[原创]Android下通过root实现对system_server中binder的ioctl调用拦截-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]Android下通过root实现对system_server中binder的ioctl调用拦截

2012-10-18 13:53 222759

[原创]Android下通过root实现对system_server中binder的ioctl调用拦截

Passion

2012-10-18 13:53

222759

查看主题内容

收藏・130

点赞・3

打赏

最新回复 (48) ◀ 1 2
NISL 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 51 粉丝 0 关注私信	NISL 2013-5-29 14:30 26 楼 0 楼主，你好，我想问下在注入程序中，如何获取已经注入到目标进程中的new_ioctl的地址？
zgyrush 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	zgyrush 2013-6-1 10:09 27 楼 0 常用的两种方法： 1、shellcode中直接:uint32_t addr = (uint32_t)new_ioctl; 2、如果注入目标进程的是so，可以静态分析new_ioctl在so中的偏移地址，加上该so在目标进程内存空间的起始位置即是函数地址
zgyrush 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	zgyrush 2013-6-1 10:12 28 楼 0 #include <fcntl.h> int open(const char *pathname, int oflag, ... );
cqllang 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	cqllang 2013-6-18 20:09 29 楼 0 代码都是一些片断，新手理解起来还是有一定难度。不知道LZ如果方便的话，可不可以把完整代码整理一下，发个压缩包出来呢。(当然，去掉商业部分(如果有的话))
半生不熟雪币： 270 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	半生不熟 2013-6-19 09:06 30 楼 0 mark一记
bunnyrene 雪币： 168 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 198 粉丝 1 关注私信	bunnyrene 2013-6-28 09:29 31 楼 0 露珠啊，来份完整的呗。新手困难，
menshen 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	menshen 2013-12-19 16:02 32 楼 0 好文章啊!
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2013-12-19 17:00 33 楼 0 支持科普~~
menshen 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	menshen 2013-12-26 20:44 34 楼 0 LZ你好,我自己写了一个测试的小例子,但是修改了函数地址后系统报段错误,这个要如何解决呢 ?
NISL 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 51 粉丝 0 关注私信	NISL 2014-4-5 17:46 35 楼 0 您好，我是小白，想问下，您提到的“每个被加载的模块，无论是可执行程序还是共享库，均有自己独立的PLT和GOT表。所以拦截这个模块的对外调用的GOT，不影响其他模块” 注入时不是改的是磁盘文件中的.so么？如果把注入程序设为开机启动，然后重启下设备，会不会影响到其它模块？
lwangivy 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	lwangivy 2014-4-8 21:58 36 楼 0 觉得楼主这样直接去改so文件可能不太合理，got表是数据段的东西，在它被装载时地址需要被动态链接器重新计算的，楼主这样子直接把隶属于System_server进程的ioctl和new_ioctl的地址写进文件会不会产生问题？
Passion 雪币： 216 活跃值： (53) 能力值： ( LV2，RANK：140 ) 在线值：发帖 4 回帖 27 粉丝 2 关注私信	Passion 3 2014-5-24 23:48 37 楼 0 楼上两位，不是直接改磁盘上的so文件内容，而是改so文件载入内存后内存映像中的内容。进程重启或设备重启后改动就没了。
supyuan 雪币： 30 活跃值： (447) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	supyuan 2014-5-25 01:58 38 楼 0 mark，用得着。谢谢
俺是小号雪币： 23 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	俺是小号 2014-8-14 19:36 39 楼 0 请问 ioctl中的数据如何解析发送bc命令后收到br 回复 cmd BINDER_WRITE_READ 是 servicemanger ，如何提前获读到的数据了
俺是小号雪币： 23 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	俺是小号 2014-8-14 19:54 40 楼 0 我也不清楚这个该如何去解析
sunranlb 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	sunranlb 2015-1-10 22:51 41 楼 0 楼主您好，看了您的代码我有个疑问：在3.2一开始的部分 // 将新旧ioctl地址写入Andorid的Property供外界使用 int do_hook(void * param) { old_ioctl = ioctl; …… old_ioctl = ioctl;这一句，ioctl是什么东西呢？难道就是ioctl函数的原地址？那么这个原地址是怎么获取到的呢？谢谢！
Passion 雪币： 216 活跃值： (53) 能力值： ( LV2，RANK：140 ) 在线值：发帖 4 回帖 27 粉丝 2 关注私信	Passion 3 2015-1-11 22:06 42 楼 0 楼上，这句的确就是使用的原ioctl的地址。C里头的函数名就代表函数入口地址，而这地址的确定是由链接器与运行期加载器共同确定的。
coolyi 雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	coolyi 2015-1-12 09:58 43 楼 0 将注入也放到init.rc里重启的话就会再执行咯
Edwinwp 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	Edwinwp 2015-7-14 20:45 44 楼 0 我把我们的inject 程序写在了另外一个apk程序中，我想知道它如何以root权限attach上其他的程序，谁能说说么。
wojiushini 雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	wojiushini 2015-7-18 16:41 45 楼 0 求楼主的联系方式
编程的程序猿雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	编程的程序猿 2015-11-4 08:39 46 楼 0 在最新的5.0设备中为什么获取到的ioctl的request参数永远不等于BINDER_WRITE_READ呢,求明白人解答一下.
dats 雪币： 2044 活跃值： (237) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 74 粉丝 0 关注私信	dats 2015-11-24 23:48 47 楼 0 Mark...
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 483 粉丝 0 关注私信	kangcin 2015-11-25 03:56 48 楼 0 好文，mark Android下通过root实现对system_server中binder的ioctl调用拦截
K4NG 雪币： 858 活跃值： (964) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 141 粉丝 1 关注私信	K4NG 2016-1-26 15:35 49 楼 0 略屌略屌～读了好几遍，才读懂。。。。。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

Passion

发帖

回帖

140

RANK

关注

私信

他的文章

[原创]Android下通过root实现对system_server中binder的ioctl调用拦截

[原创]Armadillo3.78带Key双进程手动脱壳

[原创]Sparc 平台上的 FlexLM 7.0 用户滤波函数分析

[原创]Sparc平台下的FlexLM 4.1明文比对破解

关于我们

联系我们

企业服务

看雪公众号

最新回复 (48) ◀ 1 2
NISL 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 51 粉丝 0 关注私信	NISL 2013-5-29 14:30 26 楼 0 楼主，你好，我想问下在注入程序中，如何获取已经注入到目标进程中的new_ioctl的地址？
zgyrush 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	zgyrush 2013-6-1 10:09 27 楼 0 常用的两种方法： 1、shellcode中直接:uint32_t addr = (uint32_t)new_ioctl; 2、如果注入目标进程的是so，可以静态分析new_ioctl在so中的偏移地址，加上该so在目标进程内存空间的起始位置即是函数地址
zgyrush 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	zgyrush 2013-6-1 10:12 28 楼 0 #include <fcntl.h> int open(const char *pathname, int oflag, ... );
cqllang 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	cqllang 2013-6-18 20:09 29 楼 0 代码都是一些片断，新手理解起来还是有一定难度。不知道LZ如果方便的话，可不可以把完整代码整理一下，发个压缩包出来呢。(当然，去掉商业部分(如果有的话))
半生不熟雪币： 270 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	半生不熟 2013-6-19 09:06 30 楼 0 mark一记
bunnyrene 雪币： 168 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 198 粉丝 1 关注私信	bunnyrene 2013-6-28 09:29 31 楼 0 露珠啊，来份完整的呗。新手困难，
menshen 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	menshen 2013-12-19 16:02 32 楼 0 好文章啊!
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2013-12-19 17:00 33 楼 0 支持科普~~
menshen 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	menshen 2013-12-26 20:44 34 楼 0 LZ你好,我自己写了一个测试的小例子,但是修改了函数地址后系统报段错误,这个要如何解决呢 ?
NISL 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 51 粉丝 0 关注私信	NISL 2014-4-5 17:46 35 楼 0 您好，我是小白，想问下，您提到的“每个被加载的模块，无论是可执行程序还是共享库，均有自己独立的PLT和GOT表。所以拦截这个模块的对外调用的GOT，不影响其他模块” 注入时不是改的是磁盘文件中的.so么？如果把注入程序设为开机启动，然后重启下设备，会不会影响到其它模块？
lwangivy 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	lwangivy 2014-4-8 21:58 36 楼 0 觉得楼主这样直接去改so文件可能不太合理，got表是数据段的东西，在它被装载时地址需要被动态链接器重新计算的，楼主这样子直接把隶属于System_server进程的ioctl和new_ioctl的地址写进文件会不会产生问题？
Passion 雪币： 216 活跃值： (53) 能力值： ( LV2，RANK：140 ) 在线值：发帖 4 回帖 27 粉丝 2 关注私信	Passion 3 2014-5-24 23:48 37 楼 0 楼上两位，不是直接改磁盘上的so文件内容，而是改so文件载入内存后内存映像中的内容。进程重启或设备重启后改动就没了。
supyuan 雪币： 30 活跃值： (447) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	supyuan 2014-5-25 01:58 38 楼 0 mark，用得着。谢谢
俺是小号雪币： 23 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	俺是小号 2014-8-14 19:36 39 楼 0 请问 ioctl中的数据如何解析发送bc命令后收到br 回复 cmd BINDER_WRITE_READ 是 servicemanger ，如何提前获读到的数据了
俺是小号雪币： 23 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	俺是小号 2014-8-14 19:54 40 楼 0 我也不清楚这个该如何去解析
sunranlb 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	sunranlb 2015-1-10 22:51 41 楼 0 楼主您好，看了您的代码我有个疑问：在3.2一开始的部分 // 将新旧ioctl地址写入Andorid的Property供外界使用 int do_hook(void * param) { old_ioctl = ioctl; …… old_ioctl = ioctl;这一句，ioctl是什么东西呢？难道就是ioctl函数的原地址？那么这个原地址是怎么获取到的呢？谢谢！
Passion 雪币： 216 活跃值： (53) 能力值： ( LV2，RANK：140 ) 在线值：发帖 4 回帖 27 粉丝 2 关注私信	Passion 3 2015-1-11 22:06 42 楼 0 楼上，这句的确就是使用的原ioctl的地址。C里头的函数名就代表函数入口地址，而这地址的确定是由链接器与运行期加载器共同确定的。
coolyi 雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	coolyi 2015-1-12 09:58 43 楼 0 将注入也放到init.rc里重启的话就会再执行咯
Edwinwp 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	Edwinwp 2015-7-14 20:45 44 楼 0 我把我们的inject 程序写在了另外一个apk程序中，我想知道它如何以root权限attach上其他的程序，谁能说说么。
wojiushini 雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	wojiushini 2015-7-18 16:41 45 楼 0 求楼主的联系方式
编程的程序猿雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	编程的程序猿 2015-11-4 08:39 46 楼 0 在最新的5.0设备中为什么获取到的ioctl的request参数永远不等于BINDER_WRITE_READ呢,求明白人解答一下.
dats 雪币： 2044 活跃值： (237) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 74 粉丝 0 关注私信	dats 2015-11-24 23:48 47 楼 0 Mark...
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 483 粉丝 0 关注私信	kangcin 2015-11-25 03:56 48 楼 0 好文，mark Android下通过root实现对system_server中binder的ioctl调用拦截
K4NG 雪币： 858 活跃值： (964) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 141 粉丝 1 关注私信	K4NG 2016-1-26 15:35 49 楼 0 略屌略屌～读了好几遍，才读懂。。。。。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复