SandHook 第三弹 - 性能优化 & Xposed 模块 & 阻止 VM Inline

最新推荐文章于 2024-04-02 09:47:44 发布
置顶 最新推荐文章于 2024-04-02 09:47:44 发布
阅读量5.6k 收藏 10
点赞数 7
分类专栏: Android jvm Android技术 文章标签: Android ART Hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ganyao939543405/article/details/87885893
版权
Android技术 同时被 3 个专栏收录
57 篇文章 17 订阅
订阅专栏
Android
48 篇文章 13 订阅
订阅专栏
jvm
12 篇文章 2 订阅
订阅专栏

简介

前面有提到过 SandHook 需要手动写一个 Hook 方法作为 Hook 的入口,所以想要兼容 Xposed Callback 式 API 就必须凭空生成一个 Hook 方法来转发 Xposed Callback 逻辑。

所以我选择了 DexMaker,但是 Dexmaker 生成代码并且加载的时候还是太慢了,尽管只需要第一次生成(后面只需要加载即可),第一次 Hook 一个函数大概需要耗费 100ms 的时间。

至于 Backup 方法,则可写可不写,如果不写,则可以直接 New 一个 Method,将原 ArtMethod 中的数据填充进去,但是这里有个比较蛋疼的问题。真实存在的 ArtMethod 是在 Non-Moving 堆中的,也就是说,原版的 ArtMethod 不会 Moving GC,而 New 出来的只是一个普通对象,GC 的时候地址就会移动,每次调用 backup 方法之前都需要检查是否被移动。
当然 SandHook 预先写了一堆空方法备用。

优化方案

其实优化方案很简单,依然是预先写一堆 Stub 函数,但是这些 Stub 变成了 hook 函数,并不仅仅在 Non-Moving Space 中占一个坑。他还需要接收原方法的参数,调用 XposedBridge,并且返回返回值。

参数接收

Epic 是到栈中将参数一个个捞出来,而 SandHook 则将参数全部设为 long(32bit 为 int)

原因很简单:

  • 函数调用方将参数列表一个个 Append 进(寄存器)栈中
    在 64 位下所有的参数都占 8 个字节,long 也是 8 个字节。基本类型则为数值,而对象类型则为对象地址。32 位下,long 和 double 占 8 字节,其他均为 4 字节。
  • 而 hook 方法作为接收方统一按 long(32bit 按 int) 接收,然后再将参数还原。
  • 返回值和参数类似处理
  • 参数列表可以尽量长,这样可以兼顾参数比较少的函数。

参数转换

如何转换?

对象

对象地址使用 jweak JavaVMExt::AddWeakGlobalRef(Thread* self, ObjPtrmirror::Object obj) 转换成 java 对象。

jweak JavaVMExt::AddWeakGlobalRef(Thread* self, ObjPtr<mirror::Object> obj) {
  if (obj == nullptr) {
    return nullptr;
  }
  MutexLock mu(self, *Locks::jni_weak_globals_lock_);
  // CMS needs this to block for concurrent reference processing because an object allocated during
  // the GC won't be marked and concurrent reference processing would incorrectly clear the JNI weak
  // ref. But CC (kUseReadBarrier == true) doesn't because of the to-space invariant.
  while (!kUseReadBarrier && UNLIKELY(!MayAccessWeakGlobals(self))) {
    // Check and run the empty checkpoint before blocking so the empty checkpoint will work in the
    // presence of threads blocking for weak ref access.
    self->CheckEmptyCheckpointFromWeakRefAccess(Locks::jni_weak_globals_lock_);
    weak_globals_add_condition_.WaitHoldingLocks(self);
  }
  std::string error_msg;
  IndirectRef ref = weak_globals_.Add(kIRTFirstSegment, obj, &error_msg);
  if (UNLIKELY(ref == nullptr)) {
    LOG(FATAL) << error_msg;
    UNREACHABLE();
  }
  return reinterpret_cast<jweak>(ref);
}

可以用 dlsym/fake_dlsym 搜索到。

基本类型

long 可以直接转成 int char byte short 等等,boolean 判断是不是 0 即可,float 和 double 则是存在浮点寄存器,而 long 是在通用寄存器,在参数列表和返回值中发现这两个类型直接转用 dexmaker 即可,一般这两种参数也少。
另外在 32bit 下 long/double 是 8 字节,参数列表中间夹了这两种类型参数会造成参数列表混乱,直接跳过走 Dexmaker。

最后写了个 python 脚本自动生成 stub 函数,基本 9 成以上的函数 hook 直接走 stub,耗时仅仅 1 - 3ms。

支持 Xposed 模块

最后结合 VirtualApp 简单实现了一个类似 VXP 的免 Root Xposed 容器,目前测了 Q++, 应用变量,XPrivacyLua,MDWechat 等模块可以使用。

https://github.com/ganyao114/SandVXposed

阻止 Inline

现象

VM 的 Inline 优化一直是我们 Hook 的最大阻碍,这里做个实验:

Android 7.1:

  • 被 Hook 的测试方法
public String testInline(String a, int b, int c) {
        b++;
        c++;
        return "origin res" + a;
    }
  • 调用测试方法的大循环
new Thread(new Runnable() {
            @Override
            public void run() {
                while (true) {
                    Log.e("TestInline", "res = " + testInline.testInline("xxx", 1, 3));
                }
            }
        }).start();
  • Hook 点

主要修改了原方法的返回值

XposedHelpers.findAndHookMethod(TestInline.class, "testInline", String.class, int.class, int.class, new XC_MethodHook() {
            @Override
            protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                super.beforeHookedMethod(param);
                param.setResult("hooked res");
            }

            @Override
            protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                super.afterHookedMethod(param);
            }
        });
  • 实验结果

前 1 s,方法 Hook 正常,输出 Hook 后的返回值:

02-25 09:32:22.099 28532-28548/com.swift.sandhook E/TestInline: res = hooked res

1s 之后:

res = origin resxxx
    res = origin resxxx
    res = origin resxxx
    res = origin resxxx
    res = origin resxxx
    res = origin resxxx
    res = origin resxxx

这说明不到一秒,由于被 Hook 方法过于简单,而调用该方法的方法热度较高,调用者发生了 Inline 优化并且进行了栈上替换。

解决办法

研究 ART 源码发现:
当被 inline 方法的 code units 大于设置的阈值的时候,方法 Inline 失败。
这个阈值是 CompilerOptions -> inline_max_code_units_


const CompilerOptions& compiler_options = compiler_driver_->GetCompilerOptions();
  if ((compiler_options.GetInlineDepthLimit() == 0)
      || (compiler_options.GetInlineMaxCodeUnits() == 0)) {
    return;
  }

 bool should_inline = (compiler_options.GetInlineDepthLimit() > 0)
      && (compiler_options.GetInlineMaxCodeUnits() > 0);
  if (!should_inline) {
    return;
  }

  size_t inline_max_code_units = compiler_driver_->GetCompilerOptions().GetInlineMaxCodeUnits();
  if (code_item->insns_size_in_code_units_ > inline_max_code_units) {
    VLOG(compiler) << "Method " << PrettyMethod(method)
                   << " is too big to inline: "
                   << code_item->insns_size_in_code_units_
                   << " > "
                   << inline_max_code_units;
    return false;
  }

那么想办法把这个阈值设为 0 就可以了。

经过搜索,CompilerOptions 一般与 JitCompiler 绑定:

class JitCompiler {
 public:
  static JitCompiler* Create();
  virtual ~JitCompiler();

..............
 private:
  std::unique_ptr<CompilerOptions> compiler_options_;

	............
};

}  // namespace jit
}  // namespace art

而 ART 的 JitCompiler 为全局单例:

  // JIT compiler
  static void* jit_compiler_handle_;

  jit->dump_info_on_shutdown_ = options->DumpJitInfoOnShutdown();
  if (jit_compiler_handle_ == nullptr && !LoadCompiler(error_msg)) {
    return nullptr;
  }

  jit_compiler_handle_ = (jit_load_)(&will_generate_debug_symbols);

extern "C" void* jit_load(bool* generate_debug_info) {
  VLOG(jit) << "loading jit compiler";
  auto* const jit_compiler = JitCompiler::Create();
  CHECK(jit_compiler != nullptr);
  *generate_debug_info = jit_compiler->GetCompilerOptions()->GetGenerateDebugInfo();
  VLOG(jit) << "Done loading jit compiler";
  return jit_compiler;
}

ok,那么我们就得到了 “static void* jit_compiler_handle_” 的 C++ 符号 “_ZN3art3jit3Jit20jit_compiler_handle_E“

最后修改里面的值就可以了。

ART Invoke 代码生成分析

https://blog.csdn.net/ganyao939543405/article/details/88079544

OSTCB
关注
  • 7
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XposedBridgeApi-54&XposedInstaller_3.1.5.apk
05-20
使用方法csdn:https://blog.csdn.net/cattleDrinkRedWine/article/details/106235422 里面是xposed两个内容,一个是XposedInstaller_3.1.5.apk 一个是XposedBridgeApi-54.jar 用于使用xposed的。
fscanf函数_ywyuan_新浪博客
耘田
03-16 153
下面介绍一个例子, 运行后产后一个test.dat的文件。 例1: #include main() { char *s="That's good news"); int i=617; FILE *fp; ...
SandHook 第四Android Q 支持 & Hidden API & Inline 的特别处理
ganyao939543405的博客
03-15 3184
SandHook 目前支持 4.4 - 10.0 32/64 bit 支持 Xposed API Github: https://github.com/ganyao114/SandHook Android Q 支持 Hidden Api 这个是从 Android P 就开始引入的反射限制机制。 目前来说有几种方案: Hook 法,Hook 某些判断函数,修改 ART 对限制 API 的判断流程 ...
探索未来安卓修改框架:SandVXposed
最新发布
gitblog_00093的博客
04-02 330
探索未来安卓修改框架:SandVXposed 项目地址:https://gitcode.com/asLody/SandVXposed SandVXposed 是一个由开发者 asLody 创建的新型安卓修改框架,它为用户提供了一种在不root手机的情况下运行Xposed模块的可能性。该项目利用了Android沙箱技术,让应用程序能够在系统层面上进行定制,而无需对设备进行深入的权限更改。 技术解析...
使用sandhook进行Native Hook
someby的博客
04-25 6437
@[TOC]sandhook进行android的Native层hook 为什么写这篇笔记 最近在进行so分析,需要将so中一个方法的加密钱的数据获取到,并传到app上获取到进行分析,于是就使用该框架完成了这个功能。 代码 #include <jni.h> #include <string> #include <android/log.h> #include "sandhook_native.h" #include<dlfcn.h> #include <s
Android SandHook 使用
lebulangzhen的博客
09-08 1710
Android Hook 框架使用
xposed中集成sandhook框架实现native层hook
weixin_44348983的博客
08-16 567
xposed中集成sandhook,使其具有so hook能力
Android hook、检测及对抗相关
u013083465的专栏
06-29 2281
Android hook、检测及对抗相关
Android 编译优化——dex2oat编译
M_Andrain的博客
12-21 1155
一、ART 即时 (JIT) 编译器实现 Android Runtime (ART) 包含一个具备代码分析功能的即时 (JIT) 编译器,该编译器可以在 And...
Linux - 应用调用libc.so库的exit函数后CPU占100%,一直没有完成退出操作
IT架构师
06-06 545
Linux - 应用调用libc.so库的exit函数后CPU占100%,一直没有完成退出操作 问题现象 使用top命令查看,问题进程占满100% CPU; 使用perf top -p <PID>查看到99.72%的CPU比例消耗在C++标准库中的Rb_tree_increment。 [[email protected]] ~ # perf top -p <PID> Sample: 272k of event 'cycle', Event count (approx.): 5847980
Linux下监控所有进程的退出事件(x86_64下hook系统调用do_exit)
weixin_42915431的博客
05-28 2343
我们想捕获到每个程序启动的信息,则要hook系统调用execve,我们很容易想到了通过__NR_execve来完成,在x86_64上,如果你这么做了,那么会很不幸的造成系统崩溃,为何会这样呢,查看内核源码会发现__NR_execve对应的其实是stub_execve,不能简单的替换成sys_execve,还需要处理栈平衡,那么该如何做呢,本文暂且不讲,后面会另起文章介绍如何hook系统调用execve。
SandHook,Android艺术挂钩-支持5.0-9.0 32/64位.zip
09-25
安卓艺术挂钩
Android代码-An Android hook framework written like Xposed,based on YAHFA.
08-06
BudHook BudHook add a similar Xposed api to YAHFA. BudHook based on several projects below: YAHFA asmdex TurboDex What did it solved When using YAHFA, every hook of a method, you have to write a method to replace it, if you want to call the original method, you must write another method to save the original method information. This is very troublesome to use. BudHook generates these methods dynamically. It is very simple to use. How it works When hooking a method, budhook will generate the two
Android-AndroidARTHook实现-SandHook
08-13
Android ART Hook - 支持 5.0 - 9.0 32/64 bit - Xposed API Compat
NoActive墓碑 v1.7-Alpha-Xposed模块.zip
08-30
NoActive墓碑 v1.7-Alpha-Xposed模块.zip含下载地址可存云盘
EdXposed-SandHook-v0.5.1.3_4646-master-release_xposed_EdXposed-S
10-01
XposedThingWordshuujbgujj
Parallel:并行-Zawgyi-Unicode桥(Xposed模块
05-16
平行Zawgyi-Uni-Bridge 并行-Zawgyi-Unicode桥(Xposed模块) 此程序受MIT许可。
NFC-Activity-Monitor:基于Xposed Framework的android模块,可帮助您监视第三方应用程序如何使用NFC
04-30
Xposed Framework模块,可帮助您监视正在使用NFC的第三方应用程序。 入门 先决条件 这是Xposed框架的模块。 为了使用它,您必须启动设备并安装 正在安装 要使用此模块,您必须使用Android Studio克隆此项目,然后...
Android ART Hook 实现 - SandHook
热门推荐
ganyao939543405的博客
01-27 2万+
简介 Github: https://github.com/ganyao114/SandHook 关于 Hook,一直是比较小众的需求。本人公司有在做 Android Sandbox(类似 VA),算是比较依赖 Hook 的产品,好在 Android Framework 大量使用了代理模式。所以也不用费劲在VM层作文章了,直接用动态代理即可。 然而,VM 层的 Java Hook 还是有些需求的,...
xposed模块开发
03-16
Xposed模块是一种Android应用,它能够在不修改系统文件的情况下改变系统或应用程序的行为。Xposed框架允许开发者创建模块来修改系统或应用的功能。开发Xposed模块需要了解Android应用开发的基础知识,并且需要学习...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值