arm64 内核 inline hook

最新推荐文章于 2024-08-21 09:00:36 发布
最新推荐文章于 2024-08-21 09:00:36 发布
阅读量2k 收藏 5
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bme314/article/details/104282516
版权

linux 内核对于安全可能是比较重要的一环。

关于syscall table 表替换的问题

这里以linux 4.15和4.19为代表的说明我遇到的问题。

syscall hook4.154.19
拥有可读写状态hook成功hook失败

这里似乎到4.19添加了对systable的保护。

如果非要对systable进行hook,可能替换这页表,改变物理地址指向是一种解决办法。

还有就是直接inline hook对内核进行更改。

inline hook的实现

一、寄存器的保存和恢复

STP X1, X0, [SP, #-0x10]
LDR X0, 8
BR X0
[TARGET_
ADDRESS] (64bit)
LDR X0, [SP, -0x8]

这里简化了,实际上我们需要将所有的寄存器进行保存和恢复。

Android-Native-Hook-Practice-Arm64

BR指令是对绝对跳转
B 指令是相对于pc寄存器的跳转
LR是用于保存函数调用的返回地址的link register。

二、指令的修复和执行

我们需要对备份的指令进行修复。在实际修复过程中,有些指令也受影响,有如下几种:

  • 取PC的值进行计算的指令
  • 跳转到备份区域的指令

第一种我们已经解释过了,而第二种则是由于我们备份区域中的代码已经被替换了,如果有跳转到这个区域的指令,那接下来执行的就不试原来这个位置的指令了。我们可以再把第二类细分成两类:

  • 从备份区域跳转到备份区域的指令
  • 从备份区域外跳转到备份区域的指令
    前者通过计算目标代码在备份区域中的绝对地址来代替原来的目标地址从而修复,而后者由于不知道整个程序中到底有多少条指令会跳转过来,所以无法修复。

Android-Native-Hook-Practice

inquisiter
关注
专栏目录
Hook技术简介
武天旭的博客
10-21 1092
# 一、Hook原理 Hook技术的本质就是劫持函数调用。但是由于处于Linux用户态,每个进程都有自己独立的进程空间,因此要实现Hook就必须先注入到所要Hook的进程空间,然后修改其内存中的进程代码,替换其过程表的符号地址。在Android中,一般是通过ptrace函数附加进程,然后向远程进程注人so库,从而达到监控以及远程进程关键函数挂钩。
Android_Inline_Hook_ARM64,建立一个.so文件,自动执行android本地钩子的工作。支持ARM64!有了这个,像xposed这样的工具就可以实现android原生hook。.zip
09-25
这是ARM64版本的Android内联挂钩。我强烈建议您首先查看android内联钩子。
实现Android ARM64平台下Inline Hook框架
热门推荐
Rprop
09-23 6万+
Android阵营新出机型的cpu基本都是64位了,虽然可以向下兼容armeabi-v7a,但是使用32位的so毕竟不能充分发挥64位cpu的潜力,所以以后arm64-v8a用的会越来越多。但是整个安卓生态圈似乎还没有开源发布的ARM64内联HOOK方案,所以自己动手写了个,姑且取名And64InlineHook吧,需要注意的是仍然是Alpha版。         关于Inline Hook的背
推荐文章:And64InlineHook - Android平台上的轻量级ARM64内联钩子库
最新发布
gitblog_00294的博客
08-21 306
推荐文章:And64InlineHook - Android平台上的轻量级ARM64内联钩子库 And64InlineHook项目地址:https://gitcode.com/gh_mirrors/an/And64InlineHook 在移动开发领域,尤其是Android系统中,对于性能的极限追求和对底层操作的需求日益增长。今天,我们将深入探讨一个备受瞩目的开源项目——And64InlineH...
ARM64汇编0C - inlinehook
a5right的博客
06-20 810
本文是ARM64汇编系列的完结篇,主要利用前面学过的知识做一个小实验完整系列博客地址:https://www.lyldalek.top/article/arm这里只讨论 ARM64 下的 inlinehook,做一个简单的demo,只是抛砖引玉,有兴趣了解更多细节的可以去查找资料,看开源项目。ARM64 相比 ARM 的 inlinehook 要麻烦不少,因为有很多指令都没了,且无法直接访问 PC 寄存器。
Windows内核API HOOKInline Hook
daiwen的专栏
04-18 1398
名字起得好,Inline hook,乍一听,似乎很高深。此处的Inline,我以为,意指将汇编代码直接写入内核API的内存区域。Inline Hook不像用户态Hook或SSDT hook(用C语言就足够),它需要在程序中嵌入汇编代码(Inline Assembly)以操作堆栈和执行内核API对应的部分汇编指令。当然,这些都须以驱动的形式进行。所谓API Hook,就是用自己写的函数去替代系统AP
详谈内核三步走Inline Hook实现
ivan240的专栏
11-30 1160
 http://www.cppblog.com/sleepwom/archive/2009/10/17/98819.html?opt=admin 详谈内核三步走Inline Hook实现(一)Inline hook原理Inline hook通俗的说就是对函数执行流程进行修改,达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inline
Android_Inline_Hook,构建一个so文件来自动执行android本地钩子的工作。支持Thumb-2/ARM32。.zip
09-24
在Android中,由于其基于Linux内核且支持多种处理器架构(如ARM、Thumb-2),实现inline hook需要考虑不同的指令集。项目"Android_Inline_Hook"声称支持Thumb-2和ARM32,这意味着它能够覆盖广泛的Android设备。 ...
鲸:适用于AndroidIOSLinuxMacOS的Hook框架
01-31
IOS上的InlineHook仅可在非越狱设备上以debug compile mode使用。 发布编译模式将无法正常工作。 为了解决这个问题,Whale将提供一个名为Binary Static Inline Hook的新内核。 Binary Static Inline Hook将在不久...
【ARM Coresight Debug 系列 16 -- Linux 断点 BRK 中断使用详细介绍】
CodingCos的博客
10-16 2694
上节内容介绍了 BRK 后面跟的立即数会在断点中断发生时,保存到ESR.ISS中,那么我们看下linux 中 BRK 后面的立即数宏定义种类有哪些并分别作用是什么?ARM64中BRK 立即数的定义位于文件/*0x0040x0050x0060x1000x4000x4010x8000x9000x0ff/*:这是用于 Kprobes 的BRK指令的立即数值。Kprobes是Linux内核中的一个动态追踪工具,它允许你在运行时插入断点到内核代码中;
And64InlineHook:适用于Android CC ++的轻量级ARMv8-A(ARM64,AArch64,Little-Endian)内联挂钩库
04-30
And64InlineHook 适用于Android C / C ++的轻量级ARMv8-A(ARM64,AArch64,Little-Endian)内联挂钩库 参考
内核三步走实现Inline Hook
06-18
内核三步走实现Inline Hook,介绍如何挂钩内核函数的模版
Native Hook详细讲解
feather(猎羽)
07-15 493
本文链接:https://blog.csdn.net/feather_wch/article/details/131737387。
驱动开发:内核InlineHook挂钩函数
CSDN
10-31 9538
在上一章中,LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度,本章将在此基础之上实现内联函数挂钩,内核中的InlineHook函数挂钩其实与应用层一致,都是使用劫持执行流并跳转到我们自己的函数上来做处理,唯一的不同的是内核Hook只针对内核API函数,但由于其身处在最底层所以一旦被挂钩其整个应用层都将会受到影响,这就直接决定了在内核层挂钩的效果是应用层无法比拟的,对于安全从业者来说学会使用内核挂钩也是很重要。挂钩的原理可以总结为,通过得到原函数地址,然后保存该函数的前15。
ARM INLINE HOOK (一)
jiang_lostcode的专栏
12-29 1754
运行在ARM指令集的CPU上(比如Android手机),通过HOOK机制,对一些关键的方法进行监控,从而达到一些特殊目的,比如性能监控、安全等。 常用的HOOK方法有:GOT表HookInline Hook。而inline hook具有更广泛的适用性,几乎可以Hook任何函数(当然也有特殊情况无法进行inline hook,后面会提到)。相较于GOT表hookinline hook由于需要能...
Android Arm Inline Hook
云守护的专栏
06-07 3032
http://ele7enxxh.com/Android-Arm-Inline-Hook.html 本文将结合本项目的源代码,详细阐述Android Arm Inline Hook的原理与实现过程。 什么是Inline Hook Inline Hook即内部跳转Hook,通过替换函数开始处的指令为跳转指令,使得原函数跳转到自己的函数,通常还会保留原函数的调用接口。与GOT表H
360内核 inline Hook 分析
09-09 550
今天下载了360的最新的版本,想看下最近360在内核的钩子与以前有没有变化! 与以前一样还是通过分析找到360下钩子的地方。结果发现与以前没有什么变化。 Hook之前: kd> u nt!KiFastCallEntry+0xe1 nt!KiFastCallEntry+0xe1: 8053e621 2be1 sub esp,ecx 8053e623 c1e9...
NT内核下的inline hook
04-29 1160
inline hook原理大概如下:     修改被HOOK函数A的头5个字节,使其跳转到我们自定义的函数B,函数B的类型与函数A要相同。因为我们是使用JMP直接跳转到函数B, 而不是使用正常的CALL指令。在函数B内,我们可以检查函数参数,然后可以直接返回。也可以再调用函数A的一个副本。这个副本在HOOK动作发生的同时,就保存下来了。     代码非常简单,工程打包供大家学习。高手飘过/* * 
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值