Android的inline hook

最新推荐文章于 2024-05-01 17:49:32 发布
最新推荐文章于 2024-05-01 17:49:32 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: Hook 移动安全 Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/93882731
版权
Android 同时被 3 个专栏收录
22 篇文章 0 订阅
订阅专栏
移动安全
21 篇文章 0 订阅
订阅专栏
Hook
11 篇文章 1 订阅
订阅专栏

arm平台与其他平台的inline hook原理一致,均为函数arm字节码替换
由于指令集的特点,arm平台的inline hook较为复杂:
1、存在arm指令集和thumb指令集
2、无法单纯使用B指令直接跳转,因为b指令跳转范围优先
3、存在literal指令,与当前PC值相关,需要对指令进行修正

以arm指令集作为hook实例
由于arm架构特性,每次修改代码需要刷新cache,因为指令icache和数据dchche是分开的。

Arm和Thumb模式的区别

在Arm版本7及以上的体系中,其指令集分为Arm指令集和Thumb指令集。Arm指令为4字节对齐,每条指令长度均为32位;Thumb指令为2字节对齐,又分为Thumb16、Thumb32,其中Thumb16指令长度为16位,Thumb32指令长度为32位。
在对一个函数进行Inline Hook时,首先需要判断当前函数指令是Arm指令还是Thumb指令,指令使用目标地址值的bit[0]来确定目标地址的指令类型。bit[0]的值为1时,目标程序为Thumb指令;bit[0]值为0时,目标程序为ARM指令。其相关实现代码为以下宏:

// 设置bit[0]的值为1
#define SET_BIT0(addr)		(addr | 1)
// 设置bit[0]的值为0
#define CLEAR_BIT0(addr)	(addr & 0xFFFFFFFE)
// 测试bit[0]的值,若为1则返回真,若为0则返回假
#define TEST_BIT0(addr)		(addr & 1)

跳转指令

因为b系列指令跳转范围有限,所以我们使用LDR PC, [PC, ?]构造跳转指令

Arm处理器采用3级流水线来增加处理器指令流的速度,也就是说程序计数器R15(PC)总是指向“正在取指”的指令,而不是指向“正在执行”的,即PC总是指向当前正在执行的指令地址再加2条指令的地址。比如当前指令地址是0×8000, 那么当前pc的值,在thumb下面是0×8000 + 2 2, 在arm下面是0×8000 + 4 2。

对于Arm指令集,跳转指令为:

LDR PC, [PC, #-4]
addr

对应的机器码为:0xE51FF004,addr为要跳转的地址。该跳转指令范围为32位,对于32位系统来说即为全地址跳转。

对于Thumb32指令集,跳转指令为:

LDR.W PC, [PC, #0]
addr

LDR.W PC, [PC, #0]对应的机器码为:0x00F0DFF8,addr为要跳转的地址。同样支持任意地址跳转。

注意arm要4字节对齐,thumb要2字节对齐。不是对齐的要填充nop对齐。

// thumb Mode
if (TEST_BIT0(item->target_addr)) {
	int i;

	i = 0;

//首先通过TEST_BIT0宏判断目标函数的指令集类型,其中若为Thumb指令集,多了下面一个额外处理,对bit[0]的值清零,若其值4字节不对齐,则添加一个2字节的NOP指令,使得后续的指令4字节对齐。这是因为在Thumb32指令中,若该指令对PC寄存器的值进行了修改,则该指令必须是4字节对齐的,否则为非法指令。
	if (CLEAR_BIT0(item->target_addr) % 4 != 0) {
		((uint16_t *) CLEAR_BIT0(item->target_addr))[i++] = 0xBF00;  // NOP
	}
//下面这4行,前2行是LDR.W PC, [PC, #0]对应的机器码为:0x00F0DFF8,后两行是addr,要跳转的地址
	((uint16_t *) CLEAR_BIT0(item->target_addr))[i++] = 0xF8DF;//litterending
	((uint16_t *) CLEAR_BIT0(item->target_addr))[i++] = 0xF000;	// LDR.W PC, [PC]
	((uint16_t *) CLEAR_BIT0(item->target_addr))[i++] = item->new_addr & 0xFFFF;
	((uint16_t *) CLEAR_BIT0(item->target_addr))[i++] = item->new_addr >> 16;
}
// arm Mode
else {
	((uint32_t *) (item->target_addr))[0] = 0xe51ff004;	// LDR PC, [PC, #-4]
	((uint32_t *) (item->target_addr))[1] = item->new_addr;
}

然后就是该内存属性为可写,刷新cache

mprotect((void*)(target_addr & ~4095), 0x1000, PROT_READ | PROT_WRITE | PROT_EXEC);//改权限,加写
	
	
	clearcache((void*)target_addr, (void*)(target_addr + 4));

后续如果比如需要修正PC,因为如果hook替换函数要在我们代码里写原来被hook覆盖代码使用到了pc相关内容,需要修复,可以参考博客

http://ele7enxxh.com/Android-Arm-Inline-Hook.html

kernweak
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Arm Inline hook的简易原理图
beyond702的专栏
05-16 5872
Arm架构下有arm指令thumb指令之分,不同指令集的hook过程不一样。 假设我们要hook libc.so中的execv和read函数,android系统的库应该都加了-mthumb-interworking编译选项,支持thumb/arm的代码交织,所以要区分目标函数是thumb还是arm指令的。 用ndk编译自己的代码好像默认的是arm(虽然我网上查的说默认是thumb,但我的库编
Android Inline Hook原理图
08-13
Android Inline Hook原理图
Android_InlineHook:Android内联hook框架
04-15
ndk16、ndk20编译通过。 自实现inline hook 因为以上的问题,目前/或者之前用过的一些hook框架或多或少都有些较大的bug(hookzz之前的某个版本应该是可以的),而对其进行修复成本较高,还不如自己写一个。 首先统一一些概念。把覆盖被hook函数的指令称为跳板0,因为这部分指令越短越好,所以其大多数情况下只是一个跳板,跳到真正的用于hook指令处,这部分指令称为shellcode(shellcode不是必须的,比如跳板0直接跳到hook函数去执行,那么就不需要shellcode)。 这里假设都有一些arm指令的基础了,或者对hook已经有些理解了。后来我想了下我这篇更偏向于怎么写一个稳定可用hook框架,更偏向设计、编程,所以适合已经有些基础的,不是从0讲述hook到实现,虽然接下来的部分也会有很细节的部分,但是是针对一些特定的点。建议可以先看下其他人,比如ele7e
Android Natvie Hook讲解、 got表hookinline hook 原理
spinchao的博客
12-06 5458
Android Natvie Hook 讲解什么是Hook,以及Android Native层 hook名词解释以及知识储备处理器架构欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 什么是
Android项目中添加Dobby(inline hook)
最新发布
哆啦安全
05-01 682
inline hook 鸿蒙(HarmonyOS)APP开发实战课程(入门到精通)
Android InlineHook:一款强大的动态代码插桩工具
gitblog_00055的博客
04-02 1091
Android InlineHook:一款强大的动态代码插桩工具 项目地址:https://gitcode.com/zhuotong/Android_InlineHookAndroid开发中,代码插桩(Code Injection)是一种常见的调试和测试方法,可以让我们在运行时注入额外的行为或者监控系统状态。Android_InlineHook 是一个强大的动态代码插桩库,由开发者 Zhuo...
android hook 实例,代码实例分析androidinline hook
weixin_39599372的博客
05-29 368
以下内容通过1、实现目标注入程序,2、实现主程序,3、实现注入函数,4、thumb指令集实现等4个方面详细分析了androidinline hook的用法,以下是全部内容:最近终于沉下心来对着书把hook跟注入方面的代码敲了一遍,打算写几个博客把它们记录下来。第一次介绍一下我感觉难度最大的inline hook,实现代码参考了腾讯GAD的游戏安全入门。inline hook的大致流程如下:首先将...
代码实例分析androidinline hook
08-28
Android 中的 Inline Hook 技术详解 Android 中的 Inline Hook 技术是指在 Android 操作系统中,使用 Hook 技术来拦截和修改应用程序的行为。Inline Hook 是一种常用的 Hook 技术,通过在应用程序的代码中注入一段...
inlineHook工具类
08-12
Android开发或者逆向工程领域,`inlineHook`是一种常见的代码注入技术,它允许开发者在不修改原始代码的情况下,对特定函数进行动态替换,以实现功能增强、性能优化或者调试目的。`inlineHook`通常与Xposed框架、...
Android Hook技术学习——常见的hook技术方案
gqg_guan的博客
02-02 594
hook
Android-Inline-Hook, 在Android中,thumb16 thumb32 arm32 inlineHook.zip
09-18
Android-Inline-Hook, 在Android中,thumb16 thumb32 arm32 inlineHook Android-Inline-Hookthumb16 thumb32 arm32 inlineHook插件生成ndk-build NDK_PROJECT_PATH=. APP_BUILD_SCRIPT=./Android.mk ND
Android_Inline_Hook_ARM64,建立一个.so文件,自动执行android本地钩子的工作。支持ARM64!有了这个,像xposed这样的工具就可以实现android原生hook。.zip
09-25
这是ARM64版本的Android内联挂钩。我强烈建议您首先查看android内联钩子。
如何写一个Android inline hook框架
DaoDivDiFang的博客
01-02 1502
Android_Inline_Hook https://github.com/GToad/Android_Inline_Hook_ARM64 有32和64的实现,但是是分离的,要用的话还要自己把两份代码合并在一起。 缺点: 1、不支持函数替换(即hook后不执行原函数),现在只能修改参数寄存器,无法修改返回值。 2、不支持定义同类型的hook函数来接受处理参数,只能通过修改寄存器的方式修改参数。 ...
x86 x64, thumb, arm CPU simple inline-hook framework
lyx2007825的专栏
03-26 1842
单线程x86,x64 inline-hook框架: https://github.com/liuyx/inline-hook
Android inline hook手记[转载]
weixin_30340617的博客
06-12 78
原网址:http://blog.dbgtech.net/blog/?p=51 作者:NetRoc Android inline hook手记 说到Inline hook,了解这个词的同志们都应该知道,无非是修改目标函数处的指令,跳转到自己的函数,并且提供调用原函数的stub,即可完成整个流程。但是在ARM下面情况和我们熟悉的x86有所不同。ARM芯片的运行状态分为armthumb两种模式,...
ARM基础(4):L1 Cache之I-Cache和D-cache详解
主要分享硬件、嵌入式软件部分知识
06-12 4900
在上一篇文章中,我介绍了MPU,我们知道MPU允许按区域修改一级Cache的属性,这个Cache一般为L1 Cache,它位于CPU的内部,用来加快指令和数据的访问速度。同时,CPU在处理共享数据时需要确保CPU和主存之间的数据一致性。这篇文章就来详细介绍一下L1 Cache的概念和用法。
android pie so文件,Android实现so的hookAndroid-Inline-Hook的使用)
weixin_39616367的博客
05-27 577
需求:给一个目标apk,要求hook它的native层代码,但是不能修改它原本的so文件。实现方法:通过/proc/pid/maps查看目标so文件加载到内存的基址,然后利用ida查看目标函数在so文件的内存偏移,两个数字相加得到目标函数的内存地址,然后利用Android-Inline-Hook框架编写c文件,编译生成so文件,再修改apk中的smali文件,加载我们的so文件,从而达到hook的...
android inline hook
04-06
安卓内联钩子(android inline hook)是一种在应用程序运行时修改函数行为的技术。这种技术常常用于游戏作弊、嗅探数据包等方面。它通过在函数调用前或者调用后插入自定义代码,改变了原始函数的执行结果。这种技术需要对应用程序进行反编译才能对函数进行赋钩(hook),因此使用内联钩子通常存在着法律和道德上的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值