android查看动态内存,基于LiME工具的Android手机动态内存提取

最新推荐文章于 2023-11-04 09:49:18 发布
最新推荐文章于 2023-11-04 09:49:18 发布
阅读量430 收藏
点赞数
文章标签: android查看动态内存

1.2 绕过内核检查

Android手机系统内核会对模块进行检查, 故须绕过目标手机内核检查机制, 才能使用LiME模块提取动态内存。

1.2.1 vermagic检查机制

对于Linux2.6的内核, 内核检查机制主要是vermagic字符串匹配检查。Vermagic格式定义如下所示:

#define VERMAGIC_STRING \

UTS_RELEASE “ “ \

MODULE_VERMAGIC_SMP \

MODULE_VERMAGIC_PREEMPT \

MODULE_VERMAGIC_MODULE_UNLOAD \

MODULE_VERMAGIC_MODVERSIONS \

MODULE_ARCH_VERMAGIC

Vermagic字符串可通过内核配置文件.config和Makefile中的宏定义进行设置, 各字段定义见表1。

表 1

Table 1

表 1(Table 1)8270ad000e22209d7d3dd116bf997eb1.png

表 1 vermagic各字段定义Table 1 Definition of each section in vermagicVermagic字段对应配置文件中的宏定义备 注UTS_RELEASEKERNELRELEASE内核版本信息

MODULE_VERMAGIC_SMPCONFIG_SMP处理多处理器并发申请锁

MODULE_VERMAGIC_PREEMPTCONFIG_PREEMPT允许内核抢占

MODULE_VERMAGIC_MODULE_UNLOADCONFIG_MODULES_UNLOAD允许模块卸载

MODULE_VERMAGIC_MODVERSIONSCONFIG_MODVERSIONS模块版本的校验

MODULE_ARCH_VERMAGICCONFIG_ARCH_HAS_CPUFREQ模块使用的指令集架构版本表 1 vermagic各字段定义Table 1 Definition of each section in vermagic

绕过目标手机内核的vermagic检查, 可以从目标手机中找到现有的模块作参考, vermagic信息存放在内核模块中的.modinfo段中, 在Linux终端下输入命令modinfo < module> 可查看模块vermagic信息, 根据此信息再对内核配置文件作相应的修改, 使参考模块的vermagic信息与源码中的内核配置信息完全一致, 即可通过目标手机的vermagic检查机制。如下所示是HTC S710d中的一个模块信息:

# modinfo bcm4329.ko

filename: bcm4329.ko

license: GPL v2

alias: sdio:c*v02D0d0000*

depends:

vermagic: 2.6.35.10-g9dc9c50 preempt mod_unload ARMv7

parm: clockoverride:SDIO card clock override (int)

……

1.2.2 modversions检查机制

某些使用linux3.0及以上版本内核的手机, 具有vermagic和modversions两种检查机制。modversions是模块的版本校验机制。通过对模块的反汇编发现, 启用此校验的模块多了_versions段。通过分析源码目录下的kernel/module.c文件, 可知该检查机制在模块编译前通过宏定义CONFIG_MODVERSIONS启用, 并在模块的vermagic字符串中引入MODULE_VERMAGIC_MODVERSIONS字段。经分析, 当启用了modversions检查机制后, 在模块的_versions段数据中会出现module_layout字段值, 若模块中的module_layout值与目标手机系统中的module_layo-ut值不匹配, 就会出现拒绝装载的提示信息, 因此禁用CONFIG_MODVERSIONS可关闭内核中的模块版本校验机制。若在内核配置中禁用CONFIG_MODVERSIONS宏定义后, 则会改变内核模块的VERMAGIC_STRING值, 提取时会出现vermagic校验失败的错误。因此绕过手机中的module_layout校验可通过伪造vermagic中的MODULE_VERMAGIC_MODVERSIONS值。MODULE_VERMAGIC_MOD-VERSIONS值可在内核源码目录的include/linux/vermagic.h文件中伪造, 如下所示:

#ifdef CONFIG_MODVERSIONS

#define MODULE_VERMAGIC_MODVERSIONS “ mod-versions “

#else

#define MODULE_VERMAGIC_MODVERSIONS “ mod-versions “

#endif

狗哥老司机
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于kernel module签名
自定义安装golang
10-17 1582
在实际应用中,为了安全,一般会使用将发布的ko进行签名,特别是像android这样的系统。例如:在android系统中,kernel在bootimage中,如果编译的ko文件在vednor或其他分区,并且打开了模块签名与校验配置,那么在调试的时候就需要同时编译ko与bootimage,否则外部的ko将安装失败。 关于kernel module签名可以参考:https://github.com/torvalds/linux/blob/master/Documentation/admin-guide/modu
insmod时vermagic报错及签名报错处理
ARM的三级流水线结构(二)
11-03 1223
insmod 驱动时,vermagic报错处理方法: uname -a查看环境上的vermagic 若驱动代码一致,可强制修改include/generated/utsrelease.h中UTS_RELEASE宏,与环境保持一致,再编译出KO。 **签名报错:**signature and/or required key missing - tainting kernel **原因:**内核开启了签名,驱动未进行签名。 内核中的签名相关选项: CONFIG_MODULE_SIG_FORMAT=y CONFI
android-insmod驱动模块出错问题解决方法
weixin_33859231的博客
01-21 651
android-insmod驱动模块出错问题解决方法 insmod: error inserting 'hello.ko': -1 Invalid module 1, make xconfig General setup---->>>local version -append to kernel rel...
嵌入式Linux驱动开发从基础到框架
z3256789的博客
09-22 603
想讲好嵌入式Linux的驱动开发并不容易,各位业界大神最基础的字符驱动到中断并发再到驱动框架、应用层调用。但是总觉得业界写的书都是点到为止,可能也有篇幅过长、嵌入式Linux驱动框架碎片化的考虑。在一众嵌入式Linux驱动书中笔者最推崇宋宝华的《Linux设备驱动开发详解》,但他完全可以更进一步上升到驱动框架个例(比如USBwifi模块驱动)和应用层调用。有些书从c语言基础谈起,真是莫名其妙,不懂C语言应该去学C语言而不是来学驱动。 1、基础和原料 驱动程序本身也是程序,所有程序都有基础和调用原料库(.
CONFIG_PREEMPT 和 CONFIG_PREEMPT_VOLUNTARY的区别
jason的笔记
02-24 5470
在kernel/kernel/Kconfig.preempt中定义了两种抢占策略,PREEMPT_VOLUNTARY和PREEMPT 其中PREEMPT_VOLUNTARY 适用于有桌面的环境,而PREEMPT 则可以用于桌面或者嵌入式,其调度延迟是毫秒级别的。详细说明如下: config PREEMPT_VOLUNTARY     bool "Voluntary Kernel Preemp
基于LiME工具Android手机动态内存提取.pdf
09-21
基于LiME工具Android手机动态内存提取.pdf
Android智能手机动态内存取证技术综述.pdf
09-21
1. LIME及其改进方法:LIME(Live Internal Memory Forensics)是一种基于Linux的内存取证工具,能够实时地捕获和分析Android智能手机动态内存数据。其改进方法包括基于LIME的可扩展内存取证框架、基于LIME的实时...
LiME:LiME(以前称为DMD)是一个可加载内核模块(LKM),它允许从Linux和基于Linux的设备(例如由Android驱动的设备)中获取易失性内存。 该工具支持获取设备文件系统或网络上的内存。 LiME的独特之处在于它是第一个允许从Android设备捕获全部内存的工具。 它还最大程度地减少了在获取过程中用户空间与内核空间过程之间的交互,从而使其产生的内存捕获比为Linux内存捕获而设计的其他工具更具有鉴识力。
05-04
LiME〜Linux内存提取器可加载内核模块(LKM),允许从Linux和基于Linux的设备(例如Android)中获取易失性内存。 这使LiME独树一帜,因为它是第一个允许在Android设备上捕获全部内存的工具。 它还最大程度地减少了在...
lime-flutter:使用Flutter构建的Lime客户端
05-16
Lime最初是用Java内置的本地android应用程序。 为了同时提供iOS版本,应用程序使用Flutter进行了重建。 我们将尽快发布iOS Flutter版本的所有基本功能,并且计划在flutter版本变得更强大以提供使用一个代码库的统一...
全志平台Android 系统调试方法(5)内核异常调试
szembed的博客
05-18 921
以下技术在盈鹏飞嵌入式的A40I/T3核心板(CoM-X40I)和主控板(SBC-X40I)上经过验证,欢迎 交流! CoM-X40I核心板和SBC-X40I主板见下图: 1. 前言 这里总结几种内核异常时,常用的几种调试方法 2. Watchdog softlockup linux-3.4\Documentationlockup-watchdogs.txt (1) Linux3.4 Watchd
android计算图片的大小,【Android】图片内存占用大小的计算与验证
weixin_39995774的博客
05-26 386
一张图片的文件可能只有几KB、十几KB或几十KB,但在内存中解码后,所占用的内存空间是多大呢?本篇文章将提供图片内存占用大小的计算与验证方法。文章内容:Android中一张图片(Bitmap)占用的内存由以下三个因素决定:图片的像素点个数单位像素占用的字节数其中图片的像素点个数是图片的宽度与调试的积,所以一张图片占用的内存值为:图片长度 * 图片宽度 * 单位像素占用的字节数单位像素所占用...
android动态分配空间,android 源码阅读的C++语法准备6 动态内存 信号处理 线程操作...
weixin_32535637的博客
05-27 139
动态内存C++ 程序中的内存分为两个部分:栈:在函数内部声明的所有变量都将占用栈内存。堆:这是程序中未使用的内存,在程序运行时可用于动态分配内存。很多时候,您无法提前预知需要多少内存来存储某个定义变量中的特定信息,所需内存的大小需要在运行时才能确定。在 C++ 中,您可以使用特殊的运算符为给定类型的变量在运行时分配堆内的内存,这会返回所分配的空间地址。这种运算符即 new 运算符。如果您不再需要动...
android内存调试工具学习
hj520wj的专栏
01-12 660
一.内存监测工具 DDMS --> Heap 无论怎么小心,想完全避免bad code是不可能的,此时就需要一些工具来帮助我们检查代码中是否存在会造成内存泄漏的地方。Android tools中的DDMS就带有一个很不错的内存监测工具Heap(这里我使用eclipse的ADT插件,并以真机为例,在模拟器中的情况类似)。用 Heap监测应用进程使用内存情况的步骤如下: 1. 启动eclips
version magic 不一致问题
热门推荐
不喜欢debug的疯子
07-26 1万+
碰到一个问题,在开发过程中发现以前编译的模块加载失败了。wlan: version magic '4.1.15-gfb2dbf6 SMP preempt mod_unload ARMv7 p2v8 ' should be '4.1.15-ge5de83b-dirty SMP preempt mod_unload ARMv7 p2v8 '这里看到version magic 存在不一致的问题的,不一致的
解决模块与内核不匹配问题
hbcbgcx的博客
03-07 1048
https://blog.csdn.net/lyf666888/article/details/53410940 安装模块时出现:[root@FriendlyARM nfs]# insmod key2.ko key2: version magic '2.6.32.2 mod_unload modversions ARMv4 ’ should be '2.6.32.2-FriendlyARM mod...
使用LIME解释各种机器学习模型代码示例
最新发布
deephub
11-04 3926
LIME是解释机器学习分类器(或模型)正在做什么的宝贵工具。通过提供一种实用的方法来理解复杂的ML模型,LIME使用户能够信任并改进他们的系统。通过为单个预测提供可解释的解释,LIME可以帮助建立对机器学习模型的信任。这种信任在许多行业中都是至关重要的,尤其是在使用ML模型做出重要决策时。通过更好地了解他们的模型是如何工作的,用户可以自信地依赖机器学习系统并做出数据驱动的决策。作者:Tushar Aggarwal。
修改kernel version的方法及后果
Iot小能手
11-16 8109
1.修改kernel version方法 utsname()是在内核空间里面存着的相关的内核信息。utsrelease.h是一个自动生成的文件,没有办法修改,但这个数据是根据Makefile和.config的内容进行生成的,通过修改这两个文件的内容,可以改变! 1.1修改makefile /usr/src/linux/Makefile: VERSION = 2 PATCHLEVEL = 
Android运行内存取证:LiME工具在获取RAM数据中的应用
Android运行内存数据的获取是通过如LiME这样的软件工具进行的,这些工具使得在不损害设备的情况下提取关键信息成为可能。同时,随着数据加密和隐私保护的增强,对内存数据的深入分析,如WAL日志的处理,以及特定应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值