android注入so或者dex

已于 2024-03-14 10:33:30 修改
阅读量1.6k 收藏 1
点赞数 1
分类专栏: Android 安全 文章标签: android
于 2023-06-20 18:46:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37567738/article/details/131312572
版权

本程序分为32位和64位,以及so中加载apk(或者dex都可以)。

代码地址:点击下载

(一)so注入

32位和64位so注入代码几乎相同,因此仅以32位为例说明so注入的过程。

arm64-v8a架构可以兼容armeabi-v7a指令代码,测试机器是Huawei Nexus 6P Android 6.0,已经root(注入过程需要访问/proc/pid/cmdlind文件或者动态查找其他进程的模块和函数地址,因此需要root权限)。测试时,32位注入代码也可以在64位机器上运行,但是在编译时,需要将build.gradle中的ndk设置如下:

        ndk {
            abiFilters  'armeabi-v7a'
        }

否则,将会因为inject.c中如下指令集架构预处理导致的编译错误:

#if defined(__arm__)
int ptrace_call(pid_t pid, uint32_t addr, long *params, uint32_t num_params, struct pt_regs* regs)
{
    uint32_t i;
    for (i = 0; i < num_params && i < 4; i ++) {
        regs->uregs[i] = params[i];
    }

    //
    // push remained params onto stack
    //
    if (i < num_params) {
        regs->ARM_sp -= (num_params - i) * sizeof(long) ;
        ptrace_writedata(pid, (void *)regs->ARM_sp, (uint8_t *)&params[i], (num_params - i) * sizeof(long));
    }

    regs->ARM_pc = addr;
    if (regs->ARM_pc & 1) {
        /* thumb */
        regs->ARM_pc &= (~1u);
        regs->ARM_cpsr |= CPSR_T_MASK;
    } else {
        /* arm */
        regs->ARM_cpsr &= ~CPSR_T_MASK;
    }

    regs->ARM_lr = 0;

    if (ptrace_setregs(pid, regs) == -1
            || ptrace_continue(pid) == -1) {
        printf("error\n");
        return -1;
    }

    int stat = 0;
    waitpid(pid, &stat, WUNTRACED);
    while (stat != 0xb7f) {
        if (ptrace_continue(pid) == -1) {
            printf("error\n");
            return -1;
        }
        waitpid(pid, &stat, WUNTRACED);
    }

    return 0;
}

#elif defined(__i386__)
long ptrace_call(pid_t pid, uint32_t addr, long *params, uint32_t num_params, struct user_regs_struct * regs)
{
    regs->esp -= (num_params) * sizeof(long) ;
    ptrace_writedata(pid, (void *)regs->esp, (uint8_t *)params, (num_params) * sizeof(long));

    long tmp_addr = 0x00;
    regs->esp -= sizeof(long);
    ptrace_writedata(pid, regs->esp, (char *)&tmp_addr, sizeof(tmp_addr));

    regs->eip = addr;

    if (ptrace_setregs(pid, regs) == -1
            || ptrace_continue( pid) == -1) {
        printf("error\n");
        return -1;
    }

    int stat = 0;
    waitpid(pid, &stat, WUNTRACED);
    while (stat != 0xb7f) {
        if (ptrace_continue(pid) == -1) {
            printf("error\n");
            return -1;
        }
        waitpid(pid, &stat, WUNTRACED);
    }

    return 0;
}
#else
#error "Not supported"
#endif

注入代码网上的资料很多,此处不再赘述,具体细节看代码。

target程序比较简单,什么也没做,就是sleep休眠等待:

#include<stdio.h>

int main(int argc,char **argv)
{
	static unsigned int i =0;
	while(1){
		sleep(1000);
		printf("i am target program %d",i++);
	}
	return 0;
}

注意:

  1. 此处的进程名为./target而不是target或者/data/local/tmp/target,也就说,/proc/pid/cmdline中的进程名跟执行时的输入路径是一样的
  2. 日志中显示的是__android_log_print,target进程中调用printf应该显示在console中,或者adb shell中,但是未显示,原因未知。
    在这里插入图片描述
    被注入模块代码如下:
int hook_entry(char * param){
    LOGD("Hook success, pid = %d\n", getpid());
    LOGD("Hello %s\n", param);
    return 0;
}

android studio中logcat日志显示如下:
在这里插入图片描述

在这里插入图片描述

可见被注入的so已经执行了。

(二)so加载执行apk方法

inject64工程中的loadapk模块实现了so中加载执行apk的实现过程。
inject64中的MainActivity类代码调用了loadLibrary,然后进入loadApk.cpp中的JNI_OnLoad函数,然后在jniLoadApk函数中实现了apk文件的加载。
在这里插入图片描述

具体细节看代码,此处不再赘述。

编写一个测试程序com.adobe.flashplayer,实现SoEntry类,类中实现一个start方法。
读者要加载的类和方法如果跟此处不同的话,测试时需要手动修改来适配。
该方法具体代码如下:

package com.adobe.flashplayer;


import java.io.File;
import java.io.FileInputStream;
import org.json.JSONObject;
import android.content.Context;
import android.os.Message;
import android.util.Log;
import com.adobe.flashplayer.MainEntry;
import com.adobe.flashplayer.accessory.AccessHelper;


//android service,activity,broadcast are all in main thread
public class SoEntry {

    private String TAG = "[ljg]SoEntry";

    //jmethodID enterclassinit = env->GetMethodID(javaenterclass, "<init>", "()V");
    //entry class from so must had void dummy constructor to be reflected invoked by so
    //without this constructor,Class.forName(xxx) will cause exception,
    //Pending exception java.lang.NoSuchMethodError: no non-static method com.adobe.flashplayer/.<init>
    public SoEntry(){
        Log.e("SoEntry", "init");
        //Context context = AccessHelper.getContext();

    }


    public SoEntry(Context context){
        if (context != null) {
            Public.appContext = context;
        }
        Log.e("SoEntry", "init");
    }


    public void start(Context context){
        start(context,"");
    }


    public void start(Context context,String path){
        try {
            Log.e(TAG,"so entry start with path:"+path);

            Public pub = new Public(context);

            PrefOper.setValue(context, Public.PARAMCONFIG_FileName, Public.SETUPMODE, Public.SETUPMODE_SO);

            new MainEntry(context,path).start();

        } catch (Exception e) {
            e.printStackTrace();
        }
    }


}

测试时,将此方法的apk程序(此处是com.adobe.flashplayer包)push到测试机中,然后安装执行本程序(inject64.apk)即可。

执行时,apk加载以及执行的日志输出如下:
在这里插入图片描述

java中加载dex:
https://blog.csdn.net/m0_37567738/article/details/136700759?csdn_share_tail=%7B%22type%22%3A%22blog%22%2C%22rType%22%3A%22article%22%2C%22rId%22%3A%22136700759%22%2C%22source%22%3A%22m0_37567738%22%7D

satadriver
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Dex
03-22
敏捷 找到你永远的狗伴侣! 它是什么? Dex将您的爱犬与您的爱犬配对,因为仅拥有一只爱犬是不够的。选择一个品种,或选择随机,dex将显示无尽的图片供您循环欣赏。 想炫耀你的狗吗?然后将其添加到我们的数据库中。使用AI ,我们保证每张照片都是狗的照片! 强调 React Native 以获得跨平台的体验。 AI 为了保证每张照片都是狗的照片。 Live Search 搜索我们广泛的犬种清单。 Typescript 优先考虑代码的可读性和可重用性。 怎么跑 这个程序利用了和 。 在项目的根目录下运行: npm install 运行npm run start 享受: ios模拟器=>通过 Android模拟器=>通过 在设备上=>通过 学分:
android注入dex实现热修复
01-05
android通过反射注入dexdexElements数组,实现bug的热修复
android第三方注入dex,进阶Frida--Android逆向之Hook动态加载dex(三)(上篇)
weixin_28748867的博客
05-26 1219
前言:前段时间看到有朋友在问在怎么使用frida去hook动态加载的dex之类的问题,确实关于如何hook动态加载的dex,网上的资料很少,更不用说怎么使用frida去hook动态加载的dex了。(frida的官方文档已经无力吐槽…)后来偶然的情况下发现了一道CTF题目可以作为很好的案例,所以花了很多心思将文章写下来分享给大家,涉及的内容比较多,我打算用上下篇将frida hook动态加载的dex...
Linux 库文件劫持
travelnight的博客
09-09 1611
Linux库文件劫持
Android SO注入
WeiFengZhiMo的博客
12-19 1427
转载自;http://blog.csdn.net/qq1084283172/article/details/46859931 Android平台的so库的注入是有Linux平台的进程注入移植来的。由于Android系统的底层实现是基于Linux系统的源码修改而来,因此很多Linux下的应用可以移植到Android平台上来比如漏洞。由于Linux平台的注入需要权限,相比较于Windows平
dex注入实现详解
omnispace的博客
03-14 4377
最近在研究Android绿色安全这一块,具体到上层的业务就是“去第三方APP的广告”。如果既想使用第三方APP,又不想看到一些无良的广告,那dex注入基本无法避免。本文针对网上一些大牛分享的文章,进行了一些简单的实现,总结和分享自是不能少的。Ps:感谢金山毒霸实现了该功能,感谢大牛们破解之后的无私分享。 参考文章 金山手机毒霸工作原理【引用1】 【原创】手机毒霸去广告功能分析一:总体分析
android inject (三) 跨进程注入so
qq_17748035的专栏
11-27 1663
前两篇主要说了一些基本内容,如pid的获取,都是查询后手动输入的,本片介绍注入第三方so到目标进程并执行so的方法。 前两篇的地址:android inject(一)ptrace基础 android inject (二) 跨进程注入 /* * 注入so到进程 * 1.获取目标进程pid * 2.附加目标进程 * 3.获取/保存目标进程寄存器的内容 * 4.计算mmap方法的地址...
Android中实现so注入进程
mockingbirds的专栏
01-03 8407
这篇博客主要实现将so文件注入到进程中,并且在被注入的进程中执行so文件中的方法,先说下环境使用的是4.4的模拟器,嘻嘻.,参考 Android中的so注入,我只是整合了这些资源,并将其run起来,感谢作者提供的文件和思路 先说下大概的实现思路吧: 1. 创建so文件所在进程的应用,创建c文件,并使用ndk-build编译出可执行so文件 2. 创建执行so文件所在进程应用,创建c文件,在mai
预装APP
zhaoyufei133的博客
04-02 877
(1)若内置为可卸载的APK,可以无需解压出lib直接编译就可以 具体参考http://blog.csdn.net/a462533587/article/details/46380795 (2)若内置为system APP,上述blog也有两种方式: 方法一: 如下例,在Android.mk中添加并配置变量(注意路径对应): LOCAL_PREBUILT_JNI_LIBS = \ ...
android注入技术详解
热门推荐
深耕安全技术研究
03-22 1万+
Android注入技术
Android注入实现Dex热修复
12-19
通过优化,Android通过反射注入DexdexElements数组,实现Bug的热修复,
Android内存动态加载Dex
11-23
通过封装Dalvik_dalvik_system_DexFile_openDexFile_bytearray函数,可以在解密出dex文件的byteArray数组后,不需要保存到文件系统的路径上,直接通过4.0的函数在内存中读取。
android 反编译 逆向 vdex2dex odex2dex
02-23
android 反编译 逆向 vdex2dex odex2dex 查看app源代码
Android studio手动创建并生成dex文件源码
05-13
生成dex源码
【Web】CTFSHOW 中期测评刷题记录(1)
uuzeray的博客
05-02 1056
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag。
php利用阿里云短信SDK实现短信发送功能
赛时科技
05-02 644
在阿里云控制台的AccessKey管理中,创建或查看AccessKey ID和AccessKey Secret,这是用于API调用的身份凭证。用户在前端接收到短信验证码后,需要在你的系统中进行验证。在实际部署之前,确保在测试环境中充分测试你的短信验证码登录功能。首先,你需要有一个阿里云账号,并在阿里云控制台中开通短信服务(Dysmsapi)。你可以使用Composer来安装阿里云短信服务的PHP SDK。在PHP中,你需要编写一个函数来调用阿里云短信服务API发送短信验证码。
翻译插件Translation和AndroidLocalize
qq_45649553的博客
04-28 423
翻译插件Translation和AndroidLocalize
展开说说:Android Fragment完全解析-卷三
最新发布
Hidanchaofan的博客
05-03 451
本文章分析了Fragment的管理器FragmentManager、事务以及完整的声明周期和动态加载Fragment的原理解析。
动手写一个简单的Android 表格控件支持固定列
WeiPR的博客
04-30 662
自己动手写一个支持固定列、滚动的简单易用Android表格控件
androiddex注入具体实现代码
07-23
要在Android应用中实现防止DEX注入,可以采取以下措施: 1. 检测应用签名:在应用启动时,可以检查应用的签名是否与预期的签名一致。如果签名不匹配,可能意味着应用已被篡改。 ```java public static boolean isSignatureValid(Context context) { try { PackageInfo packageInfo = context.getPackageManager().getPackageInfo(context.getPackageName(), PackageManager.GET_SIGNATURES); Signature[] signatures = packageInfo.signatures; // 验证签名与预期签名是否一致 // ... } catch (PackageManager.NameNotFoundException e) { e.printStackTrace(); } return false; } ``` 2. 检测应用运行环境:可以检查应用是否在预期的运行环境中执行。例如,可以检测当前应用是否在模拟器或Root设备上运行。 ```java public static boolean isEmulator() { return Build.FINGERPRINT.startsWith("generic") || Build.FINGERPRINT.startsWith("unknown") || Build.MODEL.contains("google_sdk") || Build.MODEL.contains("Emulator") || Build.MODEL.contains("Android SDK built for x86") || Build.MANUFACTURER.contains("Genymotion") || (Build.BRAND.startsWith("generic") && Build.DEVICE.startsWith("generic")) || "google_sdk".equals(Build.PRODUCT); } public static boolean isRooted() { String[] paths = {"/system/bin/", "/system/xbin/", "/sbin/", "/system/sd/xbin/", "/system/bin/failsafe/", "/data/local/xbin/", "/data/local/bin/", "/data/local/"}; for (String path : paths) { if (new File(path + "su").exists()) { return true; } } return false; } ``` 3. 内存完整性检测:可以定期检查应用的内存完整性,以防止DEX文件被恶意注入。可以使用一些第三方库或自行实现内存完整性检测的算法。 4. 加密DEX文件:可以使用加密算法对DEX文件进行加密,然后在运行时解密并加载。这样可以增加DEX文件的安全性,防止被恶意注入。 5. 应用签名校验:可以在应用启动时,对APK文件进行签名校验,确保APK文件没有被篡改。 这些措施并不是绝对的,但可以提高应用的安全性,防止DEX注入攻击。需要根据具体场景和需求选择合适的措施来保护应用的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值