Android inline hook

http://www.sanwho.com/248.html

在android中可以通过ptrace附加进程，然后向远程进程注入so库，从而达到监控以及远程进程关键函数挂钩。目前，android上的注入hook基本上都是基于修改got表，从而达到hook拦截效果。比如，android中binder通信封装在libbinder.so里面，libbinder.so中和binder驱动打交道是通过系统调用ioctl，因此拦截ioctl并解析其中的参数，就可以获取binder通信过程中的一些关键隐私信息。然而，ioctl是libc.so中导出的一个函数符号，真正实现ioctl函数功能是在libc.so中。以4.2源码为例，libc.so中ioctl实现分为两个部分：

1.__ioctl.S代码

#include <machine/asm.h> #include <sys/linux-syscalls.h> ENTRY(__ioctl) .save {r4, r7} stmfd sp!, {r4, r7} @r4,r7寄存器入栈 ldr r7, =__NR_ioctl @将ioctl系统调用号保存到r7寄存器 swi #0 @产生中断，切换到内核模式，执行ioctl ldmfd sp!, {r4, r7} @r4,r7出栈 movs r0, r0 @更新cpsr bxpl lr b __set_syscall_errno END(__ioctl)

1 2 3 4 5 6 7 8 9 10 11 12 13 14

#include <machine/asm.h>   #include <sys/linux-syscalls.h>   ENTRY ( __ioctl ) . save { r4 , r7 } stmfd sp ! , { r4 , r7 }            @ r4 , r7寄存器入栈 ldr r7 , = __NR _ioctl        @将 ioctl系统调用号保存到 r7寄存器 swi #0                                   @产生中断，切换到内核模式，执行ioctl ldmfd sp ! , { r4 , r7 }              @ r4 , r7出栈 movs r0 , r0                          @更新 cpsr bxpl lr b __set_syscall_errno END ( __ioctl )

2.ioctl代码

#include <stdarg.h> extern int __ioctl(int, int, void *); int ioctl(int fd, int request, ...) { va_list ap; void * arg; va_start(ap, request); arg = va_arg(ap, void *); va_end(ap); return __ioctl(fd, request, arg); }

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

#include <stdarg.h>   extern int __ioctl ( int , int , void * ) ;   int ioctl ( int fd , int request , . . . ) {      va_list ap ;      void * arg ;        va_start ( ap , request ) ;      arg = va_arg ( ap , void * ) ;      va_end ( ap ) ;        return __ioctl ( fd , request , arg ) ;   }

从上面分析可以知道ioctl是通过调用汇编实现的__ioctl完成实际功能。

相对于修改got表，还可以通过内联hook实现函数hook功能。inline hook就是在函数实现的库中，通过篡改函数执行的汇编指令而到达目的。比如假设test函数，汇编代码如下：

stmfd sp!, {r4, r5, r6, r7} ldmfd ip, {r4, r5, r6} str r5, [r1, #-4] str r6, [r1, #-8] ldr r7, =__NR_xx swi #0 movs r0, r0 beq 1f

1 2 3 4 5 6 7 8 9 10 11 12

stmfd sp ! , { r4 , r5 , r6 , r7 }   ldmfd ip , { r4 , r5 , r6 }   str r5 , [ r1 , #-4] str r6 , [ r1 , #-8]   ldr r7 , = __NR_xx   swi #0 movs r0 , r0 beq 1f

如果需要inline hook该test函数的话，就需要分析该函数汇编码，找到切入点，篡改函数的指令，比如在该函数中将stmfd sp!, {r4, r5, r6, r7}指令篡改为ldr  xx。当然，inline hook并不是那么容易，在inline  hook过程中需要确定代码是thum指令还是arm指令,并且还得保证篡改了指令之后执行hook函数后堆栈是平衡的，这样才能完成hook之前函数的功能。下面以一个图说明inline hook。如下图所示：

如图所示，黄色表示需要hook的函数,A1,A2,A3表示func函数的实现指令。中间蓝色表示我们自己实现的拦截func函数hook，红色表示存储func函数前几条指令A1，以及回到执行指令A2的跳转指令。因此，如果需要内联hook func函数，首先需要在远程进程中申请空间，该空间会存储func函数的前几条指令，以及跳转回func函数后续指令的跳转指令。其次，需要将func函数地址重定向到hook函数。

当应用执行func函数时候，由于之前被重定向到hook函数，因此会首先执行hook的代码，在hook函数中会处理传进来的参数，处理完成之后，跳转到右边红色部分A1出，此处A1执行相当于执行func函数的A1，A1执行完之后接着执行跳转指令跳转到func A2处执行。因此，一次中转之后，func函数被完整的执行。

修改got表和内联hook比较：

1.修改got表拦截比内联hook拦截容易，只需要知道elf文件中调用外部符号的地址。

2.内联hook实现拦截的信息比修改got表丰富。比如修改got表，拦截应用中的connect函数只能拦截应用通过java 层访问网络得请求链接，然而如果应用自己通过jni方式调用socket connect方法，将会不能拦截到。如果采用内联hook，很显然，connect函数最终是需要执行实现connect功能的指令，而指令实现库已经被hook，所以能达到拦截目的。