[原创]从Android底层调用原理来谈黑产攻防-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]从Android底层调用原理来谈黑产攻防

2023-8-10 17:47 12646

[原创]从Android底层调用原理来谈黑产攻防

恋空

2023-8-10 17:47

12646

最近忙于公司事务，今天刚好抽出时间对最近的研究成果来说道说道，受到珍惜Any大神的文章启发，特地研究了一下Binder驱动的原理，分享出来给大家。
参考：
https://bbs.kanxue.com/thread-277637.htm
http://aospxref.com/android-13.0.0_r3/
https://github.com/torvalds/linux/blob/master/drivers/android/binder.c#L5610

1.序言

众所周知，安卓AOSP是开放源代码，那么能否从安卓系统源代码中获得在黑产攻防中的优势呢？

2.一切的根源 -- Binder

Linux Binder驱动
梦开始的地方，Google为Linux写的Binder驱动

那么Binder的工作原理是什么呢？

在安卓中涉及很多功能的调用，而像socket pipe这样的通道虽然方便用于传递数据，但是不方便用于应用级之间的调用，因为Android中system_server也是运行在用户级的（而非内核级）。如果使用socket、pipe的话，则无法通过内核的特权级接口获取到调用者的身份。

Binder调用为什么就安全呢？

1	`调用者` `---> 接受者信息+数据` `---> Linux Binder驱动` `---> 发送者信息+数据` `---> 被调用者`

所以，被调用者能相对安全的获取到调用者的身份（Java层的Binder.getCallingUid()和Binder.getCallingPid()），然后被调用者就可以通过Binder驱动返回的可信信息里的uid知道是哪个App在进行调用。

Android Framework是怎么完成接口调用的？

1	`Framework` `---> AIDL` `---> Binder` `---> SystemServer`

假如你调用的是WifiManager.getWifiInfo()，那么路径如下：

1	`WifiManager.java` `---> IWifiManager.aidl` `---> Binder.translate` `---> Binder驱动`

然后来到SystemServer这边：

1	`Binder驱动` `---> Binder.execTranslate` `---> IWifiManager.onTranslate` `---> WifiManagerService.getWifiInfo()`

3.接口调用的最后一道门Binder.java和BinderProxy.java

BinderProxy.java
图片描述

所有AIDL的调用最后都会经过到这里来，然后转发到C++的Binder接口，发送给Linux内核里的Binder驱动

Binder.java
图片描述

所有通过AIDL对SystemServer或者其他服务进行的调用，都会被另一端的C++ Binder接口转发到Binder.execTranslate方法，然后分发到相应的服务去

4.怎么攻？怎么防？

========= 攻 ===========

有很多办法。
例如，直接Hook BinderProxy.translate，亦或者更底层的方法，直接在SystemServer拦截execTranslate方法
.

======== 防 ========

1.对部分重要的方法采用Binder.translate的直接调用，绕过对framework的调用，防止定制ROM对framework修改的攻击

难点：兼容性不太好，需要花大量时间去兼容
.
2.基于第一点，采取更底层的方法使用C++层的接口直接和Binder驱动通信
难点：兼容性更不友好，Binder驱动更新频繁，而且每个版本的数据格式也在变化。

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

最后于 2023-8-14 18:00 被恋空编辑，原因：

#基础理论 #逆向分析 #混淆加固 #程序开发 #系统相关

收藏・26

点赞・4

打赏

最新回复 (15)
秋狝雪币： 19674 活跃值： (29330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1600 粉丝 31 关注私信	秋狝 2023-8-11 09:37 2 楼 1 mark
Amun 雪币： 1112 活跃值： (2689) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 87 粉丝 39 关注私信	Amun 2023-8-11 14:24 3 楼 0 只需要适配4个版本的 binder 就行，也还好最后于 2023-8-11 14:27 被Amun编辑，原因： update
恋空雪币： 369 活跃值： (3020) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 60 粉丝 133 关注私信	恋空 2023-8-11 16:15 4 楼 0 Amun 只需要适配4个版本的 binder 就行，也还好假如黑产在SystemServer那端拦截修改数据，就好像无解了。暂时没想出什么解决办法，有的话请赐教。
珍惜Any 雪币： 1951 活跃值： (12870) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 1010 关注私信	珍惜Any 2 2023-8-12 22:56 5 楼 0 我不叫Andy ，可以叫我珍惜Any 哈哈哈哈~
SomeMx 雪币： 1026 活跃值： (983) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 1 关注私信	SomeMx 2023-8-12 23:07 6 楼 0 珍惜Any 我不叫Andy ，可以叫我珍惜Any 哈哈哈哈~ 新版本的Hunter强度确实不错最后于 2023-8-12 23:08 被SomeMx编辑，原因：修改错误
秋狝雪币： 19674 活跃值： (29330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1600 粉丝 31 关注私信	秋狝 2023-8-12 23:12 7 楼 2 感谢分享
珍惜Any 雪币： 1951 活跃值： (12870) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 1010 关注私信	珍惜Any 2 2023-8-13 11:46 8 楼 0 SomeMx 珍惜Any 我不叫Andy ，可以叫我珍惜Any 哈哈哈哈~ 新版本的Hunter强度确实不错感谢认可
恋空雪币： 369 活跃值： (3020) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 60 粉丝 133 关注私信	恋空 2023-8-14 17:59 9 楼 0 珍惜Any 我不叫Andy ，可以叫我珍惜Any 哈哈哈哈~ 我的锅，我把你的和那个Andy大佬看错成同一个人了
珍惜Any 雪币： 1951 活跃值： (12870) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 1010 关注私信	珍惜Any 2 2023-8-15 19:11 10 楼 0 恋空我的锅，我把你的和那个Andy大佬看错成同一个人了[em_2] binder本质上还是一个驱动，我见过某个apk 直接实现binder，反正binder驱动是开源的。然后往服务端去发送，就连Binder.translate，都不会走，直接走自己的binder，非常恶心，但是这种需要对不同apk版本适配，也麻烦的很。
恋空雪币： 369 活跃值： (3020) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 60 粉丝 133 关注私信	恋空 2023-8-15 20:53 11 楼 0 珍惜Any binder本质上还是一个驱动，我见过某个apk 直接实现binder，反正binder驱动是开源的。然后往服务端去发送，就连Binder.translate，都不会走，直接走自己的binder，非常 ... 黑产：我在System Server端拦截所有请求大厂卒。
珍惜Any 雪币： 1951 活跃值： (12870) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 1010 关注私信	珍惜Any 2 2023-8-16 09:56 12 楼 0 恋空黑产：我在System Server端拦截所有请求大厂卒。一般黑产都是二次打包，很难做到服务端拦截。
Himeko 雪币： 1187 活跃值： (1333) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 20 粉丝 10 关注私信	Himeko 2023-11-14 16:01 13 楼 0 看到binder, 想起来跟lsp代码的痛苦时刻
万里星河雪币： 62 活跃值： (572) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 507 粉丝 3 关注私信	万里星河 2023-11-17 16:43 14 楼 0 有很多办法。例如，直接Hook BinderProxy.translate 对于这个我有个不成熟的疑问如果直接拦截translate的话那么要如何确定code和远端哪个服务的哪个函数相对应呢？
恋空雪币： 369 活跃值： (3020) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 60 粉丝 133 关注私信	恋空 2023-11-20 15:29 15 楼 0 万里星河有很多办法。例如，直接Hook BinderProxy.translate对于这个我有个不成熟的疑问如果直接拦截translate的话那么要如何确定code和远端哪个服务的 ... 几个经验总结： translate方法的第一个参数是int code，这个代表了来源的函数第二个参数Parcel data，反射Parcel里面有一个变量String mInterfaceName这个是标注来自的接口aidl类实在不行，可以通过hread.currentThread().getStackTrace()获取本地函数的调用来源
wx_围城雪币： 189 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	wx_围城 2023-11-21 09:47 16 楼 0 mark
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

恋空

发帖

回帖

RANK

关注

私信

他的文章

[原创]Android风控知识从继续深入到坚持放弃

[原创]从Android底层调用原理来谈黑产攻防

Android设备风控知识继续深入~

2021国内风控的几大隐藏检测特征大diss

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
秋狝雪币： 19674 活跃值： (29330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1600 粉丝 31 关注私信	秋狝 2023-8-11 09:37 2 楼 1 mark
Amun 雪币： 1112 活跃值： (2689) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 87 粉丝 39 关注私信	Amun 2023-8-11 14:24 3 楼 0 只需要适配4个版本的 binder 就行，也还好最后于 2023-8-11 14:27 被Amun编辑，原因： update
恋空雪币： 369 活跃值： (3020) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 60 粉丝 133 关注私信	恋空 2023-8-11 16:15 4 楼 0 Amun 只需要适配4个版本的 binder 就行，也还好假如黑产在SystemServer那端拦截修改数据，就好像无解了。暂时没想出什么解决办法，有的话请赐教。
珍惜Any 雪币： 1951 活跃值： (12870) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 1010 关注私信	珍惜Any 2 2023-8-12 22:56 5 楼 0 我不叫Andy ，可以叫我珍惜Any 哈哈哈哈~
SomeMx 雪币： 1026 活跃值： (983) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 1 关注私信	SomeMx 2023-8-12 23:07 6 楼 0 珍惜Any 我不叫Andy ，可以叫我珍惜Any 哈哈哈哈~ 新版本的Hunter强度确实不错最后于 2023-8-12 23:08 被SomeMx编辑，原因：修改错误
秋狝雪币： 19674 活跃值： (29330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1600 粉丝 31 关注私信	秋狝 2023-8-12 23:12 7 楼 2 感谢分享
珍惜Any 雪币： 1951 活跃值： (12870) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 1010 关注私信	珍惜Any 2 2023-8-13 11:46 8 楼 0 SomeMx 珍惜Any 我不叫Andy ，可以叫我珍惜Any 哈哈哈哈~ 新版本的Hunter强度确实不错感谢认可
恋空雪币： 369 活跃值： (3020) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 60 粉丝 133 关注私信	恋空 2023-8-14 17:59 9 楼 0 珍惜Any 我不叫Andy ，可以叫我珍惜Any 哈哈哈哈~ 我的锅，我把你的和那个Andy大佬看错成同一个人了
珍惜Any 雪币： 1951 活跃值： (12870) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 1010 关注私信	珍惜Any 2 2023-8-15 19:11 10 楼 0 恋空我的锅，我把你的和那个Andy大佬看错成同一个人了[em_2] binder本质上还是一个驱动，我见过某个apk 直接实现binder，反正binder驱动是开源的。然后往服务端去发送，就连Binder.translate，都不会走，直接走自己的binder，非常恶心，但是这种需要对不同apk版本适配，也麻烦的很。
恋空雪币： 369 活跃值： (3020) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 60 粉丝 133 关注私信	恋空 2023-8-15 20:53 11 楼 0 珍惜Any binder本质上还是一个驱动，我见过某个apk 直接实现binder，反正binder驱动是开源的。然后往服务端去发送，就连Binder.translate，都不会走，直接走自己的binder，非常 ... 黑产：我在System Server端拦截所有请求大厂卒。
珍惜Any 雪币： 1951 活跃值： (12870) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 1010 关注私信	珍惜Any 2 2023-8-16 09:56 12 楼 0 恋空黑产：我在System Server端拦截所有请求大厂卒。一般黑产都是二次打包，很难做到服务端拦截。
Himeko 雪币： 1187 活跃值： (1333) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 20 粉丝 10 关注私信	Himeko 2023-11-14 16:01 13 楼 0 看到binder, 想起来跟lsp代码的痛苦时刻
万里星河雪币： 62 活跃值： (572) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 507 粉丝 3 关注私信	万里星河 2023-11-17 16:43 14 楼 0 有很多办法。例如，直接Hook BinderProxy.translate 对于这个我有个不成熟的疑问如果直接拦截translate的话那么要如何确定code和远端哪个服务的哪个函数相对应呢？
恋空雪币： 369 活跃值： (3020) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 60 粉丝 133 关注私信	恋空 2023-11-20 15:29 15 楼 0 万里星河有很多办法。例如，直接Hook BinderProxy.translate对于这个我有个不成熟的疑问如果直接拦截translate的话那么要如何确定code和远端哪个服务的 ... 几个经验总结： translate方法的第一个参数是int code，这个代表了来源的函数第二个参数Parcel data，反射Parcel里面有一个变量String mInterfaceName这个是标注来自的接口aidl类实在不行，可以通过hread.currentThread().getStackTrace()获取本地函数的调用来源
wx_围城雪币： 189 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	wx_围城 2023-11-21 09:47 16 楼 0 mark
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复