基于文件内部指针拦截maps读写

目前想拦截maps中的加载记录最好的方式就是进行io重定向但是进行重定向需要处理的函数太多了还需要防止app通过fd反查文件路径是否是maps
这里提供一个思路我在app内实现确实可行-基于文件内部指针
有一个弊端是会影响效率
并且不是比较通用
提供一个思路并不是很有效的解决方案

首先知道在int fd = syscall(__NR_openat, AT_FDCWD, "/proc/self/maps", O_RDONLY);打开一个文件的情况下文件内部的指针是在文件的开始等待读取
这个时候调用syscall(__NR_read, fd, &byte, 1)将会读取一个字节到byte中内部指针往后移动一位下次调用循环往复直到读取到文件结尾

那么我们就可以拦截文件的读取read在每次传递进来的fd中事先读取一整行判断是否有我们的模块加载记录信息, 当存在我们的加载记录则直接返回因为我们主动调用了read文件内部指针往后移到了下一行那么这行记录将不会被app读取到,当不存在我们把文件内部指针往回移动读取的字节长度并且设置一个计数器因为每次调用read读取的是一个字节我们事先读取了一整行接下去的那么多字节长度的次数内都是我们已经判断过的字符串所以不需要再进行判断, 在指定次数内不再进入判断逻辑
这样一来当遇到注入的内存段文件指针跳转到下一行当没有注入内存段文件指针回移不影响其运行
下面提供代码以进行测试

LOGE("开始读取maps");
int fd = syscall(__NR_openat, AT_FDCWD, "/proc/self/maps", O_RDONLY); // 使用系统调用打开文件
if (fd == -1) {
    LOGE("Failed to open maps file");
}
 
char buf[BUF_SIZE];
char byte;
int bytesRead;
int i = 0;
 
while ((bytesRead = syscall(__NR_read, fd, &byte, 1)) > 0) { // 逐字节读取文件内容
    buf[i++] = byte;
 
    if (byte == '\n') {
        buf[i] = '\0'; // 在行末添加字符串终止符
        LOGE("%s", buf);
        i = 0; // 重置缓冲区索引
    }
}
 
if (bytesRead == -1) {
    LOGE("Error while reading file");
    close(fd);
}
 
close(fd);

上面的代码读取maps的每一行进行输出下面尝试拦截libart.so的加载记录

#define BUF_SIZE 1024
 
static int count = 0;
 
int checkFd(int fd) {
    if (count == 0) {
        char buf[BUF_SIZE] = {0};
        char byte;
        int i = 0;
 
        while (syscall(__NR_read, fd, &byte, 1) > 0) { // 逐字节读取文件内容
            buf[i++] = byte;
            if (byte == '\n') {
                buf[i] = '\0'; // 在行末添加字符串终止符
                if (strstr(buf, "libart.so")) {
                    // 读取到指定内容 字节返回fd
                    return fd;
                } else {
                    // 回移文件指针
                    off_t current_pos = lseek(fd, 0, SEEK_CUR);
                    syscall(__NR_lseek, fd, current_pos - i, SEEK_SET);
                    count = i;
                    return fd;
                }
            }
        }
    }
    count--;
 
    return fd;
}

我们只需要对read的fd额外套一层函数调用即可
bytesRead = syscall(__NR_read, checkFd(fd), &byte, 1)
那么再次运行将不会读取到libart.so内存段
因为每一行都额外增加了读取操作会比较影响性能
这里提供的思路不仅仅是读取

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2024-2-20 10:28 被肉蚌葱鸡编辑，原因：内容编辑

#基础理论 #HOOK注入 #工具脚本

收藏・7

点赞・4

打赏

最新回复 (4)
肉蚌葱鸡雪币： 20 活跃值： (638) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 4 关注私信	肉蚌葱鸡 2024-2-21 13:11 2 楼 0 使用seccomp进行拦截svc似乎会导致一些问题这似乎和在信号处理程序里面再次调用svc有关系
万里星河雪币： 62 活跃值： (572) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 507 粉丝 3 关注私信	万里星河 2024-2-27 22:36 3 楼 0 肉蚌葱鸡使用seccomp进行拦截svc似乎会导致一些问题这似乎和在信号处理程序里面再次调用svc有关系[em_5] 所以需要做个标记以过滤
肉蚌葱鸡雪币： 20 活跃值： (638) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 4 关注私信	肉蚌葱鸡 2024-2-28 10:01 4 楼 0 万里星河所以需要做个标记以过滤好像是的死循环是因为系统调用没有增加判断标识
caolinkai 雪币： 3730 活跃值： (3972) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 818 粉丝 1 关注私信	caolinkai 2024-3-9 13:59 5 楼 0 感谢分享
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

肉蚌葱鸡

发帖

回帖

RANK

关注

私信

他的文章

[原创] 基于文件内部指针拦截文件读写

关于我们

联系我们

企业服务

看雪公众号

最新回复 (4)
肉蚌葱鸡雪币： 20 活跃值： (638) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 4 关注私信	肉蚌葱鸡 2024-2-21 13:11 2 楼 0 使用seccomp进行拦截svc似乎会导致一些问题这似乎和在信号处理程序里面再次调用svc有关系
万里星河雪币： 62 活跃值： (572) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 507 粉丝 3 关注私信	万里星河 2024-2-27 22:36 3 楼 0 肉蚌葱鸡使用seccomp进行拦截svc似乎会导致一些问题这似乎和在信号处理程序里面再次调用svc有关系[em_5] 所以需要做个标记以过滤
肉蚌葱鸡雪币： 20 活跃值： (638) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 4 关注私信	肉蚌葱鸡 2024-2-28 10:01 4 楼 0 万里星河所以需要做个标记以过滤好像是的死循环是因为系统调用没有增加判断标识
caolinkai 雪币： 3730 活跃值： (3972) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 818 粉丝 1 关注私信	caolinkai 2024-3-9 13:59 5 楼 0 感谢分享
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复