟踪 Android 中正在运行的应用程序
07-02
Ptrace-for-Android 一个用户级调试应用程序,可以跟踪 Android 中正在运行的应用程序。 一、简介: Ptrace 是 linux 发行版中最重要的系统调用之一。大多数调试实用程序(如 gdb 和其他常见调试实践)在很大程度上都涉及 Ptrace 的使用。另一方面,考虑到 android 是建立在 linux 之上的事实, android 同样喜欢 Ptrace 的内置实现。但是可以利用 Android 中 Ptrace 效率的现成工具/实用程序数量非常有限。所以在这个项目中,我们设计了一个应用程序跟踪器,它基本上适用于 android 平台,它具有跟踪应用程序与内核交互的能力。我们的跟踪器列出了所有交互,这些交互基本上是系统调用,并为任何调试器提供了足够的信息。我们的跟踪器提供了一些其他附加功能,使用户能够密切检查/监视特定系统调用,可以在发生可疑系统调用时杀
利用ptrace hook 系统调用
学习记录
04-10 1237
我们知道gdb的实现原理就是利用ptrace,关于ptrace我就不多介绍了,主要看怎么利用它去hook 首先,利用ptrace可以给被调试进程下断点,也可以改其寄存器,和opcode,我们利用这点可以实现一个简易的调试器,那么我们如果把实现调试器时插入的0xcc字节码换成我们想要执行的hook函数会发生什么呢? 比如我们 ...
高效Hook工具:Yuki Hook API
最新发布
gitblog_00051的博客
05-15 345
高效Hook工具:Yuki Hook API 项目地址:https://gitcode.com/HighCapable/YukiHookAPI 在Android开发的领域中,Hook技术扮演着至关重要的角色,它允许开发者在不修改原有代码的情况下扩展或修改应用行为。而今天,我们要向你推荐一个以高效和易用为核心的新星——Yuki Hook API,这是一个由Kotlin重构的Xposed框架API解决...
Android利用ptrace实现Hook API
u013234805的专栏
04-30 9616
Hook API的技术由来已久,在操作系统未能提供所需功能的情况下,利用Hook API的手段来实现某种必需的功能也算是一种不得已的办法。 笔者了解Hook API技术最早是在十几年前,当时是在Windows平台下开发电子词典的光标取词功能。这项功能就是利用Hook API的技术把系统的字符串输出函数替换成了电子词典中的函数,从而能得到屏幕上任何位置的字符串。无论是16位的Windows9
Linux ptrace系统调用
小立仔
08-31 1547
Linux ptrace系统调用简介
一套使用注入Hook技术托管入口函数的方案
方亮的专栏
09-28 1839
        工作中,我们可能会经常使用开源项目解决一些领域中的问题。这种“拿来主义”是一种“专业人干专业事”的思想,非常实用。(转载请指明出于breaksoftware的csdn博客)         一般场景下,我们都是把开源项目代码编译到我们自己的项目中。这样的“融合”,就相当于让两个项目进行了“基因重组”,最终产出一个“基因战士”。在进行“基因重组”中,需要“专业人员”对开源项目中每个...
ptrace注入实例
01-01
2. **注入过程**:ptrace注入的基本流程通常是,tracer首先通过ptrace附加到tracee进程,然后读取和修改tracee的内存以放置注入代码,最后在适当的位置触发注入代码的执行。这个过程中可能需要理解汇编语言,因为...
ptrace安卓程序注入例子
02-11
在这个“ptrace安卓程序注入例子”中,我们将深入探讨如何利用ptrace机制在Android平台上进行程序注入,特别是与Java Native Interface(JNI)相结合的应用。 首先,ptrace是一个强大的调试工具,它允许tracer读取...
5.ptrace注入与zygote区别和联系.V2EE
02-28
ptrace注入与zygote区别和联系.V2EEptrace注入与zygote区别和联系.V2EE
androidinject:Android平台注入源码-android
03-24
Android平台注入 编译 Android Studio 3.x编译 参考资料 动手打造Android7.0以上的注入工具 [Ptrace] Linux内存替换(五)x86_64平台代码注入 hotice0的code_injection Linux 64位shellcode 手游2048的破解...
利用PtraceAndroid平台实现应用程序控制
07-09
Android平台上,Ptrace 被广泛用于实现应用程序控制,特别是API Hook和App Control,因为这种方式可以直接对特定进程进行精确操作,而不是像在内核中拦截那样可能无法获取到足够的上下文信息。 在Android系统中,...
使用ptrace向已运行进程中注入 so并执行相关函数
qq_44884706的博客
04-15 839
使用ptrace向已运行进程中注入 so并执行相关函数
Hook技术--④Ptrace和⑤Kernel Inline Hook
一些个人笔记,写的不好之处,还请海涵
10-31 185
使用Linux Module、或者LSM挂载点对进程的启动动作进行实时的监控,并通过Ring0-Ring3通信,通知到Ring3程序有新进程启动的动作用ptrace函数attach上目标进程让目标进程的执行流程跳转到mmap函数来分配一小段内存空间把一段机器码拷贝到目标进程中刚分配的内存中去最后让目标进程的执行流程跳转到注入的代码执行用PTRACE_ATTACH或者PTRACE_TRACEME 建立进程间的跟踪关系。
decode函数_Frida和Xposed打印init_array的字符串解密函数
weixin_39907526的博客
11-24 564
本文为看雪论坛文章看雪论坛作者ID:无造本文为看雪安卓高研2w班(8月班)优秀学员作品。下面先让我们来看看学员的学习心得吧!学员感想这是2W班8月份的练习题第一题。题目要求是:ollvm针对加密字符串的解密都是在位于init_array节当中的函数。请编写Xposed插件,完成对测试apk中位于init_array节中的函数的hook,并获取对应的解密后的字符串。这题还是需要查看源码,...
linux或者android样本ptrace反调试绕过
kernweak的博客
06-16 1349
linux linux 系统gdb等调试器,都是通过ptrace系统调用实现。Android加固中,ptrace自身止调试器附加是一种常用的反调试手段。 调试时一般需要手工在ptrace处下断点,通过修改ptrace返回值过掉反调试。下面提供另一种思路,降低手工操作复杂度: 测试代码(反调试程序) #include <stdio.h> #include <stdlib.h> #include <sys/ptrace.h> void a() { if (ptra
android 内存注入,android如何注入呢?
weixin_35897007的博客
05-30 883
本博客前面写有注入方法,学会注入的朋友可能就想保护好自己的程序不被其它程序注入、修改。在此,说说android如何注入。要注入,肯定是要先ptrace注入是通过它完成的,如果把它干掉的话那么就不存在注入啦。那么总结有以下三种方法1.ptrace附加失败。2.修改linker中的dlopen函数,止第三方so加载。3.定时检测应用加载的第三方so库,如果发现是被注入的so,卸载加载的so...
动态注入技术
hpp24的专栏
08-06 4179
我们在讨论动态注入技术的时候,APIHook的技术由来已久,在操作系统未能提供所需功能的情况下,利用APIHook的手段来实现某种必需的功能也算是一种不得已的办法。在Windows平台下开发电子词典的光标取词功能,这项功能就是利用Hook API的技术把系统的字符串输出函数替换成了电子词典中的函数,从而能得到屏幕上任何位置的字符串。无论是16位的Windows95,还是32位的Windws NT,
android 全局hook_Android so注入(inject)和Hook技术学习(二)——Got表hook之导入表hook...
weixin_31971727的博客
01-17 418
全局符号表(GOT表)hook实际是通过解析SO文件,将待hook函数在got表的地址替换为自己函数的入口地址,这样目标进程每次调用待hook函数时,实际上是执行了我们自己的函数。GOT表其实包含了导入表和导出表,导出表指将当前动态库的一些函数符号保留,供外部调用,导入表中的函数实际是在该动态库中调用外部的导出函数。这里有几个关键点要说明一下:(1) so文件的绝对路径和加载到内存中的基址是可以通...
Android so注入( inject)和Hook(挂钩)的实现思路讨论
热门推荐
Fly20141201. 的专栏
01-07 1万+
前面的博客中分析一些Android的so注入Hook目标函数的代码,它们的实现思路基本是一致的只是在一些细节实现的地方稍有不同。下面的文章中,将前面学习的别人的Android的so注入和目标函数的Hook的实现方法,进行整理一下,对Android的so注入和目标函数的Hook的代码实现的方法进行思考和分析。
shim ptrace
10-26
shim ptrace是一个用于操作进程的系统调用接口。它允许一个进程跟踪、控制和检查另一个进程的执行情况。通过shim ptrace,一个进程可以检查另一个进程的寄存器、内存和系统调用,并有能力修改它们的执行过程。 shim ptrace通常用于调试、监视和诊断进程。调试器可以使用shim ptrace来实现断点、单步执行和修改变量等调试功能。另外,shim ptrace还可以用于分析和检查进程的运行,例如查找进程中的内存泄漏、跟踪系统调用和信号处理。 在使用shim ptrace时,一个进程可以作为被跟踪进程,另一个进程则作为跟踪进程。跟踪进程使用ptrace系统调用来发送指令,而被跟踪进程则接收并执行指令。通过这种方式,跟踪进程可以获取被跟踪进程的状态信息,并对其进行操作。 对于被跟踪进程,它会在指令执行之前接收到跟踪进程发送的指令,并根据指令的要求进行操作。例如,跟踪进程可以用ptrace(PTRACE_PEEKDATA, pid, addr, data)来读取被跟踪进程中地址为addr的内存数据,并将结果保存在data中。类似地,跟踪进程也可以使用ptrace(PTRACE_POKEDATA, pid, addr, data)来修改被跟踪进程的内存值。 总之,shim ptrace是一个强大的工具,允许进程间相互跟踪、控制和修改执行过程。它在调试、监视和诊断进程方面扮演着重要角色,为开发人员提供了有效的方法来分析和改进程序的执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值