android so文件hook,Android SO 加载分析与导入表Hook、导出表Hook

最新推荐文章于 2024-05-17 09:12:25 发布
最新推荐文章于 2024-05-17 09:12:25 发布
阅读量400 收藏 1
点赞数
文章标签: android so文件hook

0x00 参考文章

关于so加载分析,就是从System.loadlibrary开始的,层层玻璃代码真相,在Android SO 加壳(加密)与脱壳思路,我们说ELF Header中的一些字段是无用的,Section Header也是无用的,这是为什么呢?

答案是在so加载的过程中,没有使用的,有关Android so加载深入分析,请参考这篇pdf,http://download.csdn.net/detail/jltxgcy/9602858,写的非常细致。

0x01 so加载流程

大致说一下加载so的流程:

1.1 根节点入栈,根节点是待加载的.so文件。

1.2 从待加载库中,加载.so文件和其依赖库。

1.2.1 把.so文件的内容读取到内存中。

1.2.2 加载到内存后,用soinfo结构体管理.so内存中的数据。

1.2.3 PrelinkImage,解析.dynamic section,补充soinfo结构体中的段信息。

1.2.4 将该.so文件依赖的库添加到待加载队列中。

1.2.5 循环至1.2,加载其依赖库。

1.3 循环链接(LinkImage).so和其依赖库。

特别说一下,1.2.4:

static void for_each_dt_needed(const soinfo* si, F action) {

for (ElfW(Dyn)* d = si->dynamic; d->d_tag != DT_NULL; ++d) {

if (d->d_tag == DT_NEEDED) {

action(si->get_string(d->d_un.d_val));

}

}

}    如果d_tag 为DT_NEEDED,那么d->d_un.d_val 是字符 串表的索引,其指向的值是该.so 文件的一个依赖库的名字。

0x02 导入表(GOT表Hook)

在Android PLT/GOT 符号重定向过程中,直接调用函数,整个过程是先到.plt,再到.got,最后才定位到真正的函数地址。那么只需要修改.got表中的函数指针,便可以实现Hook,具体实现的例子请参考Android中的so注入(inject)和挂钩(hook) - For both x86 and arm。

0x03 基于 Android linker 的导出表 HOOK

在so加载流程中,最后一步是循环LinkImage .so,代码如下:

int soinfo::Relocate(ElfW(Rel)* rel, unsigned count) {

for (size_t idx = 0; idx < count; ++idx, ++rel) {

unsigned type = ELFW(R_TYPE)(rel->r_info);

// TODO: don't use unsigned for 'sym'. Use uint32_t or ElfW(Addr) instead.

unsigned sym = ELFW(R_SYM)(rel->r_info);

ElfW(Addr) reloc = static_cast(rel->r_offset + load_bias);

ElfW(Addr) sym_addr = 0;

const char* sym_name = nullptr;

DEBUG("Processing '%s' relocation at index %zd", name, idx);

if (type == 0) { // R_*_NONE

continue;

}

ElfW(Sym)* s = nullptr;

soinfo* lsi = nullptr;

if (sym != 0) {

sym_name = get_string(symtab[sym].st_name);

s = soinfo_do_lookup(this, sym_name, &lsi);

if (s == nullptr) {

// We only allow an undefined symbol if this is a weak reference...

s = &symtab[sym];

if (ELF_ST_BIND(s->st_info) != STB_WEAK) {

DL_ERR("cannot locate symbol \"%s\" referenced by \"%s\"...", sym_name, name);

return -1;

}

#if defined(__arm__)

case R_ARM_COPY:

// Fall through. Can't really copy if weak symbol is not found at run-time.

#endif

default:

DL_ERR("unknown weak reloc type %d @ %p (%zu)", type, rel, idx);

return -1;

}

} else {

// We got a definition.

sym_addr = lsi->resolve_symbol_address(s);

}

count_relocation(kRelocSymbol);

}

switch (type) {

#if defined(__arm__)

case R_ARM_JUMP_SLOT:

count_relocation(kRelocAbsolute);

MARK(rel->r_offset);

TRACE_TYPE(RELO, "RELO JMP_SLOT %08x

*reinterpret_cast(reloc) = sym_addr;

break;

case R_ARM_GLOB_DAT:

count_relocation(kRelocAbsolute);

MARK(rel->r_offset);

TRACE_TYPE(RELO, "RELO GLOB_DAT %08x

*reinterpret_cast(reloc) = sym_addr;

break;

case R_ARM_ABS32:

count_relocation(kRelocAbsolute);

MARK(rel->r_offset);

TRACE_TYPE(RELO, "RELO ABS %08x

*reinterpret_cast(reloc) += sym_addr;

break;

case R_ARM_REL32:

count_relocation(kRelocRelative);

MARK(rel->r_offset);

TRACE_TYPE(RELO, "RELO REL32 %08x

reloc, sym_addr, rel->r_offset, sym_name);

*reinterpret_cast(reloc) += sym_addr - rel->r_offset;

break;

......

}

}

return 0;

}    首先soinfo_do_lookup,根据要链接的函数名,比如puts,那么找到libc.so文件的

soinfo结构体。

lsi为libc.so文件的soinfo结构体。返回值为puts函数的Sym符号表结构体s。

然后通过resolve_symbol_address来找到puts函数的实际地址,代码如下:

ElfW(Addr) soinfo::resolve_symbol_address(ElfW(Sym)* s) {

if (ELF_ST_TYPE(s->st_info) == STT_GNU_IFUNC) {

return call_ifunc_resolver(s->st_value + load_bias);

}

return static_cast(s->st_value + load_bias);

}     具体实现流程:以 libc.so 中的 puts 函数为例     1. 注入 zygote 进程。     2. dlopen libc.so,找到 puts 符号。     3. 解析此符号,得到其 st_value 地址。     4. 修改此地址的值为:NewFunc – BaseAddr(libc.so 加载的基地址)。因为符号的绝对地址是 通过 base + st_value 计算,即 st_value 保存的本身是偏移地址。

绿泥圈
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android SO 加载分析导入Hook导出Hook
jltxgcy的专栏
08-16 4135
0x00 参考文章    关于so加载分析,就是从System.loadlibrary开始的,层层玻璃代码真相,在Android SO 加壳(加密)与脱壳思路,我们说ELF Header中的一些字段是无用的,Section Header也是无用的,这是为什么呢?    答案是在so加载的过程中,没有使用的,有关Android so加载深入分析,请参考这篇pdf,http://download.cs
android so hook原理,Android SO 加载分析导入Hook导出Hook
weixin_35715490的博客
05-27 625
0x00 参考文章关于so加载分析,就是从System.loadlibrary开始的,层层玻璃代码真相,在Android SO 加壳(加密)与脱壳思路,我们说ELF Header中的一些字段是无用的,Section Header也是无用的,这是为什么呢?答案是在so加载的过程中,没有使用的,有关Android so加载深入分析,请参考这篇pdf,http://download.csdn.net/d...
1-6. C++函数
Bean Wang
10-12 197
函数的作用是将一段经常使用的进行封装,减少代码的重复。在大型程序中,也将程序拆分为不同的程序块(函数),每个模块实现不同的功能。 一、函数的定义 1. 函数的组成 返回值类型 函数名 参数列 函数体语句 return 达式 2. 函数语法 返回值类型函数名(参数列) { 函数体语句; return 达式; } int add(int num1, int num2) { int sum = 0; sum = num1+num2; return sum; } ...
简单进行曲/Android对so进行简单hook_0基础白帽子教程
最新发布
程序员三九的博客
05-17 986
1、什么是HookHook 技术又叫做钩子函数,在系统没有调用该函数之前,钩子程序就先捕获该消息,钩子函数先得到控制权,这时钩子函数既可以加工处理(改变)该函数的执行行为
Android逆向之破解某应用加密算法(动态调试so和hook so代码)
Tomes.V.White
03-31 4884
转载自:http://www.520monkey.com/archives/1310 一、样本静态分析 最近有位同学发了一个样本给我,主要是有一个解密方法,把字符串加密了,加解密方法都放在so中,所以之前也没怎么去给大家介绍arm指令和解密算法等知识,正好借助这个样本给大家介绍一些so加密方法的破解,首先我们直接在Java层看到加密信息,这个是这位同学直接告诉我这个类,我没怎么去搜了: ...
13、fishhook原理&Dobby
Holothurian
04-20 1436
Dobby原理: 运行时对目标函数的汇编代码替换,修改的是内存中MachO的代码段Dobby替换汇编代码时,对原始函数的调用,会影响栈的拉伸和平衡在真实HOOK场景中,我们拿不到符号名称,只能对地址进行HOOKHOOK地址时,需要加上PAGEZERO和ASLR。
【安卓逆向】xposed hook native 函数
weixin_44862184的博客
09-28 5554
xposed 集成dobby 实现 hook native 函数
编辑/查看DLL文件的PE导出工具ExpX-v0.5
05-21
利用它可以方便的对PE文件导出进行增、删、改的操作,现在它还可以用于给没有导出文件添加导出函数。 这个工具除了PE diy外,通过为导出函数添加Forward信息等方法还可以实现函数hook,dll注入等功能。至于...
IATHOOK 易语言 还有PE文件格式解析 导入 导出
01-20
适合小白练习
iat导入hook的c++源码
09-14
当我们谈论“iat导入hook”时,我们实际上是在讨论一种技术,用于拦截和修改其他进程调用DLL函数的行为。这种技术常用于软件调试、注入、安全分析以及性能优化等领域。 IAT(Import Address Table)是每个PE...
VC++写的APIHook实例源代码
11-07
在Windows环境下,这通常通过修改目标进程的导出来实现。导出是动态链接库(DLL)中的一部分,包含了可供其他模块调用的函数地址。在API Hook中,我们可能需要修改这个,将特定API的地址更改为我们的钩子函数...
APIHook钩子文件监控 监控指定目录下文件的读写和修改.zip
03-28
在本压缩包中,包含的文件主要是C++源代码及相关项目配置文件,用于实现一个APIHook钩子文件监控系统,该系统能够监控指定目录下的文件读写和修改操作。 1. **APIHook原理**: APIHook是通过拦截系统API调用来改变...
linux so 加壳,[android] 从加壳的so文件中抽出symbols
weixin_39542936的博客
05-13 634
0x00 背景大家可能碰到过加壳的so文件,一般很轻松能从内存中dump出解密后的so文件,但是问题是dump出来的so文件里的symbol虽然都在,但是symbol所对应的函数地址都没有了,这样你dump出的so即使放在IDA中分析,看上去也是没有symbol的,难以分析。所以我做了一个可以把内存里的符号也dump出来的小工具。0x01 原理原理很简单,一般加壳工具会利用init_array来...
android7dlopen,Android 7.0 dlopen 函数分析
weixin_39636691的博客
05-28 914
1. 说明Android 7.0 后使用 dlopen 函数无法获取 soinfo 对应,因此也无法使用 dlsym 函数去调用第三方的 so 内的函数。这里给出 dlopen() 函数的源码分析。2. 源码分析1. dlopen 函数函数调用会首先走到 dlfcn.cpp 类内的 dlopen 函数(/bionic/linker/dlfcn.cpp)85void* dlopen(const ch...
[免费专栏] Android安全之Android so文件分析「详细版」
橙留香Park的博客
08-08 5450
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
移动渗透-Frida hook安卓So层导出函数实战
cdyunaq的博客
02-28 1213
跟据抓包发现有oauth_signature,直接全局搜索oauth_signature 打开相关的oauth_signature函数,发现加载了tre模块,根据命名规则最终生成的应该是libmfw.so 找到相关文件 首先使用frida脚本hook查看函数Hook,aa即为oauth_signature frida脚本如下 因为版本问题,APP不能正常使用了,换另一个APP 全局搜索sign定位到如下代码 找到加载的so文件,全局搜索是导出函数 这里穿插下obj..
windows 导入/导出 hook
pureman_mega的博客
06-22 336
【代码】windows iat hook
4.3 IAT Hook 挂钩技术
热门推荐
CSDN
09-15 1万+
IAT(Import Address Table)Hook是一种针对Windows操作系统的API Hooking 技术,用于修改应用程序对动态链接库(DLL)中导入函数的调用。IAT是一个数据结构,其中包含了应用程序在运行时使用的导入函数的地址。 IAT Hook的原理是通过修改IAT中的函数指针,将原本要调用的函数指向另一个自定义的函数。这样,在应用程序执行时,当调用被钩子的函数时,实际上会执行自定义的函数。通过IAT Hook,我们可以拦截和修改应用程序的函数调用,以实现一些自定义的行为,比如记录日
导出钩子之EAT HOOK解析
輚至消亡
07-06 2975
EAT HOOK与IAT HOOK原理是一样的,都是通过修改PE来达到HOOK的目的。只是EAT HOOK是从来源入手而IAT HOOK则是从自身入手。 讲一下大体思路。 1. 通过IMAGE_OPTIONAL_HEADER.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress找到导出的地址(注意这里是RVA要加上ImageBa...
Frida入门:进程Hook与功能详解
- Frida允许你Hook(拦截)特定的函数执行,通过`script.create_script(f.read())`创建一个脚本,并加载自定义的JavaScript代码,该代码会自动查找并设置钩子。 - 脚本可以枚举目标进程的模块和导出函数,这对于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值