Android so库Hook技术

最新推荐文章于 2024-05-17 09:12:25 发布
最新推荐文章于 2024-05-17 09:12:25 发布
阅读量3.1k 收藏 6
点赞数
分类专栏: android 文章标签: android native hook so
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xdzhouxin/article/details/77918206
版权

在有些情况下,可能遇到需要改变目标进程的执行流程的问题,替换原函数转而指向我们自己的函数,而Hook就是指的改变待Hook函数的地址,替换地址而达到更换原函数的功能。本文主要介绍Android上对native层中的so库Hook的方法,核心技术其实是对GOT表的Hook,获取目标函数地址需要对so文件进行解析,而so文件实际上是ELF文件,所以在此之前需要对ELF文件格式有一个很好的了解。

关键

解析so文件,其实主要目的就是获得ELF文件中以下三个表的信息:

  • 字符串表:包含以空字符结尾的字符序列,使用这些字符来描绘符号和节名;
  • 符号表:保存了一个程序在定位和重定位时需要的定义和引用的信息;
  • 重定位表:保存了需要重定位的符号的信息;

准备工作

#include <stdio.h>
#include <stdlib.h>
#include <elf.h>
#include <fcntl.h>
#include <android/log.h>
#include <sys/mman.h>
#include <sys/stat.h>
#include <utime.h>
#include <dirent.h>

#ifdef __x86_64
    #define Elf_Eh Elf64_Ehdr
    #define Elf_Shdr Elf64_Shdr
    #define Elf_Sym Elf64_Sym
    #define Elf_Rel Elf64_Rela
    #define ELF_R_SYM ELF64_R_SYM

#else
    #define Elf_Ehdr Elf32_Ehdr
    #define Elf_Shdr Elf32_Shdr
    #define Elf_Sym Elf32_Sym
    #define Elf_Rel Elf32_Rel
    #define ELF_R_SYM ELF32_R_SYM
#endif

#define module_path "/system/lib/libjavacore.so"
#define LOG_TAG    "native_hook_log"
#define LOGD(...)  __android_log_print(ANDROID_LOG_DEBUG, LOG_TAG, __VA_ARGS__)

读取ELF文件头(ELF文件头起始于 ELF 文件开始的第一字节),取出:

  • 节头表的文件偏移(shdr_base),获取节头表在文件中的位置;
  • 节头表的项数(shnum),获取节头表的项数;
  • 与节名称字符串表关联的项的节头表索引(shstr_base),并将其缓存起来(shstr);
int fd;
    fd = open(modulepath,O_RDONLY);
    if (fd == -1){
        LOGD("[-] open the so file fail");
    }
    else{
        LOGD("[+] open the so file success");
    }
    Elf_Ehdr *ehdr = (Elf_Ehdr *)malloc(sizeof(Elf_Ehdr));
    read(fd, ehdr, sizeof(Elf_Ehdr));
    if(fd == -1){
        LOGD("[-] read the elf header fail!!");
    }
    else{
        LOGD("[+] read the elf header success!!!");
    }
    //LOGD("[+] the elf header information:");
    uint32_t shdr_base = ehdr -> e_shoff;
    uint16_t shnum = ehdr -> e_shnum;
    uint32_t shstr_base = shdr_base + ehdr -> e_shstrndx * sizeof(Elf32_Shdr);

    /*LOGD("[+] shstrndx = %d",ehdr -> e_shstrndx);
    LOGD("[+] shoff = %d",shdr_base);
    LOGD("[+] shnum = %d",shnum);
    LOGD("[+] shstr_base = %d",shstr_base);*/

    Elf_Shdr *shstr = (Elf_Shdr *)malloc(sizeof(Elf_Shdr));
    lseek(fd, shstr_base, SEEK_SET);
    read(fd, shstr, sizeof(Elf_Shdr));
    if(fd == -1){
        LOGD("[-] read the shdr section str fail!!");
    }
    else{
        LOGD("[+] read the shdr section str success!!");
    }

读取节头表索引,取出: 节的大小(sh_size)、节的名称(sh_name);
遍历节名,分别将节名为.dynsym、.dynstr、.got、.rel.plt的节缓存起来(dynsym_shdr、dynstr_shdr、got_shdr、relplt_shdr);
通过上一步获取的节,分别获得对应的表,并将其缓存;

char *shstrtab = (char *)malloc(shstr -> sh_size);
    lseek(fd, shstr -> sh_offset, SEEK_SET);
    read(fd, shstrtab, shstr -> sh_size);
    if(fd == -1){
        LOGD("[-] read section str fail!!");
    }
    else{
        LOGD("[+] read section str success!!");
    }

    Elf_Shdr *shdr = (Elf_Shdr *)malloc(sizeof(Elf_Shdr));
    lseek(fd, shdr_base, SEEK_SET);

    uint16_t i;
    char *str = NULL;
    Elf_Shdr *relplt_shdr = (Elf_Shdr *) malloc(sizeof(Elf_Shdr));
    Elf_Shdr *dynsym_shdr = (Elf_Shdr *) malloc(sizeof(Elf_Shdr));
    Elf_Shdr *dynstr_shdr = (Elf_Shdr *) malloc(sizeof(Elf_Shdr));
    Elf_Shdr *got_shdr = (Elf_Shdr *) malloc(sizeof(Elf_Shdr));


    for(i = 0; i < shnum; ++i) {
        read(fd, shdr, sizeof(Elf_Shdr));
        if(fd == -1){
            LOGD("[-] read fail!!");
        }
        str = shstrtab + shdr -> sh_name;
        if(strcmp(str, ".dynsym") == 0)
            memcpy(dynsym_shdr, shdr, sizeof(Elf_Shdr));
        else if(strcmp(str, ".dynstr") == 0)
            memcpy(dynstr_shdr, shdr, sizeof(Elf_Shdr));
        else if(strcmp(str, ".got") == 0)
            memcpy(got_shdr, shdr, sizeof(Elf_Shdr));
        else if(strcmp(str, ".rel.plt") == 0)
            memcpy(relplt_shdr, shdr, sizeof(Elf_Shdr));
    }

    char *got = (char *) malloc(sizeof(char) * got_shdr->sh_size);
    lseek(fd, got_shdr->sh_offset,SEEK_SET);
    if(read(fd, got, got_shdr->sh_size) != got_shdr->sh_size)
        LOGD("[-] read the got fail!!");
    else{
        LOGD("[+] read the GOT success!!");
    }

    char *dynstr = (char *) malloc(sizeof(char) * dynstr_shdr->sh_size);
    lseek(fd, dynstr_shdr->sh_offset, SEEK_SET);
    if(read(fd, dynstr, dynstr_shdr->sh_size) != dynstr_shdr->sh_size)
        LOGD("[-] read the dynstr fail!!");
    else{
        LOGD("[+] read the dynstr success!!");
    }


    Elf_Sym *dynsymtab = (Elf_Sym *) malloc(dynsym_shdr->sh_size);
    //LOGD("[+] dynsym_shdr->sh_size\t0x%x\n", dynsym_shdr->sh_size);
    lseek(fd, dynsym_shdr->sh_offset, SEEK_SET);
    if(read(fd, dynsymtab, dynsym_shdr->sh_size) != dynsym_shdr->sh_size)
        LOGD("[-] read the dynsym fail!!");
    else{
        LOGD("[+] read the dynsym success");
    }

    Elf_Rel *rel_ent = (Elf_Rel *) malloc(sizeof(Elf_Rel));
    lseek(fd, relplt_shdr->sh_offset, SEEK_SET);
    if(read(fd, rel_ent, sizeof(Elf_Rel)) != sizeof(Elf_Rel))
        LOGD("[-] read the rel_ent fail!!");
    else{
        LOGD("[+] read the rel_ent success");
    }

获取指定符号在got表的偏移地址:

uint32_t offset = 0;
    for (i = 0; i < relplt_shdr->sh_size / sizeof(Elf_Rel); i++)
    {

        uint16_t ndx = ELF_R_SYM(rel_ent->r_info);
        //LOGD("[+] ndx = %d, str = %s", ndx, dynstr + dynsymtab[ndx].st_name);
        if (strcmp(dynstr + dynsymtab[ndx].st_name, symbolname) == 0)
        {
            LOGD("[+] The offset of %s int the dyn GOT table: 0x%x", symbolname, rel_ent->r_offset);
            offset = rel_ent->r_offset;
            break;
        }
        if(read(fd, rel_ent, sizeof(Elf_Rel)) != sizeof(Elf_Rel))
        {
            LOGD("Fail to get the address of %s", symbolname);
        }
    }


    if(offset == 0)
    {
        LOGD("[-] can't find the address of %s,maybe it's static", symbolname);
        for(i = 0; i < (dynsym_shdr->sh_size) / sizeof(Elf_Sym); ++i)
        {
            if(strcmp(dynstr + dynsymtab[i].st_name, symbolname) == 0)
            {
                LOGD("[+] The address of %s为 int the static GOT table: 0x%x", symbolname, dynsymtab[i].st_value);
                offset = dynsymtab[i].st_value;
                break;
            }
        }
    }

    if(offset == 0)
    {
        LOGD("[-] Fail to get the address of %s", symbolname);
    }
    close(fd);
    return offset;

获取so文件的基地址

static uint32_t get_module_base(pid_t pid,char *modulepath){
    FILE *fp = NULL;
    char *pch = NULL;
    char filename[32];
    char line[512];
    uint32_t addr = 0;
    LOGD("[+] get libc base...");

    if (pid < 0) {
        snprintf(filename, sizeof(filename), "/proc/self/maps");
        LOGD("pid < 0");
    }
    else {
        snprintf(filename, sizeof(filename), "/proc/%d/maps", pid);
        LOGD("pid > 0");
    }

    if ((fp = fopen(filename, "r")) == NULL) {
        LOGD("[-]open %s failed!", filename);
        return 0;
    }
    LOGD("[+]open %s success!", filename);
    while (fgets(line, sizeof(line), fp)) {
        if (strstr(line, modulepath)) {
            pch = strtok(line, "-");
            addr = strtoul(pch, NULL, 16);
            if(addr==0x8000)
                addr = 0;
            break;
        }
    }

    fclose(fp);
    LOGD("[+] libc base:0x%x...\n",addr);

    return addr;
}

最后,基地址加上函数符号在GOT表中的地址就是这个函数在内存中的实际地址。

首先写一个open函数用于替换旧的open函数,之后将这个函数的地址替换到目标so的open函数地址。

int *hook_open(char * path, int flag) {
    //char * retu = "0X00000000";
    LOGD("[+] start hook open()");
    LOGD("[+] hook_open path:%s",path);
    LOGD("[+] hook_open flag:%d",flag);
    LOGD("[+] ++++++++++++++++++++++++++++++++++");
    return open(path,flag);
}

地址替换

void gotHook(char *modulepath,char *symbolname,char *hookfunname){

    uint32_t old_addr = get_fun_addr(modulepath,symbolname);
    mprotect((void *)((uint32_t)old_addr & ~4095), 4096 , PROT_READ | PROT_WRITE);

    uint32_t old_fun_addr = *(uint32_t *)old_addr;
    *(uint32_t *)old_addr = (uint32_t)hookfunname;
}

当运行目标so库中的open函数时,执行流程会跳转到我们上面自定义的hook_open函数。

十一月上
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
android hook 第三方app_分享一个新开源的 Android so hook 框架。
weixin_39535217的博客
12-20 465
oooo oooo`888 `888oooo ooo 888 .oo. .ooooo. .ooooo. 888 oooo`88b..8P' 888P"Y88b d88' `88b d88' `88b 888 .8P'Y888' 888 888 8...
android so hook原理,Android so注入(inject)和Hook技术学习(二)——Got表hook之导入表hook...
weixin_42128141的博客
05-27 537
全局符号表(GOT表)hook实际是通过解析SO文件,将待hook函数在got表的地址替换为自己函数的入口地址,这样目标进程每次调用待hook函数时,实际上是执行了我们自己的函数。GOT表其实包含了导入表和导出表,导出表指将当前动态的一些函数符号保留,供外部调用,导入表中的函数实际是在该动态中调用外部的导出函数。这里有几个关键点要说明一下:(1) so文件的绝对路径和加载到内存中的基址是可以通...
简单进行曲/Android对so进行简单hook_0基础白帽子教程
最新发布
程序员三九的博客
05-17 998
1、什么是HookHook 技术又叫做钩子函数,在系统没有调用该函数之前,钩子程序就先捕获该消息,钩子函数先得到控制权,这时钩子函数既可以加工处理(改变)该函数的执行行为
HOOK安卓so的至少5个函数
唐伯虎点蚊香
11-14 2639
open popen fopen system JNI中的FindClass
xposed 05 - so函数hook
a5right的博客
12-28 1742
本文讨论如何hook目标apk中的 so 中的函数。实现 so hook 的一个主要思想,就是将目标apk当成是我们自己编写的就行,就像开发中hook系统调用一样。有了这个思维,思路会宽广许多。
自己来动手实现 Native Hook
z240336124的专栏
01-10 533
Native Hook 是我们性能优化中最常见的手段之一,推荐大家用开源的方案像和等等,会用这肯定是最基础的,其次我们一直都追求知道原理并且要自己能写。今天这里我们自己来实现一套简单的 Native Hook ,我们只写关键代码。有了以上基础知识,我们实现起来就会变得简单了,虽然过程中可能会遇到一些问题,但前期我们只需要确保流程和方案没问题就行。其实主要就是两步:首先,读取 /proc/self/maps 文件内容,找到目标 so 文件的基地址;
SO hook技术汇总.pdf
08-16
### SO Hook技术详解 #### 一、概述 SO Hook技术是一种在程序运行过程中修改或拦截函数调用的技术,常用于安全审计、性能监控等领域。本文档主要介绍了在Android平台上实现SO Hook的不同方法,包括导入表(GOT表)...
代码实例分析android中inline hook
08-28
Android 中的 Inline Hook 技术详解 Android 中的 Inline Hook 技术是指在 Android 操作系统中,使用 Hook 技术来拦截和修改应用程序的行为。Inline Hook 是一种常用的 Hook 技术,通过在应用程序的代码中注入一段...
简单Android hook demo
07-07
1. **创建Hook**:你需要编写一个动态链接(.so文件),在这个中定义你要Hook的函数,并在函数内部添加你的自定义逻辑。例如,如果你要Hook的是`open()`函数,你需要在你的中提供一个新的`open()`实现。 2....
Android native Hook工具
12-24
Android进程so注入Hook java方法的原理和使用(一)中介绍的Android native Hook工具文件,已经在android模拟器上进行Hook测试,能够成功,提供给需要的朋友,也为自己备份一下。
android native hook
03-31
Android中,动态链接(.so文件)是实现Native Hook的主要手段。lib泱泱dy是一个流行的动态,用于实现系统级的hook功能,它提供了方便的API供开发者使用。 5. **钩子函数类型** - **预钩子(Pre-Hook)**:...
android 注入so代码
10-13
资源有两部分代码1. 注入的so 测试文件代码 2. 将so 文件注入的代码
Android安全 Hook技术,Android下通过hook技术实现透明加解密保障数据安全
weixin_42531710的博客
05-31 1106
Android下通过hook技术实现透明加解密保障数据安全对于用户在Android移动设备商保存重要的隐私文件,通常采用一些加密保存的软件。但在手机上实现隐私空间的软件一、前言对于用户在Android移动设备商保存重要的隐私文件,通常采用一些加密保存的软件。但在手机上实现隐私空间的软件鳞次栉比,但是问题在于打开文件都需要使用该隐私空间,将加密文件解密到临时文件,然后再选择应用程序打开文件。这将导致...
Android逆向之旅---破解某应用加密算法(动态调试so和frida hook so代码)
尼古拉斯.赵四的博客
04-19 9287
一、样本静态分析 最近有位同学发了一个样本给我,主要是有一个解密方法,把字符串加密了,加解密方法都放在so中,所以之前也没怎么去给大家介绍arm指令和解密算法等知识,正好借助这个样本给大家介绍一些so加密方法的破解,首先我们直接在Java层看到加密信息,这个是这位同学直接告诉我这个类,我没怎么去搜了: ​ 这个应用不知道干嘛的,但是他的防护做的还挺厉害的,之前我们介绍过小黄车应用内部也用了这...
android 全局hook_Android so注入(inject)和Hook技术学习(二)——Got表hook之导入表hook...
weixin_31971727的博客
01-17 424
全局符号表(GOT表)hook实际是通过解析SO文件,将待hook函数在got表的地址替换为自己函数的入口地址,这样目标进程每次调用待hook函数时,实际上是执行了我们自己的函数。GOT表其实包含了导入表和导出表,导出表指将当前动态的一些函数符号保留,供外部调用,导入表中的函数实际是在该动态中调用外部的导出函数。这里有几个关键点要说明一下:(1) so文件的绝对路径和加载到内存中的基址是可以通...
Android Native Hook工具实践
11-06 655
本文章所对应项目长期维护与更新,因为在我自己的几台测试机上用得还挺顺手的。本项目作为作者本人的一个学习项目将会长期更新以修复当前可能存在的Bug以及跟进以后Android NDK可能出现的主流汇编模式。 本...
利用Cydia Substrate进行Android Native HOOK
热门推荐
莫灰灰的专栏
03-03 1万+
简介 Cydia Substrate是一个很强大的工具,他提供了很便利的方法帮助你去hook so和java中的方法。 在本例中,出于学习的目的,我使用Cydia Substrate来hook每个进程的dvmLoadNativeCode函数,以达到监控加载so顺序的功能。 Cydia Substrate相关链接 使用指南:http://www.cydiasu
揭秘Native+Hook技术:GOT/PLT、Trap与Inline Hook的原理与对比
- 在Android开发中,GOT/PLT Hook常用于替换动态链接(DLL)中的函数。例如,在Chapter06-plus课程中,通过PLT Hook技术,我们修改了libart.so中的pthread_create函数,将其替换为自定义方法`pthread_create_hook...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值