android系统调用封装so,android hook 框架 libinject2 如何实现so注入

最新推荐文章于 2022-06-15 17:42:06 发布
最新推荐文章于 2022-06-15 17:42:06 发布
阅读量271 收藏
点赞数
文章标签: android系统调用封装so

上一篇 android hook 框架 libinject 简介、编译、运行 实际运行了so的注入并调用了注入so里的一个函数,这篇开始分析其实现。

与之前分析的 abdi 项目一样,libinject2 也是依赖于linux系统的 ptrace 系统调用。

这个库首先对ptrace的调用封装了几个helper函数

int ptrace_readdata(pid_t pid, uint8_t *src, uint8_t *buf, size_t size)

{

uint32_t i, j, remain;

uint8_t*laddr;

union u {longval;char chars[sizeof(long)];

} d;

j= size / 4;

remain= size % 4;

laddr=buf;for (i = 0; i < j; i ++) {

d.val= ptrace(PTRACE_PEEKTEXT, pid, src, 0);

memcpy(laddr, d.chars,4);

src+= 4;

laddr+= 4;

}if (remain > 0) {

d.val= ptrace(PTRACE_PEEKTEXT, pid, src, 0);

memcpy(laddr, d.chars, remain);

}return 0;

}int ptrace_writedata(pid_t pid, uint8_t *dest, uint8_t *data, size_t size)

{

uint32_t i, j, remain;

uint8_t*laddr;

{if (ptrace(PTRACE_CONT, pid, NULL, 0) < 0) {

perror("ptrace_cont");return -1;

}return 0;

}intptrace_attach(pid_t pid)

{if (ptrace(PTRACE_ATTACH, pid, NULL, 0) < 0) {

perror("ptrace_attach");return -1;

}int status = 0;

waitpid(pid,&status , WUNTRACED);return 0;

}intptrace_detach(pid_t pid)

{if (ptrace(PTRACE_DETACH, pid, NULL, 0) < 0) {

perror("ptrace_detach");return -1;

}return 0;

}

long ptrace_retval(struct pt_regs *regs)

{#if defined(__arm__)

return regs->ARM_r0;#elif defined(__i386__)

return regs->eax;

#else

#error "Not supported"

#endif}long ptrace_ip(struct pt_regs *regs)

{#if defined(__arm__)

return regs->ARM_pc;#elif defined(__i386__)

return regs->eip;

#else

#error "Not supported"

#endif}int ptrace_call_wrapper(pid_t target_pid, const char * func_name, void * func_addr, long * parameters, int param_num, struct pt_regs *regs)

{

DEBUG_PRINT("[+] Calling %s in target process.\n", func_name);if (ptrace_call(target_pid, (uint32_t)func_addr, parameters, param_num, regs) == -1)return -1;if (ptrace_getregs(target_pid, regs) == -1)return -1;

DEBUG_PRINT("[+] Target process returned from %s, return value=%x, pc=%x \n",

func_name, ptrace_retval(regs), ptrace_ip(regs));return 0;

}

下面两个函数实现了获取目标进程加载的动态库内部函数的地址,与 adbi 的原理一致,都是利用函数与动态库加载进内存的起始地址的offset一致,来计算的,个人觉得 libinject 在实现同样的功能时代码给 adbi 写得更舒服,这也是研究各种源码的好处,有对比才有高低。

void* get_module_base(pid_t pid, const char*module_name) // 这个函数获取动态库 module_name 加载在进程 pid 后的起始地址

{

FILE*fp;long addr = 0;char *pch;char filename[32];char line[1024];if (pid < 0) {/*self process*/snprintf(filename,sizeof(filename), "/proc/self/maps", pid); // 同样是通过解析 maps 文件得到的

}else{

snprintf(filename,sizeof(filename), "/proc/%d/maps", pid);

}

fp= fopen(filename, "r");if (fp !=NULL) {while (fgets(line, sizeof(line), fp)) {if(strstr(line, module_name)) {

pch= strtok( line, "-");

addr= strtoul( pch, NULL, 16);if (addr == 0x8000)

addr= 0;break;

}

}

fclose(fp) ;

}return (void *)addr;

}void* get_remote_addr(pid_t target_pid, const char* module_name, void*local_addr) // 这个函数获取目标进程内某个动态库函数的地址

{void* local_handle, *remote_handle;

local_handle= get_module_base(-1, module_name);

remote_handle=get_module_base(target_pid, module_name);

DEBUG_PRINT("[+] get_remote_addr: local[%x], remote[%x]\n", local_handle, remote_handle);void * ret_addr = (void *)((uint32_t)local_addr + (uint32_t)remote_handle -(uint32_t)local_handle);// 算法一致, local_addr - local_handle 得到 // offset, 然后再加上 remote_handle, 即得到目标进程的函数地址

returnret_addr;

}

下面这个是 libinject2 的核心函数:

int inject_remote_process(pid_t target_pid, const char *library_path, const char *function_name, const char *param, size_t param_size)

{int ret = -1;void *mmap_addr, *dlopen_addr, *dlsym_addr, *dlclose_addr, *dlerror_addr;void *local_handle, *remote_handle, *dlhandle;

uint8_t*map_base = 0;

uint8_t*dlopen_param1_ptr, *dlsym_param2_ptr, *saved_r0_pc_ptr, *inject_param_ptr, *remote_code_ptr, *local_code_ptr;structpt_regs regs;structpt_regs original_regs;externuint32_t _dlopen_addr_s, _dlopen_param1_s, _dlopen_param2_s, _dlsym_addr_s, _dlsym_param2_s, _dlclose_addr_s, _inject_start_s, _inject_end_s, _inject_function_param_s, _saved_cpsr_s, _saved_r0_pc_s;

uint32_t code_length;long parameters[10];

DEBUG_PRINT("[+] Injecting process: %d\n", target_pid);if (ptrace_attach(target_pid) == -1)gotoexit;if (ptrace_getregs(target_pid, &regs) == -1)gotoexit;/*save original registers*/memcpy(&original_regs, &regs, sizeof(regs));

mmap_addr= get_remote_addr(target_pid, libc_path, (void *)mmap);

DEBUG_PRINT("[+] Remote mmap address: %x\n", mmap_addr);/*call mmap*/parameters[0] = 0; //addr

parameters[1] = 0x4000; //size

parameters[2] = PROT_READ | PROT_WRITE | PROT_EXEC; //prot

parameters[3] = MAP_ANONYMOUS | MAP_PRIVATE; //flags

parameters[4] = 0; //fd

parameters[5] = 0; //offset

if (ptrace_call_wrapper(target_pid, "mmap", mmap_addr, parameters, 6, &regs) == -1)gotoexit;

map_base= ptrace_retval(&regs);

dlopen_addr= get_remote_addr( target_pid, linker_path, (void *)dlopen );

dlsym_addr= get_remote_addr( target_pid, linker_path, (void *)dlsym );

dlclose_addr= get_remote_addr( target_pid, linker_path, (void *)dlclose );

dlerror_addr= get_remote_addr( target_pid, linker_path, (void *)dlerror );

DEBUG_PRINT("[+] Get imports: dlopen: %x, dlsym: %x, dlclose: %x, dlerror: %x\n",

dlopen_addr, dlsym_addr, dlclose_addr, dlerror_addr);

printf("library path = %s\n", library_path);

ptrace_writedata(target_pid, map_base, library_path, strlen(library_path)+ 1);

parameters[0] =map_base;

parameters[1] = RTLD_NOW|RTLD_GLOBAL;if (ptrace_call_wrapper(target_pid, "dlopen", dlopen_addr, parameters, 2, &regs) == -1)gotoexit;void * sohandle = ptrace_retval(&regs);#define FUNCTION_NAME_ADDR_OFFSET 0x100ptrace_writedata(target_pid, map_base+ FUNCTION_NAME_ADDR_OFFSET, function_name, strlen(function_name) + 1);

parameters[0] =sohandle;

parameters[1] = map_base +FUNCTION_NAME_ADDR_OFFSET;if (ptrace_call_wrapper(target_pid, "dlsym", dlsym_addr, parameters, 2, &regs) == -1)gotoexit;void * hook_entry_addr = ptrace_retval(&regs);

DEBUG_PRINT("hook_entry_addr = %p\n", hook_entry_addr);#define FUNCTION_PARAM_ADDR_OFFSET 0x200ptrace_writedata(target_pid, map_base+ FUNCTION_PARAM_ADDR_OFFSET, param, strlen(param) + 1);

parameters[0] = map_base +FUNCTION_PARAM_ADDR_OFFSET;if (ptrace_call_wrapper(target_pid, "hook_entry", hook_entry_addr, parameters, 1, &regs) == -1)gotoexit;

printf("Press enter to dlclose and detach\n");

getchar();

parameters[0] =sohandle;if (ptrace_call_wrapper(target_pid, "dlclose", dlclose, parameters, 1, &regs) == -1)gotoexit;/*restore*/ptrace_setregs(target_pid,&original_regs);

ptrace_detach(target_pid);

ret= 0;

exit:returnret;

}

最后是main函数,libinject2 只是注入了一个So到目标进程,并执行了so里的一个函数,还没有真正劫持目标进程的函数

int main(int argc, char**argv) {

pid_t target_pid;//target_pid = find_pid_of("/system/bin/surfaceflinger");

target_pid = atoi(argv[1]);if (-1 ==target_pid) {

printf("Can‘t find the process\n");return -1;

}//target_pid = find_pid_of("/data/test");

inject_remote_process(target_pid, "/data/local/tmp/libhello.so", "hook_entry", "I‘m parameter!", strlen("I‘m parameter!"));return 0;

}

原文:http://www.cnblogs.com/jiayy/p/4286864.html

日本狸猫田中裕之
关注
Android应用防xposed注入,android hook 框架 xposed 如何实现注入
weixin_39956036的博客
05-26 967
转:http://www.cnblogs.com/jiayy/p/4305018.html前面分析的adbi框架libinject都是使用so注入的方式,实现将指定代码装入目标进程,这种方式有几个特点:1. 是动态的,需要目标进程已经启动2. 无法影响全局,比如注入A进程挂钩里边libc.so的open函数,此时,B进程使用的libc.so的open函数还是老函数,linux系统通过COW机制,...
android so 注入,Android的so注入(inject)和挂钩(hook)
weixin_36454562的博客
05-27 1372
对于Android for arm上的so注入(inject)和挂钩(hook),网上已有牛人给出了代码-libinject(http://bbs.pediy.com/showthread.php?t=141355)。由于实现的ptrace函数是依赖于平台的,所以不经改动只能用于arm平台。本文将之扩展了一下,使它能够通用于Android的x86和arm平台。Arm平台部分基本重用了libinj...
android so打包封装.pdf
10-29
Android将so库封装到 库 jar包并加载其的 包 so库
android封装so,Android 对so库简单的调用封装流程
weixin_42521276的博客
05-25 528
1、so在工程的放置位置工程src -> main -> jniLibs(自己新建的目录)下,然后根据自己的需求新建armeabi 和 armeabi-v7a等目录image.png2、查看so包名目录有两种方法:一是通过向你提供so库的人要,他开发一般都知道二个自己打开去查看用记事本打开image.png根据这个:ava_com_tecsun_jni_EPP_1API可以得知包...
android 封装so库,android ndk开发,调用已有的so库封装问题
weixin_39552538的博客
05-26 133
该楼层疑似违规已被系统折叠隐藏此楼查看此楼用makefile编译出来的libNetSDK.so,带头文件。想在android studio创建一个模块,对它进行封装,便于调用.。于是,我建了个netsdkutil模块。我将这个要调用的库放在netsdkutil\src\main\jniLibs\armeabi目录下头文件及封装的cpp文件放在netsdkutil\src\main\jni 下但...
android .so文件的制作与封装
12-01
详情访问:http://blog.csdn.net/liu3364575/article/details/78649044
android封装so,android ndk开发,调用已有的so库封装问题
weixin_35928736的博客
05-25 137
该楼层疑似违规已被系统折叠隐藏此楼查看此楼用makefile编译出来的libNetSDK.so,带头文件。想在android studio创建一个模块,对它进行封装,便于调用.。于是,我建了个netsdkutil模块。我将这个要调用的库放在netsdkutil\src\main\jniLibs\armeabi目录下头文件及封装的cpp文件放在netsdkutil\src\main\jni 下但...
libinject2:一个Android SO InjectHook演示
05-25
libinject2项目就是一个专注于Android共享对象(SO)注入Hook技术的演示库。通过这个项目,开发者可以学习到如何在Android平台上进行动态代码注入和函数 Hook 技术,这对于理解和使用Xposed框架、 Frida等工具有着...
Android利用Xposed框架实现拦截系统方法
09-01
Android系统,Xposed框架通过系统进程注入技术,使得开发者能够拦截并修改系统或应用的方法调用,从而实现自定义功能。 ### 前言 1. **Xposed框架介绍**:Xposed框架的核心在于其提供的API,让开发者可以方便...
vr android注入工具inject hook EGL函数eglSwapBuffers 支持arm32,arm64 源代码
11-26
注入安卓服务或APK neweglSwapBuffers 用法: injector com.target.apk /data/local/tmp/libmy.so injector /system/bin/surfaceflinger /data/local/tmp/libmy64bit.so static EGLBoolean neweglSwapBuffers...
libinject2-64:android所以为arm64注入
05-19
libinject2-64 NDK版本必须超过r10,就像r10e可以编译,不能测试。
dexposed框架jar包及so文件
02-19
阿里开源项目dexposed,集成dexposed框架所需的jar包和so文件
android封装在独立so,Android将so库封装到jar包并加载其的so库
weixin_42376940的博客
05-26 344
Android将so库封装到jar包并加载其的so库之前写过将jar包和so库封装到jar包的文章,但是没有考虑别人调用时需要加载so库的问题。因为so库放入jar之后,so就不是一个独立的.so文件了,用System.load()加载就会提示找不到这个库,所以要想加载这个so 就需要把so 从jar 提取出来,保存为临时文件,然后再加载。但是不能直接提取.so文件,需要把.so文件改成....
Android工程将流程封装在.so是否是一个很好的选择。
ueryueryuery的专栏
12-18 2919
TBD
Android NDK封装系统第3方so库
猪宾
08-25 380
前言:  在项目过程遇到一个需求, 要集成第3方公司提供的滤镜功能, 第3方提供了对外接口的.h头文件和实现so库, 项目需要整合第3方so库到自己的so库 1:   新建android工程, 建立jni目录, 在jni目录新建ImageAlogrithm目录,  放入第3方公司提供的.h头文件,      在jni目录下放入第3方提供的实现so库文件libImageAlorgrithm...
android系统调用封装so,[推荐]跨平台调so函数的框架
weixin_39624774的博客
05-26 154
最近在翻unicorn showcase的时候发现了一套不错的代码,能够非常好的模拟Android Native调用。 于是就瞎改了其代码,使其可以支持跑测试so(x音),并翻译了一份README。初始化有点慢,log有点慢,大黑阔们们别把初始化搞到任务循环里了~~https://github.com/P4nda0s/AndroidNativeEmu/fork from : https://git...
c++封装so库供安卓调用,注意点说明
刚入视频监控行业的菜鸡2090741348
06-15 297
由于java是强类型的语言,所以开发过程千万要谨慎。 下面是本人开发调试过程发现的问题,做以下总结说明:一、闪退问题 1、检查函数返回值类型,有返回类型的,必须带上返回值,否则会有意想不到的结果哦!这个其实就是写代码不够严谨,记得刚毕业时,每个月都会考一次编程规范,现在油条了!2、成员变量或者全局变量,定义了,如果业务流程里用到了,一定要赋值,不然也会闪退!3、内存越界,memcpy,strcpy等用法要注意4、等我发现再接着写...
Android平台的so注入--LibInject
Fly20141201. 的专栏
12-27 5811
大牛古河在看雪论坛分享的Android平台的注入代码,相信很多搞Android安全的同学应该都看过。刚接触Android平台的逆向时,我也下载了LibInject代码并且仔细的阅读和分析过,见我前面的博文《Android的so库注入》。我已经基本把Android so注入的原理分析的很清楚了,想学习的同学可以参考一下。虽然作者古河分享了LibInject代码,但是在eclispe下NDK编译还
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值