进击的Android Hook 注入术《四》

最新推荐文章于 2023-08-16 09:58:47 发布
最新推荐文章于 2023-08-16 09:58:47 发布
阅读量646 收藏 1
点赞数
分类专栏: # Android Security 逆向工程 Reverse Engineering Android Hook 文章标签: Android Hook Android IPC Manager AIM Reverse Engineering Android Security

继续

在前 《一》《二》《三》里已经把注入的技术介绍完了,这章开始说注入之后需要做的事情。如果对注入技术已经比较熟悉了,那么可以直接看本章,否则建议先把前三章阅读一遍会比较好。

注入之后

完成了注入,那只是万里长征的第一步。
众所周知,Android的应用进程,都是由Zygote孵化的子进程,每个进程都运行在独立的JVM中。通过ptrace的注入方式,我们得到了在目标进程执行代码的机会,但距离修改JVM的内容,还差那么一点点。我们重新看一下《二》中被注入SO的关键代码:
[cpp] view plain copy
在CODE上查看代码片 派生到我的代码片
  1. void Main();    
  2.     
  3. static void* _main(void*){    
  4.     Main();    
  5.     return NULL;    
  6. }    
  7.     
  8. class EntryClass {    
  9. public:    
  10.     
  11.     EntryClass() {    
  12.         pthread_t tid;    
  13.         pthread_create(&tid, NULL, _main, NULL);    
  14.         pthread_detach(tid);    
  15.     }    
  16.     
  17. } boy;    
当so被注入后,我们的逻辑代码实际上是跑在一个Linux线程上,这样做的目的是为了不对主线程造成干扰。我们的目标是打通Java层,很自然的联想到JNI,通过JNI我们就是可以跟Java层互动了。但这里缺少了一个非常重要的元素——JNIEnv,没有这个对象,JNI就无从说起了。

示例三

我们知道,在JVM进程中,JavaVM是全局唯一的,而JNIEnv则是按线程分配。另外,Dalvik的线程跟Linux线程是一一对应的,因此我们可以把自身所在的线程Attatch到JavaVM,JavaVM就会为我们分配JNIEnv对象了。通过阅读Dalvik源码,从AndroidRuntime中我们可以得到JavaVm的地址,再通过JavaVm所提供的AttachCurrentThead和DetachCurrentThread两个函数,即可完成JNIEnv的获取,示例代码如下:
[java] view plain copy
在CODE上查看代码片 派生到我的代码片
  1. JNIEnv *jni_env = NULL;  
  2. JavaVM *jvm = AndroidRuntime::getJavaVM();  
  3. jvm-AttachCurrentThread(&jni_env, NULL);  
  4. //TODO 使用JNIEnv  
  5.   
  6. jvm->DetachCurrentThread();  
至此,我们就拿到了至关重要的JNIEnv对象了。接下来,我们通过DexClassLoader加载我们的dex文件,关键代码如下所示:
先找到SystemClassLoader
[cpp] view plain copy
在CODE上查看代码片 派生到我的代码片
  1. //ClassLoader.getSystemClassLoader()  
  2. static jobject getSystemClassLoader(){  
  3.  jclass class_loader_claxx = jni_env->FindClass("java/lang/ClassLoader");  
  4.  snprintf(sig_buffer, 512, "()%s", JCLASS_LOADER);  
  5.  jmethodID getSystemClassLoader_method = jni_env->GetStaticMethodID(class_loader_claxx, "getSystemClassLoader", sig_buffer);  
  6.  return jni_env->CallStaticObjectMethod(class_loader_claxx, getSystemClassLoader_method);  
  7. }  
然后通过SystemClassLoader,生成DexClassLoader对象
[cpp] view plain copy
在CODE上查看代码片 派生到我的代码片
  1. snprintf(sig_buffer, 512, "(%s%s%s%s)V", JSTRING, JSTRING, JSTRING, JCLASS_LOADER);  
  2. jmethodID dexloader_init_method = jni_env->GetMethodID(dexloader_claxx, "<init>", sig_buffer);  
  3.   
  4. snprintf(sig_buffer, 512, "(%s)%s", JSTRING, JCLASS);  
  5. jmethodID loadClass_method = jni_env->GetMethodID(dexloader_claxx, "loadClass", sig_buffer);  
  6.   
  7. jobject class_loader = getSystemClassLoader();  
  8. check_value(class_loader);  
  9.   
  10. jobject dex_loader_obj = jni_env->NewObject(dexloader_claxx, dexloader_init_method, apk_path, dex_out_path, NULL, class_loader);  
最后再通过dex_loader_obj加载dex,找到自定义方法的入口,并调用
[cpp] view plain copy
在CODE上查看代码片 派生到我的代码片
  1. jstring class_name = jni_env->NewStringUTF("com.demo.inject2.EntryClass");  
  2. jclass entry_class = static_cast<jclass>(jni_env->CallObjectMethod(dex_loader_obj, loadClass_method, class_name));  
  3.   
  4. jmethodID invoke_method = jni_env->GetStaticMethodID(entry_class, "invoke""(I)[Ljava/lang/Object;");  
  5. check_value(invoke_method);  
  6.   
  7. jobjectArray objectarray = (jobjectArray) jni_env->CallStaticObjectMethod(entry_class, invoke_method, 0);  
至此我们的dex逻辑开始执行了。我让com.demo.inject2.EntryClass.invoke作为的入口函数,从invoke里用上《三》示例中的com.demo.inject的代码,对com.demo.host打印的数据再进行修改(同一个进程被连续注入两次,应该是比较痛苦的)。下面看看inject2中invoke的代码:
[java] view plain copy
在CODE上查看代码片 派生到我的代码片
  1. package com.demo.inject2;  
  2.   
  3. import java.lang.reflect.Method;  
  4.   
  5. import android.content.Context;  
  6. import android.util.Log;  
  7.   
  8. /** 
  9.  *  
  10.  * @author boyliang 
  11.  *  
  12.  */  
  13. public final class EntryClass {  
  14.   
  15.     public static Object[] invoke(int i) {  
  16.   
  17.         try {  
  18.             Log.i("TTT"">>>>>>>>>>>>>I am in, I am a bad boy 2!!!!<<<<<<<<<<<<<<");  
  19.             Context context = ContexHunter.getContext();  
  20.             Class<?> MainActivity_class = context.getClassLoader().loadClass("com.demo.host.MainActivity");  
  21.             Method setA_method = MainActivity_class.getDeclaredMethod("setA"int.class);  
  22.             setA_method.invoke(null1);  
  23.         } catch (Exception e) {  
  24.             e.printStackTrace();  
  25.         }  
  26.   
  27.         return null;  
  28.     }  
  29. }  
代码跟《三》的示例非常相似,只是入口点不一样罢了。注意,这里同样有双亲委派的限制。

输出

am start com.demo.host/.MainActivity
./poison /data/local/tmp/libimportdex.so 738

看看示例三的输出
[plain] view plain copy
在CODE上查看代码片 派生到我的代码片
  1. com.demo.inject starts.  
  2. I/TTT     (  738): com.demo.host starts  
  3. I/TTT     (  738): 1  
  4. I/TTT     (  738): 2  
  5. I/TTT     (  738): 3  
  6. I/TTT     (  738): 4  
  7. I/TTT     (  738): 5  
  8. I/TTT     (  738): >>>>>>>>>>>>>I am in, I am a bad boy!!!!<<<<<<<<<<<<<<  
  9. I/TTT     (  738): 998  
  10. I/TTT     (  738): 999  
  11. I/TTT     (  738): 1000  
  12. I/TTT     (  738): 1001  
  13. I/TTT     (  738): 1002  
  14. I/TTT     (  738): 1003  
  15. I/TTT     (  738): >>>>>>>>>>>>>I am in, I am a bad boy 2!!!!<<<<<<<<<<<<<<  
  16. I/TTT     (  738): 1  
  17. I/TTT     (  738): 2  
  18. I/TTT     (  738): 3  
  19. I/TTT     (  738): 4  
  20. I/TTT     (  738): 5  
  21. I/TTT     (  738): 6  
  22. I/TTT     (  738): 7  
从两次的字符串输出,证明这次的注入修改已经成功了。
示例中的所有代码,都已经上传到https://github.com/boyliang/Java_Injection

最后

到目前为止,我们已经实现如下功能:
  • 注入目标进程
  • 获取JNIEnv地址;
  • 另目标进程加载Dex,并执行指定的方法;

距离我们的目标,还差一步——截获broadcastIntent方法,在《五》里我会再介绍一种叫BinderProxy的技术,通过这种技术,我们可以截获任意的BinderService的方法。



原文地址: http://blog.csdn.net/l173864930/article/details/38467497

Omni-Space
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android Hook DEmo
09-27
Android Hook 概述】 Android Hook是一种在运行时动态修改或拦截系统或应用程序行为的方法,它通过替换或扩展原始方法实现来达到特定目的。HookAndroid 中的应用广泛,例如性能分析、调试、插件化开发...
进击Android注入
简行之旅
08-10 1万+
继续 在前《一》《二》《三》里已经把注入的技wjx
一年半Android工作经验剑指杭州:我是如何拿下头条、阿里和滴滴 offer 的
weixin_43901866的博客
08-14 879
前言 笔者毕业于非双大学,大学毕业社招进入环球网,Android开发工程师一职。 成果 来到杭州的目标非常的明确,大厂。其实就是网易、阿里和滴滴。好在基本三家都拿到了offer。最终决定选择阿里p6。 面试题 大厂流程比较长,比如阿里就面试了将近三周。所以期间也面试了很多别的公司,创业公司or上市公司。这里我把我所被问到的面试题总结梳理一下。简单深入的都有。笔者个人工作经验不丰富,如...
Android 广播(Broadcast)
m0_61130325的博客
08-04 6290
Broadcastandroid中的大组件之一(其他的组件分别是:),是在组件之间传播数据(Intent)的一种机制。广播的发送者和接收者事先是不需要知道对方的存在的。这样带来的好处便是,系统的各个组件可以松耦合地组织在一起,这样系统就具有高度的可扩展性,容易与其它系统进行集成。1.广播接收者的生命周期是非常短暂的,在接收到广播的时候创建,onReceive()方法结束之后销毁2.广播接收者中不要做一些耗时的工作,否则会弹出Application No Response错误对话框。...........
BroadcastReceiver Hook
Jack的博客
08-02 819
6,BroadcastReceiver Hook BroadcastReceiver过程在插件加载时论述过,并且在插件加载的过程中完成。 LoadedPlugin的构造方法中有关BroadcastReceiver方法如下, Map receivers = new HashMap(); for (PackageParser.Activity receiver : this.mPackage.r
Android 插件化之——给插件中的静态注册的BroadcastReceiver发送广播
hujin2017的博客
10-24 475
为了演示静态广播的插件化,我们首先想到的也是使用类似Activity的占坑方案,但是,由于广播的action是不确定的,就 无法确定占坑的广播的action,这样就无法使用在宿主中预先使用占坑广播的方案,还有一点,就是,静态广播是在apk安装时就被PMS解析,并将manifest文件中的关于大组件的配置信息都保存起来,当然也包括了广播的信息。由于插件apk是没有被安装的,所以,插件apk中的静态...
简单Android hook demo
07-07
Android Hook详解】 在Android开发中,Hook是一种强大的调试和分析工具,它允许开发者在不修改原代码的情况下,动态地改变程序的行为。本篇文章将深入探讨如何在Android平台上实现Hook,特别是通过使用LD...
Android Hook实践
12-27
Android开发中,Hook是一种高级的编程技巧,它允许开发者在不修改原始代码的情况下,拦截和修改系统或第三方库的函数调用行为。这种方式在进行插件化、动态加载、调试以及性能监控等方面有着广泛的应用。本...
vr android注入工具inject hook EGL函数eglSwapBuffers 支持arm32,arm64 源代码
11-26
注入安卓服务或APK neweglSwapBuffers 用法: injector com.target.apk /data/local/tmp/libmy.so injector /system/bin/surfaceflinger /data/local/tmp/libmy64bit.so static EGLBoolean neweglSwapBuffers...
C#使用EasyHook注入简单案例
04-27
本案例主要讲解如何使用C#结合EasyHook库来实现简单的程序注入。 首先,让我们了解一下EasyHook的基本概念。EasyHook是一个跨平台的库,它提供了创建本地和远程钩子的能力。钩子是一种技,可以让开发者在特定事件...
Android hook jni,android jnihook
weixin_36294852的博客
05-27 505
用途用于hook JNI相关函数用法可以参考jnihook 目录下的Main.cpp文件创建回调类需要继承JNIInterface如下:并在回调类中实现要hook的方法/*** 创建一个类继承JNIInterface* 用于实现所要hook的方法*/class Test : public JNIInterface {public:void NewStringUTF(JNIEnv *env, con...
android inject (三) 跨进程注入so
qq_17748035的专栏
11-27 1833
前两篇主要说了一些基本内容,如pid的获取,都是查询后手动输入的,本片介绍注入第三方so到目标进程并执行so的方法。 前两篇的地址:android inject(一)ptrace基础 android inject (二) 跨进程注入 /* * 注入so到进程 * 1.获取目标进程pid * 2.附加目标进程 * 3.获取/保存目标进程寄存器的内容 * 4.计算mmap方法的地址...
android注入详解
深耕安全技术研究
03-22 1万+
Android注入
android studio如何添加jni
mrright55的博客
06-30 3106
        最近公司在做jni方面的东西,自己做了小demo在创建新project的时候直接勾选include C++ support,然后项目就会自动在MainActivity中添加static { System.loadLibrary("native-lib"); }public native String stringFromJNI();        同时也会自动创建jni的文...
解密Android开发中的依赖注入:构建可维护的现代应用
最新发布
虎哥LoveDroid
08-16 404
依赖注入(Dependency Injection,DI)是一种软件设计模式,旨在降低模块之间的耦合度,增强代码的可维护性和可测试性。在依赖注入中,组件不再负责直接创建它所依赖的对象,而是将这些依赖通过外部传递进来。这种方式可以通过构造函数、方法参数、属性注入等方式实现。2.1 依赖注入的优势传统的依赖创建方式通常需要在代码中直接创建和初始化依赖对象,导致高度耦合的情况。而通过依赖注入,依赖的创建和管理被移到了外部,使得组件只需要关心接口而不需要关心具体实现,从而实现了组件之间的解耦合。
进击Android注入《五》
热门推荐
简行之旅
08-10 2万+
继续 在Android,几乎所有的IPC通讯都是
Android 源码系列之<三>从安全的角度深入理解BroadcastReceiver(下)
快乐de灰太狼的专栏
04-24 4603
在上一篇文章中我们结合实验讲解了有关使用BroadcastReceiver存在的安全性问题并且给出了相应的解决方案,如果你还没有看过上篇文章请点击这里,最后一条的解决方案是采用官方v4包中的LocalBroadcastManager来解决的,官方介绍说这种方式不仅安全而且更高效,今天我们就从源码的角度来了解一下LocalBroadcastManager,如果你对它非常熟悉,可以跳过本文了(*^__^*)
Android-broadcast-详解
mjyy10181103的博客
04-09 318
http://www.cnblogs.com/playing/archive/2011/03/23/1992030.html 基础用法 BroadcastReceiver: 在Android中,Broadcast是一种广泛运用的在应用程序之间传输信息的机制。而BroadcastReceiver是对发送出来的 Broadcast进行过滤接受并响应的一类组件。下面将详细的阐述如何发送
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值