Android平台的 Ptrace, 注入, Hook 全攻略

最新推荐文章于 2024-05-15 10:05:34 发布
最新推荐文章于 2024-05-15 10:05:34 发布
阅读量3.6k 收藏 18
点赞数 5
分类专栏: Android调试 android安全 ARM汇编

原帖:http://www.aiuxian.com/article/p-1295924.html

Android平台上的Ptrace已经流行很久了,我记得最早的时候是LBE开始使用Ptrace在Android上做拦截,大概三年前我原来的同事yuki (看雪上的古河) 写了一个利用Ptrace注入的例子,被广泛使用,听说他还因此当上了版主,呵呵:
Android平台上的注入代码

两年前的时候我也写过一篇文章介绍利用Ptrace进行程序控制:
利用Ptrace在Android平台实现应用程序控制

自从我写过文章之后就不断的有人来问我各种各样的问题,问的最多的是能不能和yuki的程序结合起来实现任意代码的hook (不仅仅是函数)并转至注入的so执行,技术上当然是可以的,但我一直没时间去实现.

几年过去了,没想到Android上的Ptrace依然火爆,成为各位安全人员和黑客手中的第一利器,于是这周末抽点时间,实现一下大家一直在问的问题,利用Ptrace进行so注入,并Hook任意函数,转至注入的so中执行。希望这次能多写一些细节,分享给大家。这次的程序参考了部分我自己原先的代码和yuki的代码,在此向yuki表示敬意。

这次有三个独立的程序:
1) hook_d, 这个程序是目标程序,里面循环调用logcat打印日志
2) hook_so, 这是个动态链接库,编出来的名字叫libhook.so, 包含一个函数hookfun, 我们将把这个so注入到hook_d中, 并拦截hook_d的logcat日志打印函数,转到hookfun执行
3) hook_s, 这个是注入和Hook的主程序,将so注入hook_d并hook logcat函数

我们首先看 hook_d, 代码很简单,一个死循环,不断用logcat打印日志:

#include <stdio.h>
#include <dlfcn.h>
#include <pthread.h>
#include <fcntl.h>
#include <unistd.h>
#include <android/log.h>

int main()
{
    int n=0;
    char p1[]="ProjectName";
    char p2[]="I am:%d\n";
    __android_log_print(ANDROID_LOG_INFO, p1, p2, 0);

    while(1)
    {
    n=n+1;
    __android_log_print(ANDROID_LOG_INFO, p1, p2, n);
        sleep(1);
    }

    return 0;
}

然后看hook_so,我们将在hook_d中注入这个so,然后hook __android_log_print 函数,转到so中的hookfun执行,在hookfun中我们将第二个参数地址上的字符串改为hookit!, 第二个参数对应logcat的项目名称ProjectName,所以如果我们成功了应该能看到ProjectName变成hookit!

#include <stdio.h>
#include <dlfcn.h>
#include <pthread.h>
#include <fcntl.h>
#include <unistd.h>

int test()
{
    printf("Hello~\n");
}

int hookfun(void* p1, void* p2, void* p3, void* p4)
{
    memcpy(p2, "hookit!\0", 8);
    return 0;
}

接下来是最主要的工作了,编写hook_s, 整个过程分为好几个步骤,包括不少技术小细节,我们一个个来看。

第1步,利用Ptrace attach到目标进程,没有任何难度

第2步,在目标程序hook_d的进程空间里执行mmap, 映射一块内存,用于后续我们存放参数和机器指令。
这一步会遇到几个问题,我们首先要知道mmap在目标进程中的位置,解决的方法如下:
1) 查看hook_s自己的的maps表,找到libc.so的起始地址 loc_addr
2) 根据mmap函数指针的地址算出mmap相对于libc.so起始地址的偏移offset=mmap - loc_addr
3) 查看hook_d的maps表,找到libc.so的起始地址 remote_addr
4) 根据这几个值算出mmap在hook_d中的地址:remote_addr+offset

利用这个方法可以算出每个函数在hook_d中的位置:

void* get_module_base( pid_t pid, const char* module_name )
{
    FILE *fp;
    long addr = 0;
    char *pch;
    char filename[32];
    char line[1024];

    if ( pid < 0 )
    {
        /* self process */
        snprintf( filename, sizeof(filename), "/proc/self/maps", pid );
    }
    else
    {
        snprintf( filename, sizeof(filename), "/proc/%d/maps", pid );
    }

    fp = fopen( filename, "r" );

    if ( fp != NULL )
    {
        while ( fgets( line, sizeof(line), fp ) )
        {
            if ( strstr( line, module_name ) )
            {
                pch = strtok( line, "-" );
                addr = strtoul( pch, NULL, 16 );

                if ( addr == 0x8000 )
                    addr = 0;

                break;
            }
        }

                fclose( fp ) ;
    }

    return (void *)addr;
}


void* get_remote_addr( pid_t target_pid, const char* module_name, void* local_addr )
{
    void* local_handle, *remote_handle;

    local_handle = get_module_base( -1, module_name );
    remote_handle = get_module_base( target_pid, module_name );

    printf( "get_remote_addr: local[%x], remote[%x]\n", local_handle, remote_handle );

    return (void *)( (uint32_t)local_addr + (uint32_t)remote_handle - (uint32_t)local_handle );
}

mmap_addr = get_remote_addr( tar_pid, "/system/lib/libc.so", (void *)mmap );

紧接着我们遇到的一个问题是如何在hook_d的进程空间中调用mmap,实现并不难,我们只要将$PC指向mmap,并在寄存器中准备好参数就可以了,但问题是如何返回?我们希望不破坏原有的程序执行,mmap结束之后肯定会跳到LR指向的地址,而不是我们希望的跳回程序继续执行。这个问题的解决方法是将LR置为0,mmap结束后跳转就会引发一个NPE,而这时程序处于调试状态,这个异常是可以被hook_s捕获的,捕获以后我们就可以还原上下文,让程序继续执行了。

int ptrace_call( pid_t pid, uint32_t addr, long *params, uint32_t num_params, struct pt_regs* regs )
{
    uint32_t i;

    for ( i = 0; i < num_params && i < 4; i ++ )
    {
        regs->uregs[i] = params[i];
    }

    //
    // push remained params onto stack
    //
    if ( i < num_params )
    {
        regs->ARM_sp -= (num_params - i) * sizeof(long) ;
        ptrace_writedata( pid, (void *)regs->ARM_sp, (uint8_t *)&params[i], (num_params - i) * sizeof(long) );
    }

    regs->ARM_pc = addr;
    if ( regs->ARM_pc & 1 )
    {
        /* thumb */
        regs->ARM_pc &= (~1u);
        regs->ARM_cpsr |= CPSR_T_MASK;
    }
    else
    {
        /* arm */
        regs->ARM_cpsr &= ~CPSR_T_MASK;
    }


    regs->ARM_lr = 0;   

    if ( ptrace_setregs( pid, regs ) == -1 
        || ptrace_continue( pid ) == -1 )
    {
        return -1;
    }


    waitpid( pid, NULL, WUNTRACED );

    return 0;
}

parameters[0] = 0;  // addr
parameters[1] = 0x1000; // size
parameters[2] = PROT_READ | PROT_WRITE | PROT_EXEC;  // prot
parameters[3] =  MAP_ANONYMOUS | MAP_PRIVATE; // flags
parameters[4] = 0; //fd
parameters[5] = 0; //offset
ret = ptrace_call( tar_pid, (uint32_t)mmap_addr, parameters, 6, &regs );

第3步,调用dlopen,将libhook.so注入hook_d的进程空间
有了第2步的基础,这一步几乎没有任何障碍,完成之后我们可以看到hook_d的进程空间里面已经注入了libhook.so

7618E27E_AACB_4392_BBCF_5EDED9F84305

第4步,在hook_d中Hook函数__android_log_print,将地址改到libhook.so中的hookfun
Hook进程内函数的方法有很多种,最简单的就是改got表,我们不采用这种方法,因为改got表只能Hook表里面有的函数,且只能在调用处hook, 我希望做到的是任意代码处的hook.
那么如何做到呢?基本的想法就是像调试器一样修改代码,我手工画了个草图,供大家参考:

IMG_20140720_215710

我们将修改__android_log_print入口处的指令 (当然任意位置的指令也可以),让他跳转到一个bridge, 然后从bridge再跳转到 hookfun, hookfun执行完成后跳回bridge,再跳回__android_log_print,不影响程序继续执行。那么bridge是什么?bridge是我们写在mmap分配的空间里面的一段指令,为什么要用bridge?因为我们在hook的时候有一些操作要做,但我们希望尽量少改动原有的程序指令,所以我们把复杂的操作放在bridge里面,原有的程序只改4Byte,做一次跳转。

这么一说大家应该都明白了,第4步又可以分成两个小步骤:
1)修改__android_log_print的入口指令,让他跳转到bridge. 那么是不是所有的指令都可以修改呢?不是的,因为我们只打算做一次修改,不再改回去了,所以被覆盖的4Byte指令我们要放在别处执行,这样的话如果是基于相对$PC寻址的指令就比较麻烦了,所以修改的时候要尽量避开这种指令。不过函数入口一般都没事, 大都是些PUSH指令。我们看一下__android_log_print的入口指令:

B5401091_D6EE_4898_98CC_78FDCBA15142

呵呵,没事,前两条指令和$PC没毛关系,大胆覆盖。但我们如果想写比较好的程序当然最好验证一下要覆盖的指令有没有相对寻址和跳转。对于覆盖指令写成什么样,取决于被覆盖的指令的形式,基本上有3种可能:Thumb, Thumb-2, ARM, 具体情况具体对待,可以做成自动识别。我看了一下我的这个机子,ARMv7的CPU,当前函数是Thumb-2指令,所以我就生成BL.W来跳转:

void* build_jmp(int jump_forward, int jump_offset)
{
    int bl_h,bl_l;
    void* temp;

    if(jump_forward==0)
        jump_offset = 0-jump_offset;

    bl_h = (jump_offset >> 12) & 0x7ff;
    bl_l = (jump_offset >> 1) & 0xfff;

    temp = (((bl_l | 0xf800) & 0xbfff) << 16) | ((bl_h | 0xf000) & 0xf7ff);

    return temp;
}

if(logcat_addr < buff_addr)
{
jump_forward = 1;
jump_offset = buff_addr - (logcat_addr+4);
}
else
{
jump_forward = 0;
jump_offset = (logcat_addr+4) - buff_addr;
}
jmp_op = build_jmp(jump_forward, jump_offset);

2) 然后建立bridge, 写一组汇编指令:

void build_bridge(pid_t pid, void* buff_addr, void* src_addr, void* op_fill, void* hookfun_addr)
{

    void* jmp_back;
    /*
    "push {r0-r7} \t\n"
    "ldr r5, loc_tar \t\n"
    "mov r6, lr \r\n"
    "mov r4, pc \r\n"
    "add r4, r4, #5 \t\n"
    "mov lr, r4 \t\n"
    "mov pc, r5 \t\n"
    "mov lr, r6 \t\n"
    "pop {r0-r7} \t\n"

    "mov r0, r0 \t\n" //exec fill
    "mov r0, r0 \t\n" //exec fill
    "mov r0, r0 \t\n" //b.w src
    "mov r0, r0 \t\n" //b.w src
    "mov r0, r0 \t\n"

    "loc_tar: \t\n"
    ".word 0x11111111 \t\n"

    */
    char op_code[]={0xFF, 0xB4, 0x06, 0x4D, 0x76, 0x46, 0x7C, 0x46, 0x05, 0x34, 0xA6, 0x46, 0xAF, 0x46, 0xB6, 0x46, 0xFF, 0xBC, 0x00, 0x1C, 0x00, 0x1C, 0x00, 0x1C, 0x00, 0x1C, 0x00, 0x1C, 0x11, 0x11, 0x11, 0x11};
    char* op_codep = op_code;
    int jump_forward;
    int jump_offset;
    int fill_opcount = 9;
    int jback_opcount = 11;
    int hook_opcount = 14;
    int i;

    if(buff_addr < src_addr)
    {
        jump_forward = 1;
        jump_offset = (src_addr+4) - (buff_addr+(jback_opcount*2)+4);
    }
    else
    {
        jump_forward = 0;
        jump_offset = (buff_addr+(jback_opcount*2)+4) - (src_addr+4);
    }

    jmp_back = build_jmp(jump_forward, jump_offset);
    printf("jmp_back op:%x\n",jmp_back);

    memcpy(op_codep+(fill_opcount*2), &op_fill, 4);
    memcpy(op_codep+(jback_opcount*2), &jmp_back, 4);
    memcpy(op_codep+(hook_opcount*2), &hookfun_addr, 4);

    ptrace_writedata(pid, buff_addr, op_code, sizeof(op_code));
    //memcpy(buff_addr, op_code, sizeof(op_code));

    printf("bridge op:");
    for(i=0; i<sizeof(op_code); i++)
        printf("0x%x,", op_code[i]);
    printf("\n");
}

bridge里面指令的含义大致是这样:
需要用的寄存器压栈
保存LR
设置LR为hookfun的返回地址,因为hookfun一定会用BX LR来返回
加载hookfun的地址
跳转至hookfun执行
从hookfun返回后把前面压栈的寄存器出栈
执行被覆盖的4Byte指令
跳回__android_log_print继续执行

当然bridge里面可以做的事情还很多,比如根据hookfun的返回值决定是否直接终止被hook的函数等等,总之想要的基本都能做到。

说到这里大部分的工作都已经做完了,我们看一下实际运行的效果,先运行hook_d:

C609A475_19BE_4F7D_894E_67FE45BE99A1

然后运行hook_s, 可以看到程序将libhook.so注入hook_d, 修改指令hook函数__android_log_print,然后正常detach, 程序退出。

1097DBA5_7850_4094_BABD_C40B6BBF9C94

接着我们看hook_d的输出,已经hook成功,ProjetName变成了hookit!且程序正常运行:

E82246EE_F290_48A2_88E6_779131858761

OK,总结一下,我们完成了从so注入到程序Hook的整个过程,也详细介绍了过程中的每一个技术细节,相信大家看完以后大部分问题都能找到答案了,附件中是全部的源码,供大家进一步研究。

最后欢迎每一个对安全有兴趣的同学来无线安全团队讨论技术,无线安全,有你更精彩!

beyond702
关注
  • 5
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android利用ptrace实现Hook API
u013234805的专栏
04-30 9618
Hook API的技术由来已久,在操作系统未能提供所需功能的情况下,利用Hook API的手段来实现某种必需的功能也算是一种不得已的办法。 笔者了解Hook API技术最早是在十几年前,当时是在Windows平台下开发电子词典的光标取词功能。这项功能就是利用Hook API的技术把系统的字符串输出函数替换成了电子词典中的函数,从而能得到屏幕上任何位置的字符串。无论是16位的Windows9
使用ptrace向已运行进程中注入 so并执行相关函数
qq_44884706的博客
04-15 842
使用ptrace向已运行进程中注入 so并执行相关函数
Ptrace-for-Android:一个用户级调试应用程序,可以跟踪 Android 中正在运行的应用程序
07-02
Ptrace-for-Android 一个用户级调试应用程序,可以跟踪 Android 中正在运行的应用程序。 一、简介: Ptrace 是 linux 发行版中最重要的系统调用之一。大多数调试实用程序(如 gdb 和其他常见调试实践)在很大程度上都涉及 Ptrace 的使用。另一方面,考虑到 android 是建立在 linux 之上的事实, android 同样喜欢 Ptrace 的内置实现。但是可以利用 AndroidPtrace 效率的现成工具/实用程序数量非常有限。所以在这个项目中,我们设计了一个应用程序跟踪器,它基本上适用于 android 平台,它具有跟踪应用程序与内核交互的能力。我们的跟踪器列出了所有交互,这些交互基本上是系统调用,并为任何调试器提供了足够的信息。我们的跟踪器提供了一些其他附加功能,使用户能够密切检查/监视特定系统调用,可以在发生可疑系统调用时杀
利用ptrace hook 系统调用
学习记录
04-10 1245
我们知道gdb的实现原理就是利用ptrace,关于ptrace我就不多介绍了,主要看怎么利用它去hook 首先,利用ptrace可以给被调试进程下断点,也可以改其寄存器,和opcode,我们利用这点可以实现一个简易的调试器,那么我们如果把实现调试器时插入的0xcc字节码换成我们想要执行的hook函数会发生什么呢? 比如我们 ...
高效Hook工具:Yuki Hook API
最新发布
gitblog_00051的博客
05-15 355
高效Hook工具:Yuki Hook API 项目地址:https://gitcode.com/HighCapable/YukiHookAPI 在Android开发的领域中,Hook技术扮演着至关重要的角色,它允许开发者在不修改原有代码的情况下扩展或修改应用行为。而今天,我们要向你推荐一个以高效和易用为核心的新星——Yuki Hook API,这是一个由Kotlin重构的Xposed框架API解决...
Linux ptrace系统调用
小立仔
08-31 1590
Linux ptrace系统调用简介
一套使用注入Hook技术托管入口函数的方案
方亮的专栏
09-28 1842
        工作中,我们可能会经常使用开源项目解决一些领域中的问题。这种“拿来主义”是一种“专业人干专业事”的思想,非常实用。(转载请指明出于breaksoftware的csdn博客)         一般场景下,我们都是把开源项目代码编译到我们自己的项目中。这样的“融合”,就相当于让两个项目进行了“基因重组”,最终产出一个“基因战士”。在进行“基因重组”中,需要“专业人员”对开源项目中每个...
ptrace注入实例
01-01
2. **注入过程**:ptrace注入的基本流程通常是,tracer首先通过ptrace附加到tracee进程,然后读取和修改tracee的内存以放置注入代码,最后在适当的位置触发注入代码的执行。这个过程中可能需要理解汇编语言,因为...
ptrace安卓程序注入例子
02-11
在这个“ptrace安卓程序注入例子”中,我们将深入探讨如何利用ptrace机制在Android平台上进行程序注入,特别是与Java Native Interface(JNI)相结合的应用。 首先,ptrace是一个强大的调试工具,它允许tracer读取...
5.ptrace注入与zygote区别和联系.V2EE
02-28
ptrace注入与zygote区别和联系.V2EEptrace注入与zygote区别和联系.V2EE
androidinject:Android平台注入源码-android
03-24
Android平台注入 编译 Android Studio 3.x编译 参考资料 动手打造Android7.0以上的注入工具 [Ptrace] Linux内存替换(五)x86_64平台代码注入 hotice0的code_injection Linux 64位shellcode 手游2048的破解...
利用PtraceAndroid平台实现应用程序控制
07-09
Android平台上,Ptrace 被广泛用于实现应用程序控制,特别是API Hook和App Control,因为这种方式可以直接对特定进程进行精确操作,而不是像在内核中拦截那样可能无法获取到足够的上下文信息。 在Android系统中,...
Hook技术--④Ptrace和⑤Kernel Inline Hook
一些个人笔记,写的不好之处,还请海涵
10-31 191
使用Linux Module、或者LSM挂载点对进程的启动动作进行实时的监控,并通过Ring0-Ring3通信,通知到Ring3程序有新进程启动的动作用ptrace函数attach上目标进程让目标进程的执行流程跳转到mmap函数来分配一小段内存空间把一段机器码拷贝到目标进程中刚分配的内存中去最后让目标进程的执行流程跳转到注入的代码执行用PTRACE_ATTACH或者PTRACE_TRACEME 建立进程间的跟踪关系。
动态注入技术
hpp24的专栏
08-06 4183
我们在讨论动态注入技术的时候,APIHook的技术由来已久,在操作系统未能提供所需功能的情况下,利用APIHook的手段来实现某种必需的功能也算是一种不得已的办法。在Windows平台下开发电子词典的光标取词功能,这项功能就是利用Hook API的技术把系统的字符串输出函数替换成了电子词典中的函数,从而能得到屏幕上任何位置的字符串。无论是16位的Windows95,还是32位的Windws NT,
decode函数_Frida和Xposed打印init_array的字符串解密函数
weixin_39907526的博客
11-24 567
本文为看雪论坛文章看雪论坛作者ID:无造本文为看雪安卓高研2w班(8月班)优秀学员作品。下面先让我们来看看学员的学习心得吧!学员感想这是2W班8月份的练习题第一题。题目要求是:ollvm针对加密字符串的解密都是在位于init_array节当中的函数。请编写Xposed插件,完成对测试apk中位于init_array节中的函数的hook,并获取对应的解密后的字符串。这题还是需要查看源码,...
linux或者android样本ptrace反调试绕过
kernweak的博客
06-16 1358
linux linux 系统gdb等调试器,都是通过ptrace系统调用实现。Android加固中,ptrace自身防止调试器附加是一种常用的反调试手段。 调试时一般需要手工在ptrace处下断点,通过修改ptrace返回值过掉反调试。下面提供另一种思路,降低手工操作复杂度: 测试代码(反调试程序) #include <stdio.h> #include <stdlib.h> #include <sys/ptrace.h> void a() { if (ptra
android 防内存注入,android如何防止注入呢?
weixin_35897007的博客
05-30 890
本博客前面写有注入方法,学会注入的朋友可能就想保护好自己的程序不被其它程序注入、修改。在此,说说android如何防止注入。要防注入,肯定是要先防ptrace注入是通过它完成的,如果把它干掉的话那么就不存在注入啦。那么总结有以下三种方法1.ptrace附加失败。2.修改linker中的dlopen函数,防止第三方so加载。3.定时检测应用加载的第三方so库,如果发现是被注入的so,卸载加载的so...
linux 分析 ptrace
weixin_33670786的博客
01-26 390
linux分析ptrace() 形式 #include <sys/ptrace.h> int ptrace(int request, int pid, int addr, int data); 描述 Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心p_w_picpath。它主要用于实现断点调试。一...
Android性能分析工具strace (2)strace流程之ptrace跟踪目标进程系统调用
wellt606的博客
09-11 462
ptrace定义为long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data),参数 request是请求类型,其中PTRACE_ATTACH用于建立tracer和tracee关系,PTRACE_SYSCALL用于跟踪pid对应tracee的系统调用。ptrace_request()根据请求类型的不同调用不同的函数处理,PTRACE_SYSCALL请求类型对应的是ptrace_resume()。
使用ptrace动态注入.so到运行进程
"这篇文档详细介绍了如何使用ptrace系统调用向已运行的进程中注入动态链接库(.so)并执行其内部的特定函数。通过在目标进程中注入代码,利用dlopen函数动态加载.so,然后调用dlsym获取函数地址,最终实现对目标进程的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值