如何hook dlopen和dlsym底层函数

最新推荐文章于 2024-04-19 10:01:24 发布
最新推荐文章于 2024-04-19 10:01:24 发布
阅读量1.1w 收藏 12
点赞数
分类专栏: android逆向学习 文章标签: android hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuanshenai/article/details/51752582
版权

android 逆向分析过程有时候需要hook dlopen和dlsym函数,打印调用的库或者函数名。
利用cydia substrate的动态库,或者ThomasKing大大的ELF-ARM-HOOK-Library 两个都行,但是cydia 支持x86的hook,模拟器hook 比较方便(个人见解)。
我用的是cydia 实现的hook。具体如下,

//substrate.cpp
void *(*MSFindSymbol)(MSImageRef image, const char *name);
MSImageRef(*MSGetImageByName)(const char *file);
void(*MSJavaHookMethod)(JNIEnv *jni, jclass _class, jmethodID methodID, void *function, void **result);
void(*MSHookFunction)(void *symbol, void *replace, void **result);
void(*MSJavaHookClassLoad)(JNIEnv *jni, const char *name, void(*callback)(JNIEnv *, jclass, void *), void *data);
__attribute__((__constructor__)) static void _MSInitialize()
{
    void* handlesubdsub = dlopen("/system/lib/libsubstrate.so", RTLD_NOW);
    void* handlesubdvm = dlopen("/system/lib/libsubstrate-dvm.so", RTLD_NOW);
    if (handlesubdsub != NULL)
    {
        LOGD("***start dlsym methond***");
        MSGetImageByName = (MSImageRef(*)(const char *file))dlsym(handlesubdsub, "MSGetImageByName");
        MSFindSymbol = (void*(*)(MSImageRef image, const char *name))dlsym(handlesubdsub, "MSFindSymbol");
        MSHookFunction = (void(*)(void *symbol, void *replace, void **result))dlsym(handlesubdsub, "MSHookFunction");
        MSJavaHookClassLoad = (void(*)(JNIEnv *jni, const char *name, void(*callback)(JNIEnv *, jclass, void *), void *data))dlsym(handlesubdvm, "MSJavaHookClassLoad");
        MSJavaHookMethod = (void(*)(JNIEnv *jni, jclass _class, jmethodID methodID, void *function, void **result)) dlsym(handlesubdvm, "MSJavaHookMethod");
        LOGD("***end dlsym methond***");
    }
    else
    {
        LOGE("***open so file fail or can't find file!***");
    }

}

以上代码:可以不用安装cydia的apk,把libsubstrate.so、 libsubstrate-dvm.so 两个动态库复制到 /system/lib/目录下。 直接调用 相关函数,ELF-ARM-HOOK-Library 也有同样的方法自己实现。
hook dlopen 函数 就要获取 函数的地址:

    //这个方法来自 android inject 用于获取地址
    void* get_module_base(int pid, const char* module_name)
{
    FILE *fp;
    long addr = 0;
    char *pch;
    char filename[32];
    char line[1024];
    if (pid < 0) {
        /* self process */
        snprintf(filename, sizeof(filename), "/proc/self/maps", pid);
    }
    else {
        snprintf(filename, sizeof(filename), "/proc/%d/maps", pid);
    }
    fp = fopen(filename, "r");
    if (fp != NULL) {
        while (fgets(line, sizeof(line), fp)) {
            if (strstr(line, module_name)) {
                pch = strtok(line, "-");
                addr = strtoul(pch, NULL, 16);

                if (addr == 0x8000)
                    addr = 0;

                break;
            }
        }
        fclose(fp);
    }
    return (void *)addr;
}
//这个方法来自 android inject 用于获取地址
void* get_remote_addr(int target_pid, const char* module_name, void* local_addr)
{
    void* local_handle, *remote_handle;

    local_handle = get_module_base(-1, module_name);
    remote_handle = get_module_base(target_pid, module_name);

    LOGI("[+] get_remote_addr: local[%x], remote[%x]\n", local_handle, remote_handle);

    void * ret_addr = (void *)((uint32_t)local_addr + (uint32_t)remote_handle - (uint32_t)local_handle);

#if defined(__i386__)    
    if (!strcmp(module_name, "/system/lib/libc.so")) {
        ret_addr += 2;
    }
#endif    
    return ret_addr;
}

hook方法

    //声明各个变量存放地址
    void *mmap_addr, *dlopen_addr, *dlsym_addr, *dlclose_addr, *dlerror_addr;
    //获取dlopen地址
    dlopen_addr = get_remote_addr(getpid(), "/system/bin/linker", (void *)dlopen);
    LOGI("[+] dlopen_addr: [%x]", dlopen_addr);
    //hook dlopen方法  下面方法类似
    MSHookFunction((void*)dlopen_addr, (void*)newdlopen, (void**)&olddlopen);

    dlsym_addr = get_remote_addr(getpid(), "/system/bin/linker", (void *)dlsym);
    LOGI("[+] dlsym_addr: [%x]", dlsym_addr);
    MSHookFunction(dlsym_addr, (void*)newdlsym, (void**)&olddlsym);
    dlclose_addr = get_remote_addr(getpid(), "/system/bin/linker", (void *)dlclose);
    dlerror_addr = get_remote_addr(getpid(), "/system/bin/linker", (void *)dlerror);
//hook方法
void* (*olddlsym)(void*  handle, const char*  symbol);
void* newdlsym(void*  handle, const char*  symbol) {
    LOGD("the handle [0x%x] symbol name:%s",handle,symbol);
    return olddlsym(handle, symbol);
}
void* (*olddlopen)(const char* filename, int myflags);
void* newdlopen(const char* filename, int myflags) {
    LOGD("the dlopen name :%s",filename);
    return olddlopen(filename, myflags);
}

效果图

zhuanshenai
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Linux dlopen 注入 和 hook分析
u014288349的博客
11-19 3756
http://blog.51cto.com/haidragon/2135226 https://github.com/gaffe23/linux-inject   目的:将动态库so注入到目标程序中 核心原理:1、获取目标程序函数(__libc_dlopen_mode、malloc、free)的地址;2、获取一段可执行的内存地址;3、将汇编注入代码写入这段内存地址;4、通过int3断点来查...
android 禁用dlsym_Android10 aarch64 dlopen Hook
weixin_32302013的博客
01-15 580
前言[toc]对于自动化hook Il2cpp 的模块来说, dlopenhook相当于一个大门, 没有该大门口, 一切都是纸上谈兵在 armabi-v7a 上hook dlopen, 轻松的不要不要的, 甚至借用一下 virtual 系列app的 va++ 核心提供的 hook_dlopen 函数的接口都行可是到了 aarch64 这里, 找了一圈, 能用的 hook构件 也就一枚 And6...
探秘Il2CppHookScripts:逆向工程与游戏修改的新利器
最新发布
gitblog_00072的博客
04-19 576
探秘Il2CppHookScripts:逆向工程与游戏修改的新利器 项目地址:https://gitcode.com/axhlzy/Il2CppHookScripts 项目简介 Il2CppHookScripts 是一个开源项目,专门为那些对逆向工程和游戏修改感兴趣的技术爱好者设计。它提供了工具集和教程,帮助开发者解析IL2CPP编译后的二进制代码,实现对游戏的 hook 和注入功能。通过这个项目...
Android9.0 hook dlopen问题/如何hook dlopen相关函数
DaoDivDiFang的博客
01-02 3858
Android9.0中在activity的onCreate之前hook dlopen函数,如果需要返回值(即修改了LR寄存器),那么会触发:E/libEGL: EGL_ANDROID_blob_cache advertised, but unable to get eglSetBlobCacheFuncsANDROID。不会crash,但是界面不会绘制出来。 是因为dlopen(libEGL_ad...
Android9.0 代码注入,[原创]Android9.0 hook dlopen问题/如何hook dlopen相关函数
weixin_28744423的博客
05-26 584
Android9.0中在activity的onCreate之前hook dlopen函数,如果需要返回值(即修改了LR寄存器),那么会触发:E/libEGL: EGL_ANDROID_blob_cache advertised, but unable to get eglSetBlobCacheFuncsANDROID。不会crash,但是界面不会绘制出来。是因为dlopen(libEGL_adr...
[LINUX]preload hook dlopen
小蜗牛之家
04-20 449
preload hook中需要通过dlopen打开对应的so,查找旧函数地址以便后续调用; 如果需要hook dlopen这个函数,就会出现死循环的情况,因为dlopen中需要调用自身来加载so,获取dlopen函数地址; 可以使用dlmopen代替dlopen加载so的功能,这样dlopen函数也可以被顺利hook了; ...
[LINUX]LD_PRELOAD中对于dlopen函数hook
小蜗牛之家
04-08 945
- LD_PRELOAD的hook方式可以hook大部分的函数,通常需要通过dlopen获取共享库的句柄,然后用dlsym获取对应名称的函数地址, 用于后续调用; - 这种方式对于绝大多数的libc暴露的函数均有效,但是对于dlopen这种机制中需要使用的函数无法进行hook,因为一旦hookdlopen函数,则会在获取共享库句柄的时候,陷入死循环; - 解决方式:自主编译libc,建立一个...
C++Hook发包函数核心代码
09-03
C++Hook发包函数核心代码 游戏辅助专用 不得不学 杀猪的
Drupal中hook_theme函数用法
09-28
`hook_theme()` 函数是模块(Module)或主题(Theme)中定义的一个函数,它的名称遵循 Drupal 钩子命名规则:`hook` 前缀加上 `_theme` 后缀。例如,在模块 `modulename` 中,你需要定义一个名为 `modulename_theme...
Hook函数任意地址 c++
10-22
该实例实现了Hook函数任意地址的功能,并可以获取CPU寄存器的内容。
C++实现修改函数代码HOOK的封装方法
09-04
在本例中,`PROC`代表函数指针类型,用于存储原始函数和钩子函数的地址。 2. **HOOK原理**: HOOK的基本思想是修改目标函数的入口点,使得在调用目标函数时,先执行自定义的钩子函数,然后才执行原函数。这通常...
apiHooK函数
10-26
apiHooK函数,apiHooK函数.
python eval 转换k m到乘法计算
weixin_43852674的博客
09-28 710
原数据 lambda函数处理 我之前写了各种if substr函数,各种报错 正确到热泪盈眶的函数 data['Followers/Fans'] = data['Followers/Fans'].str.replace('k|K','*1000').str.replace('m|M','*1000000').fillna('0') data['Followers/Fans'] = data['Followers/Fans'].apply(eval) 报错函数 # def trans(x): #
dlopen()函数dlsym()函数
ccskyer的专栏
07-14 5109
dlopen()函数用于打开一个.so库,原型如下:void *dlopen(const char *filename, int flag) {     soinfo *ret;     pthread_mutex_lock(&dl_lock);     ret = find_library(filename);     if (unlikely(ret == NULL)) {         set_dlerror(DL_ERR_CANNOT_LOAD_LIBRARY);     } els
Unix系统调用hook函数以及使用dl库实现
langzi989的专栏
04-06 341
博客搬家,原地址:https://langzi989.github.io/2017/10/16/Unix系统hook函数以及使用dl库实现/ 系统调用属于一种软中断机制(内中断陷阱),它有操作系统提供的功能入口(sys_call)以及CPU提供的硬件支持(int 3 trap)共同完成。 hook系统调用:为当用户代码调用系统调用的时候,我们通过某种手段入侵该系统调用,使得系统调用中除了执行原有的...
Android aosp10,AOSP Android10 hook dlsym
weixin_42157166的博客
05-29 241
1 最近的堆栈#0 pc 0001332c /data/app/com.xx.xx.xx-Y3Pcp5VnIrzHXx1MbVmxwg==/lib/arm/libinjectCamera.so (CodeBuffer::Emit32(int)+28) (BuildId: 4e2ef33d7d3943a9215af15ff3194064fdab415f)#1 pc 00012967 /data/...
劫持 dlopen 系统调用
qq_43350875的博客
06-30 212
LD_PRELOAD
Android HAL dlopen dlsym的调用
当我荒废时间的时候,会有多少人在拼命
11-27 1247
使用 dlopen dlopen()是一个强大的库函数。该函数将打开一个新库,并把它装入内存。该函数主要用来加载库中的符号,这些符号在编译的时候是不知道的。比如 Apache Web 服务器利用这个函数在运行过程中加载模块,这为它提供了额外的能力。一个配置文件控制了加载模块的过程。这种机制使得在系统中添加或者删除一个模块时,都不需要重新编译了。    可以在自己的程序中使用 dlopen(
动手实现内存泄漏检测组件
菊头蝙蝠的博客
04-14 1905
c/c++没有垃圾回收机制,可能会出现内存泄漏 出现原因:内存分配与内存释放,没有做到匹配 1.如何预防内存泄漏? 2.内存泄漏如何解决? 1.如何知道内存泄漏 2.如何定位代码哪一行引起的内存泄漏 如何知道内存泄漏: 每次malloc/calloc/realloc 就 +1 每次free 就 -1 如果正常退出,不为0,说明存在内存泄漏 如何定位哪一行引起内存泄漏? 1.c自带的宏,__FILE__、_ FUNCTION _和、__LINE__,可以定位到具体文件,函数,哪一行 2.builtin_re
hook dlopen
05-15
hook dlopen 是指在运行时动态链接库被加载时,通过修改链接库的符号表来实现对链接库函数的劫持。这种技术可以用于实现各种功能,比如在应用程序中实现代码注入、函数替换、调用跟踪等等。 具体实现可以使用动态链接库注入技术,将一个自行编写的动态链接库注入到目标进程中,然后在该库中通过 hook dlopen 函数,修改链接库的符号表实现函数劫持。这个库可以通过 LD_PRELOAD 环境变量或者使用函数调用的方式注入到目标进程中。 需要注意的是,hook dlopen 操作可能会涉及到一些操作系统的安全机制,比如 SELinux,需要特殊处理才能正确实现。同时,hook 操作也可能会导致应用程序崩溃或者出现意外行为,需要谨慎使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值