-
-
[原创]Android inline hook之实现原理
-
发表于: 2013-11-1 21:41
-
标 题: Android inline hook之实现原理
作 者: 蟑螂一号
时 间: 2013-11-01 19:40:00
原 文:http://www.sanwho.com/248.html
在android中可以通过ptrace附加进程,然后向远程进程注入so库,从而达到监控以及远程进程关键函数挂钩。目前,android上的注入hook基本上都是基于修改got表,从而达到hook拦截效果。比如,android中binder通信封装在libbinder.so里面,libbinder.so中和binder驱动打交道是通过系统调用ioctl,因此拦截ioctl并解析其中的参数,就可以获取binder通信过程中的一些关键隐私信息。然而,ioctl是libc.so中导出的一个函数符号,真正实现ioctl函数功能是在libc.so中。以4.2源码为例,libc.so中ioctl实现分为两个部分:
1.__ioctl.S代码
#include <machine/asm.h>
#include <sys/linux-syscalls.h>
ENTRY(__ioctl)
.save {r4, r7}
stmfd sp!, {r4, r7} @r4,r7寄存器入栈
ldr r7, =__NR_ioctl @将ioctl系统调用号保存到r7寄存器
swi #0 @产生中断,切换到内核模式,执行ioctl
ldmfd sp!, {r4, r7} @r4,r7出栈
movs r0, r0 @更新cpsr
bxpl lr
b __set_syscall_errno
END(__ioctl)
2.ioctl代码
#include <stdarg.h>
extern int __ioctl(int, int, void *);
int ioctl(int fd, int request, ...)
{
va_list ap;
void * arg;
va_start(ap, request);
arg = va_arg(ap, void *);
va_end(ap);
return __ioctl(fd, request, arg);
}
从上面分析可以知道ioctl是通过调用汇编实现的__ioctl完成实际功能。
相对于修改got表,还可以通过内联hook实现函数hook功能。inline hook就是在函数实现的库中,通过篡改函数执行的汇编指令而到达目的。比如假设test函数,汇编代码如下:
stmfd sp!, {r4, r5, r6, r7}
ldmfd ip, {r4, r5, r6}
str r5, [r1, #-4]
str r6, [r1, #-8]
ldr r7, =__NR_xx
swi #0
movs r0, r0
beq 1f
如果需要inline hook该test函数的话,就需要分析该函数汇编码,找到切入点,篡改函数的指令,比如在该函数中将stmfd sp!, {r4, r5, r6, r7}指令篡改为ldr xx。当然,inline hook并不是那么容易,在inline hook过程中需要确定代码是thum指令还是arm指令,并且还得保证篡改了指令之后执行hook函数后堆栈是平衡的,这样才能完成hook之前函数的功能。下面以一个图说明inline hook。如下图所示:
如图所示,黄色表示需要hook的函数,A1,A2,A3表示func函数的实现指令。中间蓝色表示我们自己实现的拦截func函数hook,红色表示存储func函数前几条指令A1,以及回到执行指令A2的跳转指令。因此,如果需要内联hook func函数,首先需要在远程进程中申请空间,该空间会存储func函数的前几条指令,以及跳转回func函数后续指令的跳转指令。其次,需要将func函数地址重定向到hook函数。
当应用执行func函数时候,由于之前被重定向到hook函数,因此会首先执行hook的代码,在hook函数中会处理传进来的参数,处理完成之后,跳转到右边红色部分A1出,此处A1执行相当于执行func函数的A1,A1执行完之后接着执行跳转指令跳转到func A2处执行。因此,一次中转之后,func函数被完整的执行。
修改got表和内联hook比较:
1.修改got表拦截比内联hook拦截容易,只需要知道elf文件中调用外部符号的地址。
2.内联hook实现拦截的信息比修改got表丰富。比如修改got表,拦截应用中的connect函数只能拦截应用通过java 层访问网络得请求链接,然而如果应用自己通过jni方式调用socket connect方法,将会不能拦截到。如果采用内联hook,很显然,connect函数最终是需要执行实现connect功能的指令,而指令实现库已经被hook,所以能达到拦截目的。
以上纯属个人的理解,有不足之处,请各位大牛指点指点。
作 者: 蟑螂一号
时 间: 2013-11-01 19:40:00
原 文:http://www.sanwho.com/248.html
在android中可以通过ptrace附加进程,然后向远程进程注入so库,从而达到监控以及远程进程关键函数挂钩。目前,android上的注入hook基本上都是基于修改got表,从而达到hook拦截效果。比如,android中binder通信封装在libbinder.so里面,libbinder.so中和binder驱动打交道是通过系统调用ioctl,因此拦截ioctl并解析其中的参数,就可以获取binder通信过程中的一些关键隐私信息。然而,ioctl是libc.so中导出的一个函数符号,真正实现ioctl函数功能是在libc.so中。以4.2源码为例,libc.so中ioctl实现分为两个部分:
1.__ioctl.S代码
#include <machine/asm.h>
#include <sys/linux-syscalls.h>
ENTRY(__ioctl)
.save {r4, r7}
stmfd sp!, {r4, r7} @r4,r7寄存器入栈
ldr r7, =__NR_ioctl @将ioctl系统调用号保存到r7寄存器
swi #0 @产生中断,切换到内核模式,执行ioctl
ldmfd sp!, {r4, r7} @r4,r7出栈
movs r0, r0 @更新cpsr
bxpl lr
b __set_syscall_errno
END(__ioctl)
2.ioctl代码
#include <stdarg.h>
extern int __ioctl(int, int, void *);
int ioctl(int fd, int request, ...)
{
va_list ap;
void * arg;
va_start(ap, request);
arg = va_arg(ap, void *);
va_end(ap);
return __ioctl(fd, request, arg);
}
从上面分析可以知道ioctl是通过调用汇编实现的__ioctl完成实际功能。
相对于修改got表,还可以通过内联hook实现函数hook功能。inline hook就是在函数实现的库中,通过篡改函数执行的汇编指令而到达目的。比如假设test函数,汇编代码如下:
stmfd sp!, {r4, r5, r6, r7}
ldmfd ip, {r4, r5, r6}
str r5, [r1, #-4]
str r6, [r1, #-8]
ldr r7, =__NR_xx
swi #0
movs r0, r0
beq 1f
如果需要inline hook该test函数的话,就需要分析该函数汇编码,找到切入点,篡改函数的指令,比如在该函数中将stmfd sp!, {r4, r5, r6, r7}指令篡改为ldr xx。当然,inline hook并不是那么容易,在inline hook过程中需要确定代码是thum指令还是arm指令,并且还得保证篡改了指令之后执行hook函数后堆栈是平衡的,这样才能完成hook之前函数的功能。下面以一个图说明inline hook。如下图所示:
如图所示,黄色表示需要hook的函数,A1,A2,A3表示func函数的实现指令。中间蓝色表示我们自己实现的拦截func函数hook,红色表示存储func函数前几条指令A1,以及回到执行指令A2的跳转指令。因此,如果需要内联hook func函数,首先需要在远程进程中申请空间,该空间会存储func函数的前几条指令,以及跳转回func函数后续指令的跳转指令。其次,需要将func函数地址重定向到hook函数。
当应用执行func函数时候,由于之前被重定向到hook函数,因此会首先执行hook的代码,在hook函数中会处理传进来的参数,处理完成之后,跳转到右边红色部分A1出,此处A1执行相当于执行func函数的A1,A1执行完之后接着执行跳转指令跳转到func A2处执行。因此,一次中转之后,func函数被完整的执行。
修改got表和内联hook比较:
1.修改got表拦截比内联hook拦截容易,只需要知道elf文件中调用外部符号的地址。
2.内联hook实现拦截的信息比修改got表丰富。比如修改got表,拦截应用中的connect函数只能拦截应用通过java 层访问网络得请求链接,然而如果应用自己通过jni方式调用socket connect方法,将会不能拦截到。如果采用内联hook,很显然,connect函数最终是需要执行实现connect功能的指令,而指令实现库已经被hook,所以能达到拦截目的。
以上纯属个人的理解,有不足之处,请各位大牛指点指点。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
