Andrdoid中对应用程序的行为拦截实现方式之----从Java层进行拦截

最新推荐文章于 2022-09-29 13:44:26 发布
最新推荐文章于 2022-09-29 13:44:26 发布
阅读量448 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44906504/article/details/89489476
版权
本文详细介绍了在Android中如何从Java层实现应用程序的行为拦截,包括动态加载SO文件执行函数、在C层调用Java方法以及替换系统服务以拦截程序行为。通过三个逐步深入的例子,展示了底层注入技术,涉及到的知识点有进程注入、JNIEnv对象的获取以及系统服务的修改。文章提供了相关代码示例和下载链接,适合对Android安全和逆向分析感兴趣的读者。
摘要由CSDN通过智能技术生成
               

致谢:

感谢 简行之旅的这篇blog:http://blog.csdn.net/l173864930/article/details/38455951,这篇文章是参考这篇blog的进行一步一步操作的,如果没有这篇好文章的话,貌似我这篇文章的诞生可能就有点难度了。


今天周日,昨天花了一天的时间总算是搞定了,问题还是想对应用程序的行为进行拦截的操作,就是像小米手机一样,哪些应用在获取你什么权限的信息。在之前写过对应用程序的行为进行拦截的方式(C层)实现的博客,在写完这篇之后,本来想是尽快的把Java层拦截的文章结束的,但是由于各种原因吧,所以一直没有时间去弄这些了。今天算是有空,就总结一下吧。下面进入正题:


一、摘要

我们知道现在一些安全软件都会有一个功能就是能够拦截应用的行为(比如地理位置信息,通讯录等),所以这里就来实现以下这样的功能,当然实现这样的功能有两种方式,一种是从底层进行拦截,这个我在之前的博客中已经讲解过了。没看过的同学可以转战:

http://blog.csdn.net/jiangwei0910410003/article/details/39346151

还有一种方式就是从上层进行拦截,也就是我们今天所要说的内容,这种方式都是可以的,当然很多人更多的偏向上层,因为底层拦截需要熟知Binder协议和Binder的数据格式的。上层拦截就简单点了。


二、知识点概要

首先我们需要了解一点知识就是不管是底层拦截还是上层拦截,都需要一个技术支持:进程注入,关于这个知识点,这里就不作解释了,不了解的同学可以转战:http://blog.csdn.net/jiangwei0910410003/article/details/39293635

了解了进程注入之后,这篇文章主要讲解三点知识:

1、如何动态加载so,并且执行其中的函数

2、如何在C层执行Java方法(NDK一般是指Java中调用C层函数)

3、如何修改系统服务(Context.getSystemService(String...)其实返回来的就是Binder对象)对象

当然我们还需要一些预备知识:知道如何使用NDK进行编译项目,不了解的同学可以转战:

http://blog.csdn.net/jiangwei0910410003/article/details/17710243

这篇文章编译环境是Window下的,个人感觉还是不方便,还是在Ubuntu环境下操作比较方便

还有一点需要声明:就是拦截行为是需要root权限的


三、例子

第一个例子:简单的进程注入功能

目的:希望将我们自己的功能模块(so文件)注入到目标进程中,然后修改目标进程中的某个函数的执行过程

文件:注入功能可执行文件poison、目标进程可执行文件demo1、需要注入的模块libmyso.so


注入功能的可执行文件核心代码poison.c,这个功能模块在后面讲到的例子中也会用到,所以他是公用的

#include <unistd.h>#include <errno.h>#include <stdlib.h>#include <dlfcn.h>#include <sys/mman.h>#include <sys/ptrace.h>#include <sys/wait.h>#include "ptrace_utils.h"#include "elf_utils.h"#include "log.h"#include "tools.h"struct process_hook {
     pid_t   pid; char   *dso;} process_hook = {
   0, ""};int main(int argc, char* argv[]) { LOGI("argv len:"+argc); if(argc < 2)    exit(0); struct pt_regs regs; process_hook.dso = strdup(argv[1]); process_hook.pid = atoi(argv[2]); if (access(process_hook.dso, R_OK|X_OK) < 0) {  LOGE("[-] so file must chmod rx\n");  return 1; } const char* process_name = get_process_name(process_hook.pid); ptrace_attach(process_hook.pid, strstr(process_name,"zygote")); LOGI("[+] ptrace attach to [%d] %s\n", process_hook.pid, get_process_name(process_hook.pid)); if (ptrace_getregs(process_hook.pid, &regs) < 0) {  LOGE("[-] Can't get regs %d\n", errno);  goto DETACH; } LOGI("[+] pc: %x, r7: %d", regs.ARM_pc, regs.ARM_r7); void* remote_dlsym_addr = get_remote_address(process_hook.pid, (void *)dlsym); void* remote_dlopen_addr =  get_remote_address(process_hook.pid, (void *)dlopen); LOGI("[+] remote_dlopen address %p\n", remote_dlopen_addr); LOGI("[+] remote_dlsym  address %p\n", remote_dlsym_addr); if(ptrace_dlopen(process_hook.pid, remote_dlopen_addr, process_hook.dso) == NULL){  LOGE("[-] Ptrace dlopen fail. %s\n", dlerror()); } if (regs.ARM_pc & 1 ) {  regs.ARM_pc &= (~1u);  regs.ARM_cpsr |= CPSR_T_MASK; } else {  regs.ARM_cpsr &= ~CPSR_T_MASK; } if (ptrace_setregs(process_hook.pid, &regs) == -1) {  LOGE("[-] Set regs fail. %s\n", strerror(errno));  goto DETACH; } LOGI("[+] Inject success!\n");DETACH: ptrace_detach(process_hook.pid); LOGI("[+] Inject done!\n"); return 0;}
我们看到,这个注入功能的代码和我们之前说的从底层进行拦截的那篇文章中的注入代码(inject.c)不太一样呀?这个是有人在网上从新改写了一下,其实功能上没什么区别的,我们从main函数可以看到,有两个入口参数:

第一个是:需要注入so文件的全路径

第二个是:需要注入进程的pid

也就是说,我们在执行poison程序的时候需要传递这两个值。在之前说道的注入代码(inject.c)中,其实这两个参数是在代码中写死的,如果忘记的同学可以回去看一下,就是前面提到的从底层进行拦截的那篇文章。

那么这样修改之后,貌似灵活性更高了。

当然注入功能的代码不止这一个,其实是一个工程,这里由于篇幅的原因就不做介绍了,工程的下载地址:

http://download.csdn.net/detail/jiangwei0910410003/8138061

使用NDK编译一下,生成可执行文件就OK了。


第一部分:代码实现

1)目标进程依赖的so文件inso.h和inso.c

__attribute__ ((visibility ("default"))) void setA(int i);__attribute__ ((visibility ("default"))) int getA();

inso.c代码

#include <stdio.h>#include "inso.h"static int gA = 1;void setA(int i){   gA = i;}int getA(){   return gA;}

编译成so文件即可,项目下载:http://download.csdn.net/detail/jiangwei0910410003/8138107


2)目标进程的可执行文件demo1.c

这个就简单了,就是非常简单的代码,起一个循环每个一段时间打印数值,这个项目需要引用上面编译的inso.so文件

头文件inso.h(和上面的头文件是一样的)

__attribute__ ((visibility ("default"))) void setA(int i);__attribute__ ((visibility ("default"))) int getA();

demo1.c文件

#include <stdio.h>#include <unistd.h>#include "inso.h"#include "log.h"int main(){ LOGI("DEMO1 start."); while(1){  LOGI("%d", getA());  setA(getA() + 1);  sleep(2); } return 0;}
代码简单吧,就是执行循环打印数值,这里使用的是底层的log方法,在log.h文件中定义了,篇幅原因,这里就不列举了,项目下载地址: http://download.csdn.net/detail/jiangwei0910410003/8138071


3)注入的模块功能源文件myso.c

#include <stdio.h>#include <stddef.h>#include <dlfcn.h>#include <pthread.h>#include <stddef.h>#include  "log.h"__attribute__ ((__constructor__))void Main() { LOGI(">>>>>>>>>>>>>Inject Success!!!!<<<<<<<<<<<<<<"); void (*setA_func)(int); void* handle = dlopen("libinso.so", RTLD_NOW); LOGI("Handle:%p",handle); //void (*setA_func)(int) = (void (*)(int))dlsym(handle, "setA"); setA_func = (void (*)(int))dlsym(handle,"setA"); LOGI("Func:%p",setA_func); if (setA_func) {    LOGI("setA is Executing!!!");    (*setA_func)(999); } dlclose(handle);}

说明:

这段代码需要解释一下,首先来看一下:

__attribute__ ((__constructor__))
gcc为函数提供了几种类型的属性,其中包含:构造函数(constructors)和析构函数(destructors)。
程序员应当使用类似下面的方式来指定这些属性:

static void start(void) __attribute__ ((constructor));static void stop(void) __attribute__ ((destructor));
带有"构造函数"属性的函数将在main()函数之前被执行,而声明为"析构函数"属性的函数则将在main()退出时执行。
用法举例: 
#include <iostream>
最低0.47元/天 解锁文章
qq_44906504
关注
【SpringBoot】26、SpringBoot整合MyBatis-Plus实现数据库操作
Asurplus
07-23 21万+
MyBatis 框架相信大家都用过,虽然 MyBatis 可以直接在 xml 通过 SQL 语句操作数据库,很是灵活。但正其操作都要通过 SQL 语句进行,就必须写大量的 xml 文件,很是麻烦。于是 MyBatis-Plus 应运而生,作为 MyBatis 的增强工具,更是为我们开发效率得到了质的飞跃。 一、简介 1、MyBatis MyBatis 是一款优秀的持久框架,它支持自定义 SQL、存储过程以及高级映射。MyBatis 免除了几乎所有的 JDBC 代码以及设置参数和获取结果集的工作。MyBa
【SpringBoot】46、SpringBoot整合JWT实现Token验证(拦截器篇)
热门推荐
Asurplus
02-28 21万+
前言 上篇文章我们已经实现了使用自定义注解验证 token 信息,这样我们就会发现,当我们需要验证的接口较多时,我们需要每个方法上面都加上 @JwtToken 这个注解,也是非常麻烦, 本片文章,我们继续使用拦截器来实现 token 信息的验证 如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot整合JWT实现Token验证(整合篇) 如果对自定义注解验证 token 信息感兴趣的朋友,可以看看我的这篇博客:【SpringBoot】四十五、Spr
Andrdoid应用程序行为拦截实现方式----从底C进行拦截
weixin_30729609的博客
09-17 172
之前的一篇概要文章主要说了我这次研究的一些具体情况,这里就不在多说了,但是这里还需要指出的是,感谢一下三位大神愿意分享的知识(在我看来,懂得分享和细致的人才算是大神,不一定是技术牛奥~~)第一篇:http://blog.csdn.net/jinzhuojun/article/details/9900105第二篇:http://bbs.pediy.com/showthread.php?t=18...
Android应用程序行为拦截实现方式概要
chupu2979的博客
06-24 119
这次是真的好长时间都没有写博客了,主要不是因为工作上的事,主要还是这个问题真的有点复杂,实现起来有点麻烦,所以研究了很长时间(大约有一个月的时间)。但是幸好最后问题搞定了~~ 一、问题场景 想实现360手机卫士那样可以拦截应用请求系统的一些权限(比如:位置信息,通讯录等) 二、目的 公...
Andrdoid应用程序行为拦截实现方式----Java进行拦截
weixin_34192816的博客
03-11 236
致谢:感谢 简行之旅的这篇blog:http://blog.csdn.net/l173864930/article/details/38455951,这篇文章是參考这篇blog的进行一步一步操作的,假设没有这篇好文章的话,貌似我这篇文章的诞生可能就有点难度了。今天周日,昨天花了一天的时间总算是搞定了。问题还是想相应用程序行为进行拦截的操作,就是像小米手机一样,哪些应用在获取你什么权限的信息。...
在Android App开发实现任意Java方法的拦截
农场老马的专栏
11-27 7937
在Android的App开发过程,经常会有一些导致App进程崩溃的FrameworkBug,比如这里讲的Cookie同步引起的崩溃等问题。这种情况下,我们如果能拦截到Framework的Api调用,对它做个包装把异常捕捉住,就可以避免这个问题了。 当时,纯Java是做不到的,而Java的Proxy机制也只能针对自己定义的类,系统Framework的类就不管用了。这里面说一种通过借鉴J
Java进行拦截Andrdoid应用程序行为
02-21
在之前写过对应用程序行为进行拦截方式(C)实现的博客,在写完这篇之后,本来想是尽快的把Java拦截的文章结束的,但是由于各种原因吧,所以一直没有时间去弄这些了。今天算是有空,就总结一下吧。下面进入...
uni-app 怎么实现路由拦截
郊眠寺
09-29 1万+
为大家准备了一个前端资料包。包含54本,2.57G的前端相关电子书,《前端面试宝典(附答案和解析)》,难点、重点知识视频教程(全套)。有需要的小伙伴,可以点击下方卡片领取,无偿分享。
Windows:32位Inline Hook
无名J0kзr的博客
03-13 704
文章目录什么是Inline Hook使用DLL实现对其他进程的Inline Hook 什么是Inline Hook Inline Hook,即内联钩子。 系统提供的API都保存在DLL文件,当程序运行需要调用某个API时,它会隐式地将此API所在的DLL文件加载到其进程。那么,如果我们使用一种方法,直接修改DLL的API函数在内存的映像,使API函数的首条代码为jmp MyFuncAddress这样就可以执行自己的函数了。 由于这种方法是直接在程序嵌入jmp指令来实现Hook的,所以把它称为内联钩
Android强制关闭某个指定应用 “关闭应用”
weixin_30265171的博客
01-23 1697
强制关闭指定的应用程序: // 传入应用的包名即可kill掉应用 private void forceStopApp(String packageName) { ActivityManager am = (ActivityManager) mContext .getSystemService(Context.ACTIVITY...
【干货篇】Android各版本拦截进程对AMS的请求实战,墙裂建议收藏
Androiddddd的博客
01-21 1058
苍耳叔叔:博客地址 概述 接着上次后台启动 Activity 的需求,依照 实战|Android后台启动Activity实践之路 的一些方法处理后,虽然在 Android Q 版本上还是有一些问题,但后台启动的能力算是基本完成了,后来我又解开了小米 ROM 的源码,找到了他们后台启动这一项权限的实现方式以及怎么绕开这项权限的方法,发现结果意外的简单…(这部分以后有机会单独写一篇文章)。 这篇文章发生在后台启动的调研之后,如果我们要后台启动的 Activity 页面在第三方 SDK 里,且启动该页面的动作.
.framework设置函数的可见性(__attribute__((visibility ("XXX"))))
Victor_Barnett 的家园
05-14 1709
.framework设置函数的可见性 visibility用于设置动态链接库函数的可见性,将变量或函数设置为hidden,则该符号仅在本so可见,在其他库则不可见。 g++在编译时,可用参数-fvisibility指定所有符号的可见性(不加此参数时默认外部可见,参考man g++-fvisibility部分);若需要对特定函数的可见性进行设置,需在代码使用__attribute__设...
__attribute__ ((visibility("default")))
yefengxuelang的专栏
09-03 5508
Attribute Definitions Specific to g++     作为对visibility属性(详见于“Visibility Attributes and Pragmas for GCC C++ Libraries”)的补充,g++提供了2个额外的属性,即init_priority(priority)和java_interface属性。     The init_prior
安卓网络请求之日志拦截
qq_24550911的博客
04-15 2228
自己用起来比较顺手的日志拦截器 //收集请求参数,方便调试 StringBuilder paramsBuilder = new StringBuilder(); StringBuilder jsonBuilder = new StringBuilder(); String url = orgRequest.url().toString(); String merge = orgRequest.url().toString(); int last = merge.lastIndexOf('/
(android开发http拦截)fiddler2抓包工具
蓝叶菱的专栏
03-16 1611
fiddler2抓包工具android抓包http拦截:(主要是为了便于android开发者能够实时看到自己的http 的请求与返回值,同时也为了查看其它app的数据请求的方式,参数等)1).下载fiddler2汉化版软件,下载地址: http://www.cr173.com/soft/42248.html 2).安装完成之后,设置一些属性: a. 设置fiddler的属性:  b.设置手机的属性...
阻止android应用调用_如何在Android上设置应用时间限制和阻止应用
09-23 2952
阻止android应用调用Khamosh Pathak Khamosh Pathak Spending way too much time on your Android device? Use a digital wellbeing app to track your app usage and set app limits. Want some peace of mind? Block spe...
Android 被动依赖注入框架
ganyao939543405的博客
04-17 2132
1.lazyInject 被动依赖注入框架 for Android Github 2.配置 关闭 Instant Run Setting-&amp;amp;gt;Build-&amp;amp;gt;Instant Run 此项功能与 AspectJ(本项目依赖 AsoectJ) 冲突 Gradle 根目录/build.gradle buildscript { ... ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值