dll注入有什么用_Art 模式 实现Xposed Native注入

最新推荐文章于 2022-08-08 00:29:27 发布
最新推荐文章于 2022-08-08 00:29:27 发布
阅读量311 收藏 1
点赞数
文章标签: dll注入有什么用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30316287/article/details/112110950
版权
前言

现在市面上的Hook框架有很多:Xposed、Frida、YAHAK 等,Frida 是目前最火的,跨平台注入框架,支持 java和 Naive 层。

安卓目前沙盒注入 方式应该就两种Ptrace 和 Zygote,各有各的优点和短板 ,曾经Hook之王 Xposed 在 Native层显得比较无力,也就导致市场上很多模块都不能进行Native层的Hook ,一直在想着能不能试着完善一下。 https://www.jianshu.com/p/810f6ac05c37

正文

在之前这篇帖子里  简单实现了 Xposed 在 4.4的 版本的 NativeHook ;

主要原理 就是在加载、被Hook So的时候,利用Xposed拦截 ;

在java层调用System.load函数把Xposed模块里面的so进行加载注入,在so里面直接调用dlopen拿到被Hook So地址即可。

在高版本里面是不允许直接System.load的,不安全。 

c28149e26311436c6f8adb58afe5ed60.png

大概意思就是说直接System.load容易被串改在高版本会失效应该使用 System.loadLib。

这个函数是加载 app内部 Lib下So的函数。但最终,都会调用 doLoad函数(具体 可以参考对应源码 )我们就从这个函数入手。

Xposed 先挂钩,作为 So名字作为条件过滤依据。

22bb8c4228c7d354627271e478568a36.png

这块有个问题就是:怎么把 Xposed模块里面的 So注入到 目标 进程中?  

在 4.4 版本的时候,可以直接 System.load 打开即可,然后进行装载和链接。

这个问题我想了很久有两种可行方案 :

第一种方案 :可以把模块里的 so 利用shell权限进行 copy,直接拷贝到 被 Hook的 lib下面 。

然后 System.loadLib 去加载即可。因为shell需要 root 会导致被 Hook 进程,申请 Root权限才可以 。

(比如 Hook A app因为 Xposed 走的是 A所在的进程,所以如果在代码里申请 Root 最终会提示A app申请 Root)进行操作不方便和不实用 。

第二种方案:直接利用反射调用doLoad函数进行So的加载如图:

0a6dfdbb67b1d325f5d6439d885b5a9a.png

第一个参数是So的路径第二个参数Classloader其实他是一个 PathClassloader。

如果发现加载的So是被Hook的So,便进行注入把第二个参数传入进去反射备用。

4c4da7c548dec72d9c6be34a23544629.png

这块的 Path是绝对路径。有人会问为什么要这么写 ?   

我在Hook 这个函数的时候,把参数 1 打印了一下。可以看到加载的是 So的绝对路径。

(这块楼主也有一件事不太懂,为什么路径要加个 -1 ?很奇怪,算了,照葫芦画瓢,先这么写 )

4c0ee97ab1dfc7416f62b6aba803dff6.png

这里科普一下 /data/data/ 下面都是App的数据,而/data/App/下面放的是 app 包 。

然后把路径改成自己Xposed模块里的So 进行注入,成功!

这块有个调用时机问题,一定要在目标So加载完毕以后在进行注入,因为后期需要实现突破7.0dlopen 限制,需要遍历内存对应的Map文件。 

下来开始在Xposed模块的so得 JNI_OnLoad 进行挂钩。Hook 楼主用的是 InlineHook

33c7b32161962320cc2a278a578b8c86.png

在 4.4 版本以前可以直接 dlopen,直接打开任意目录的So进制装载和链接。在 4.4的时候直接打开被Hook的so即可,在高版本因为权限问题不能直接打开。

a4e29f052d107a0b00409f66f339f017.png

楼上图片参考地址:https://www.cnblogs.com/eniac1946/p/7515557.html

突破 dlopen 限制楼主用的是感谢大佬提供的轮子:

https://github.com/lizhangqu/dlfcn_compat

主要是遍历 Map文件,拿到so的 地址和 dlopen的 Hook。

(具体可参考项目的 reademe)

5b92ab7837e19dcf886230e6162552e1.png

下面我们看看内存里的文件对应内容楼主用的是7.1的安卓系统。

利用GG修改器导出内存看看对应文件的地址的映射和路径 。

7224ed7197d133dece42e9be3befc314.png

有人会问这个怎么导出的? 

① 内存管理页面点导出内存 

c48c6a302513af98d9c29d3d88963a3f.png

② 结束地址随便输入 

90318ce7fa713b4eb79097c757693152.png

③ 保存即可。

(GG修改器是个神器 ,可以用来dex脱壳So还原,Dll提取等直接操作内存感兴趣可以学学)

将路径改为 绝对路径

6d59104e4d2b09063f2894fd1c225fd2.png

直接 dlopen打开,拿到句柄以后直接进行用dlsym拿到对应函数地址用 InlineHook进行挂钩  。

还是以loadbuffer函数为目标函数dump lua文件。

73c8eaebe2e4a2a97d04910d80f92ee6.png

在 my_luaL_loadbuffer 进行保存 

4dd622c3459441b7a2b405cc44bcbce2.png

保存成功 

6ab557af4919cc4e3a340115e480dc24.png

上面的只是一个demo一个Hook的模板,Xposed模块可以用这种方式进行so层的Hook和注入,具体代码上传到:https://github.com/w296488320/ArtXposedNativeHook

649e642a862db25776bc529157d845eb.gif e32089ba9064d127bed87c3ed09e4169.png

看雪ID:珍惜Any     

https://bbs.pediy.com/user-819934.htm

本文由看雪论坛 珍惜Any  原创

转载请注明来自看雪社区

热门图书推荐

98419d3212c6955bcf544c6db4b34bc7.png 立即购买!

热门文章阅读

1、Pwn学习笔记:Rop Primer靶机实战

2、base64算法初探即逆向分析

3、从华为方舟编译器看一种JavatoC语言解释器的实现

e21f1f96f1b25a07a6fe18360936a54b.png

公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com

宁输输
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Xposednative进行hook
头铁逆向的旅程
01-07 5983
使用Xposednative进行hook,Dobby框架的使用
Android逆向之旅---Native层的Hook神器Cydia Substrate使用详解
hgfujffg的博客
02-09 1272
Android逆向之旅---Native层的Hook神器Cydia Substrate使用详解
android hook之 xposed检测
qq_24137739的博客
07-15 1280
注意:原文中第3个方法“检测并不应该nativenative方法”没有实现。 检测代码如下: import java.io.BufferedReader; import java.io.FileReader; import java.util.HashSet; import java.util.List; import java.util.Set; import android.content.Context; import android.content.pm.ApplicationInfo; .
java hook xposed_java – 查找Xposed模块的钩子方法
weixin_39782394的博客
02-28 175
我正在尝试制作一个Xposed模块.我首先阅读了一个教程,其中包含了操作时钟的指令.代码如下:package de.robv.android.xposed.mods.tutorial;import static de.robv.android.xposed.XposedHelpers.findAndHookMethod;import android.graphics.Color;import an...
xposed检测原理分析 -案例某付宝、某音
麦小洛
08-22 6274
一、 1.支付宝的Xposed hook 检测原理: Xposed Hook 框架将Hook信息存储在fieldCache, methodCache,constructorCache 中, 利用java 反射机制获取这些信息,检测Hook信息中是否含有支付宝App中敏感的方法,字段,构造方法。 2.支付宝的SO检测原理: 检测进程中使用so名中包含关键"hack|inject|hook|call...
xposed.installer_v33_36570c_xposed框架_
10-03
Xposed框架(Xposed Framework)是一套开源的、在Android高权限模式下运行的框架服务,可以在不修改APK文件的情况下影响程序运行(修改系统)的框架服务,基于它可以制作出许多功能强大的模块,且在功能不冲突的情况下...
安卓7.1模拟器_x86_Xposed框架安装
03-22
本文件适用于x86平台安卓模拟器安装xposed框架。
android_xposed:android xposed模块开发
05-02
android xposed module develop project 进度表 当前问题 解决方法 ...如何使用Android Studio 打包改了代码的XposedInstall应用的Apk? ok 如何让xposedInstall与android版本相对应? -- -- ok (目前两个
xposed-uninstaller-20150831-arm.zip_xposed_xposed uninstaller_xp
09-14
Xposed uninstaller arm
USSDFilter_XposedModule:使用 Xposed 框架的 USSD 过滤器
06-18
USSDFilter_XposedModule 使用 Xposed 框架的 USSD 过滤器。 当前仅支持 1 个过滤器使用文件 /sdcard(或等效文件)/USSDFilterString.conf 使用 Toast 通知实现的子字符串匹配。 UI还没有完成去做偏好活动1.1 添加...
[免费专栏] Android安全之Android Xposed插件开发,小白都能看得懂的教程
橙留香Park的博客
08-08 7955
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
一个基于xposed和inline hook的一代壳脱壳工具
zhangmiaoping23的专栏
07-02 3722
1. 我为啥要写这个工具 虽然一代壳比较古老了,但是市面上还是比较多。用ida脱的话有点累。然后我就写了个xposed插件,来快速的帮我们完成脱壳。(这种方法比较省事,不用去修改系统什么的,也不用动态调试) 2. 原理 原理就是去hook libart.so里面的art::DexFile::OpenMemory,然后再把内存中的dex写到文件中去。就是这么简单,最主要的就是hoo
分享一个曾经实现ArtHook源码
ylcangel的专栏
03-03 1301
基于学习和分享的目的,你可以自行下载,随意进行更改,但需要注明出处,版权属于我个人所有。 实现原理和思路: 1、核心原理是利用java反射+代理 2、在java层实现一个method,在jni层替换method结构指针 注意: 我当时使用的手机是google 原生Android6.0,可以在6.0手机跑通,其他版本的ArtMethod结构体头文件中有, 不过我代码中并没有添加对其他类型...
Android Art Hook 技术方案
qq_27403801的专栏
04-14 415
0x1 开始 Anddroid上的ART从5.0之后变成默认的选择,可见ART的重要性,目前关于Dalvik Hook方面研究的文章很多,但我在网上却找不到关于ART Hook相关的文章,甚至连鼎鼎大名的XPosed和Cydia Substrate到目前为止也不支持ART的Hook。当然我相信,技术方案他们肯定是的,估计卡在机型适配上的了。 既然网上找不到相关的资料,于是我决定自己花些
java hook 框架_开源Hook框架-epic-实现浅析
weixin_42395669的博客
02-16 725
epic是weishu大神开源的一个Hook框架,支持ART上的Java方法HOOK。本文走马观花一下。epic相当于ART上的Dexposed,所以也是Xposed-Style Method Hook。从DexposedBridge.findAndHookMethod开始跟踪代码:取出最后一个参数callback,然后调用XposedHelpers.findMethodExact得到想要Hook...
Xposed学习二:实现机制
zhangmiaoping23的专栏
09-19 1463
转:http://blog.csdn.net/a6624624/article/details/48138475 在上一篇我们学习了如何在AS中创建Xposed模块,本篇来分析下官方教程中redClock的实现原理。本系列文章基于version-51 [java] view plain copy "font-size:18px;">
DLL注入
learn112的博客
01-03 439
DLL注入 什么是DLL注入 DLL注入指的是向运行中的其他进程插入我们指定的DLL文件,它是渗透其他进程的最简单有效的方法,借助DLL注入技术,可以钩取API,改进程序,修复BUG等 DLL注入基本原理 DLL注入的核心就是使目标程序调用LoadLibrary()API,来加载我们的DLL,从而自动执行DLLMain入口函数内的代码 DLL注入实现的常见方法 1.创建远程线程(利用CreateRemoteThread()API) 2.注册表注入(AppInit_DLLs值) 3.Windows消息钩取(S
DLL注入学习总结
bcbobo21cn的专栏
04-23 2757
dll注入 所谓DLL[1]  注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。要实现DLL注入,首先需要打开目标进程。 中文名 dll注入 外文名 hRemoteProcess 意    义 将一个DLL放进进程的地址空间里 方    法 打开目标进程 例: hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD |
用黑客思维做测试——神器 Xposed 框架介绍
热门推荐
wzgiceman
01-29 1万+
Xposed 框架 Xposed 框架是一款可以在不修改APK的情况下影响程序运行(修改系统)的框架服务,基于它可以制作出许多功能强大的模块,且在功能不冲突的情况下同时运作。 基本原理 Zygote 进程是 Android 的核心,所有的应用程序进程以及系统服务进程都是由Zygote进程 fork 出来的。Xposed Framework 深入到了 Android 核
android_virtual_cam: xposed
最新发布
10-18
Android Virtual Cam是一款基于Xposed框架的应用程序。Xposed框架是一种Android平台的开源软件,它允许在不修改系统的情况下对应用程序和系统进行定制和修改。Android Virtual Cam利用Xposed框架的强大功能,使用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值