Android Arm Inline Hook

最新推荐文章于 2024-06-20 12:14:02 发布
最新推荐文章于 2024-06-20 12:14:02 发布
阅读量487 收藏
点赞数 1
分类专栏: arm 文章标签: arm

什么是Inline Hook

Inline Hook即内部跳转Hook,通过替换函数开始处的指令为跳转指令,使得原函数跳转到自己的函数,通常还会保留原函数的调用接口。与GOT表Hook相比,Inline Hook具有更广泛的适用性,几乎可以Hook任何函数,不过其实现更为复杂,考虑的情况更多,并且无法对一些太短的函数Hook。
其基本原理请参阅网上其他资料。

需要解决的问题

1.Arm模式与Thumb模式的区别
2.跳转指令的构造
3.PC相关指令的修正
4.线程处理
5.其他一些细节

Arm模式与Thumb模式的区别

arm版本7及以上的体系中,其指令集分为ARM指令集和Thumb指令集。Arm指令为4字节对齐,每条指令长度均为32位;Thumb指令为2字节对齐,又分为Thumb16、Thumb32,其中Thumb16指令长度为16位,Thumb32指令长度为32位。

在对一个函数进行Inline Hook时,首先需要判断当前函数指令是Arm指令还是Thumb指令,指令使用目标地址值的bit[0]来确定目标地址的指令类型。bit[0]的值为1时,目标程序为Thumb指令;bit[0]值为0时,目标程序为ARM指令。其相关实现代码为以下宏:

// 设置bit[0]的值为1
#define SET_BIT0(addr)      (addr | 1)
// 设置bit[0]的值为0
#define CLEAR_BIT0(addr)    (addr & 0xFFFFFFFE)
// 测试bit[0]的值,若为1则返回真,若为0则返回假
#define TEST_BIT0(addr)     (addr & 1)

跳转指令的构造

跳转指令主要分为以下两种:

1.B系列指令:B、BL、BX、BLX
2.直接写PC寄存器

Arm的B系列指令跳转范围只有4M,Thumb的B系列指令跳转范围只有256字节,然而大多数情况下跳转范围都会大于4M,故我们采用LDR PC, [PC, ?]构造跳转指令。另外Thumb16指令中并没有合适的跳转指令,如果单独使用Thumb16指令构造跳转指令,需要使用更多的指令完成,并且在后续对PC相关指令的修正也更加繁琐,故综合考虑下,决定放弃对ARMv5的支持。

另外,Arm处理器采用3级流水线来增加处理器指令流的速度,也就是说程序计数器R15(PC)总是指向“正在取指”的指令,而不是指向“正在执行”的,即PC总是指向当前正在执行的指令地址再加2条指令的地址。比如当前指令地址是0×8000, 那么当前pc的值,在thumb下面是0×8000 + 2 2, 在arm下面是0×8000 + 4 2。
对于Arm指令集,跳转指令为:

LDR PC, [PC, #-4]
addr

LDR PC, [PC, #-4]对应的机器码为:0xE51FF004,addr为要跳转的地址。该跳转指令范围为32位,对于32位系统来说即为全地址跳转。
对于Thumb32指令集,跳转指令为:

LDR.W PC, [PC, #0]
addr

LDR.W PC, [PC, #0]对应的机器码为:0x00F0DFF8,addr为要跳转的地址。同样支持任意地址跳转。
其相关实现代码为:

// Arm Mode
if (TEST_BIT0(item->target_addr)) {
    int i;
    i = 0;
    if (CLEAR_BIT0(item->target_addr) % 4 != 0) {
        ((uint16_t *) CLEAR_BIT0(item->target_addr))[i++] = 0xBF00;  // NOP
    }
    ((uint16_t *) CLEAR_BIT0(item->target_addr))[i++] = 0xF8DF;
    ((uint16_t *) CLEAR_BIT0(item->target_addr))[i++] = 0xF000; // LDR.W PC, [PC]
    ((uint16_t *) CLEAR_BIT0(item->target_addr))[i++] = item->new_addr & 0xFFFF;
    ((uint16_t *) CLEAR_BIT0(item->target_addr))[i++] = item->new_addr >> 16;
}
// Thumb Mode
else {
    ((uint32_t *) (item->target_addr))[0] = 0xe51ff004; // LDR PC, [PC, #-4]
    ((uint32_t *) (item->target_addr))[1] = item->new_addr;
}

首先通过TEST_BIT0宏判断目标函数的指令集类型,其中若为Thumb指令集,多了下面一个额外处理:

if (CLEAR_BIT0(item->target_addr) % 4 != 0) {
    ((uint16_t *) CLEAR_BIT0(item->target_addr))[i++] = 0xBF00;  // NOP
}

对bit[0]的值清零,若其值4字节不对齐,则添加一个2字节的NOP指令,使得后续的指令4字节对齐。这是因为在Thumb32指令中,若该指令对PC寄存器的值进行了修改,则该指令必须是4字节对齐的,否则为非法指令。

ARM HOOK 图解
原理图

HOOK流程图

这里写图片描述
PC相关指令的修正

西子云齐
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ARM INLINE HOOK (一)
jiang_lostcode的专栏
12-29 1684
运行在ARM指令集的CPU上(比如Android手机),通过HOOK机制,对一些关键的方法进行监控,从而达到一些特殊目的,比如性能监控、安全等。 常用的HOOK方法有:GOT表HookInline Hook。而inline hook具有更广泛的适用性,几乎可以Hook任何函数(当然也有特殊情况无法进行inline hook,后面会提到)。相较于GOT表hookinline hook由于需要能...
简单的INLINE HOOK检测
cackeme的专栏
09-24 4110
/*  @desc:目前只检测最简单的两种inline hook,对IAT HOOK,CALL HOOK和深层次的INLINE HOOK没检测。  @desc:最好的恢复方法是先恢复IAT HOOK,然后从函数所在文件中提取函数机器码与内存中对比,不同则恢复之  @param1[in]:dwProc:函数地址 */ bool IsProcHooked(DWORD dwProc) {
ARM64汇编0C - inlinehook
最新发布
a5right的博客
06-20 722
本文是ARM64汇编系列的完结篇,主要利用前面学过的知识做一个小实验完整系列博客地址:https://www.lyldalek.top/article/arm这里只讨论 ARM64 下的 inlinehook,做一个简单的demo,只是抛砖引玉,有兴趣了解更多细节的可以去查找资料,看开源项目。ARM64 相比 ARMinlinehook 要麻烦不少,因为有很多指令都没了,且无法直接访问 PC 寄存器。
Android Native Hook工具实践
11-06 655
本文章所对应项目长期维护与更新,因为在我自己的几台测试机上用得还挺顺手的。本项目作为作者本人的一个学习项目将会长期更新以修复当前可能存在的Bug以及跟进以后Android NDK可能出现的主流汇编模式。 本...
Android Inline hook跳转部分代码
beyond702的专栏
04-18 1367
转自看雪帖子:http://bbs.pediy.com/showthread.php?p=1216957 求人不如求己阿,已经解决啦!现在放出被注入的SO源码(至于如何注入并查找目标函数,自己去看看古河大哥的libinject); 源码主要分为两块: 1.用于初始化trampoline和实现自己函数的libservice.cpp 2.用于实现trampoline的shellco
如何写一个Android inline hook框架
DaoDivDiFang的博客
01-02 1522
Android_Inline_Hook https://github.com/GToad/Android_Inline_Hook_ARM64 有32和64的实现,但是是分离的,要用的话还要自己把两份代码合并在一起。 缺点: 1、不支持函数替换(即hook后不执行原函数),现在只能修改参数寄存器,无法修改返回值。 2、不支持定义同类型的hook函数来接受处理参数,只能通过修改寄存器的方式修改参数。 ...
代码实例分析androidinline hook
08-28
Android 中的 Inline Hook 技术详解 Android 中的 Inline Hook 技术是指在 Android 操作系统中,使用 Hook 技术来拦截和修改应用程序的行为。Inline Hook 是一种常用的 Hook 技术,通过在应用程序的代码中注入一段...
Android Inline Hook原理图
08-13
Android Inline Hook原理图
Android_InlineHook:Android内联hook框架
04-15
自实现inline hook 因为以上的问题,目前/或者之前用过的一些hook框架或多或少都有些较大的bug(hookzz之前的某个版本应该是可以的),而对其进行修复成本较高,还不如自己写一个。 首先统一一些概念。把覆盖被hook...
Android_Inline_Hook_Arm_Example
04-28
目标APP是arm32-example.apk ,我们的.so文件已经在/libs/armeabi-v7a/libInlineArmHook.so进行了编译。 在此APP中,您应触摸按钮10以上,它将在吐司中显示Enough 。 在示例libInlineArmHook.so有效之后,寄存器R0...
Android-Inline-Hook, 在Android中,thumb16 thumb32 arm32 inlineHook.zip
09-18
Android-Inline-Hook, 在Android中,thumb16 thumb32 arm32 inlineHook Android-Inline-Hookthumb16 thumb32 arm32 inlineHook插件生成ndk-build NDK_PROJECT_PATH=. APP_BUILD_SCRIPT=./Android.mk ND
Android Hook框架adbi源码
07-09
已经注释过的Android Hook框架的adbi源码,留给自己也留给需要学习Android系统上的inline Hook的同学。这份adbi源码是作者最新发布的,代码中比较难理解的地方都有注释说明,不排除我理解不到位的地方,希望对想了解adbi hook的同学有帮助。
Android_Inline_Hook_ARM64,建立一个.so文件,自动执行android本地钩子的工作。支持ARM64!有了这个,像xposed这样的工具就可以实现android原生hook。.zip
09-25
这是ARM64版本的Android内联挂钩。我强烈建议您首先查看android内联钩子。
android arm hook初探
XIAONIAOCAICAI的博客
09-22 295
hook,通常我们会使用各种hook 框架,但是实际在使用中,尤其是armhook,各种框架,或多或少都有会bug。其中多线程的处理,和指令、函数的处理,是一大难题,在此记录笔记,以供查阅。 通常思路是,在一个子线程中,做如下操作: 遍历/proc/pid/task目录,获得进程下的所有线程id号; 通过tkill函数向所有线程发SIGSTOP信号,暂停其他所有线程; 获得其他所有线程的函数调用信息; 遍历所有线程的函数调用信息,将每层调用地址与需要hook的函数作判断,若调用地址均不位于待hook的函
OpenHarmony(7) —— 简单整合
god
10-18 2014
代码仓:https://codechina.csdn.net/fu851523125/rtos https://codechina.csdn.net/fu851523125/rtos/-/tags/release_v0.2.0 总结下前面两个要点: 1. release secondary cores 参考hisi u-boot中go_cpu1 /* * 0xe51ff004 = "ldr pc, [pc, #-4]" ...
Android静默安装研究总结
lucky_tom的专栏
10-15 894
android 5.1以上静默安装总结
64位下的InlineHook
weixin_30684743的博客
08-11 1972
目录 x64下手工HOOK的方法 一丶HOOK的几种方法之远跳 1. 远跳 不影响寄存器 + 15字节方法 2.远跳 影响寄存器 + 12字节方法 3.影响寄存器,恢复寄存器 进行跳转. 4. 常用 jmp + rip方式跳转 大小6个字节 ...
android inline hook
04-06
安卓内联钩子(android inline hook)是一种在应用程序运行时修改函数行为的技术。这种技术常常用于游戏作弊、嗅探数据包等方面。它通过在函数调用前或者调用后插入自定义代码,改变了原始函数的执行结果。这种技术...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值