Android9.0 代码注入,[原创]Android9.0 hook dlopen问题/如何hook dlopen相关函数

最新推荐文章于 2022-01-20 15:32:13 发布
最新推荐文章于 2022-01-20 15:32:13 发布
阅读量484 收藏
点赞数 1
文章标签: Android9.0 代码注入
本文探讨了在Android9.0中hook dlopen函数时遇到的问题,由于修改LR寄存器导致EGL_ANDROID_blob_cache的错误,从而影响界面绘制。通过分析dlopen的实现和调用栈,确定了问题根源在于__loader_dlopen函数。解决方案包括hook __loader_dlopen以避免修改LR,以及利用合法地址规避命名空间限制。此外,还讨论了不同Android版本的hook策略和绕过私有API限制的方法。
摘要由CSDN通过智能技术生成

Android9.0中在activity的onCreate之前hook dlopen函数,如果需要返回值(即修改了LR寄存器),那么会触发:E/libEGL: EGL_ANDROID_blob_cache advertised, but unable to get eglSetBlobCacheFuncsANDROID。不会crash,但是界面不会绘制出来。

是因为dlopen(libEGL_adreno.so, 2)、dlopen(libGLESv2_adreno.so, 2)返回都是null。理论上其他任何hook框架也都存在这个问题,测试了几个也确实都存在。

dlopen函数实现在libdl.so,

.text:0000000000000EF8 WEAK dlopen

.text:0000000000000EF8 dlopen ; DATA XREF: LOAD:0000000000000508↑o

.text:0000000000000EF8

.text:0000000000000EF8 var_s0 = 0

.text:0000000000000EF8

.text:0000000000000EF8 ; __unwind {

.text:0000000000000EF8 STP X29, X30, [SP,#-0x10+var_s0]!

.text:0000000000000EFC MOV X29, SP

.text:0000000000000F00 MOV X2, X30 ; a3

.text:0000000000000F04 BL .__loader_dlopen

.text:0000000000000F08 LDP X29, X30, [SP+var_s0],#0x10

.text:0000000000000F0C RET

.text:0000000000000F0C ; } // starts at EF8

.text:0000000000000F0C ; End of function dlopen

这里把LR寄存器当作第三个参数传递给.__loader_dlopen,而我们hook时为了能拿到返回值是修改了LR寄存器的,这是不可避免的。如果不修改LR寄存器,除非我们知道函数结尾,在函数结尾修改LR寄存器或者跳到shellcode/hook函数,但是通常是不现实的,函数开头容易确认,函数结尾很难自动化确认。

// Proxy calls to bionic loader

__attribute__((__weak__))

void* dlopen(const char* filename, int flag) {

const void* caller_addr = __builtin_return_address(0);

return __loader_dlopen(filename, flag, caller_addr);

}

__builtin_return_address函数应该是gcc内部函数,0获取的是被调用函数返回后执行的指令地址,至于1之后的数字是否能获取到函数调用栈待测试。已测试:

1、0获取的就是进入函LR寄存器的值。

2、1获取的是r7(thumb)/r12(arm),即ip寄存器的值,所以能不能获取到正确的值取决于上层是否使用了ip寄存器暂存sp,且ip寄存器之后(栈上)就是在栈上存储的LR寄存器的值。所以不满足这些条件的函数是获取不到的甚至是错误的。

爷爷函数:

.text:0000C250 ; __unwind {

.text:0000C250 PUSH {R4,R5,R7,LR}

.text:0000C252 ADD R7, SP, #8

...

.text:0000C292 BLX j__Z12test_replacev ;

最低0.47元/天 解锁文章
用户6584084300
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python eval 转换k m到乘法计算
weixin_43852674的博客
09-28 745
原数据 lambda函数处理 我之前写了各种if substr函数,各种报错 正确到热泪盈眶的函数 data['Followers/Fans'] = data['Followers/Fans'].str.replace('k|K','*1000').str.replace('m|M','*1000000').fillna('0') data['Followers/Fans'] = data['Followers/Fans'].apply(eval) 报错函数 # def trans(x): #
android 禁用dlsym_Android10 aarch64 dlopen Hook
weixin_32302013的博客
01-15 594
前言[toc]对于自动化hook Il2cpp 的模块来说, dlopenhook相当于一个大门, 没有该大门口, 一切都是纸上谈兵在 armabi-v7a 上hook dlopen, 轻松的不要不要的, 甚至借用一下 virtual 系列app的 va++ 核心提供的 hook_dlopen 函数的接口都行可是到了 aarch64 这里, 找了一圈, 能用的 hook构件 也就一枚 And6...
Android下使用dlopen函数动态调用.so链接库
Android 开发
10-31 8081
在这篇文章(【09.03.25】Linux环境中dlopen函数的简单应用)中。实现了在UBUNTU LINUX环境下使用dlopen函数动态调用.so链接库。但是也提到了在Android下未能成功。由于Android也是使用linux内核,因此估计程序本身可能并没有什么错误,问题应该是出现在Android.mk文件中。今天早上试着修改了一下Android.mk,终于将这个问题解决了。 好在
Android9.0 代码注入,android apt自动生成dagger2的注入代码
weixin_33617691的博客
05-26 199
大家使用dagger2时候,通常要写一些注入代码,就算是再base类里面些, 当有新添加还有做修改。。其实倒也不麻烦,但是自动生成注入还是蛮爽的,像spring那样。。本文分三部分来说吧。第三部分是apt自动生成代码 再为dagger2提供注入。结合第第一个和第二个来看。 dagger需要我们手写Component,和初始化代码。 新建activity还是有点麻烦。用上apt只要一个注解,就会自动...
使用dlopen打开android内置动态库.so报段错误或非法指令的问题
qq_42784403的博客
12-04 1152
之前使用gcc进行编译的,运行可执行程序没问题,当用到dlopen会报错 解决:需要使用android ndk中名字带android的交叉编译链进行编译,同时所依赖的库需要使用android system/lib内置的
android的got表HOOK实现
深耕安全技术研究
08-12 1071
概述 对于android的so文件的hook根据ELF文件特性分为:Got表hook、Sym表hook和inline hook等。 全局符号表(GOT表)hook,它是通过解析SO文件,将待hook函数在got表的地址替换为自己函数的入口地址,这样目标进程每次调用待hook函数时,实际上是执行了我们自己的函数。 Androd so注入函数Hook(基于got表)的步骤: 1.ptrace附加目标pid进程; 2.在目标pid进程中,查找内存空间(用于存放被注入的so文件的路径和so中被调用的函数的名称或者
代码实例分析android中inline hook
08-28
在本文中,我们通过一个实例代码,详细介绍了 Inline Hook 技术的实现过程,包括实现目标注入程序、实现主程序、实现注入函数、Thumb 指令集实现等四个方面。通过学习和掌握 Inline Hook 技术,我们可以更好地控制和...
绕过移动系统限制的dlopen库-Android开发
05-26
A dlopen library that bypasses mobile system limitation dyOpen A dlopen library that bypasses mobile system limitation 简介 byOpen是一个绕过移动端系统限制的dlopen库。 支持特性 Android 支持...
Android的so注入( inject)和函数Hook(基于got表) - 支持arm和x86
墨鱼菜鸡
01-01 199
本文博客地址:http://blog.csdn.net/qq1084283172/article/details/53942648 前面深入学习了古河的Libinject注入Android进程,下面来 深入学习一下作者ariesjzj的博文《Android中的so注入(inject)和挂钩(hook) ...
Linux dlopen 注入hook分析
u014288349的博客
11-19 3840
http://blog.51cto.com/haidragon/2135226 https://github.com/gaffe23/linux-inject   目的:将动态库so注入到目标程序中 核心原理:1、获取目标程序函数(__libc_dlopen_mode、malloc、free)的地址;2、获取一段可执行的内存地址;3、将汇编注入代码写入这段内存地址;4、通过int3断点来查...
触摸屏补丁 刷机后失效专用
05-07
刷机后触摸屏失灵 可用此版本对触摸屏载入刷机 中兴V880
CPU负载过高后自动关闭进程或服务(已修复BUG).zip
07-06
这个是修复之后的,解决了已发现的BUG。服务器程序有时候不知道是什么原因导致CPU异常变高,每次变高都需要手工重启程序或服务,很麻烦,于是我就写了这个程序分享给网友朋友,希望能够帮到大家。使用说明,可自定义CPU负载多少,持续多少秒,执行相关bat或程序。
Androidopengles,egl库的结构
liao_hb的专栏
05-15 2986
目录 egl,opengl es的软硬件实现 需要的库 库的分工 加载模块 软件实现模块 硬件实现模块 egl,opengl es的软硬件实现 需要的库 //算是android中的egl库,用来加载具体的实现(软件实现或者硬件实现) system\lib\libEGL.so //opengl具体实现的wrapper,无论软件硬件实现时,均需加载这2个调用转发库 system\lib\libGLESv1_CM.so // opengl es 1.0调用的wrapper壳,对应..
OpenGL ES与EGL的关系(二十一),android高级面试
m0_65511857的博客
12-20 1091
//调用eglCreateWindowSurface将Surface s转换为本地窗口, surface = eglCreateWindowSurface(display, config, s.get(), NULL); context = eglCreateContext(display, config, NULL, NULL); eglQuerySurface(display, surface, EGL_WIDTH, &w); eglQuerySurface(display, surface,
unity 闪退 android,unity3d android手机闪退处理基本步骤
weixin_28972529的博客
05-27 6998
对于u3d在手机上闪退,基本上可以说是无法避免的,原因有千千万万,举个例子,各种品牌的手机,会用不同的芯片,比如高通,联发科,个人印象中高通是最好的。联发科也还行。同一种芯片也会有各种不同类型,不同类型就意味着不同的架构,内核,而手机又有各种rom,各种操作系统的坑,所以闪退,是肯定存在的。问题在于怎么处理。首先,我不想讨论逻辑上的bug,比如你自己的C#代码访问了空指针,这种bug看下日志就可以...
Android 图形驱动初始化
tq08g2z的专栏
09-15 1378
从应用程序的角度看 OpenGL 图形系统的接口,主要包括两大部分,一部分是 EGL,它为 OpenGL 渲染准备环境;另一部分是 OpenGL,它执行图形渲染。通过这些接口构造渲染环境,并执行渲染的过程,可以参考 在 Android 中使用 OpenGL。对于 Android OpenGL 图形系统的实现的分析,从 EGL context 的创建开始。先来看一下获取 Display 的过程。首先来
Android高级进阶--插曲-从Android5.0到Android10各版本变化
gaoxiaoweiandy的专栏
10-20 9014
Android5.0到Android10 一、Android51.ANDROID 5.0 行为变更: 声音和振动 (1)如果您当前使用 Ringtone、MediaPlayer 或 Vibrator 类向通知中添加声音和振动,则移除此代码,以便系统可以在“优先”模式中正确显示通知。取而代之的是,使用 Notification.Bu...
android cocos2d-x segv_accerr,调用时报: SIGSEGV(SEGV_ACCERR)/(SEGV_MAPERR)
weixin_39551993的博客
05-27 1001
都是bugly上收集来的堆栈信息, 都是在调用GLES20Canvas.texSubImage2D出现的问题不知道有没有什么思路?找了3个堆栈信息,如下机型1:---------红米 REDMI NOTE 3--------Android 5.0.2----SIGSEGV(SEGV_ACCERR)---#00 pc 0000000000017a00 /system/lib64/libc.so (m...
【我的OpenGL学习进阶之旅】解决Android OpenGL ES 调试工具 GAPID 无法识别Android设备的问题
字节卷动
01-20 4695
一、问题描述 之前在博客【我的OpenGL学习进阶之旅】【强烈推荐】一款强大的 Android OpenGL ES 调试工具 GAPID并展示【实战操作演练】一步一步看如何使用GAPID调试工具介绍了GAPID工具的使用。 今天在使用GAPID工具调试真机的时候,发现无法识别设备,如下所示: 只能识别出当前的Windows10电脑设备,无法识别出我的Android设备 二、解决问题 2.1 找到GAPID工具的安装目录 找到GAPID工具的安装目录,有几个apk如下所示: 2.2 安装apk到andro
c++代码hook dlopen
最新发布
09-04
Hook dlopen 函数可以通过修改 dlopen 函数的实现,从而实现替换或增强 dlopen 函数的功能。以下是一个使用 C++ 实现的 Hook dlopen 函数的示例代码: ```c++ #include <dlfcn.h> // 定义一个指向原始 dlopen 函数函数指针 void* (*original_dlopen)(const char*, int) = (void* (*)(const char*, int))dlsym(RTLD_NEXT, "dlopen"); // 定义一个新的 dlopen 函数 void* my_dlopen(const char* filename, int flags) { // 在调用原始 dlopen 函数之前,可以在此处添加自己的代码 void* result = original_dlopen(filename, flags); // 在调用原始 dlopen 函数之后,可以在此处添加自己的代码 return result; } // 替换 dlopen 函数的实现 void* dlopen(const char* filename, int flags) { // 调用新的 dlopen 函数 return my_dlopen(filename, flags); } ``` 在上述示例代码中,我们首先通过 dlsym 函数获取到原始 dlopen 函数的地址,然后定义了一个新的 my_dlopen 函数来替换原始 dlopen 函数。在 my_dlopen 函数中,我们可以添加自己的代码来增强 dlopen 函数的功能。最后,我们通过替换 dlopen 函数的实现,来实现 Hook dlopen 函数的目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值