Android下的掛鉤(hook)和代碼注入(inject)
Android是基於linux內核的操做系統,根據語言環境能夠簡單的劃分爲java層、native C層、linux內核層。java層經過jni與native層交互,使用linux提供的底層函數功能。php
所以,相似linux系統,咱們能夠在Android下實現對另外一個進程的掛鉤和代碼注入。在這簡單介紹下掛鉤和代碼注入的方法和兩個庫,以及針對《刀塔傳奇》實現的代碼注入。java
利用libinject實現so注入和API Hook
一. so注入linux
Linux上有一個強大的系統調用ptrace,它提供了父進程觀察和控制子進程的能力,並容許父進程檢查和替換子進程寄存器的值(大名鼎鼎的gdb也是基於ptrace的),當使用ptrace後,發送給子進程的信號會轉發給父進程,而子進程會被阻塞,父進程收到信號後,就能夠對子進程進行檢查和修改。其原型爲:android
long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data); 1). enum __ptrace_request request:ptrace要執行的命令。 2). pid_t pid: 指示ptrace要跟蹤的進程。 3). void *addr: 指示要監控的內存地址。 4). void *data: 存放讀取出的或者要寫入的數據。
在得到root權限的狀況下,咱們能夠再Android上ptrace另外一個進程,讀取和修改該進程的內存數據。看雪論壇上有大神實現了Android下的so注入libinject,代碼的大體原理:git
-
ptrace attack到目標進程,保持寄存器數據,接管程序的運行。github
-
找到目標進程的mmap函數地址,調用mmap分配一段內存空間。api
-
找到目標進程的dlopen、dlclose、dlsym的地址,調用dlopen載入.so文件,調用dlsym獲取.so文件的地址。app
-
找到so中」 hook_entry」函數的地址並執行。框架
-
收尾,調用dlclose,還原寄存器,執行ptrace_detach,把控制權還給目標程序。函數
libinject中有兩個主要功能(尋找函數地址和調用函數),函數分別爲get_remote_addr和ptrace_call_wrapper,代碼以下:
void* get_remote_addr(pid_t target_pid, const char* module_name, void* local_addr) { void* local_handle, *remote_handle; local_handle = get_module_base(-1, module_name); remote_handle = get_module_base(target_pid, module_name); DEBUG_PRINT("[+] get_remote_addr: local[%x], remote[%x]\n", local_handle, remote_handle); void * ret_addr = (void *)((uint32_t)local_addr + (uint32_t)remote_handle - (uint32_t)local_handle); #if defined(__i386__) if (!strcmp(module_name, libc_path)) { ret_addr += 2; } #endif return ret_addr; } int ptrace_call_wrapper(pid_t target_pid, const char * func_name, void * func_addr, long * parameters, int param_num, struct ptREGS
* REGS) { DEBUG_PRINT("[+] Calling %s in target process.\n", func_name); if (ptrace_call(target_pid, (uint32_t)func_addr, parameters, param_num, REGS) == -1) return -1; if (ptrace_getregs(target_pid, regs) == -1) return -1; DEBUG_PRINT("[+] Target process returned from %s, return value=%x, pc=%x \n", func_name, ptrace_retval(regs), ptrace_ip(regs)); return 0; }
so的地址是經過分析/proc/pid/maps文件獲得的。 Maps文件以下:
在arm處理器下,執行函數的代碼以下:
#elif defined(__i386__) long ptrace_call(pid_t pid, uint32_t addr, long *params, uint32_t num_params, struct userREGS_struct * REGS) { REGS->esp -= (num_params) * sizeof(long) ; ptrace_writedata(pid, (void *)regs->esp, (uint8_t *)params, (num_params) * sizeof(long)); long tmp_addr = 0x00; regs->esp -= sizeof(long); ptrace_writedata(pid, regs->esp, (char *)&tmp_addr, sizeof(tmp_addr)); regs->eip = addr; if (ptrace_setregs(pid, regs) == -1 || ptrace_continue( pid) == -1) { printf("error\n"); return -1; } int stat = 0; waitpid(pid, &stat, WUNTRACED); while (stat != 0xb7f) { if (ptrace_continue(pid) == -1) { printf("error\n"); return -1; } waitpid(pid, &stat, WUNTRACED); } return 0; }
把返回地址設置爲0的目的是讓目標進程繼續執行完後找不到返回地址出錯,進程會被掛起,控制權又回到了父進程也就是libinject手上。
二. API Hook
api hook技術有2種elf hook 和inline hook。Elf hook 經過修改動態鏈接庫的PLT/GOT表,從而達到函數調用的重定向目的,這種方法只能hook模塊的外部調用,例如hook打開文件的系統函數檢測程序打開文件的狀況,hook系統時間相關的函數,達到加速的目的(市面上的加速外掛基本都是採起這種方法)。可是這種方法不能hook模塊的內部調用,由於模塊內部調用不須要查GOT表。而遊戲引擎的功能都封裝在一個動態鏈接庫裏,基本都是內部調用,ELF HOOK沒法生效。本文所採用的是另一個方法:INLINE HOOK。
INLINE HOOK的思路大體是這樣:首先找到目標函數在內存中的地址,而後把該地址塊設置爲可寫,修改目標函數地址的內容,讓遊戲調用目標函數時跳轉到咱們本身的函數地址,咱們的函數執行完後再跳轉回來。這樣不管是模塊內部調用或外部調用,INLINE HOOK都能生效。具體步驟以下:
-
找到目標函數在內存中的地址,跟上文提到的尋找函數地址的方法不同,注入so後,咱們的代碼是在目標進程空間中執行的,沒法經過so基址的偏移計算函數在內存的地址,由於目標so在內存中只有一份。經過另一種方式尋找函數地址,在linux下,可執行文件和動態鏈接庫都是使用ELF文件格式的,ELF結構體中包含了全部符號的信息,經過解析ELF,能夠獲取到目標函數在內存中的地址。ELF文件格式這裏就不介紹,感興趣的同窗能夠查看ELF文件介紹。
-
代碼段加載進內存後,通常不須要修改,因此代碼段是沒有寫屬性的,須要調用mprotect()把內存塊加上PROT_WRITE屬性。
-
接下來就能夠把彙編指令寫入指定地址了,以Arm指令集爲例,把目標函數的頭12個字節(ARM每條指令32位,即4個字節)先備份下來,而後替換成以下內容:
0xe59ff000, ldr pc, [pc, #0] ; 跳轉到hook_func處開始執行 (ARM模式下,因爲採用多級流水線結構,PC實際值爲當前指令地址+8)
0xe1a08008, 同 nop。
hook_func, hook函數的地址。
當執行到咱們的目標函數時,會被跳轉到目標函數地址+2的位置,也就是咱們的hook函數。在咱們的hook函數裏先把目標函數的頭12個字節還原,而後再調用目標函數,調用完後再把頭12個字節修改回來。關鍵代碼以下:
unsigned int orig=0; unsigned int store[3] = {0,0,0}; int jump_code[3] = {0xe59ff000, 0xe1a08008, 0}; //addr:目標函數地址,hookf:hook函數。 int hook_direct(unsigned int addr, void *hookf) { //設置hook函數 jump_code[2] = (unsigned int)hookf; orig = addr;//保持好目標函數的地址 //備份前3個int for (i = 0; i < 3; i++) store[i] = ((int*)addr)[i]; for (i = 0; i < 3; i++) //修改成咱們的跳轉指令 ((int*)orig)[i] = jump_code[i] return 1; } void hook_func()//hook函數 { printf(「hello\n」); //還原目標函數的頭12個字節 for (i = 0; i < 3; i++) ((int*)orig)[i] = store[i] void(*orig_func)() = (void*)orig; orig_func();//執行目標函數 //從新修改目標函數的頭12個字節。 for (i = 0; i < 3; i++) ((int*)orig)[i] = jump_code[i]; }
這種方式沒有處理函數的返回值,若是目標函數有返回值的話就會有問題。嚴謹的作法以下:
int jump_pre_code[12] = { 0xe92d0008, 0xe1a0300f, 0xe283301c, 0xe583e000, 0xe89d0008, 0xe28dd004, 0xe1a0e00f, 0xe59ff008, 0xe59fe000, 0xe1a0f00e,0,0 }; Jump_pre_code[11]= (unsigned int)hookf; for(int i = 0; i<12; i++) jump_code[i+2] = jump_pre_code[i];
jump_pre_code所對應的彙編指令以下:
stmdb sp!, {r3} ; 將r3壓入棧中,保存r3由於後邊要修改r3,棧頂指針-1;
mov r3, pc ; 將4指令所在地址賦給r3
add r3, r3, #0x1C ; 將r3加上0x1c即從4指令所在地址往下7條指令,即就是jump_pre_code[10]賦給r3
str lr, [r3] ; 將調用原函數的返回地址存入jump_pre_cod[10]中
ldmia sp, {r3} ; 從棧中取出以前保存的r3
add sp, sp, #4 ;還原調用棧
mov lr, pc ; 將返回地址存入lr中
ldr pc, [pc, #0x8] ; 將10指令所在地址往下2條指令處的內容賦給pc,即PC跳到hookf咱們自定義的hook函數
ldr lr, [pc, #0] ; 執行完咱們自定的hook函數後就會返回到這了,此處將當前指令往下2條指令出的內容即jump_pre_cod[10]取出賦給lr,即還原原先調用者的返回地址
mov pc, lr ; 跳到原調用者的返回地址去
addr_ret ;存放原函數的返回值
hookf ;hook函數
利用adbi實現對《刀塔傳奇》so注入和API Hook
對於Android下的inject和hook,github上有個adbi框架。這個框架所使用的方法和上面介紹的差很少,採用inline hook可是沒有處理返回值的狀況,根據剛纔介紹的方法,能夠把返回值處理的功能加上,Thumb指令集的hook有個BUG,沒有正確的跳轉到hook函數的地址,跳轉地址少了算2個字節,應該是jumpt[18]到jumpt[21]這4個字節存放hook_func的地址。
該框架包括2個模塊:hijack和instruments,hijack編譯出來後是一個可執行文件,用來注入動態連接庫的。Instruments裏包括base和example,example是一個hook的例子,編譯出來是一個so文件。
《刀塔傳奇》是利用cocos2d-x+lua編寫的遊戲,咱們能夠利用adbi實現對cocos2dx+lua中經常使用的函數如lua_pushstring的inject和hook從而來執行咱們本身的lua腳本。lua_pushstring的聲明以下:
LUA_API void (lua_pushstring) (lua_State *L, const char* str);
基本思路是拿到lua 虛擬機的地址,而後調用luaL_loadstring和lua_call就能夠在遊戲進程中執行咱們本身的lua腳本。主要代碼以下:
int (*my_lua_call)(lua_State *, int, int) = NULL; int (*my_luaL_loadstring)(lua_State*, const char *) =NULL; //目標進程lua_pushstring的hook函數,調用lua_pushstring時會先調用它 void my_lua_pushstring (lua_State *L, const char* str); { int (*orig_lua_isuserdata)(lua_State *L, int idx); //獲得原函數 orig_lua_pushstring = (void*)eph.orig; log("start hook func..precall...\n"); hook_precall(&eph); //還原原函數首地址 orig_lua_pushstring (L, str);//調用原函數。 if (counter) { log("lua_pushstring() called\n"); counter--; if (!counter) log("removing hook for lua_pushstring ()\n"); } //若是找到了lua_call和luaL_loadstring的話就執行本身的lua代碼。 if(my_lua_call!=NULL&&my_luaL_loadstring!=NULL) { my_luaL_loadstring(L, LUACODE); my_lua_call(L,0,0); } hook_postcall(&eph);//備份 } void my_init(void) //so注入成功後會調用這個函數 { counter = 3; log("%s my_init started\n", __FILE__); set_logfunction(my_log); unsigned long int lua_call_addr; unsigned long int lua_loadstring_addr; //在進程中找lua_call函數地址 find_name(getpid(),"lua_call", soname, &lua_call_addr); //在目標進程中找luaL_loadstring函數地址. find_name(getpid(), "luaL_loadstring",soname, &lua_loadstring_addr); my_lua_call = lua_call_addr; my_luaL_loadstring = lua_loadstring_addr; log("lua_call addr:%p, luaL_loadstring addr:%p\n", lua_call_addr, lua_loadstring_addr); //執行hook。 hook(&eph, getpid(), soname, "lua_pushstring", my_lua_pushstring_arm, my_lua_pushstring); }
(1)adbi主要包括hijack和libbase。Hijack提供了代碼注入的功能,libbase提供了掛鉤和卸載鉤子的功能。
(2)編譯adbi。主要是利用Android的NDK分別編譯hijack和libbase,編譯事後會生成一個libexample.so文件,並保存到/data/local/tmp/目錄下,賦予執行權限,以下圖:
(3)查找所需掛鉤遊戲的so文件,能夠經過兩種方式,一種是解壓apk文件查看lib目錄下的so文件,另外一種是使用命令「cat /proc/PID/maps」查看。如圖顯示了部分so文件:
(4)保存執行hijack命令,以下圖所示,其中776是《刀塔傳奇》的進程ID。
(5)運行《刀塔傳奇》,在遊戲調用lua_pushstring函數時,會跳轉執行本身的函數,主要函數功能以下:
local function Run20()
local label = CCLabelTTF:create("hello cocos2.x", "Arial", 60)
local MenuItem = CCMenuItemLabel:create(label)
MenuItem:registerScriptTapHandler(MainMenuCallback)
local s = CCDirector:sharedDirector():getWinSize()
local Menu = CCMenu:create()
Menu:addChild(MenuItem)
Menu:setPosition(100, 100)
MenuItem:setPosition(250, 25)
local scene = CCDirector:sharedDirector():getRunningScene()
scene:addChild(Menu)
Menu:setZOrder(99999999)
log("crate menuitem......")
end
(6)執行上述代碼的效果以下圖(使用的是MTL的HTC手機)
參考:
- 1. Android下的掛鉤(hook)和代碼注入(inject)
- 2. so注入(inject)和掛鉤(hook) 以及同進程動態庫so文件的函數hook方法介紹
- 3. C# HOOK / DLL Inject(注入)
- 4. Android so注入(inject)和Hook技術學習(二)——Got表hook之導入表hook
- 5. Android——Hook(鉤子函數)動態注入代碼
- 6. Android @Inject(注入)
- 7. Android so注入(inject)和Hook技術學習(三)——Got表hook之導出表hook
- 8. Android so注入(inject)和Hook技術學習(一)
- 9. android進程inject注入
- 10. Android inject 進程注入
- 更多相關文章...
- • Spring DI(依賴注入)的實現方式:屬性注入和構造注入 - Spring教程
- • SQLite 注入 - SQLite教程
- • IntelliJ IDEA 代碼格式化配置和快捷鍵
- • IntelliJ IDEA代碼格式化設置
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. vs2019運行opencv圖片顯示代碼時,窗口亂碼
- 2. app自動化 - 元素定位不到?別慌,看完你就能解決
- 3. 在Win8下用cisco ××× Client連接時報Reason 422錯誤的解決方法
- 4. eclipse快速補全代碼
- 5. Eclipse中Java/Html/Css/Jsp/JavaScript等代碼的格式化
- 6. idea+spring boot +mabitys(wanglezapin)+mysql (1)
- 7. 勒索病毒發生變種 新文件名將帶有「.UIWIX」後綴
- 8. 【原創】Python 源文件編碼解讀
- 9. iOS9企業部署分發問題深入瞭解與解決
- 10. 安裝pytorch報錯CondaHTTPError:******
- 1. Android下的掛鉤(hook)和代碼注入(inject)
- 2. so注入(inject)和掛鉤(hook) 以及同進程動態庫so文件的函數hook方法介紹
- 3. C# HOOK / DLL Inject(注入)
- 4. Android so注入(inject)和Hook技術學習(二)——Got表hook之導入表hook
- 5. Android——Hook(鉤子函數)動態注入代碼
- 6. Android @Inject(注入)
- 7. Android so注入(inject)和Hook技術學習(三)——Got表hook之導出表hook
- 8. Android so注入(inject)和Hook技術學習(一)
- 9. android進程inject注入
- 10. Android inject 進程注入