btrace:binder_transaction+eBPF+Golang实现通用的Android APP动态行为追踪工具

于 2024-06-14 21:39:24 发布
阅读量1k 收藏 22
点赞数 23
分类专栏: 编程技术 逆向开发 系统 文章标签: binder golang android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wei_java144/article/details/139690281
版权
逆向开发 同时被 3 个专栏收录
51 篇文章 22 订阅
订阅专栏
编程技术
31 篇文章 0 订阅
订阅专栏
系统
4 篇文章 0 订阅
订阅专栏

一、简介:

    在进行Android恶意APP检测时,需要进行自动化的行为分析,一般至少包括行为采集和行为分析两个模块。其中,行为分析有基于规则、基于机器学习、基于深度学习甚至基于大模型的方案,各有各的优缺点,不是本文关注的重点,本文主要关注Android APP的动态行为采集。在做Android APP逆向分析时经常需要通过hook系统调用观察APP的行为,也需要一个动态行为追踪工具。

    btrace(GitHub - null-luo/btrace: btrace:binder_transaction+eBPF+Golang实现通用的Android APP动态行为追踪工具)就是一个开源的针对Android APP的动态行为采集/追踪工具。目标是通用可靠简单。如果类比到Linux tracing systems的话,我们的工具也可以分成三部分:data sources我们的方案是kprobe/binder_transaction;way to extract data我们采用eBPF;frontends我们使用Golang。

 

 接下来分别介绍这三个部分的方案。

二、data sources:kprobe/binder_transaction

    binder是Android IPC的核心机制,Android APP在访问系统服务的时候,实际上就是在进行跨进程通信,因此,监控binder就可以获取到APP调用系统服务的行为。

这里就不再重复说明了,我们重点看一下在kernel层的哪个函数做监控比较好。我们的目标是要获取:APP的包名、调用服务

 

   首先想到的是内核已经定义的tracepoint: 

  可惜大部分tracepoint都没有带上binder核心数据的指针,也就是没有办法获取到目标服务名和函数参数:   只有binder_ioctl这个tracepoint里面的arg指向的是struct binder_write_read:

 

 

 

     但问题是struct binder_write_read相当的原始,解析起来比较复杂:

 

 这是因为binder_ioctl是链路上kernel层的第一个函数,传进来的数据还没有经过处理。那么,我们能不能找一找binder_ioctl后面的函数,尽可能让系统对数据进行解析和处理之后我们直接拿到想要的字段呢?

    我们把binder_ioctl->binder_ioctl_write_read->binder_thread_write->binder_transaction这条调用链分析了一下,发现binder_transaction是一个比较合适的点,在它之前的函数已经对用户层传入的数据进行了很多解析和过滤,这里拿到的数据是struct binder_transaction_data,相对比较简单了:

   其实,仔细看binder_transaction函数的代码可以发现,本来通过binder_debug和trace_binder_transaction这两个地方直接拿到数据是最方便的,可惜的是binder_debug没有输出code(调用函数的编号),trace_binder_transaction又没有输出调用服务名和参数的数据指针。导致没有办法直接使用这两个点。

 

 

 尤其是trace_binder_transaction,如果往后一点放到内存拷贝(user->kernel)完成之后,再将数据指针输出的话就非常完美了。

所以,最后我们还是回到对binder_transaction这个内核函数进行监控,解析参数struct binder_transaction_data来拿到数据的方案。

三、way to extract data:eBPF

    eBPF是一个运行在Linux内核里面的虚拟机组件,它可以在无需改变内核代码或者加载内核模块的情况下,安全而又高效地拓展内核的功能。是一种非侵入性的内核函数hook方法。

    并且,Google 为了解决 Android 碎片化提出了GKI(通用内核镜像),要求Android 12以上版本的设备出厂必须使用GKI内核,而且GKI内核的编译选项把eBPF相关的功能都是打开的。

    所以eBPF特别适合用于对Android设备中Linux内核函数的监控。

    binder_transaction函数总共5个参数,我们可以根据第4个参数来过滤掉回应的transaction,只关注请求的transaction:

 我们的目标是要获取:APP的包名、调用服务名、调用函数名、调用参数这几个字段:

  •     APP的包名可以通过当前UID来获取(因为binder_transaction函数是在client的进程内);

  •     调用函数名可以通过binder_transaction_data->code来获取;

  •     调用服务名和调用参数可以通过binder_transaction_data->data.ptr.buffer来获取;

   其中要注意的是,binder_transaction_data->data.ptr.buffer指向的数据目前还在用户空间,还没有完成向内核空间的拷贝,所以需要使用bpf_probe_read_user函数。(这就是我上节说的如果把trace_binder_transaction往后移到内存拷贝之后,并且把内核空间的数据地址输出,那就完美了,可惜!):

四、frontend:Golang

    eBPF的核心程序一般是使用C语言编写,clang进行编译后,需要将其加载到内核中。目前有多个项目对eBPF的编写调试运行的流程进行了封装和优化,比如bcc、libbpf等,我们选择的是cilium/ebpf。

    它封装了BPF系统调用,与内核提供的libbpf类似,区别在于这个库是Go语言的,更加方便进行用户态程序的开发,而且外部依赖少,与此同时其还提供了bpf2go工具,可用来将eBPF程序编译成Go语言中的一部分,使得交付更加方便。也就是说很容易将项目编译为一个独立可运行的ELF文件。

    我们的开发环境是Ubuntu arm64的虚拟机(主机是Mac):

 

  cilium/ebpf使用起来非常方便,整个框架分为三个部分:

  • 运行在内核态用C写eBPF代码,llvm编译为eBPF字节码;
  • 用户态使用Golang编写,cilium/ebpf纯go类库,做eBPF字节码的内核加载,kprobe HOOK对应函数;
  • 用户态使用Golang做事件读取、解码、处理。

    我们在内核态程序里将需要的数据放到ringbuf里传递给用户态:

 

 

 

 

   用户态程序收到数据后做处理:

    1、APP的包名

    知道UID后执行命令"pm list packages -U"去查一下就能知道:

  2、调用函数名、调用服务名、调用参数

    Android进程间通信基于Proxy与Stub的设计模式,AIDL是Android接口定义语言,在写完AIDL文件后,编译器自动生成一个同名的.java文件,里面包含Stub和Proxy两个类,Stub类是服务端抽象层的体现。Proxy的接口供客户端程序调用,然后它内部会把信息包装好,通过binder传递给Stub,而后者通过对应的接口作用于服务端系统,从而完成了“远程调用”。

    先来看看Proxy的代码,红色对应的就是要调用函数的编号,也就是binder_transaction_data->code。蓝色就是要调用的服务的接口名,绿色部分则是要调用函数的参数,可以看出来这两部分被打包到一个Parcel里面去,对应的就是binder_transaction_data->data.ptr。最后通过transact函数将以上三部分内容往binder传递。

 

  writeInterfaceToken函数在写入接口名之前,还写了12字节(4+4+4)的其他数据: 

   我们在解析的时候先跳过头部12字节,接下来的4字节代表接口名字符串的长度,接着的数据即是接口名字符串: 

   最后,看一下binder_transaction_data->code如何转换成函数名,仔细分析了binder流程代码,函数名在编译.aidl文件的时候就已经转换成code了,之后一直传递的都是code,直到服务端的onTransact函数里才根据code去选择函数:

    

    所以在整个binder数据传输的过程中都找不到合适的hook点,后来偶然发现.aidl文件自动生成的Stub类里面有getTransactionName、getDefaultTransactionName这么两个函数可以根据函数编码获取到函数名,那么我们就可以使用反射来获取函数名 

顺手在Android代码里搜索了一下这两个函数,发现有一个类已经将对getDefaultTransactionName的调用包装好了: 

但是在golang里面不太好调用Android的API,所以换了一个思路,写了一个Android APP,利用反射把系统服务下所有的transactionCode和methodName的映射关系记录下来,输出给btrace在运行时候查询: 

 

 有几个注意点:

  • 系统所有的服务名可以通过service list获取:

        

  • 需要打开策略开关才能访问hide的API:adb shell settings put global hidden_api_policy 1。

  • 每一个服务内transaction函数一般是从1开始逐个编号的,而且每个函数对应一个field,所以我们获取服务类的field数目就知道此类最多有多少个transaction函数需要我们尝试去获取名字:

 

  最后效果(参数的解析暂不支持): 

五、总结:

    我们使用binder_transaction+eBPF+Golang来实现一个针对Android APP的动态行为追踪工具,目标是通用可靠简单

  • 通用:基于binder底层内核函数,可以监控到所有API调用,覆盖系统版本广泛;

  • 可靠:基于eBPF,对内核无侵入,并且有验证器的验证,安全可靠;

  • 简单:基于Golang作为frontend,灵活高效,逻辑简单清晰,外部依赖少,单一ELF可独立运行。

463666991
关注
  • 23
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Binder学习笔记(十二)—— binder_transaction(...)都干了什么?
ZChongr
08-01 1万+
binder_open(…)都干了什么?在回答binder_transaction(…)之前,还有一些基础设施要去探究,比如binder_open(…),binder_mmap(…),这些调用是在打开设备文件/dev/binder之后必须完成的程式化操作,而在它们内部需要做一些数据结构的准备。首先来看binder_open(…) kernel/drivers/staging/android/bin
Android 监控手机应用使用情况
github_35735591的博客
02-17 4545
本篇文章中通过Android获取手机顶部的Activity的方式,来达到监控手机应用使用情况的目的
Android binder学习笔记4 - binder transact流程分析
HZero
09-10 3187
目录1. 前言2. IPCThreadState::self()->transact|- -writeTransactionData|- -IPCThreadState::waitForResponse|- - -talkWithDriver|- - - -binder_thread_write|- - - -binder_thread_read参考文档 1. 前言 在Android binder学习笔记2 - 获取ServiceManager中defaultServiceManager->Pr
Android实现监听APP启动、前台和后台
纸上得来终觉浅,绝知此事要躬行
08-28 8065
IActivityController.aidl是系统自带的aidl,在Am的内部类MyActivityController有实现这个aidl接口,主要用于app状态监听控制。对于应用开发者来说,此接口为给我们提供了各种可能性,比如统计每个app启动次数,crash次数等。这里我们先看下他的方法:activityStarting:当系统正在启动一个activity时会触发,当返回true,表示允许启动。当返回状态noraml/false分别表示停止/拒绝启动activity。
android 监控行为,一种针对Android系统App行为的监控方法
weixin_36212334的博客
06-03 3041
主权项:1.一种针对Android系统App行为的监控方法,通过安全内核实现方法在Android内核层添加模块,实现对整个Android系统的系统调用的拦截与监控;包括如下步骤:S1.编写内核模块;所述编写的内核模块用于实现如下操作:a)获取系统调用表;b)编写自定义函数;c)用所述自定义函数的地址替换所述系统调用表里面的系统调用函数;d)通过所述自定义函数获取相关进程信息;e)编写Netlink...
binder_test:test_binder_pandas
03-05
【标题】"binder_test:test_binder_pandas" 指的是一项针对Pandas库的测试,使用了Binder服务来实现交互式的数据分析环境。Binder是开源社区开发的一个平台,它允许用户通过Jupyter Notebook在线运行代码,无需在...
openrefineder::diamond_with_a_dot:+ B活页夹上的OpenRefine!
02-04
开放式精炼机 :diamond_with_a_dot: + :books: 活页夹上的OpenRefine! 在活页夹上使用小演示。 仍在 :construction_worker: :construction: :building_construction: !在活页夹中启动OpenRefine快速开始 (使用...
LuaBinder:C ++ 11中的Lua Binder
05-09
LuaBinder C ++ 11中的Lua Binder MinGW GNU 4.7.2进行编译。 例子: #include #include #include using namespace std; Lua::State g_lua; int32_t main(void) { g_lua.init(); g_lua.loadFile("test....
Android binder C++ service/client 实现. 共享内存
10-09
Android系统中,Binder是进程间通信(IPC,Inter-Process Communication)的主要机制,它使得应用程序和服务能够跨进程交换数据和执行操作。本教程将详细阐述如何使用C++实现一个基于Binder的服务(Service)和...
set_eth.zip_Android ip_android_android 设置mac_binder
09-21
总结来说,"set_eth.zip_Android ip_android_android 设置mac_binder"是一个关于如何在Android系统中通过Binder机制来设置IP和MAC地址的解决方案。这个过程涉及系统权限、服务创建、JNI调用以及安全控制等多方面知识...
Android内核之Binder消息处理:binder_transaction用法实例(七十三)
最新发布
Android系统攻城狮
05-09 1040
本篇目的:Android内核之Binder消息处理:binder_transaction用法实例binder_transaction 函数是 Android Binder 驱动中的一个核心函数,它用于在 Binder 机制中实现客户端向服务端发送请求并接收响应的过程。以下是对 binder_transaction 函数作用的详细介绍:消息传递: 在 Android 中,Binder 机制允许不同的应用程序或系统组件之间进行进程间通信(IPC)。
Android Binder学习总结
woai110120130的专栏
01-13 1522
Binder系统断断续续学习了三次,才有个比较深刻的认识,以下是学习binder前给自己提出的问题和总结 1 调用者线程有没有binder线程状态? 这个问题很好解答,先给出答案,没有,在binder调用的时候检查binder线程状态的地方只有binder_thread_read 函数,这里面检查binder thread状态的条件是 wait_for_proc_work = threa
Binder原理深入解析(二)
Android
09-26 1711
1. Binder概述 从IPC角度来说:Binder是Android中的一种跨进程通信方式,该通信方式在linux中没有,是Android独有; 从Android Driver层:Binder还可以理解为一种虚拟的物理设备,它的设备驱动是/dev/binder; 从Android Native层:Binder是创建Service Manager以及BpBinder/BBinder模型,搭建与binder驱动的桥梁; 从Android Framework层:Binder是各种Manager(Acti
btrace 开源!基于 Systrace 高性能 Trace 工具,10天拿到阿里Android岗offer
2401_84150168的博客
04-07 420
RheaTrace 作为线下性能分析利器,我们首先看下其整体工作流程。如上文介绍,我们将 Systrace 中 atrace 数据做拦截,将其转存至我们自定义的文件中。
不完整收录:过去一年字节开源的10个项目丨字节技术年货
2401_83977357的博客
04-12 1025
希望大家能有一个好心态,想进什么样的公司要想清楚,并不一定是大公司,我选的也不是特大厂。当然如果你不知道选或是没有规划,那就选大公司!希望我们能先选好想去的公司再投或内推,而不是有一个公司要我我就去!还有就是不要害怕,也不要有压力,平常心对待就行,但准备要充足。最后希望大家都能拿到一份满意的 offer!如果目前有一份工作也请好好珍惜好好努力,找工作其实挺累挺辛苦的。这里附上上述的面试题相关的几十套字节跳动,京东,小米,腾讯、头条、阿里、美团等公司19年的面试题。
Android】进程间通信——Binder
qq_40265247的博客
04-11 2946
内存机制:mmap 虚拟进程地址空间(vm_area_struct)和虚拟内核地址空间(vm_struct)都映射到同一块物理内存空间。当Client端与Server端发送数据时,Client(作为数据发送端)先从自己的进程空间把IPC通信数据copy_from_user拷贝到内核空间,而Server端(作为数据接收端)与内核共享数据,不再需要拷贝数据,而是通过内存地址空间的偏移量,即可获悉内存地址,整个过程只发生一次内存拷贝 为何不直接让发送端和接收端直接映射到同一个物理空间,那样就连一次复制的...
探索 Android Eye: 实时监控应用行为的利器
gitblog_00024的博客
03-16 348
探索 Android Eye: 实时监控应用行为的利器 在移动互联网时代,越来越多的应用程序被开发并投入到市场中,每个应用程序都希望能够更好地满足用户的使用需求。为了确保应用程序能够正常运行,并且能够及时发现潜在的问题,我们需要一种可以实时监控应用行为的方法。本文将为您介绍一个名为 Android Eye 的项目,它可以为您提供这样的功能。 什么是 Android Eye? Android Ey...
(转)btrace使用
浮白
05-15 3489
Btrace 是一个安全,可以动态跟踪 java 程序的一种工具。他的操作不会对原有 java 进程产生影响,不用关闭正在运行的 java 进程,也不会修改 java 进程中的逻辑和数据。因此,也就成为我们线上跟踪生产代码的有力工具! 之前 Btrace 只是听说过,但还没有具体的用到。最近在排查线上问题的时候,使用了 Btrace ,发现 Btrace 真是在关键时候的利器。 Btrace 是一个安全,可以动态跟踪 java 程序的一种工具。 他的操作不会对原有 java 进程产生影响
binder_alloc: 4490: binder_alloc_buf, no vma
05-10
这个错误通常与 Android 系统中的 Binder IPC 机制有关。它表示在分配缓冲区时出现了问题,因为没有可用的虚拟内存区域。这可能是由于系统内存不足或者由于某些应用程序过度使用了系统资源导致的。 解决此问题的方法包括: 1. 关闭一些正在运行的应用程序,以释放系统内存。 2. 尝试重启设备,以清除系统内存并恢复正常工作。 3. 如果您是开发人员,则可以尝试使用 adb shell dumpsys meminfo 命令来查看系统内存使用情况,并尝试优化您的应用程序以减少内存使用量。 4. 如果问题仍然存在,请尝试升级您的 Android 系统或重新刷入 ROM。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值