[原创]Android Libinject X86平台EIP-2的分析-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]Android Libinject X86平台EIP-2的分析

发表于: 2014-6-27 15:40 12570

[原创]Android Libinject X86平台EIP-2的分析

wdfa

2014-6-27 15:40

12570

在看雪上看到古河大牛的android-LibInject，平台是arm版的。
想测试x86平台上的android-LibJect，搜索有人已经完成
http://blog.csdn.net/jinzhuojun/article/details/9900105

其中获取目标进程库函数地址的代码如下，特别的，x86平台的函数地址=实际函数地址+2。

这个+2的操作让人蛋疼，起初以为是ELF在X86平台上的特性。
在GDB中调试，发现函数地址并不需要+2。
调试发现，是因为如下的函数ptrace_call设置eip的时候需要把eip加2。

作如下测试，
设置错误的eip，Regs->eip=0，目标进程段错误，崩溃eip=-2；
设置错误的eip，regs->eip=10，目标进程段错误，崩溃eip=8

测试表明：X86版本的ptrace_call，确实需要eip=eip+2。
根据windows的经验，怎么也没明白为啥eip-2。
设置目标进程eip=funX，结果目标进程从funX-2开始执行，蛋疼。

测试GDB调试，设置目标进程的EIP，目标进程从EIP开始执行，蛋更疼了。
据说GDB也是用的ptrace接口，为啥GDP设置EIP就从EIP开始执行，而ptrace_call设置EIP却从EIP-2的地址开始执行。

请教原文作者，答复“可能是ABI的原因，有的平台并不需要”。
请教其它大牛，估计是被太多邮件淹没了。

在看雪上看到有文章说，需要在ptrace_attach之后先执行ptrace_syscall

测试表明，这篇文章说的没问题。但作者也没有为什么必须要先ptrace_syscall。
对比不添加ptrace_syscall和ptrace_syscall，ptrace_getreg获得EIP都是相同的，说明ptrace _attach返回时，目标进程的EIP都是相同的。那添加的ptrace_syscall又做了哪些额外的工作，导致执行结果不一样。

不明就里，如鲠在喉！一统搜索，没有结果！只有去看linux内核相关的书籍了。
在阅读完《linxu内核源码分析》的ptrace和signal章节后，找到了最终的原因。

EIP-2内幕
我的目标程序源码如下：

我的注入程序代码如下：

注入程序在ptrace_attach目标程序的时候，目标程序因为执行sleep(1)处于休眠状态。
此时EIP为系统调用的用户态返回地址，如下的0xb7fe2424。无论是sysenter方式还是int 0x80方式，返回EIP都是该地址。

Ptrace_attach首先向目标进程发送SIGSTOP信号，该信号把本来处于休眠的进程唤醒。然后进入等待目标进程状态发生改变。

目标进程被唤醒后经内核调度开始执行，开始执行其实是从原来的休眠处开始的，显然继续执行将会结束sleep系统调用，并且返回结果不是sleep满足，而是sleep被中断了。
目标进程准备退出sleep系统调用，在返回到用户态EIP之前，内核检测自身是否存在信号量。显然，赤裸裸的躺着注入程序发送的SIGSTOP信号。于是，转入执行SIGSTOP信号处理，该信号处理把进程状态为STOP，挂起自身，激活注入进程的wait调用。

注入进程wait调用返回，ptrace_getregs获取的EIP是确确实实的目标进程将来返回到用户态执行的EIP。

注入进程ptrace_setreg设置的EIP也确确实实是目标进程将来要返回到用户态执行的EIP。

注入进程ptrace_continue给目标进程发送信号SIGCON，信号发送本身将唤醒挂起的目标进程。

目标进程因为收到的SIGCON信号，恢复执行。此时进程的SIGSTOP信号即将处理完毕，系统检测该到信号来自系统调用，并且该信号处理不是由用户程序处理，这就意味着该信号导致了本系统调用失败，需要自动重新执行该系统调用。自动重新本系统调用的方法：恢复用户态寄存器EAX为系统调用号，用户态EIP=EIP-2。而EIP-2恰好就是int 80系统调用指令。

目标进程处理完信号后，开始执行系统调用返回到用户态。此时用户态的EIP由于-2的原因，不再是原来的pop ebp指令，而是int 80指令。因此返回到用户态后，自动重新执行本系统调用。

因此，EIP-2的本质原因，在于ptrace_attach的时候目标进程因系统调用进入了休眠，而attach发送的信号导致了目标进程调用中断返回，系统为了弥补中断返回的系统调用，在信号处理中将EIP-2来迫使中断的系统调用返回后自动重启本系统调用。

为何ptrace_attach+ptrace_syscall就没有EIP-2的问题？
在ptrace_attach后加入ptrace_syscall后不会导致eip-2，原因在于ptrace_syscall仅仅是设置目标进程的标志位，没有发送任何信号，也没有中断目标进程的任何系统调用。目标进程是主动在系统调用之前检查该标志位，主动挂起自己。这种条件下，注入进程设置目标进程eip，目标进程的系统调用自然是返回到设置的eip。

Ptrace_attach一定会有问题吗?
NO。attach时刻目标进程如果不是陷入系统调用，就不会触发自动重启系统调用导致的EIP-2。

ptrace_attach+ptrace_syscall一定安全吗？
NO。在ptrace_syscall+ptrace_setreg+ptrace_continue后，目标进程开始进行系统调用，如果系统调用是可中断的阻塞调用，在阻塞等待过程中如果因为接受到其它信号，导致系统调用中断返回，那么系统会因为自动重启系统调用而设置eip-2，并且系统期待的eip-2处的代码为int 80。显然，注入进程设置的eip为某个函数，而eip-2就是个不伦不类的东西。

注：最后两个问题，没有实际测试，只是推断；SIGCON信号对于目标进程只是简单的忽略。
不知道ARM平台存不存在因为自动重启系统调用而导致的EIP-2的问题。

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

1.png （52.55kb，7次下载）
2.png （67.83kb，5次下载）
3.png （64.00kb，4次下载）
4.png （48.14kb，5次下载）
5.png （63.74kb，4次下载）
6.png （177.56kb，2次下载）

收藏・31

免费・3

支持

最新回复 (8)
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 2 楼谢谢分享~~ 2014-6-27 16:30 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 3 楼暂时看的不是太理解。周末慢慢消化 2014-6-27 16:55 0
Nermor 雪币： 138 活跃值： (460) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 371 粉丝 2 关注私信	Nermor 1 4 楼 LZ研究的比较透啊。 2014-6-27 17:34 0
古河雪币： 822 活跃值： (380) 能力值： ( LV12，RANK：310 ) 在线值：发帖 24 回帖 132 粉丝 35 关注私信	古河 6 5 楼分析的很清楚，赞啊 2014-6-27 20:32 0
netsniffer 雪币： 53 活跃值： (280) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 336 粉丝 4 关注私信	netsniffer 6 楼 arm下重启系统调用，也有调整用户态pc位置，目前bionic中libc.so采用ARM方式编译，svc 0指令占用4Bytes，所以会-4 arch\arm\kernel\signal.c static void do_signal(struct pt_regs regs, int syscall) { ...... / * If we were from a system call, check for system call restarting... / if (syscall) { continue_addr = regs->ARM_pc; restart_addr = continue_addr - (thumb_mode(regs) ? 2 : 4); retval = regs->ARM_r0; / * Prepare for system call restart. We do this here so that a * debugger will see the already changed PSW. / switch (retval) { case -ERESTARTNOHAND: case -ERESTARTSYS: case -ERESTARTNOINTR: regs->ARM_r0 = regs->ARM_ORIG_r0; regs->ARM_pc = restart_addr; break; case -ERESTART_RESTARTBLOCK: regs->ARM_r0 = -EINTR; break; } } signr = get_signal_to_deliver(&info, &ka, regs, NULL); if (signr > 0) { // 用户未设置SA_RESTART sigaction，继续执行以-EINTR返回给调用者 if (regs->ARM_pc == restart_addr) { if (retval == -ERESTARTNOHAND \|\| (retval == -ERESTARTSYS && !(ka.sa.sa_flags & SA_RESTART))) { regs->ARM_r0 = -EINTR; regs->ARM_pc = continue_addr; } } x86下，int 0x80指令2 Bytes： arch\x86\kernel\signal.c static void do_signal(struct pt_regs regs) { ...... // x86下处理信号和arm下不同，先直接转到用户空间处理信号 signr = get_signal_to_deliver(&info, &ka, regs, NULL); if (signr > 0) { /* Whee! Actually deliver the signal. / handle_signal(signr, &info, &ka, regs); return; } // 后判断系统调用结果，根据情况PC-2 if (syscall_get_nr(current, regs) >= 0) { / Restart the system call - no handlers present */ switch (syscall_get_error(current, regs)) { case -ERESTARTNOHAND: case -ERESTARTSYS: case -ERESTARTNOINTR: regs->ax = regs->orig_ax; regs->ip -= 2; break; case -ERESTART_RESTARTBLOCK: regs->ax = NR_restart_syscall; regs->ip -= 2; break; } } 2014-6-30 17:36 0
wdfa 雪币： 125 活跃值： (35) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 39 粉丝 1 关注私信	wdfa 7 楼多谢netsniffer的分享~~~ 2014-7-1 12:08 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 8 楼 arm下注入zygote和其子进程的时候也有这个问题，因为ptrace的注入点会在select那里，注入时修改pc，注入完成后恢复PC其实会影响到select的返回值，从而引起进程退出。 2014-7-2 16:31 0
zhujian 雪币： 1254 活跃值： (725) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 255 粉丝 1 关注私信	zhujian 2 9 楼这个解决了吗？怎么解决的搞定，参考6楼和数字公司实现。 2015-11-4 14:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wdfa

发帖

回帖

RANK

关注

私信

他的文章

[原创]Android Libinject X86平台EIP-2的分析 12571
[讨论]LBE免root的分析 20037
[求助]关于IDA反汇编 8348
[求助]如何获取未导出函数的地址 7285

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 2 楼谢谢分享~~ 2014-6-27 16:30 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 3 楼暂时看的不是太理解。周末慢慢消化 2014-6-27 16:55 0
Nermor 雪币： 138 活跃值： (460) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 371 粉丝 2 关注私信	Nermor 1 4 楼 LZ研究的比较透啊。 2014-6-27 17:34 0
古河雪币： 822 活跃值： (380) 能力值： ( LV12，RANK：310 ) 在线值：发帖 24 回帖 132 粉丝 35 关注私信	古河 6 5 楼分析的很清楚，赞啊 2014-6-27 20:32 0
netsniffer 雪币： 53 活跃值： (280) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 336 粉丝 4 关注私信	netsniffer 6 楼 arm下重启系统调用，也有调整用户态pc位置，目前bionic中libc.so采用ARM方式编译，svc 0指令占用4Bytes，所以会-4 arch\arm\kernel\signal.c static void do_signal(struct pt_regs regs, int syscall) { ...... / * If we were from a system call, check for system call restarting... / if (syscall) { continue_addr = regs->ARM_pc; restart_addr = continue_addr - (thumb_mode(regs) ? 2 : 4); retval = regs->ARM_r0; / * Prepare for system call restart. We do this here so that a * debugger will see the already changed PSW. / switch (retval) { case -ERESTARTNOHAND: case -ERESTARTSYS: case -ERESTARTNOINTR: regs->ARM_r0 = regs->ARM_ORIG_r0; regs->ARM_pc = restart_addr; break; case -ERESTART_RESTARTBLOCK: regs->ARM_r0 = -EINTR; break; } } signr = get_signal_to_deliver(&info, &ka, regs, NULL); if (signr > 0) { // 用户未设置SA_RESTART sigaction，继续执行以-EINTR返回给调用者 if (regs->ARM_pc == restart_addr) { if (retval == -ERESTARTNOHAND \|\| (retval == -ERESTARTSYS && !(ka.sa.sa_flags & SA_RESTART))) { regs->ARM_r0 = -EINTR; regs->ARM_pc = continue_addr; } } x86下，int 0x80指令2 Bytes： arch\x86\kernel\signal.c static void do_signal(struct pt_regs regs) { ...... // x86下处理信号和arm下不同，先直接转到用户空间处理信号 signr = get_signal_to_deliver(&info, &ka, regs, NULL); if (signr > 0) { /* Whee! Actually deliver the signal. / handle_signal(signr, &info, &ka, regs); return; } // 后判断系统调用结果，根据情况PC-2 if (syscall_get_nr(current, regs) >= 0) { / Restart the system call - no handlers present */ switch (syscall_get_error(current, regs)) { case -ERESTARTNOHAND: case -ERESTARTSYS: case -ERESTARTNOINTR: regs->ax = regs->orig_ax; regs->ip -= 2; break; case -ERESTART_RESTARTBLOCK: regs->ax = NR_restart_syscall; regs->ip -= 2; break; } } 2014-6-30 17:36 0
wdfa 雪币： 125 活跃值： (35) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 39 粉丝 1 关注私信	wdfa 7 楼多谢netsniffer的分享~~~ 2014-7-1 12:08 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 8 楼 arm下注入zygote和其子进程的时候也有这个问题，因为ptrace的注入点会在select那里，注入时修改pc，注入完成后恢复PC其实会影响到select的返回值，从而引起进程退出。 2014-7-2 16:31 0
zhujian 雪币： 1254 活跃值： (725) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 255 粉丝 1 关注私信	zhujian 2 9 楼这个解决了吗？怎么解决的搞定，参考6楼和数字公司实现。 2015-11-4 14:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复