在ios上可以利用越狱后cydia substrate框架的MobileLoader完成,吧plist和dylib放在/Library/MobileSubstrate/DynamicLibraries目录下即可
然而android上的cydia框架却没有类似的便利,同时系统好像也没有此类支持,此时该如何实现呢?这里提出2种方式:
1.对所有app进程都依赖的库和进程做文章,例如liblog.so(substrate) app_process(xposed),或者其他app_process依赖的库。
由于最终app是从 app_process对应的进程zygote 而 fork得到的
liblog可被选择的原因是他的导出函数是app_process依赖的那几个so里导出函数最少的,因此我们fake出一个liblog.so(需要fake出相同的导出函数)的兼容性也能提高一些,
对于liblog这种so我们需要自己生成一个假的的liblog.so,然后通过软链接或者直接替换重命名的方式dlsym得到原始导出函数,然后让我们自己生成的函数去导出他们
而对于app_process则需要修改其依赖库相关的elf结构,让其在启动时加载我们的so文件即可
2.以上方式通过修改文件,或多或少都有兼容问题,但其优点是加载时机早。如果我们只需要针对手动启动的app做自动注入的话,其实只要对zygote进程下手即可,因为后续启动的app都是fork改进程,因此也加载了该so
尝试frida注入,发现失败,大概是他没做兼容
尝试adbi注入zygote,然后启动任意app进程,可以发现新的app存在注入的1.so
root@generic:/data/local/tmp # cat /proc/1124/maps | grep 1.so
cat /proc/1124/maps | grep 1.so
ac2cb000-ac2d0000 r-xp 00000000 1f:00 961 /system/lib/1.so
ac2d0000-ac2d1000 r--p 00004000 1f:00 961 /system/lib/1.so
ac2d1000-ac2d2000 rw-p 00005000 1f:00 961 /system/lib/1.so
b66b0000-b66b2000 r-xp 00000000 1f:00 628 /system/lib/libETC1.so
b66b2000-b66b3000 r--p 00001000 1f:00 628 /system/lib/libETC1.so
b66b3000-b66b4000 rw-p 00002000 1f:00 628 /system/lib/libETC1.so