安卓逆向环境检测--hook

已于 2023-09-20 15:11:17 修改
阅读量2.1k 收藏 11
点赞数 1
分类专栏: 安卓逆向 文章标签: android
于 2023-06-26 15:42:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44348983/article/details/131398785
版权

一、got hook检测

 // 检测原理:检测系统lib库的so文件的指定函数地址与本进程so的导入函数地址是否相等。比如libc库的open函数。这种方式需要先计算好got起始地址,导入表函数位置。

// 代码还未完成,后续补上

二、maps检测

// 检查maps中是否存在inlinehook、gothook框架的so文件


UNEXPORT bool AntiHook::scan_line(char *map) {
    char *(path[]) = {
            "libarthook_native.so",
            "libsandhook.edxp.so",
            "libsandhook-native.so",
            "libsandhook.so",
            "libxposed_art.so",
            "libfrida-gadget.so",
            "libmemtrack_real.so",
            "frida-agent-64.so",
            "libva++.so",
            "librfbinder-cpp.so",
            "frida-agent-32.so",
            "libva-native.so",
            "libwhale.edxp.so",
            "libriru_edxp.so",
            "libriru_snet-tweak-riru.so",
            "libriru_edxposed.so"
    };
    for (int i = 0; i < sizeof(path) / sizeof(char*); i++){
        if (Str::strstr(map, path[i]) != nullptr){
            return true;
        }
    }
    return false;
}


UNEXPORT void AntiHook::read_line_scan(string str){
    char* split = (char*)"\n";
    string strs = str + split; // 在字符串末尾也加入分隔符,方便截取最后一段
    size_t pos = strs.find(split);
    while (pos != strs.npos)
    {
        string temp = strs.substr(0, pos);
        LOGI("read_line_scan maps -> %s", temp.c_str());
        if (scan_line(const_cast<char *>(temp.c_str()))){
            //TODO 找到 hook 框架
            LOGI("---------------------------read_line_scan find hook -> %s", temp.c_str());
            return;
        }
        //去掉已分割的字符串,在剩下的字符串中进行分割
        strs = strs.substr(pos + 1, strs.size());
        pos = strs.find(split);
    }
}


UNEXPORT void AntiHook::check_maps() {
    Thread::lock_mutex();
    Env::thread_share_switch_maps = true;
    Thread::unLock_mutex();
    string str = Syscall::readFile((char*)"/proc/self/maps");
    Thread::lock_mutex();
    Env::thread_share_switch_maps = false;
    Thread::unLock_mutex();
    if (str != "null"){
        read_line_scan(str);
    }
}

三、inlinehook 框架检测

// 原理:.text段的内容在ELF加载前后没有发生变化,对比内存中的.text段和文件中的.text的crc是否相等

#ifdef __LP64__
#define Elf_Ehdr Elf64_Ehdr
#define Elf_Shdr Elf64_Shdr
#define Elf_Sym  Elf64_Sym
#else
#define Elf_Ehdr Elf32_Ehdr
#define Elf_Shdr Elf32_Shdr
#define Elf_Sym  Elf32_Sym
#endif

UNEXPORT void AntiHook::check_inlinehook(){
#ifdef __arm__
    const char *libc_path = "/apex/com.android.runtime/lib/bionic/libc.so";    // 安卓10下的路径
    const char *libart_path = "/apex/com.android.runtime/lib/libart.so";       // 安卓10下的路径
#elif defined(__aarch64__)
    const char *libc_path = "/apex/com.android.runtime/lib64/bionic/libc.so";  // 安卓10下的路径
    const char *libart_path = "/apex/com.android.runtime/lib64/libart.so";     // 安卓10下的路径
#else
#error "Arch unknown, please port me"
#endif
    if (compare_text_section_crc(libc_path)){
        // TODO 发现 inlinehook 框架

    }

    if (compare_text_section_crc(libart_path)){
        // TODO 发现 inlinehook 框架

    }
}

UNEXPORT bool AntiHook::compare_text_section_crc(const char *path) {
    FILE *maps;
    char buff[256];
    char* load_addr;
    int size;
    int fd = -1, found = 0;
    Elf_Ehdr *elf = static_cast<Elf_Ehdr *>(MAP_FAILED);
    char* shstr_offset;
    char* shoff;
    Elf_Shdr *sh;
    int crcFile = 0;
    int crcMemory = 0;
    char* name;
    long pageSize;

#define fatal(fmt,args...) do { LOGE(fmt,##args); goto err_exit; } while(0)

    maps = fopen("/proc/self/maps", "r");
    if(!maps){
        fatal("failed to open maps");
    }

    while(!found && fgets(buff, sizeof(buff), maps)){
        if(Str::strstr(buff, const_cast<char *>(path)) != nullptr && Str::strstr(buff,"r--p") != nullptr){
            found = 1;
        }
    }

    fclose(maps);

    if(!found){
        fatal("%s not found in my userspace", path);
    }

    if(sscanf(buff, "%lx", &load_addr) != 1){
        fatal("failed to read load address for %s", path);
    }

    fd = open(path, O_RDONLY);
    if (fd < 0) {
        fatal("failed to open %s", path);
    }

    size = lseek(fd, 0, SEEK_END);
    if (size <= 0) {
        fatal("lseek() failed for %s", path);
    }

    elf = (Elf_Ehdr *) mmap(0, size, PROT_READ, MAP_PRIVATE, fd, 0);
    close(fd);
    fd = -1;

    if (elf == MAP_FAILED) {
        fatal("elf == MAP_FAILED");
    }

    shstr_offset = nullptr;
    shoff = ((char*) elf) + elf->e_shoff;
    for (int i = 0; i < elf->e_shstrndx; i++){
        shoff += elf->e_shentsize; //跳转到段字符串表位置
    }

    sh = (Elf_Shdr *) shoff;
    if (sh->sh_type == SHT_STRTAB) { // 段字符串表
        shstr_offset = ((char *) elf) + sh->sh_offset;
    }

    if (shstr_offset != nullptr){
        shoff = ((char *) elf) + elf->e_shoff;
        for (int k = 0; k < elf->e_shnum; k++, shoff += elf->e_shentsize) {
            Elf_Shdr *sh = (Elf_Shdr *) shoff;

            switch (sh->sh_type) {
                case SHT_PROGBITS:{
                    name = shstr_offset + sh->sh_name;
                    if (Str::strstr(name, ".text") != nullptr){ /** 找到 .text 段,对其求crc */
                        /** so本地文件中 .text 段的crc */
                        crcFile = CRC::calcCRC(reinterpret_cast<const unsigned char *>(((char *) elf) + sh->sh_offset), sh->sh_size);
                        LOGI("compare_text_section_crc %s find section -> %s, file crc=%d", path, name, crcFile);

                        /** so在内存中的 .text 段的crc */
                        pageSize = sysconf(_SC_PAGESIZE); /** .text段为不可读,需改内存属性 */
                        if (mprotect((void*)((long)(load_addr + sh->sh_offset) & -pageSize), (sh->sh_size / pageSize + 1) * pageSize, PROT_READ | PROT_WRITE | PROT_EXEC) != 0){
                            fatal("mprotect failed -> %s", strerror(errno));
                        }
                        crcMemory = CRC::calcCRC(reinterpret_cast<const unsigned char *>(((char *) load_addr) + sh->sh_offset), sh->sh_size);
                        LOGI("compare_text_section_crc %s find section -> %s, memory crc=%d", path, name, crcMemory);

                        munmap(elf, size);
                        return crcFile == crcMemory;
                    }
                    break;
                }
            }
        }
    }

#undef fatal

    err_exit:
    if(fd >= 0) close(fd);
    if(elf != MAP_FAILED) munmap(elf, size);
    return false;
}

四、svc hook 检测

// 原理:针对SVC Hook目前就seccomp的bpf最常用,这种就是设定filter过滤器规则,拦截到指定的系统调用号后会产生一个信号量,这种信号量是你设定的,然后就会执行事先使用sigaction注册的函数。我们可以这样检测:注册一个 sigaction 处理逻辑,然后主动使用 sigqueue函数发送信号量,再接收,如果没有接收到说明被seccomp的bpf规则拦截了,SVC已经被Hook了。

五、指定函数二进制代码检测


UNEXPORT bool AntiHook::check_PrettyMethod() {
#ifdef __arm__
    string st_PrettyMethod = get_method_code("/apex/com.android.runtime/lib/libart.so", "ArtMethod12PrettyMethod");
    if (Str::strstr(const_cast<char *>(st_PrettyMethod.c_str()), "B5 85 B0 04 46 51 48 0D 46 78 44 07 68 38 68 04") == nullptr){
        // TODO 发现PrettyMethod二进制代码被修改
        LOGI("check_inlinehook PrettyMethod 被 patch");
        return true;
    }
#elif defined(__aarch64__)
    string st_PrettyMethod = get_method_code("/apex/com.android.runtime/lib64/libart.so", "ArtMethod12PrettyMethod");
    if (Str::strstr(const_cast<char *>(st_PrettyMethod.c_str()), "FF 43 01 D1 F6 57 02 A9 F4 4F 03 A9 FD 7B 04 A9") == nullptr){
        // TODO 发现PrettyMethod二进制代码被修改
        LOGI("check_inlinehook PrettyMethod 被 patch");
        return true;
    }
#else
#error "Arch unknown, please port me"
#endif
    return false;
}

UNEXPORT string AntiHook::get_method_code(const char* lib, const char* method, int len){
    string st;

    void* handle = LoadLibrary::fake_dlopen(lib, RTLD_NOW);
    if (handle == nullptr){
        LOGE("dlopen failed -> %s", strerror(errno));
        return st;
    }
    void* op = (void*)LoadLibrary::fake_dlsym(handle, method);
    if (op == nullptr){
        LOGE("dlsym failed -> %s", strerror(errno));
        LoadLibrary::fake_dlclose(handle);
        return st;
    }

    long pageSize = sysconf(_SC_PAGESIZE);
    void* start = (void*)((long)op & -pageSize);
    if (mprotect(start, pageSize * 2, PROT_READ | PROT_WRITE | PROT_EXEC) == 0){
        LOGI("mprotect success");
    }else{
        LOGE("mprotect failed -> %s", strerror(errno));
    }
    char tmp[128] = {0};
    sprintf(tmp, "%s %s -> %p\n", lib, method, op);
    LOGI("tmp = %s ", tmp);
    //st.append(tmp);
    unsigned char*code = (unsigned char*)op;
    for (int i = 0; i < len; i++){
        if (code[i] < 0x10){
            sprintf(tmp, "0%X ",code[i]);
        }else{
            sprintf(tmp, "%X ",code[i]);
        }
        st.append(tmp);
    }
    LOGI("get_method_code -> %s", st.c_str());
    LoadLibrary::fake_dlclose(handle);
    return st;
}


UNEXPORT bool AntiHook::check_open() {
#ifdef __arm__
    const char *lib_path = "/apex/com.android.runtime/lib/bionic/libc.so";    // 安卓10的路径
#elif defined(__aarch64__)
    const char *lib_path = "/apex/com.android.runtime/lib64/bionic/libc.so";  // 安卓10的路径
#else
#error "Arch unknown, please port me"
#endif
#define CMP_COUNT 8

    //文件中的open
    struct local_dlfcn_handle *handle = static_cast<local_dlfcn_handle *>(local_dlopen(lib_path));
    off_t offset = local_dlsym(handle,"open");
    FILE *fp = fopen(lib_path,"rb");
    char file_bytes[CMP_COUNT] = {0};
    if(fp != nullptr){
        fseek(fp,offset,SEEK_SET);
        fread(file_bytes,1,CMP_COUNT,fp);
        fclose(fp);
    }else{
        LOGE("fopen failed -> %s", strerror(errno));
    }

    //内存中的open
    void *dl_handle = dlopen(lib_path,RTLD_NOW);
    void *sym = dlsym(dl_handle,"open");
    long pageSize = sysconf(_SC_PAGESIZE);
    void* start = (void*)((long)sym & -pageSize);
    if (mprotect(start, pageSize * 2, PROT_READ | PROT_WRITE | PROT_EXEC) == 0){
        bool is_hook = memcmp(file_bytes,sym,CMP_COUNT) != 0;
        local_dlclose(handle);
        dlclose(dl_handle);
        return is_hook;
    }else{
        LOGE("mprotect failed -> %s", strerror(errno));
    }
    local_dlclose(handle);
    dlclose(dl_handle);
    return false;
}

YoooHaaa
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
记录一次编译内核,修改内核源码监控系统调用
u013347872的博客
05-21 307
简单的来说呢就是libc.so里面的一些系统函数比如read(),write()最简单的读写函数,这些函数实际上底层都是由syscall()交给linux内核去实现的他的第一个参数是系统调用号,后面的参数是根据调用的函数来写的现在用android studio开发的话使用系统调用和使用正常的函数一样也不需要去记这些系统调用号都有一个常量表可以很方便的去实现功能在调用syscall时通过会从用户态切换到内核态。
通过硬件断点对抗hook检测
hongduilanjun的博客
04-21 2124
前言 我们知道常见的注入方式有IAT hook、SSDT hookInline hook等,但其实大体上可以分为两类,一类是基于修改函数地址的hook,一类则是基于修改函数代码的hook。而基于修改函数地址的hook最大的局限性就是只能hook已导出的函数,对于一些未导出函数是无能为力的,所以在真实的hook中,Inline hook反而是更受到青睐的一方。 hook测试 这里我用win32写了一个MessageBox的程序,当点击开始按钮就会弹窗,这里我写了一个Hook_E9函数用来限制对Message
Android Hook技术防范漫谈
一个有情怀的程序猿博客
06-28 3262
背景 当下,数据就像水、电、空气一样无处不在,说它是“21世纪的生产资料”一点都不夸张,由此带来的是,各行业对于数据的争夺热火朝天。随着互联网和数据的思维深入人心,一些灰色产业悄然兴起,数据贩子、爬虫、外挂软件等等也接踵而来,互联网行业中各公司竞争对手之间不仅业务竞争十分激烈,黑科技的比拼也越发重要。随着移动互联网的兴起,爬虫和外挂也从单一的网页转向了App,其中利用Android平台下Dalvik模式中的Xposed Installer和Cydia Substrate框架对App的函数进行Hook这..
某书Frida检测绕过记录
最新发布
P1umH0的博客
04-19 1654
本来想要分析请求参数加密过程,结果发现APP做了Frida检测,于是记录一下绕过姿势(暴力但有用)Frida版本:16.2.1APP版本:8.31.0。
简单的INLINE HOOK检测
cackeme的专栏
09-24 4107
/*  @desc:目前只检测最简单的两种inline hook,对IAT HOOK,CALL HOOK和深层次的INLINE HOOK检测。  @desc:最好的恢复方法是先恢复IAT HOOK,然后从函数所在文件中提取函数机器码与内存中对比,不同则恢复之  @param1[in]:dwProc:函数地址 */ bool IsProcHooked(DWORD dwProc) {
消息钩子使用教程
12-27 1234
  基本概念钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函
hook技术的应用-过某平台作弊检测
weixin_34272308的博客
12-08 1201
上回书说完检测方法就戛然而止了,这篇文章就来谈谈如何过检测。 首先回顾一下平台对作弊的检测方法,检测开始前平台准备一个单位列表,在列表中,有玩家可见的单位和玩家视野外的单位。 地图脚本会强迫玩家点击每个在列表里的单位。 如果玩家选中了不可见的单位(视野外或者隐身单位)或者玩家没有选中可见单位 都会提高作弊的置信程度 1 for _,__0x0150__ in ipairs(__0x7...
一个易上手的函数抽取样本还原(JAVA遍历类与加载SO的思路,还有LoadMethod阶段去获取完整Dex)
zhangmiaoping23的专栏
09-22 713
那么其实这道题考察的就是classloader的运用,无论壳如何变,为了能让上层应用能正常运用,必然逃不脱整个安卓框架层,那么既然框架层也是用的classloader去加载类的,那么就逃不脱classloader这个知识点。由题目其实可以很清楚的了解到,这个函数抽取壳,类被还原后就不会复原回去,那么解题思路就很明确了,只要遍历所有的类,再把Dex dump出来,即脱壳成功。这这个方法中,我们可以拿到DexFile,然后进而可以拿到base和size,然后拿到这两个后,我们就可以dump dex出来了。
Frida 环境搭建 hook 实例
qq_36535153的博客
08-06 981
1.搭建Frida 环境 1.首先药安装python3 的环境 2.下载运行在目标机上的frida-sever端,官方下载地址:https://github.com/frida/frida/releases,下载时要选择对应的版本下载 如何查询自己要下载什么版本呢 adb shell getprop ro.product.cpu.abi 可以直接查看对应的手机架构. 这里我自己是arm64-v8a 所以 ok 就是你了 3. adb push D:\fridaserver12117 /data/loca
微信HOOK-微信逆向易语言实例源码
02-09
微信HOOK和微信逆向是移动应用安全领域中的热门话题,主要涉及到的是对微信应用程序的深入理解和功能篡改。在这个易语言实例源码中,我们将会探讨如何使用易语言这一编程工具来实现微信的HOOK技术。 易语言是一种...
Android代码-Hook
08-06
Hook技术在Android开发中是一种非常重要的逆向工程和插桩技术,它允许开发者在不修改原始代码的情况下,通过拦截和替换原有方法的执行流程,来实现对系统或应用功能的扩展和调试。在本篇中,我们将深入探讨Android中...
零基础入门Android(安卓)逆向-rar
11-26
01.Android环境配置与常用工具介绍 02.Android smali 与 java 代码介绍1 : d% y( z) X- o& ~, e0 _; c1 I 03.Android smali 与 java 代码介绍2 c+ K& I/ q( b 04.Android smali 与 java 代码介绍3 % ]7 Z+ f! I! [5 ...
逆向案例-frida-demo-apk-01
03-13
Android环境中,Frida通常用于APK的逆向分析。当分析一个APK时,我们可能会遇到以下知识点: 1. **动态代码插桩**:Frida的强项在于它的动态插桩能力,允许我们在程序运行时修改其行为,比如在特定函数调用前后...
frida-server-14.2.18-android.zip
06-24
标签中的"爬虫 frida hook android"进一步强调了Frida在Android环境下的hook功能对于爬虫开发的重要性。Hook技术可以拦截并修改应用内部函数调用,这对于理解和操纵APP的内部逻辑非常有用,特别是在数据抓取和分析中...
android hook之 xposed检测
qq_24137739的博客
07-15 1284
注意:原文中第3个方法“检测并不应该native的native方法”没有实现。 检测代码如下: import java.io.BufferedReader; import java.io.FileReader; import java.util.HashSet; import java.util.List; import java.util.Set; import android.content.Context; import android.content.pm.ApplicationInfo; .
检测API函数的InlineHook
weixin_30500663的博客
07-28 187
检测API函数的InlineHook 1 BOOL GetProcHookStatus(LPCSTR lpModuleName, LPCSTR lpProcName) 2 { 3 HMODULE hModule = GetModuleHan...
Hook检测
ChinaPrc
07-07 627
bool CheckHooks(const char* pszModule, const char* pszMethod, BYTE* pBytesToCheck, DWORD dwSize) { bool bOK = false; HANDLE hProcess = ::GetCurrentProcess(); HMODULE hModule = ::GetModuleHandle(pszModule); if (!hModule) return true; //The dll .
kernel inline hook 绕过vice检测
03-21 2530
创建时间:2005-11-05文章属性:原创文章提交:jqzmb (jqzmb_at_163.com)kernel inline hook 绕过vice检测                   uty@uaty                       zmba@tom.com在user mode的inline hook比较好用,因为很少有多线程的问题,所以可以采用把API前5字节改为跳转指令到
iconv-hook
08-12
iconv-hook 是一个用于字符编码转换的钩子库。钩子函数是一种在程序执行期间被调用的函数,可以用于在特定事件发生时执行一些额外的操作。 在编码转换过程中,iconv-hook 可以用于拦截和修改转换操作。它提供了一种机制,允许用户自定义编码转换的行为。通过使用 iconv-hook,你可以实现自定义的字符编码转换逻辑,例如字符集转换、字符过滤或字符替换等。 iconv-hook 库通常与 iconv 库一起使用,后者是一个常用的字符编码转换库。通过在 iconv 函数调用之前设置 iconv-hook 的钩子函数,可以在编码转换过程中对数据进行修改或者添加自定义逻辑。 需要注意的是,iconv-hook 是一个第三方库,并不是标准的 C 库或者操作系统提供的功能。你可以在互联网上搜索相关资源来获取更多关于 iconv-hook 的详细信息和使用示例。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值