Android小分享:通用svc跟踪以及hook方案

最新推荐文章于 2024-06-15 09:50:13 发布
最新推荐文章于 2024-06-15 09:50:13 发布
阅读量2k 收藏 4
点赞数
文章标签: android android-studio android jetpack rxjava apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64420071/article/details/124085333
版权
本文介绍了如何在Android中利用seccomp和Frida进行系统调用跟踪,详细讨论了seccomp的机制、Frida的API使用,并针对在实践过程中遇到的syscall调用恢复、堆栈回溯、模块查找等问题提出解决方案,最终实现通用的svc跟踪和hook功能。
摘要由CSDN通过智能技术生成

目前暂时只支持ARM64,ARM32的逻辑也是一样,有兴趣的大佬们可以自行更改哈

具体效果

对 openat进行跟踪:

对 recvfrom进行跟踪:

到底什么是seccomp呢?

其实概念并不难,但是大家要多多实践去操作。
seccomp 是 Linux 内核提供的一种应用程序沙箱机制,主要通过限制进程的系统调用来完成部分沙箱隔离功能。seccomp-bpf 是 seccomp 的一个扩展,它可以通过配置来允许应用程序调用其他的系统调用。

如何和frida结合?

基本原理

        这是一个bpf规则:
        struct sock_filter filter[] = {
        BPF_STMT(BPF_LD + BPF_W + BPF_ABS,
                 (offsetof(struct seccomp_data, nr))),
        BPF_JUMP(BPF_JMP + BPF_JEQ + BPF_K, nr, 0, 1),
        BPF_STMT(BPF
最低0.47元/天 解锁文章
代码与思维
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android系统SVC命令教程
wxie的Linux人生
12-02 3965
svc命令,位置在/system/bin目录下,用来管理电源控制,无线数据,WIFI [java] view plaincopy # svc  svc  Available commands:  help     Show information about the subcommands  power    Control the power manager  dat
基于seccomp+sigaction的Android通用svc hook方案
q_4321的博客
07-05 261
众所周知,目前各大APP的安全模块几乎都会使用自实现的libc函数,如open,read等函数,通过自实现svc方式来实现系统调用。因此我们如果想要hook系统调用,只能通过扫描厂商自实现的代码段,定位svc指令所在地址,再通过inline hook方式来进行hook操作,但是这种方式需要涉及内存修改,很容易被检测到内存篡改行为。
探索Android系统调用的魔法门径:frida-syscall-interceptor深度解析
最新发布
gitblog_00023的博客
06-15 433
探索Android系统调用的魔法门径:frida-syscall-interceptor深度解析 frida-syscall-interceptor项目地址:https://gitcode.com/gh_mirrors/fr/frida-syscall-interceptor 在安卓开发和安全研究的世界里,深入系统的内核,理解每一个细小的系统调用(syscall)是至关重要的。今天,我们将揭开一...
基于seccomp的Android通用svc hook方案
Android技术之家
06-12 662
写在前面 众所周知,目前各大APP的安全模块几乎都会使用自实现的libc函数,如open,read等函数,通过自实现svc方式来实现系统调用。因此我们如果想要hook系统调用,只能通过扫描厂商自实现的代码段,定位svc指令所在地址,再通过inline hook方式来进行hook操作,但是这种方式需要涉及内存修改,很容易被检测到内存篡改行为。作者:风铃Cipher链接:https://juejin....
frida hook svc调用
babytiger的专栏
10-15 2898
在cpp文件中增加了svc的调用,相当于不通过libc的open函数打开/proc/cpuinfo这样在libc中实现对openat的函数就无效了。见下面代码 ////这个函数更新时要运行一下ndk-build ////app\src\main>ndk-build ////如果增加了函数 ////要用\app\src\main>javah -d jni -classpath ./com.rom.cpptest ////重新生成一下或者将鼠标放在新加的函数上,会有提示自动生成函数 #incl.
安卓逆向环境检测--hook
weixin_44348983的博客
06-26 2429
安卓、逆向、检测
SimpleSvmHook:SimpleSvmHook是用于AMD处理器上Windows的研究目的虚拟机管理程序
05-10
SimpleSvmHook 介绍 SimpleSvmHook是用于AMD处理器上Windows的研究目的虚拟机管理程序。 它挂接内核模式功能,并保护它们不被嵌套页面表(NPT)使用,该页面是AMD虚拟化(AMD-V)技术的一部分。 该项目旨在作为AMD处理器上虚拟机自检(VMI)的示例实现,并着重说明与Intel处理器上类似VMI实现的区别。 如果您已经了解 ,那么从功能角度来看,这是AMD的对应产品,但以下描述的内容很少。 隐身钩实现概述 隐形钩是从监视器或检查器组件的外部看不到的一种钩。 在VMI上下文中,隐形钩子由系统管理程序安装和管理到来宾代码中,以重定向指定地址的执行,而来宾不容易检测到。 在虚拟机管理程序中实现隐身挂钩的一种常见方法是使用第二级地址转换(SLAT)(即Intel和Nested上的扩展页表(EPT))来拆分内存的“视图”以进行读/写并从来宾执行访问适用于AM
浅谈svn的hook机制
weixin_30897079的博客
03-15 141
一、什么是钩子 所谓svn的hook机制,就是用户在管理数据仓库的时候,当特定的事件发生时,相应的hook会被调用,hook 其实就相当于特定事件的处理函数。 当前 Subversion 提供了5种可以安装的 hook : 事件名 时机 与hook交互 一般用途 start-commit 事务创建之前。 传给...
一个Android通用svc跟踪以及hook方案——Frida-Seccomp.zip
01-15
方案是为解决特定问题或达成特定目标而制定的一系列计划或步骤。它的作用是提供一种系统性的方法,以有效地应对挑战、优化流程或实现目标。以下是方案的主要作用: 问题解决: 方案的核心目标是解决问题。通过系统...
记录一次编译内核,修改内核源码监控系统调用
u013347872的博客
05-21 334
简单的来说呢就是libc.so里面的一些系统函数比如read(),write()最简单的读写函数,这些函数实际上底层都是由syscall()交给linux内核去实现的他的第一个参数是系统调用号,后面的参数是根据调用的函数来写的现在用android studio开发的话使用系统调用和使用正常的函数一样也不需要去记这些系统调用号都有一个常量表可以很方便的去实现功能在调用syscall时通过会从用户态切换到内核态。
Android的so注入( inject)和函数Hook(基于got表) - 支持arm和x86
墨鱼菜鸡
01-01 203
本文博客地址:http://blog.csdn.net/qq1084283172/article/details/53942648 前面深入学习了古河的Libinject注入Android进程,下面来 深入学习一下作者ariesjzj的博文《Android中的so注入(inject)和挂钩(hook) ...
一次svc简单绕过
灯、等灯等灯...
02-20 449
一次svc简单绕过
GDB之调试系统接口syscall(九)
Android系统攻城狮
09-15 316
本篇目的:GDB之调试系统接口。
android调用系统程序
shazhuzhu1的专栏
06-16 145
android调用系统程序 1.从google搜索内容 Intent intent = new Intent(); intent.setAction(Intent.ACTION_WEB_SEARCH); intent.putExtra(SearchManager.QUERY,"searchString") startActivity(intent);   2.浏览网页 Ur...
Seccomp BPF 详细解析
x646602196的博客
04-13 1610
Secommp (SECure COMPuting) 是 Linux 内核 2.6.12 版本引入的安全模块,主要是用来限制某一进程可用的系统调用 (system call)。它最初被用于 cpushare 这个项目,让人们可以出租自己空闲的 cpu cycle 来执行 untrusted code。这个 feature 本身并不是一个沙盒 (sandbox),它只是一种减少 Linux 内核暴露的机制,是构建一个安全的沙盒的重要组成部分。
hook Android系统调用的乐趣和好处
Fly20141201. 的专栏
02-02 3521
翻译:myswsun 0x00 前言 Android的内核是逆向工程师的好伙伴。虽然常规的Android应用被限制和沙盒化,逆向工程师可以按自己希望自定义和改变操作系统和内核中行为。这给了你不可多得的优势,因为大部分完整性校验和防篡改功能都依赖内核的服务。部署这种可以滥用信任并自我欺骗的内核和环境,可以避免走很多歪路。 Android应用有几种方式和系统环境交互。标准
gd32f303 设计中断优先级_操作系统 | 中断 & 系统调用浅析
weixin_39778668的博客
11-21 556
前言在分析 Android 源码的过程中,往往会经历 app -> framework -> native -> kernel 的过程,最终就来到了用户程序与内核层序的边界,即:系统调用(System Call);清晰地理解系统调用的相关概念,对于后续深刻理解其他重点知识大有裨益。在这篇文章里,我将简单分析 中断 &系统调用 的相关概念,如果能帮上忙,请务必点赞加关注,这...
IO 重定向的Hook和对抗
zhonglunshun的专栏
04-24 366
对于设备指纹来说,系统文件是用来标识设备比较稳定的特征码,特别是对于改设备机型,一般来说,一些关键文件信息可用来标识一台设备。典型的如mac地址文件,序列号文件,还有一些用来标识某个特定机型的,比如小米在framework下就有一些文件的文件大小,md5等信息可拿来和标准机型库比对,已识别设备是否被模拟。攻击方自然也知道这个道理,因此也会修改这些文件,对于非源码定制系统来说,这些文件只能通过hook来修改。在比较早的时期,直接通过hook java代码的类的open方法达到效果,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值