Android安全-Native Hook

最新推荐文章于 2023-07-02 11:48:38 发布
最新推荐文章于 2023-07-02 11:48:38 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: 博客 文章标签: android so hook

原帖地址:http://www.kanxue.com/bbs/showthread.php?t=199574


转载是因为他写的调理清楚,排版清楚,最重要的是因为他简单明了的说 清楚了  Android-Native Hook



目录[-]


0x1 原理

    在完成对目标进程的动态库注入后,我们通常还需要改变目标进程的执行流程、替换原函数从而达到自己的目的。而所谓的Hook是指改变待Hook函数的入口地址,转而指向我们的函数,变更原函数功能。

0x2 流程

    Native Hook过程如下:

        0x01 注入SO(libhook.so)成功后,调用dlsym函数,获取SO中函数handle_hook的地址;

        0x02 调用函数handle_hook,完成Native Hook


0x3 实现

    0x01 注入SO(libhook.so)成功后,调用dlsym函数,获取SO中函数handle_hook的地址

        首先调用dlopen("libhook.so", "RTLD_NOW"),返回一个SO句柄handle,调用dlsym(handle, "handle_hook"),返回libhook.so中函数handle_hook的地址handle_hook_addr。

    0x02 调用函数handle_hook,完成Native Hook

        handle_hook的具体实现:

            通过解析SO文件,将待Hook函数在got表的地址替换为自己函数的入口地址,这样目标进程每次调用待Hook函数时,实际上是执行了我们自己的函数。(ps:事实上没有说的这么简单,需要对elf文件格式、动态库装载原理有深入理解)


0x4 关键

    0x01 elf中重要的三个表:

        字符串表:包含以空字符结尾的字符序列,使用这些字符来描绘符号和节名;

        符号表:保存了一个程序在定位和重定位时需要的定义和引用的信息;

        重定位表:保存了需要重定位的符号的信息;

        (ps:之前所说解析SO文件,其实主要目的就是获得这三个表的信息)

    0x02 如何找到待Hook函数在got表的地址以及自己函数的入口地址:

        0x001 读取ELF文件头(ELF文件头起始于 ELF 文件开始的第一字节),取出:

            节头表的文件偏移(shdr_base),获取节头表在文件中的位置;

            节头表的项数(shnum),获取节头表的项数;

            与节名称字符串表关联的项的节头表索引(shstr_base),并将其缓存起来(shstr);

?
1
2
3
4
5
6
7
8
9
10
int  fd;
fd = open(module_path, O_RDONLY);   
Elf32_Ehdr *ehdr = (Elf32_Ehdr *) malloc ( sizeof (Elf32_Ehdr));
read(fd, ehdr,  sizeof (Elf32_Ehdr)) !=  sizeof (Elf32_Ehdr);
uint32_t shdr_base = ehdr -> e_shoff;
uint16_t shnum = ehdr -> e_shnum;
uint32_t shstr_base = shdr_base + ehdr -> e_shstrndx *  sizeof (Elf32_Shdr);
Elf32_Shdr *shstr = (Elf32_Shdr *) malloc ( sizeof (Elf32_Shdr));
lseek(fd, shstr_base, SEEK_SET);
read(fd, shstr,  sizeof (Elf32_Shdr));

        0x002 读取节头表索引,取出:

            节的大小(sh_size)、节的名称(sh_name);

            遍历节名,分别将节名为.dynsym、.dynstr、.got、.rel.plt的节缓存起来(dynsym_shdr、dynstr_shdr、got_shdr、relplt_shdr);

            通过上一步获取的节,分别获得对应的表,并将其缓存;

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
char  *shstrtab = ( char  *) malloc (shstr -> sh_size);
lseek(fd, shstr -> sh_offset, SEEK_SET);
read(fd, shstrtab, shstr -> sh_size);
Elf32_Shdr *shdr = (Elf32_Shdr *) malloc ( sizeof (Elf32_Shdr));
lseek(fd, shdr_base, SEEK_SET);
uint16_t i;
char  *str = NULL;
Elf32_Shdr *relplt_shdr = (Elf32_Shdr *)  malloc ( sizeof (Elf32_Shdr));
Elf32_Shdr *dynsym_shdr = (Elf32_Shdr *)  malloc ( sizeof (Elf32_Shdr));
Elf32_Shdr *dynstr_shdr = (Elf32_Shdr *)  malloc ( sizeof (Elf32_Shdr));
Elf32_Shdr *got_shdr = (Elf32_Shdr *)  malloc ( sizeof (Elf32_Shdr));
for (i = 0; i < shnum; ++i) {
     read(fd, shdr,  sizeof (Elf32_Shdr));
     str = shstrtab + shdr -> sh_name;
     if ( strcmp (str,  ".dynsym" ) == 0)
         memcpy (dynsym_shdr, shdr,  sizeof (Elf32_Shdr));
     else  if ( strcmp (str,  ".dynstr" ) == 0)
         memcpy (dynstr_shdr, shdr,  sizeof (Elf32_Shdr));
     else  if ( strcmp (str,  ".got" ) == 0)
         memcpy (got_shdr, shdr,  sizeof (Elf32_Shdr));
     else  if ( strcmp (str,  ".rel.plt" ) == 0)
         memcpy (relplt_shdr, shdr,  sizeof (Elf32_Shdr));
}
 
//读取字符表
char  *dynstr = ( char  *)  malloc ( sizeof ( char ) * dynstr_shdr->sh_size);
lseek(fd, dynstr_shdr->sh_offset, SEEK_SET);
if (read(fd, dynstr, dynstr_shdr->sh_size) != dynstr_shdr->sh_size)
     return  -1;
 
//读取符号表
Elf32_Sym *dynsymtab = (Elf32_Sym *)  malloc (dynsym_shdr->sh_size);
printf ( "dynsym_shdr->sh_size\t0x%x\n" , dynsym_shdr->sh_size);
lseek(fd, dynsym_shdr->sh_offset, SEEK_SET);
if (read(fd, dynsymtab, dynsym_shdr->sh_size) != dynsym_shdr->sh_size)
     return  -1;
 
//读取重定位表
Elf32_Rel *rel_ent = (Elf32_Rel *)  malloc ( sizeof (Elf32_Rel));
lseek(fd, relplt_shdr->sh_offset, SEEK_SET);
if (read(fd, rel_ent,  sizeof (Elf32_Rel)) !=  sizeof (Elf32_Rel))
     return  -1;

        0x003 获取指定符号在got表的偏移地址:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
     for  (i = 0; i < relplt_shdr->sh_size /  sizeof (Elf32_Rel); i++) {
         uint16_t ndx = ELF32_R_SYM(rel_ent->r_info);
         LOGD( "ndx = %d, str = %s" , ndx, dynstr + dynsymtab[ndx].st_name);
         if  ( strcmp (dynstr + dynsymtab[ndx].st_name, symbol_name) == 0) {
             LOGD( "符号%s在got表的偏移地址为: 0x%x" , symbol_name, rel_ent->r_offset);
             offset = rel_ent->r_offset;
             break ;
         }
         if (read(fd, rel_ent,  sizeof (Elf32_Rel)) !=  sizeof (Elf32_Rel)) {
             LOGD( "获取符号%s的重定位信息失败" , symbol_name);
             return  -1;
         }
     }
 
     //获取指定符号的地址
     if (offset == 0) {
         LOGD( "获取符号%s在got表中的偏移地址失败,可能为静态链接,开始重新获取符号地址" , symbol_name);
         for (i = 0; i < (dynsym_shdr->sh_size) /  sizeof (Elf32_Sym); ++i) {
             if ( strcmp (dynstr + dynsymtab[i].st_name, symbol_name) == 0) {
                 LOGD( "符号%s的地址位: 0x%x" , symbol_name, dynsymtab[i].st_value);
                 offset = dynsymtab[i].st_value;
                 break ;
             }
         }
     }
 
     if (offset == 0) {
         LOGD( "符号%s地址获取失败" , symbol_name);
         return  -1;
     }

    0x03 如何实现对接:

        在实际情况下,我们有一种需求是,在执行完我们自己的函数后,需要返回继续执行原函数,并且要对该函数持续的Hook。我的思路是这样的:在我们自己的函数中,首先采用内联汇编的方式将全部寄存器值压栈保存(STMFD SP!, {R0 - R12, LR}),接着执行自己的流程,最后将保存的寄存器值出栈恢复(LDMFD SP!, {R0 - R12}),并且强制跳转到原函数的入口地址("LDR LR, =original_addr \n" "LDR LR, [LR] \n" "BLX LR \n"),最后强制程序返回。事实上,就是把原函数当做自己函数的子函数。

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
     __asm__ __volatile__ (
             //"SUB LR, LR, #4 \n"
             "STMFD SP!, {R0 - R12, LR} \n"
     );
     
         //自己的函数
         myfun();
     
     __asm__ __volatile__ (
         "LDMFD SP!, {R0 - R12} \n"
         "LDR LR, =original_addr \n"
         "LDR LR, [LR] \n"
         "BLX LR \n"
         "LDMFD SP!, {PC} \n"
     );


0x5 参考

    链接程序与库指南:http://docs.oracle.com/cd/E26926_01/html/E25910/chapter6-43405.html#scrolltoc

    Android利用ptrace实现Hook API:http://blog.sina.com.cn/s/blog_dae890d10101f00d.html



skyun1314
关注
专栏目录
Android逆向之旅---Native层的Hook神器Cydia Substrate使用详解
hgfujffg的博客
02-09 1309
Android逆向之旅---Native层的Hook神器Cydia Substrate使用详解
android native hook
03-31
android hook 源码 自己都没有c币去下载了,所以就要1分吧
androidhook技术,Android Native Hook技术(一)
weixin_39929138的博客
05-30 957
原理分析ADBI是一个著名的安卓平台hook框架,基于动态库注入与inline hook技术实现。该框架主要由2个模块构成:1)hijack负责将so注入到目标进程空间,2)libbase是注入的so本身,提供了inline hook能力。源码目录中的example则是一个使用ADBI进行hook epoll_wait的示例。hijackhijack实现动态库注入功能,通过在目标进程插入d...
Native层的Hook神器Cydia Substrate
09-18
Hook底层方法非常方便,对so中的方法hook操作非常便捷
全能HOOK框架 JNI NATIVE JAVA ART DALVIK
omnispace的博客
06-29 3134
OneHook 目前比较流行的几个安卓HOOK方案,都有功能上的欠缺,有的不支持art模式,有的不支持jni层,有的不支持侵入HOOK。 所以OneHook诞生了! 这是一个同时支持ART和Dalvik两种模式,理论上支持安卓4.0.3以上所有版本,同时支持JAVA和NATIVE层,使用全局注入技术的侵入式HOOK框架。 本框架不需要额外的安装,可以静态编译到自己的APP中
react-native-hook-template:模板项目完全使用 Hook with Redux、Saga、React Navigation
08-05
运行react-native run-android以在 Android 设备上运行 IOS 运行cd ios/ && pod install 。 然后运行react-native run-ios在 iOS 设备上运行项目或通过 Xcode 运行。 特征 完全使用 Hook。 使用 Redux 模式应用...
react-native-image-cache-hook
05-17
适用于iOS和Android的React Native图像缓存挂钩是一个简单的挂钩,用于在网络中的图像文件系统中添加缓存。 安装 yarn add react-native-image-cache-hook 我们在此软件包中使用处理文件系统访问,并且在安装过程...
Android代码-Hook
08-06
总结来说,Android代码-Hook是一种强大的技术,可以用于各种用途,从功能扩展到安全检测。然而,正确使用它需要深入理解Android系统的工作原理,以及对反射、JNI和Android框架的熟练掌握。Xposed框架为开发者提供了...
react-native-typescript-template-hooks:hoaphantn7604react-native-typescript-template-hooks
04-06
入门 $ yarn install $ cd ios && pod install && cd ../ 建造 $ react-native run-android $ react-native run-ios
JNativeHook2.1.0
03-15
JNativeHook 为 Java 程序提供全局的键盘和鼠标事件侦听功能。你可以来处理程序外的键盘输入和鼠标动作。 JNativeHook 使用了 JNI 技术调用了系统的方法来实现该功能,支持的系统也非常多,并且不用导入任何dll文件,只要导入jar文件夹下的jar包即可,非常方便。
Native Hook
01-30
用于对API下钩子的演示程序,非常不错.可以快速学习如何制作钩子程序
Android native Hook工具
12-24
Android进程so注入Hook java方法的原理和使用(一)中介绍的Android native Hook工具文件,已经在android模拟器上进行Hook测试,能够成功,提供给需要的朋友,也为自己备份一下。
代码实例分析android中inline hook
08-28
本片文章主要给大家通过代码示例分析了android中inline hook的用法是实现过程,需要的朋友跟着参考下吧。
进击的Android注入术《三》
热门推荐
简行之旅
08-09 2万+
继续 在《二》详细介绍了通过ptrace实现注入的技术方案,这t
Android Hook native初探
最新发布
BASK2312的博客
07-02 1327
最后就是没有啥了,这篇文章只是用来熟悉JNI的,因为很多功能我们很难再java层实现,所以学习一下native对我们来说还是很有帮助的。
安卓逆向之Frida NativeHOOK
Hacker_by_V的博客
10-21 932
前几天很多同学问我,Frida NativeHOOK要怎么去弄,今天小编就带着大家一起去看看实例吧,让你们可以更加直观的看到。 1、分析程序代码 程序的包名 具体要hook的so的名字 具体函数的地址(是否需要+1操作) 函数的参数列表以及类型 2、分析hook代码: (1)填写hook的包名 (2)遍历模块找基址(填写so的名字) (3)hook导出函数(填写so的名字) (4)通过模块名直接查找基址(填写so的名字、参数列表、参数类型、函数具体的地址有没有加1操作) 这里需要填写地址:如果是a
Android Native Hook工具实践
11-06 662
本文章所对应项目长期维护与更新,因为在我自己的几台测试机上用得还挺顺手的。本项目作为作者本人的一个学习项目将会长期更新以修复当前可能存在的Bug以及跟进以后Android NDK可能出现的主流汇编模式。 本...
【安卓逆向】xposed hook native 函数
weixin_44862184的博客
09-28 6058
xposed 集成dobby 实现 hook native 函数
Android逆向入门:Python Crash Course聚焦Native C层Hook
首先,开发者需要配置Eclipse来搭建Android开发环境,包括安装ADT(Android Developer Tools)和NDK(Native Development Kit),以便进行Java和原生代码的开发。Android模拟器的配置和ROOT也是重要环节,ROOT权限...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值