Android中GOT表HOOK手动实现续

最新推荐文章于 2024-04-26 14:34:42 发布
置顶 最新推荐文章于 2024-04-26 14:34:42 发布
阅读量1.3k 收藏 5
点赞数 1
分类专栏: Android Hook Android系统学习 文章标签: android HOOK got-plt GOT表HOOK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011247544/article/details/78668791
版权

上篇实现了GOT表的手动HOOK,这里需要说明一下,GOT表其实包含了导入表和导出表,导出表指将当前动态库的一些函数符号保留,供外部调用,之前针对HOOK的就是这种类型的函数。而针对导入表,这样的做法显然不行的,导入表中的函数实际是在该动态库中调用外部的导出函数。

导入表在对应在动态链接段.got.plt(DT_PLTGOT)指向处,但是每项的详细是和GOT表中的表项对应的,因此,在解析动态链接段时,需要解析DT_JMPREL、DT_SYMTAB,前者指向了每一个导入表表项的偏移地址和相关信息,包括在GOT表中偏移,后者为GOT表。

HOOK时只需要判断找到导入表表项对应的偏移地址,替换内容为需要跳转的地址即可。

基于此,我实现了一个导入表HOOK的示例,调用ReturnGiveValue函数查看LOG日志即可发现HOOK成功。

#include <jni.h>
#include <dlfcn.h>
#include <elf.h>
#include <android/log.h> 
#include <sys/mman.h>
#define LOGD(...) ((void)__android_log_print(ANDROID_LOG_DEBUG, "ror_got_hook", __VA_ARGS__))

#define MEM_PAGE_SIZE 4096
#define MEM_PAGE_MASK (MEM_PAGE_SIZE-1)
#define MEM_PAGE_START(x)  ((x) & ~MEM_PAGE_MASK)
#define MEM_PAGE_END(x)    MEM_PAGE_START((x) + (MEM_PAGE_SIZE-1))
#define ElfW(type) Elf32_ ## type


char str[] = "return give value";
JNIEXPORT void JNICALL ReturnGiveValue()
{
    char logStr[255] = {0};
    strncpy(logStr,str,strlen(str));
    LOGD("%x",(unsigned int)strncpy);
    LOGD("show : %s",logStr);
}

int my_strncpy(char* s1, char* s2, int n)
{
    memcpy(s1,"return fake value\0",18);
    LOGD("%x",(unsigned int)strncpy);
    return 1;
}

int __attribute__((constructor)) gothook()
{
    //获取动态库基值
    void* testlib = dlopen("/data/local/tmp/libtest.so",RTLD_LAZY);
    int nBase = *(int*)(testlib+0x8C);
    LOGD("nBase : %x",nBase);

    //计算program header table实际地址
    ElfW(Ehdr) *header = (ElfW(Ehdr)*)(nBase);
    if (memcmp(header->e_ident, "\177ELF", 4) != 0) {
        return 0;
    }

    ElfW(Phdr)* phdr_table = (ElfW(Phdr)*)(nBase + header->e_phoff);
    if (phdr_table == 0)
    {
        LOGD("phdr_table address : 0");
        return 0;
    }
    size_t phdr_count = header->e_phnum;
    LOGD("phdr_count : %d", phdr_count);


    //遍历program header table,ptype等于PT_DYNAMIC即为dynameic,获取到p_offset
    unsigned long dynamicAddr = 0;
    unsigned int dynamicSize = 0;
    for (int i = 0; i < phdr_count; i++)
    {
        if (phdr_table[i].p_type == PT_DYNAMIC)
        {
            dynamicAddr = phdr_table[i].p_vaddr + nBase;
            dynamicSize = phdr_table[i].p_memsz;
            break;
        }
    }
    LOGD("Dynamic Addr : %x",dynamicAddr);
    LOGD("Dynamic Size : %x",dynamicSize);

/*
typedef struct dynamic {
    Elf32_Sword d_tag;
    union {
    Elf32_Sword d_val;
    Elf32_Addr d_ptr;
    } d_un;
} Elf32_Dyn;
*/
    ElfW(Dyn)* dynamic_table = (ElfW(Dyn)*)(dynamicAddr);
    unsigned long jmpRelOff = 0;
    unsigned long strTabOff = 0;
    unsigned long pltRelSz = 0;
    unsigned long symTabOff = 0;
    int i;
    for(i=0;i < dynamicSize / 8;i ++)
    {
        int val = dynamic_table[i].d_un.d_val;
        if (dynamic_table[i].d_tag == DT_JMPREL)
        {
            jmpRelOff = val;
        }
        if (dynamic_table[i].d_tag == DT_STRTAB)
        {
            strTabOff = val;
        }
        if (dynamic_table[i].d_tag == DT_PLTRELSZ)
        {
            pltRelSz = val;
        }
        if (dynamic_table[i].d_tag == DT_SYMTAB)
        {
            symTabOff = val;
        }
    }

    ElfW(Rel)* rel_table = (ElfW(Rel)*)(jmpRelOff+nBase);
    LOGD("jmpRelOff : %x",jmpRelOff);
    LOGD("strTabOff : %x",strTabOff);
    LOGD("symTabOff : %x",symTabOff);
    //遍历查找要hook的导入函数,这里以strncpy做示例
    for(i=0;i < pltRelSz / 8;i++)
    {
        int number = (rel_table[i].r_info >> 8) & 0xffffff;
        ElfW(Sym)* symTableIndex = (ElfW(Sym)*)(number*16 + symTabOff + nBase);
        char* funcName = (char*)(symTableIndex->st_name + strTabOff + nBase);
    //  LOGD("Func Name : %s",funcName);
        if(memcmp(funcName,"strncpy",7) == 0)
        {
            void* pstart = (void*)MEM_PAGE_START(((ElfW(Addr))rel_table[i].r_offset + nBase));
            mprotect(pstart,MEM_PAGE_SIZE,PROT_READ | PROT_WRITE | PROT_EXEC);
            LOGD("r_off : %x",rel_table[i].r_offset + nBase);
            LOGD("my_strncpy : %x",my_strncpy);
            *(unsigned int*)(rel_table[i].r_offset + nBase) = my_strncpy;
        }
    }


    return 0;
}
Rorschach321
关注
专栏目录
基于Android的ELF PLT/GOT符号重定向过程及ELF Hook实现(by 低端码农 2014.10.27)
简行之旅
10-27 2万+
基于Android的ELF PLT/GOT符号重定向过程及ELF Hook实现——by 低端码农 2014.10.27 引言 写这篇技术文的原因,主要有两个: 其一是发现网上大部分描述PLT/GOT符号重定向过程的文章都是针对x86的,比如《Redirecting functions in shared ELF libraries》就写得非常不错。虽然其过程跟ARM非常类似,但由于C
android 禁用dlsym_Android10 aarch64 dlopen Hook
weixin_32302013的博客
01-15 628
前言[toc]对于自动化hook Il2cpp 的模块来说, dlopen 的hook相当于一个大门, 没有该大门口, 一切都是纸上谈兵在 armabi-v7a 上hook dlopen, 轻松的不要不要的, 甚至借用一下 virtual 系列app的 va++ 核心提供的 hook_dlopen 函数的接口都行可是到了 aarch64 这里, 找了一圈, 能用的 hook构件 也就一枚 And6...
androidgotHOOK实现
深耕安全技术研究
08-12 1092
概述 对于android的so文件的hook根据ELF文件特性分为:Gothook、Symhook和inline hook等。 全局符号(GOT)hook,它是通过解析SO文件,将待hook函数在got的地址替换为自己函数的入口地址,这样目标进程每次调用待hook函数时,实际上是执行了我们自己的函数。 Androd so注入和函数Hook(基于got)的步骤: 1.ptrace附加目标pid进程; 2.在目标pid进程,查找内存空间(用于存放被注入的so文件的路径和so被调用的函数的名称或者
Android got hook实现
ctoast的博客
02-15 1042
ELF基本知识 讲解got hook之前,我们首先要对ELF的文件结构有一个基本的认识。ELF的内容主要包括代码、数据,以及符号,字符串等。这些信息以”节"(section)的形式存储。我习惯把节称为段。常见的段比如代码段.text,数据段.data,字符串.strtab,符号.symtab。 需要注意的是符号和字符串的关系,符号不会直接存储符号名,符号名等字符串会被放到字符串...
android_got_hook
weixin_34270865的博客
04-26 89
12 转载于:https://blog.51cto.com/haidragon/2385123
移动端Hook技术:从编译到运行的全生命周期应用和案例
最新发布
umengplus的博客
04-26 935
大家好,为了能与开发者们共同进步,我们今年会新增一个技术专栏,持分享SDK、前端、数据等相关内容。希望可以和大家一起深入探讨,共同进步。今天来跟大家分享终端Hook技术。终端上的Hook技术从编译/构建阶段到应用进程内运行时,再到操作系统底层,种类多种多样。如静态编译期间的ASM、Javassist、AspectJ等,运行期间的ART/Dalvik虚拟机HookGOT/PLT Hook、Inl...
关于Android x86平台 函数hook知识的一点记录
zhangxinfa的专栏
02-10 2529
对x86平台更熟悉一些,所以就写一下x86的吧,至于arm平台,只是寄存器有些不同,其他的思路应该还是差不多的。 其实主要是对了解的知识做一下记录,方便以后翻出来看看   Linux系统的注入一般是使用ptrace函数,对指定进程使用ptrace,可以暂停进程,并可以读/写目标进程指定内存/寄存器,整个注入的流程其实很简单, 假设我们要替换运行进程P的某个函数调用M_org,大致的思路如
Linux2.6用户态API HooK手动操作
cheran的专栏
12-25 763
API Hook,传说的API钩子,是指神不知鬼不觉地替换掉标准系统API的方法,Hook技术在Windows下面已经发展得登峰造极了(windows平台上常见的hook方式有导入导出、vehseh、inline等等)。
Android Art Hook 技术方案
热门推荐
简行之旅
04-14 3万+
Android Art Hook 技术方案 by 低端码农 at 2015.4.13 www.im-boy.net 0x1 开始Anddroid上的ART从5.0之后变成默认的选择,可见ART的重要性,目前关于Dalvik Hook方面研究的文章很多,但我在网上却找不到关于ART Hook相关的文章,甚至连鼎鼎大名的XPosed和Cydia Substrate到目前为止也不支持ART的Hook
一文带你掌握androidgotHOOK实现
VN520的博客
01-23 847
对于android的so文件的hook根据ELF文件特性分为:Gothook、Symhook和inline hook等。全局符号(GOT)hook实际是通过解析SO文件,将待hook函数在got的地址替换为自己函数的入口地址,这样目标进程每次调用待hook函数时,实际上是执行了我们自己的函数。
AndroidGOTHOOK手动实现
Rorschach:Blog
11-17 4853
网上对于Android各种HOOK实现都有很多的介绍了,之前看懂了原理相关的东西,一直没有去尝试手动实现,最近刚好想起就手动实现了一下,简单尝试记录下实现过程以及坑点。如何理解HOOK? 我理解的HOOK就是去动态的修改代码段相关跳转地址或者指令,执行我们的代码,然后跳转回去接着执行。那既然这样,肯定要保证动态修改的操作先于该函数被执行,因此一般会将HOOK代码放在比较靠前被执行的地方,如i
Android Natvie Hook讲解、 gothook、inline hook 原理
spinchao的博客
12-06 6143
Android Natvie Hook 讲解什么是Hook,以及Android Native层 hook名词解释以及知识储备处理器架构欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列创建一个格设定内容居、居左、居右SmartyPants创建一个自定义列如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图FLowchart流程图导出与导入导出导入 什么是
分享早期写过的基于AndroidGot Hook
ylcangel的专栏
03-03 621
基于学习和分享的目的,你可以自行下载,随意进行更改,但需要注明出处,版权属于我个人所有。 实现原理和思路: 1、必须完全了解Android linker加载和解析so过程 2、仿照linker解析过程解析要进行hook的so 3、修改GOT条目对于segment属性为可写,替换GOT条目,修改回为原属性 该版本为很早以前版本,可能仅支持4.4和5.0,想支持更高版本,应该稍作修改就可以了...
Android so注入(inject)和Hook技术学习(三)——Gothook之导出hook
weixin_33695082的博客
07-15 234
前文介绍了导入hook,现在来说下导出hook。导出hook的流程如下。1、获取动态库基值    1 void* get_module_base(pid_t pid, const char* module_name){ 2 FILE* fp; 3 long addr = 0; 4 char* pch; 5 char filename...
Got之导入hook
随手笔记
04-15 898
github地址:https://github.com/shineygs/GotHook 代码量不多,几乎每行代码都有注释。 这里我们通过program header table,先找到.dynamic段,也是动态链接最重要的结构段,保存了动态链接器所需要的基本信息,比如依赖哪些共享对象,动态链接符号,重定位等。然后在.dynamic段遍历找到,动态符号,字符串以及重定位,下面来看一下...
HOOK SO文件的GOT
yy405145590的专栏
12-10 1788
#include #include #include #include #include #define IS_DYN(_einfo) (_einfo->ehdr.e_type == ET_DYN) struct dyn_info{ Elf32_Addr symtab; Elf32_Addr strtab; Elf32_Addr jmprel; Elf3
GOT Hook的简单实现与原理
Mrack
06-09 1343
简述 有什么用? ​ 通过hook全局符号实现各种黑科技功能,比如我们可以hook open,write和read监控文件的IO读写,hook malloc,calloc,realloc 和 free统计分配了多少内存,内存是否被泄露,也可以对其他进程进行hook实现各种 黑科技功能(root),这种hook方式比较简单,只需更改符号地址即可,但只能hook导入函数。 ELF ​ ELF是一种用于二进制文件、可执行文件、目标代码、共享库和核心转储格式文件。 具体实现 1. 获取模块基址 ​ Elf
Android平台支付宝hook技术实现与应用案例
描述提到通过WeChat平台实现Hook操作,可能是指利用WeChat平台某些特定的功能或接口来辅助实施Hook。具体方法可能涉及发送特定消息、扫描二维码、使用WeChat支付接口等方式来触发Hook行为。 4. 应用名称...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值