Android进程注入

最新推荐文章于 2024-05-02 19:36:58 发布
最新推荐文章于 2024-05-02 19:36:58 发布
阅读量2.8k 收藏 11
点赞数 1
分类专栏: 注入 Hook 移动安全 Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/93917427
版权
Android 同时被 3 个专栏收录
22 篇文章 0 订阅
订阅专栏
移动安全
21 篇文章 0 订阅
订阅专栏
Hook
11 篇文章 1 订阅
订阅专栏

Android平台的进程注入和linux平台的注入技术类似,采用ptrace机制来实现
ptrace
在执行系统调用之前,内核会先检查当前进程是否处于被“跟踪”(traced)的状态。如果是的话,内核暂停当前进程并将控制权交给跟踪进程,使跟踪进程得以察看或者修改被跟踪进程的寄存器。

ptrace()是一个系统调用,它允许一个进程控制另外一个进程的执行.不仅如此,我们还可以借助于ptrace修改某个进程的空间(内存或寄存器),任何传递给一个进程(即被跟踪进程)的信号(除了会直接杀死进程的SIGKILL信号)都会使得这个进程进入暂停状态,这时系统通过wait()通 知跟踪进程,这样,跟踪进程就可以修改被跟踪进程的行为了.
如果跟踪进程在被跟踪进程的内存中设置了相关的事件标志位,那么运行中被跟踪进程也可能因为特殊的事件而暂停.跟踪结束后,跟踪进程甚至可以通过设置被跟踪进程的退出码(exit code)来杀死它,当然也可以让它继续运行.

ptrace

#include <sys/types.h>
#include <sys/ptrace.h>
int ptrace(int request, pid_t pid, caddr_t addr, int data);
我们可以看到,ptrace有4个参数,其中,request决定ptrace做什么,pid是被跟踪进程的ID,data存储从进程空间偏移量为addr的地方开始将被读取/写入的数据.
request:
PT_ATTACH: 	attach 进程
PT_DETACH:	detach 进程
PTRACE_SINGLESTEP: 单步
PTRACE_SYSCALL, PTRACE_CONT: 继续
PTRACE_POKETEXT, PTRACE_POKEDATA, PTRACE_POKEUSER: 读数据
PTRACE_PEEKTEXT, PTRACE_PEEKDATA, PTRACE_PEEKUSER:写数据
PTRACE_GETREGS: 得到寄存器

注入流程

0.保存现场
1.查找目标进程的mmap函数
2.在目标进程中调用mmap分配内存
3.查找目标进程dlopen、dlsym函数地址
4.往目标进程中写入shellcode,填充data
5.执行shellcode,调用hook入口
6.恢复现场,Deattach进程,完成注入

代码片段
 

int main(int argc, char** argv) {
	pid_t target_pid;
	if(argc < 2){
		printf("Input target pid\n");
		return -1;
	}
	target_pid = atoi(argv[1]);
	inject_remote_process( target_pid, "/data/local/tmp/libcode.so", "hook_entry", "I'm parameter!", strlen("I'm parameter!") );
	return 0;
}

然后inject_remote_process如下

int inject_remote_process( pid_t target_pid, const char *library_path, const char *function_name, void *param, size_t param_size )
{
	int ret = -1;
	void *mmap_addr, *dlopen_addr, *dlsym_addr, *dlclose_addr;
	void *local_handle, *remote_handle, *dlhandle;
	uint8_t *map_base;
	uint8_t *dlopen_param1_ptr, *dlsym_param2_ptr, *saved_r0_pc_ptr, *inject_param_ptr, *remote_code_ptr, *local_code_ptr;

	struct pt_regs regs, original_regs;
	extern uint32_t _dlopen_addr_s, _dlopen_param1_s, _dlopen_param2_s, _dlsym_addr_s, \
			_dlsym_param2_s, _dlclose_addr_s, _inject_start_s, _inject_end_s, _inject_function_param_s, \
			_saved_cpsr_s, _saved_r0_pc_s;

	uint32_t code_length;


	long parameters[10];



	DEBUG_PRINT( "[+] Injecting process: %d\n", target_pid );

	if ( ptrace_attach( target_pid ) == -1 )//先attach进程,对ptrace的封装,代码在下段
		return EXIT_SUCCESS;


	if ( ptrace_getregs( target_pid, &regs ) == -1 )//保存当前状态,寄存器之类的
		goto exit;

	/* save original registers */
	memcpy( &original_regs, &regs, sizeof(regs) );

	mmap_addr = get_remote_addr( target_pid, "/system/lib/libc.so", (void *)mmap );//函数在下面,作用是找到目标进程那些dlopen之类的函数地址,可以拿到自己dlopen地址,与自己进程lib.c的base差值和在目标进程一样,所以vaddr就得到,然后加上目标进程lib.c的base,因为自己进程是root可读对方。

	DEBUG_PRINT( "[+] Remote mmap address: %x\n", mmap_addr );
//下面是控制目标进程给我们做事,比如分配空间,调用mmp函数
	/* call mmap */
	parameters[0] = 0;	// addr
	parameters[1] = 0x4000; // size,按页对齐
	parameters[2] = PROT_READ | PROT_WRITE | PROT_EXEC;  // prot
	parameters[3] = MAP_ANONYMOUS | MAP_PRIVATE; // flags,匿名,下面参数忽略
	parameters[4] = 0; //fd
	parameters[5] = 0; //offset

	DEBUG_PRINT( "[+] Calling mmap in target process.\n" );
//这个函数在下面,
	if ( ptrace_call( target_pid, (uint32_t)mmap_addr, parameters, 6, &regs ) == -1 )
		goto exit;//目标进程异常,挂起



	if ( ptrace_getregs( target_pid, &regs ) == -1 )//读出这个值。
		goto exit;


	DEBUG_PRINT( "[+] Target process returned from mmap, return value=%x, pc=%x \n", regs.ARM_r0, regs.ARM_pc );

	map_base = (uint8_t *)regs.ARM_r0;//r0就是分配在目标进程shellcode

	dlopen_addr = get_remote_addr( target_pid, linker_path, (void *)dlopen );
	dlsym_addr = get_remote_addr( target_pid, linker_path, (void *)dlsym );
	dlclose_addr = get_remote_addr( target_pid, linker_path, (void *)dlclose );

	DEBUG_PRINT( "[+] Get imports: dlopen: %x, dlsym: %x, dlclose: %x\n", dlopen_addr, dlsym_addr, dlclose_addr );
//除了在目标进程放shellcode还要控制stack,code使用的是pc,栈式sp,所以在内存一个点,pc向上,sp向下。

	remote_code_ptr = map_base + 0x3C00;
	local_code_ptr = (uint8_t *)&_inject_start_s;


	_dlopen_addr_s = (uint32_t)dlopen_addr;
	_dlsym_addr_s = (uint32_t)dlsym_addr;
	_dlclose_addr_s = (uint32_t)dlclose_addr;

	DEBUG_PRINT( "[+] Inject code start: %x, end: %x\n", local_code_ptr, &_inject_end_s );
//shell拷贝到目标进程。shellcode在下面片段,恢复寄存器在shellcode里
	code_length = (uint32_t)&_inject_end_s - (uint32_t)&_inject_start_s;
	dlopen_param1_ptr = local_code_ptr + code_length + 0x20;
	dlsym_param2_ptr = dlopen_param1_ptr + MAX_PATH;
	saved_r0_pc_ptr = dlsym_param2_ptr + MAX_PATH;
	inject_param_ptr = saved_r0_pc_ptr + MAX_PATH;


	/* dlopen parameter 1: library name *///填写shellcode里用到的参数
	strcpy( dlopen_param1_ptr, library_path );
	_dlopen_param1_s = REMOTE_ADDR( dlopen_param1_ptr, local_code_ptr, remote_code_ptr );
	DEBUG_PRINT( "[+] _dlopen_param1_s: %x\n", _dlopen_param1_s );

	/* dlsym parameter 2: function name */
	strcpy( dlsym_param2_ptr, function_name );
	_dlsym_param2_s = REMOTE_ADDR( dlsym_param2_ptr, local_code_ptr, remote_code_ptr );
	DEBUG_PRINT( "[+] _dlsym_param2_s: %x\n", _dlsym_param2_s );

	/* saved cpsr */
	_saved_cpsr_s = original_regs.ARM_cpsr;

	/* saved r0-pc */
	memcpy( saved_r0_pc_ptr, &(original_regs.ARM_r0), 16 * 4 ); // r0 ~ r15
	_saved_r0_pc_s = REMOTE_ADDR( saved_r0_pc_ptr, local_code_ptr, remote_code_ptr );
	DEBUG_PRINT( "[+] _saved_r0_pc_s: %x\n", _saved_r0_pc_s );

	/* Inject function parameter */
	memcpy( inject_param_ptr, param, param_size );
	_inject_function_param_s = REMOTE_ADDR( inject_param_ptr, local_code_ptr, remote_code_ptr );
	DEBUG_PRINT( "[+] _inject_function_param_s: %x\n", _inject_function_param_s );

	DEBUG_PRINT( "[+] Remote shellcode address: %x\n", remote_code_ptr );
	ptrace_writedata( target_pid, remote_code_ptr, local_code_ptr, 0x400 );//把参数shellcode一次性写到目标进程。

	memcpy( &regs, &original_regs, sizeof(regs) );
	regs.ARM_sp = (long)remote_code_ptr;
	regs.ARM_pc = (long)remote_code_ptr;
	ptrace_setregs( target_pid, &regs );
	ptrace_detach( target_pid );

	// inject succeeded
	ret = 0;

exit:
	return ret;
}

 ptrace_attach

int ptrace_attach( pid_t pid )
{
	if ( ptrace( PTRACE_ATTACH, pid, NULL, 0  ) < 0 )
	{
		perror( "ptrace_attach" );
		return -1;
	}

	waitpid( pid, NULL, WUNTRACED );//让内核等一下目标进程

	//DEBUG_PRINT("attached\n");

	if ( ptrace( PTRACE_SYSCALL, pid, NULL, 0  ) < 0 )//让他执行完当前sysycall
	{
		perror( "ptrace_syscall" );
		return -1;
	}



	waitpid( pid, NULL, WUNTRACED );

	return 0;
}

int ptrace_detach( pid_t pid )
{
	if ( ptrace( PTRACE_DETACH, pid, NULL, 0 ) < 0 )
		{
			perror( "ptrace_detach" );
			return -1;
		}

		return 0;
}

 get_remote_addr

void* get_remote_addr( pid_t target_pid, const char* module_name, void* local_addr )
{
	void* local_handle, *remote_handle;

	local_handle = get_module_base( -1, module_name );//拿到自己的base
	remote_handle = get_module_base( target_pid, module_name );//拿到远程的base

	DEBUG_PRINT( "[+] get_remote_addr: local[%x], remote[%x]\n", local_handle, remote_handle );

	return (void *)( (uint32_t)local_addr + (uint32_t)remote_handle - (uint32_t)local_handle );//自己函数地址-自己base+远程base
}

get_module_base

 

void* get_module_base( pid_t pid, const char* module_name )
{
	FILE *fp;
	long addr = 0;
	char *pch;
	char filename[32];
	char line[1024];

	if ( pid < 0 )
	{
		/* self process */
		snprintf( filename, sizeof(filename), "/proc/self/maps");
	}
	else
	{
		snprintf( filename, sizeof(filename), "/proc/%d/maps", pid );
	}

	fp = fopen( filename, "r" );

	if ( fp != NULL )
	{
		while ( fgets( line, sizeof(line), fp ) )
		{
			if ( strstr( line, module_name ) )
			{
				pch = strtok( line, "-" );
				addr = strtoul( pch, NULL, 16 );

				if ( addr == 0x8000 )
					addr = 0;

				break;
			}
		}

				fclose( fp ) ;
	}

	return (void *)addr;
}

 ptrace_call

int ptrace_call( pid_t pid, uint32_t addr, long *params, uint32_t num_params, struct pt_regs* regs )
{
	uint32_t i;
//r0-r3
	for ( i = 0; i < num_params && i < 4; i ++ )
	{
		regs->uregs[i] = params[i];
	}

	//
	// push remained params onto stack
	//
	if ( i < num_params )
	{
		regs->ARM_sp -= (num_params - i) * sizeof(long) ;
		ptrace_writedata( pid, (void *)regs->ARM_sp, (uint8_t *)&params[i], (num_params - i) * sizeof(long) );
	}
//上面就是把另外两个参数通过栈,想做的是先把这两参数push到栈上,然后操作栈顶
	regs->ARM_pc = addr;
	if ( regs->ARM_pc & 1 )//thumb
	{
		/* thumb */
		regs->ARM_pc &= (~1u);
		regs->ARM_cpsr |= CPSR_T_MASK;
	}
	else
	{
		/* arm */
		regs->ARM_cpsr &= ~CPSR_T_MASK;//如果前面是thumb把1清掉
	}

//那么如何notify进程我们mmp执行完了。就是通过下面这句话。原因是当函数调用时候,当我们使用bl或者bx,链接寄存器指向的是下一条返回地址,如果把下条返回地址赋值成0,返回时候pc=0,就会产生异常。相当于一个notify,然后用下面那个waitpid得到异常模式,确定mmp执行完。所以其实下面不一定是0,只要是无效即可。
	regs->ARM_lr = 0;//把链接寄存器的值赋值0	

	if ( ptrace_setregs( pid, regs ) == -1 
		|| ptrace_continue( pid ) == -1 )//调用continue让进程继续执行
	{
		return -1;
	}


	waitpid( pid, NULL, WUNTRACED );

	return 0;
}

shellcode

.global _dlopen_addr_s
.global _dlopen_param1_s
.global _dlopen_param2_s

.global _dlsym_addr_s
.global _dlsym_param2_s

.global _dlclose_addr_s

.global _inject_start_s
.global _inject_end_s

.global _inject_function_param_s

.global _saved_cpsr_s
.global _saved_r0_pc_s

.data

_inject_start_s:
	@ debug loop
3:
	@sub r1, r1, #0
	@B 3b

	@ dlopen
	ldr r1, _dlopen_param2_s
	ldr r0, _dlopen_param1_s
	ldr r3, _dlopen_addr_s@dopen地址
	blx r3
	subs r4, r0, #0
	beq	2f

	@dlsym@要去找hook——entry
	ldr r1, _dlsym_param2_s
	ldr r3, _dlsym_addr_s
	blx r3
	subs r3, r0, #0
	beq 1f

	@call our function
	ldr r0, _inject_function_param_s
	blx r3
	subs r0, r0, #0
	beq 2f

1:
	@dlclose
	mov r0, r4
	ldr r3, _dlclose_addr_s
	blx r3

2:
	@restore context
	ldr r1, _saved_cpsr_s
	msr cpsr_cf, r1@把寄存器都回复了
	ldr sp, _saved_r0_pc_s
	ldmfd sp, {r0-pc}

_dlopen_addr_s:
.word 0x11111111

_dlopen_param1_s:
.word 0x11111111

_dlopen_param2_s:
.word 0x2

_dlsym_addr_s:
.word 0x11111111

_dlsym_param2_s:
.word 0x11111111

_dlclose_addr_s:
.word 0x11111111

_inject_function_param_s:
.word 0x11111111

_saved_cpsr_s:
.word 0x11111111

_saved_r0_pc_s:
.word 0x11111111

_inject_end_s:

.space 0x400, 0

.end

也可以用SO的init(init_array)实现注入,不一定要用hook_entry,或者找到目标进程dlopen控制栈区调用?

http://blog.csdn.net/l173864930/article/details/38456313

kernweak
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android 中的进程
f5647的专栏
02-15 226
1、进程特性 系统进行资源分配和调度的基本单位 2、认识方式 和线程做对比,进程和线程的主要差别在于它们是不同的操作系统资源管理方式。进程有独立的地址空间,一个进程崩溃后,在保护模式下不会对其它进程产生影响,而线程只是一个进程中的不同执行路径。线程有自己的堆栈和局部变量,但线程之间没有单独的地址空间,一个线程死掉就等于整个进程死掉,所以多进程的程序要比多线程的程序健壮,但在进程切换时,耗费资源较大...
Android进程创建流程
gsj0722的博客
09-28 516
进程创建过程的简要图: 图解: App发起进程:当从桌面启动应用,则发起进程便是Launcher所在进程;当从某App内启动远程进程,则发送进程便是该App所在进程。发起进程先通过binder发送消息给system_server进程; system_server进程:调用Process.start()方法,通过socket向zygote进程发送创建新进程的请求; zygote进程:在执行Zyg...
Android 进程注入
11-07
Android 进程注入代码。跑通了整个流程,希望对大家有帮助,顺便赚点资源分。没办法,穷啊。
android inject (三) 跨进程注入so
qq_17748035的专栏
11-27 1782
前两篇主要说了一些基本内容,如pid的获取,都是查询后手动输入的,本片介绍注入第三方so到目标进程并执行so的方法。 前两篇的地址:android inject(一)ptrace基础 android inject (二) 跨进程注入 /* * 注入so到进程 * 1.获取目标进程pid * 2.附加目标进程 * 3.获取/保存目标进程寄存器的内容 * 4.计算mmap方法的地址...
Android进程
最新发布
liuning1985622的博客
05-02 770
进程是计算机中正在运行的程序的实例。每个进程都有自己的内存空间和系统资源,并且可以独立地执行任务。进程是操作系统进行资源分配和调度的基本单位。进程的基本概念包括以下几个方面:进程状态:进程在其生命周期中会经历不同的状态,包括就绪、运行、阻塞和终止等状态。就绪状态表示进程已经准备好执行,但还没有获得CPU的执行权;运行状态表示进程正在执行;阻塞状态表示进程由于某些原因无法继续执行,例如等待输入/输出操作完成;终止状态表示进程已经完成了它的任务并退出。
Android中通过进程注入技术修改系统返回的Mac地址
modabobo
12-15 232
致谢 感谢看雪论坛中的这位大神,分享了这个技术:http://bbs.pediy.com/showthread.php?t=186054,从这篇文章中学习到了很多内容,如果没有这篇好文章,我在研究的过程中会遇到很多困难,说不定我就放弃了~~在此感谢他。 前言 之前的几篇文章都是在介绍了OC的相关知识,之前的半个月也都是在搞IOS的相关东西,白天上班做Android工作,晚上回家还有弄IOS,感觉...
Android 逆向】Android 进程注入工具开发 ( 注入代码分析 | 调试进程 ATTACH 附着目标进程 | 读取目标函数寄存器值并存档 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-04 958
一、调试进程 ATTACH 附着目标进程、 二、读取目标函数寄存器值并存档、 1、主要操作流程、 2、ptrace 函数 PTRACE_GETREGS 读取寄存器值、
InjectDemo:实现对Android进程注入功能
06-14
总之,InjectDemo是一个关于Android进程注入的示例项目,它展示了如何利用root权限和ptrace系统调用在Android上实现这一功能。理解和掌握这些知识点,对于从事Android底层开发、安全研究或逆向工程的人员来说,都是...
Android平台so注入进程
01-03
在这个"Android平台SO注入进程"的Demo中,我们将深入探讨这一技术。 首先,我们需要理解Android应用程序的基本架构。每个Android应用都是由一个或多个Dalvik或ART虚拟机实例运行的,每个实例对应一个单独的进程。...
Android进程守护的实现代码
08-27
Android进程守护的实现代码 Android进程守护是指在 Android 系统中,使用两个进程来共同运行和监控,以避免进程被系统杀死。这个技术可以应用于需要长期在后台运行的服务,例如高德定位 SDK 等。 在 ...
注入安卓进程,并hook java世界的方法
08-30
看雪大牛写的
进程注入实现
11-09
下面将详细阐述Android进程注入的原理、实现方法以及相关知识点。 首先,我们要明白什么是进程。在计算机系统中,进程是程序的一次执行实例,每个进程都有独立的内存空间。在Android系统中,每一个应用程序都是一个...
Android 注入详解
weixin_30349597的博客
08-08 170
Android下的注入的效果是类似于Windows下的dll注入,关于Windows下面的注入可以参考这篇文章Windows注入术。而Android一般处理器是arm架构,内核是基于linux,因此进程间是弱相互作用,不存在Windows下类似于CreateRemoteThread 作用的函数,可以在其他进程空间内创建线程来加载我们的.so文件,所以我们所采用的方法就是依赖于linux下的p...
调用so中的函数
Tasfa的博客
08-25 3034
背景 c++层,有时候提供的第三方so接口不满足需求,需要自定义调用so中的函数,大致分为: 调用未导出函数 调用导出函数 基础 获取so基地址 通过maps文件获取 /** * 获取so文件基地址 * @param pid:pid module_name:soName * @return 地址 * @invoke get_module_base(getpid(),"libtest.so") **/ unsigned long get_module_base( pid_t pid, co
Android 逆向】Android 进程代码注入原理 ( 注入本质 | 静态注入和动态注入 | 静态注入两种方式 | 修改动态库重打包 | 修改 /data/app/xx/libs 动态库 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-01 2273
一、注入本质、 二、静态注入和动态注入、 三、静态注入两种方式 ( 修改动态库重打包 | 修改 /data/app/packageName/libs/ 下的动态库 )
Android 逆向】Android 进程代码注入原理 ( 进程注入原理 | 远程调用流程 | 获取函数地址 | 设置 IP 寄存器 | mmap 申请内存 | 设置 SP 寄存器 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-01 1314
一、进程注入原理、 二、远程调用流程 ( 获取 so 动态库地址 | 获取函数地址 | 设置 IP 寄存器 | mmap 申请内存 | 设置 SP 寄存器 )
android 进程注入保护,Android进程注入(二)
weixin_39875192的博客
05-28 377
前言接下来我们就要实现一个向目标进程注入so的函数,并使用ndk交叉编译代码让他能在我们arm手机上运行环境nexus5Android4.4ndk11代码实现注入远程进程so函数int inject_remote_process(pid_t target_pid, const char *library_path, const char *function_name,const char *par...
android 进程注入流程
云守护的专栏
06-07 3758
//获取目标进程模块基址 void* get_module_base(pid_t pid, const char* module_name); //获取远程模块基址 void* get_remote_addr(pid_t target_pid, const char* module_name, void* local_addr); //根据进程名查找进程id  读取/proc/%d/cmd
Android组件设计:理解进程与用户体验
组件化的一个关键实践是在模块化层面,通过引入依赖注入和模块化构建工具(如Gradle插件),实现不同组件之间的松耦合。这使得开发者可以独立开发、测试和更新各个组件,提高开发效率并减少维护成本。 Android组件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值