Android中GOT表HOOK手动实现

最新推荐文章于 2024-04-21 19:41:26 发布
置顶 最新推荐文章于 2024-04-21 19:41:26 发布
阅读量4.7k 收藏 4
点赞数 1
分类专栏: Android Android系统学习 Hook 文章标签: android HOOK 函数 GOT表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011247544/article/details/78564564
版权

网上对于Android中各种HOOK的实现都有很多的介绍了,之前看懂了原理相关的东西,一直没有去尝试手动实现,最近刚好想起就手动实现了一下,简单尝试记录下实现过程以及坑点。

如何理解HOOK?
我理解的HOOK就是去动态的修改代码段中相关跳转地址或者指令,执行我们的代码,然后跳转回去接着执行。

那既然这样,肯定要保证动态修改的操作先于该函数被执行,因此一般会将HOOK代码放在比较靠前被执行的地方,如init段、JNI_OnLoad等等。

实际操作:
实现了一个这样的函数,给他传递一个参数值,然后他返回这个参数值:

JNIEXPORT jint JNICALL ReturnGiveValue(int val)
{
    return val;
}

此时,我想用另外的函数替换这个函数的执行,比如这个函数:

JNIEXPORT jint JNICALL ReturnFakeValue(int val)
{
    return val * 100;
}

将这两个函数封装一个动态库,用以下代码构造的可执行文件去调用:

#include <jni.h>
#include <dlfcn.h>
#include <stdio.h>

typedef int (*RetValFunc)(int);

int main()
{
    int a = 10;
    void* testlib = dlopen("/data/local/tmp/libtest.so",RTLD_LAZY);
    if(testlib != NULL)
    {
        RetValFunc retval = (RetValFunc)dlsym(testlib,"ReturnGiveValue");
        int nBase = (int*)(testlib+0x8C);
        printf("ret val :  %x\n",nBase);
        printf("ret val :  %d\n",retval(a));
        dlclose(testlib);
    }
    return 0;
}

测试结果:
这里写图片描述

可以看到我输入的是10,输出的也是10。

接下来开始构造GOT表HOOK,我们需要阅读相关源码,加以理解文件结构方便找寻相应地址进行替换。

1、获取动态库基值
文件我直接放在固定目录下,然后硬编码的方式再次打开文件获取到文件的基值(参考soinfo结构体)

void* testlib = dlopen("/data/local/tmp/libtest.so",RTLD_LAZY);
int nBase = *(int*)(testlib+0x8C);
LOGD("nBase : %x",nBase);

2、计算program header table实际地址
通过ELF文件头获取到程序表头的偏移地址及表头的个数

    ElfW(Ehdr) *header = (ElfW(Ehdr)*)(nBase);
    if (memcmp(header->e_ident, "\177ELF", 4) != 0) {
        return 0;
    }

    int phOffset = header->e_phoff;
    int phNumber = header->e_phnum;
    int phPhyAddr = phOffset + nBase;

3、遍历program header table,ptype等于2即为dynameic,获取到p_offset
这里需要参照程序表头结构体的相关信息,程序表头结构体结构如下:

struct Elf32_Phdr {
  Elf32_Word p_type;   // Type of segment
  Elf32_Off  p_offset; // File offset where segment is located, in bytes
  Elf32_Addr p_vaddr;  // Virtual address of beginning of segment
  Elf32_Addr p_paddr;  // Physical address of beginning of segment (OS-specific)
  Elf32_Word p_filesz; // Num. of bytes in file image of segment (may be zero)
  Elf32_Word p_memsz;  // Num. of bytes in mem image of segment (may be zero)
  Elf32_Word p_flags;  // Segment flags
  Elf32_Word p_align;  // Segment alignment constraint
};

因此得到dynam段对应的地址

    for (int i = 0; i < phNumber; i++)
    {
        if (phdr_table[i].p_type == PT_DYNAMIC)
        {
            dynamicAddr = phdr_table[i].p_vaddr + nBase;
            dynamicSize = phdr_table[i].p_memsz;
            break;
        }
    }

4、开始遍历dynamic段结构,d_tag为6即为GOT表地址
同样需要参考动态链接段每项的结构体:

typedef struct dynamic {
    Elf32_Sword d_tag;
    union {
    Elf32_Sword d_val;
    Elf32_Addr d_ptr;
    } d_un;
} Elf32_Dyn;

因此知道遍历的方式:

    for(i=0;i < dynamicSize / 8;i ++)
    {
        int val = dynamic_table[i].d_un.d_val;
        if (dynamic_table[i].d_tag == 6)
        {
            systemTableAddr = val + nBase;
            break;
        }
    }

5、遍历GOT表,查找GOT表中标记的ReturnGiveValue函数地址,替换为ReturnFakeValue的地址
最后一步我们要知道表项的结构:

typedef struct elf32_sym {
    Elf32_Word st_name;
    Elf32_Addr st_value;
    Elf32_Word st_size;
    unsigned char st_info;
    unsigned char st_other;
    Elf32_Half st_shndx;
} Elf32_Sym;

然后进行替换目标函数的st_value,

    while(1)
    {
        LOGD("func Addr : %x",symTab[i].st_value);
        if(symTab[i].st_value == giveFunc)
        {
            symTab[i].st_value = fakeFunc;
            LOGD("New Give func Addr : %x",symTab[i].st_value);
            break;
        }
        i ++;
    }

HOOK之后的效果:
这里写图片描述

成功调用了我们hook的函数。

注意点:
1、我们知道代码段一般都只会设置为可读可执行的,因此需要使用mprotect改变内存页为可读可写可执行;
2、如果执行完这些操作后hook并没有生效,可能是由于缓存的原因,需要使用cacheflush函数对该内存进行操作。

附上SO完整代码:

#include <jni.h>
#include <dlfcn.h>
#include <elf.h>
#include <android/log.h> 
#include <sys/mman.h>
#define LOGD(...) ((void)__android_log_print(ANDROID_LOG_DEBUG, "ror_got_hook", __VA_ARGS__))

#define MEM_PAGE_SIZE 4096
#define MEM_PAGE_MASK (MEM_PAGE_SIZE-1)
#define MEM_PAGE_START(x)  ((x) & ~MEM_PAGE_MASK)
#define MEM_PAGE_END(x)    MEM_PAGE_START((x) + (MEM_PAGE_SIZE-1))
#define ElfW(type) Elf32_ ## type


JNIEXPORT jint JNICALL ReturnGiveValue(int val)
{
    return val;
}

JNIEXPORT jint JNICALL ReturnFakeValue(int val)
{
    return val * 100;
}


int __attribute__((constructor))  gothook()
{
    //获取动态库基值
    void* testlib = dlopen("/data/data/com.test.test/libtest.so",RTLD_LAZY);
    int nBase = *(int*)(testlib+0x8C);
    LOGD("nBase : %x",nBase);

    //计算program header table实际地址
    ElfW(Ehdr) *header = (ElfW(Ehdr)*)(nBase);
    if (memcmp(header->e_ident, "\177ELF", 4) != 0) {
        return 0;
    }

    int phOffset = header->e_phoff;
    int phNumber = header->e_phnum;
    int phPhyAddr = phOffset + nBase;
    LOGD("phOffset  : %x",phOffset);
    LOGD("phNumber  : %x",phNumber);
    LOGD("phPhyAddr : %x",phPhyAddr);
    int i = 0;

    ElfW(Phdr)* phdr_table = (ElfW(Phdr)*)(nBase + phOffset);
    if (phdr_table == 0)
    {
        LOGD("phdr_table address : 0");
        return 0;
    }

/*
// Program header for ELF32.
struct Elf32_Phdr {
  Elf32_Word p_type;   // Type of segment
  Elf32_Off  p_offset; // File offset where segment is located, in bytes
  Elf32_Addr p_vaddr;  // Virtual address of beginning of segment
  Elf32_Addr p_paddr;  // Physical address of beginning of segment (OS-specific)
  Elf32_Word p_filesz; // Num. of bytes in file image of segment (may be zero)
  Elf32_Word p_memsz;  // Num. of bytes in mem image of segment (may be zero)
  Elf32_Word p_flags;  // Segment flags
  Elf32_Word p_align;  // Segment alignment constraint
};
*/
    //遍历program header table,ptype等于2即为dynameic,获取到p_offset
    unsigned long dynamicAddr = 0;
    unsigned int dynamicSize = 0;
    for (int i = 0; i < phNumber; i++)
    {
        if (phdr_table[i].p_type == PT_DYNAMIC)
        {
            dynamicAddr = phdr_table[i].p_vaddr + nBase;
            dynamicSize = phdr_table[i].p_memsz;
            break;
        }
    }
    LOGD("Dynamic Addr : %x",dynamicAddr);
    LOGD("Dynamic Size : %x",dynamicSize);

/*
typedef struct dynamic {
    Elf32_Sword d_tag;
    union {
    Elf32_Sword d_val;
    Elf32_Addr d_ptr;
    } d_un;
} Elf32_Dyn;
*/
    //开始遍历dynamic段结构,d_tag为6即为GOT表地址
    int systemTableAddr = 0;
    ElfW(Dyn)* dynamic_table = (ElfW(Dyn)*)(dynamicAddr);

    for(i=0;i < dynamicSize / 8;i ++)
    {
        int val = dynamic_table[i].d_un.d_val;
        if (dynamic_table[i].d_tag == 6)
        {
            systemTableAddr = val + nBase;
            break;
        }
    }
    LOGD("System Table Addr : %x",systemTableAddr);

/*
typedef struct elf32_sym {
    Elf32_Word st_name;
    Elf32_Addr st_value;
    Elf32_Word st_size;
    unsigned char st_info;
    unsigned char st_other;
    Elf32_Half st_shndx;
} Elf32_Sym;
*/
    //遍历GOT表,查找GOT表中标记的ReturnGiveValue函数地址,替换为ReturnFakeValue的地址
    int giveValuePtr = 0;
    int fakeValuePtr = 0;
    int fakeFunc = (int)ReturnFakeValue - nBase;
    int giveFunc = (int)ReturnGiveValue - nBase;
    i = 0;
    LOGD("fakeFunc Addr : %x",fakeFunc);
    LOGD("giveFunc Addr : %x",giveFunc);

    void* pstart = (void*)MEM_PAGE_START(((ElfW(Addr))systemTableAddr));
    mprotect(pstart,MEM_PAGE_SIZE,PROT_READ | PROT_WRITE | PROT_EXEC);
    ElfW(Sym)* symTab = (ElfW(Sym)*)(systemTableAddr);
    while(1)
    {
        LOGD("func Addr : %x",symTab[i].st_value);
        if(symTab[i].st_value == giveFunc)
        {
            symTab[i].st_value = fakeFunc;
            LOGD("New Give func Addr : %x",symTab[i].st_value);
            break;
        }
        i ++;
    }
    mprotect(pstart,MEM_PAGE_SIZE,PROT_READ | PROT_EXEC);

    return 0;
}
Rorschach321
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
AndroidHook Instrumentation 的实现
05-05
在实际开发,除了直接Hook Instrumentation,还可以利用像Xposed框架这样的第三方工具,它们提供了更方便的方式来实现Android系统的Hook,无需替换系统Instrumentation。然而,Xposed框架需要在系统层面安装,...
Android Natvie Hook讲解、 gothook、inline hook 原理
spinchao的博客
12-06 5576
Android Natvie Hook 讲解什么是Hook,以及Android Native层 hook名词解释以及知识储备处理器架构欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列创建一个格设定内容居、居左、居右SmartyPants创建一个自定义列如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图FLowchart流程图导出与导入导出导入 什么是
3_17_GLib库入门与实践_hook函数
field1003的博客
03-12 588
简介 GLib提供了一组函数和数据的对应关系的功能,即hook函数。所有hook函数以链形式组织在一起,该链上每个节点都由数据和其处理函数组成,hook特有的遍历函数invoke及marshal可以在遍历时使用默认数据处理函数或指定新的处理函数处理数据。hook函数还提供了hook节点插入、节点查找、节点删除等功能。举例说明如下。 有一组数据 11 22 33 44,其默认处理函数分别为乘1,乘2,乘3,乘4,invoke遍历完,变成11,44,99,176,使用marshal函数,marsha
Android Native Hook: 原理、方案对比与具体实现
最新发布
陆业聪
04-21 1030
本文探讨了Android Native Hook技术,包括原理、实现方式(Inline Hook和PLT/GOT Hook)及优化建议,旨在帮助开发者更有效地应用该技术。
Linux下Gogs配置Git钩子 服务端部署钩子 hooks
陈万洲的专栏
04-09 4343
在Git版本控制,本地push代码至git服务端后,线上web站点自动的pull拉取代码,实现代码同步。于是git的hooks钩子就是实现自动化更新的核心技术。 准备工作:(Gogs 和 Web服务都安装好) 1、 保证Gogs和web站点在同一台服务上。(如果不在同一服务器,只能考虑用web钩子了) 2、 Gogs创建远程仓库 3、 Web站点根目录,克隆一个仓库。(g...
一文带你掌握androidgotHOOK实现
qq_53058639的博客
02-17 251
对于android的so文件的hook根据ELF文件特性分为:Gothook、Symhook和inline hook等。全局符号(GOT)hook实际是通过解析SO文件,将待hook函数got的地址替换为自己函数的入口地址,这样目标进程每次调用待hook函数时,实际上是执行了我们自己的函数
GOT Hook的简单实现与原理
Mrack
06-09 1281
简述 有什么用? ​ 通过hook全局符号实现各种黑科技功能,比如我们可以hook open,write和read监控文件的IO读写,hook malloc,calloc,realloc 和 free统计分配了多少内存,内存是否被泄露,也可以对其他进程进行hook实现各种 黑科技功能(root),这种hook方式比较简单,只需更改符号地址即可,但只能hook导入函数。 ELF ​ ELF是一种用于二进制文件、可执行文件、目标代码、共享库和核心转储格式文件。 具体实现 1. 获取模块基址 ​ Elf
代码实例分析androidinline hook
08-28
本文将通过一个实例代码,详细介绍 Android 的 Inline Hook 技术的实现过程。该实例代码包括四个方面:实现目标注入程序、实现主程序、实现注入函数、Thumb 指令集实现等。 实现目标注入程序 在实现目标注入程序...
浅谈PHP如何实现Hook机制
10-18
在PHP实现Hook机制,主要是为了提供一种灵活的代码扩展方式,使得开发者可以在不修改原有代码的基础上,通过插入自定义的代码片段来扩展或修改程序的功能。这种机制来源于Windows编程,但在PHP这样的脚本语言...
Android代码-通过Hook实现系统软键盘监听
08-07
> A keyboard listener for Android which by hooking the InputMethodManager. Of course you can also hook the other system services similarly, If you want, create a class, make it a subclass of Hook, and...
Android 逆向】函数拦截原理 ( 通过修改 GOT 全局偏移拦截函数 | 通过在实际被调用的函数添加跳转代码实现函数拦截 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-08 908
一、通过修改 GOT 全局偏移拦截函数、 二、通过在实际被调用的函数添加跳转代码实现函数拦截、
Android got hook实现
ctoast的博客
02-15 962
ELF基本知识 讲解got hook之前,我们首先要对ELF的文件结构有一个基本的认识。ELF的内容主要包括代码、数据,以及符号,字符串等。这些信息以”节"(section)的形式存储。我习惯把节称为段。常见的段比如代码段.text,数据段.data,字符串.strtab,符号.symtab。 需要注意的是符号和字符串的关系,符号不会直接存储符号名,符号名等字符串会被放到字符串...
androidhook技术,Android Native Hook技术(一)
weixin_39929138的博客
05-30 920
原理分析ADBI是一个著名的安卓平台hook框架,基于动态库注入与inline hook技术实现。该框架主要由2个模块构成:1)hijack负责将so注入到目标进程空间,2)libbase是注入的so本身,提供了inline hook能力。源码目录的example则是一个使用ADBI进行hook epoll_wait的示例。hijackhijack实现动态库注入功能,通过在目标进程插入d...
ELF动态链接时GOT、PLT原理
sy4331的博客
09-24 1491
背景 我们知道linux为了降低可执行程序体积,提高空间利用效率,经常采用动态链接方式生成动态库或者可执行程序。在动态链接时,为了避免在加载时对代码段进行重定位导致动态库代码段无法实现共享,我们采用了位置无关代码PIC技术(Position-Independent Code)。针对模块外代码,为了实现PIC技术,我们需要借助全局偏移GOT,Gobal Offset Table)。 全局偏移GOT 首先写一个小的测试程序进行说明。在SendMessage.c文件实现了一个函数SendMessag
linux 下hook函数
linuxheik的专栏
04-18 5214
hook在windows下可以说是知名度相当高的一种"高级“技术 想在linux下面实现像windows下的那种hook的功能,不过网上的资料很少(LD_PRELOAD 也可以做类似的事) 自己研究了下,写了个类似功能的函数 思想很简单,就在运行时把一个函数的入口改成jmp到另一个地址 点击(此处)折叠或打开 #include iostream> #
【胖虎的逆向之路】——GOT/PLT Hook详解&针对自定义so库的Hook实操
无方少年游
06-30 1475
随着 Android 开发的技术宽度不断向 native 层扩展,Native hook 已经被用于越来越多的业务场景,之前作者一直游离于Java层面的逆向,后来工作使然,接触到了Native 层的Hook,熟悉了ELF的文件结构&GOT/PLT&In Line Hook的相关知识和实际操作,Android Native Hook实现方式有很多种,我们接下来要讲的是(篇幅略略略长,阅读时长约20 min。
关于Android上对so进行函数hook的完整原理解析,最新测试通过
scjie168的博客
09-07 6858
http://pan.baidu.com/s/1boiw3iJ          共享出来源码吧,里面有远程注入(inject)和下面方法2的源码以及使用libsbustrate的方式,修改got的百度就知道方法了,源码一大堆,只需要清楚修改got到底做了什么。      网上关于hook的文章很多,开源代码也很多,但是真心没找到一个可以用(不是说写的人有问题,而是代码都很久了,并
Android so注入(inject)和Hook技术学习(二)——Gothook之导入hook
inquisiter
12-01 700
全局符号(GOT)hook实际是通过解析SO文件,将待hook函数got的地址替换为自己函数的入口地址,这样目标进程每次调用待hook函数时,实际上是执行了我们自己的函数。   GOT其实包含了导入和导出,导出指将当前动态库的一些函数符号保留,供外部调用,导入函数实际是在该动态库调用外部的导出函数。   这里有几个关键点要说明一下:   (1) so文件的绝对路径和加载到内...
HOOKAPI教程:全局HOOK MessageBox 实现
"本教程主要讲解如何实现HOOK所有程序的MessageBox,包括 MessageBoxA 和 MessageBoxW,通过将自定义的代码注入到目标进程实现系统级别的HOOKAPI。" 在Windows编程HOOKAPI是一种技术,用于拦截并修改特定...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值