[原创]安卓改机技术揭秘(二) 高级攻防技巧-Android安全-看雪-安全社区|安全招聘|kanxue.com

最新回复 (60) ◀ 1 2 3 ▶
学编程雪币： 163 活跃值： (1623) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 26 楼前面也有传模仿取得的数据 static int dlopenAddr = 0xD028; //opendl地址 static int InitArrayAddr = 0x00049E20 - 0x1000; //此处IDA的地址总是比UE中的多0x1000 static int asmAddr = 0x4A400; //代码插入位置 libc.so And libc_ok.so,附件 libc_and_libc_ok.rar 上传的附件： libc_and_libc_ok.rar （335.91kb，86次下载） 2016-10-15 20:32 0
ckis 雪币： 241 活跃值： (231) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 144 粉丝 22 关注私信	ckis 27 楼 static int asmAddr = 0x46260; 用这个值试试另外代码需要变动一下第28行插入 data[StrAddr + LibCkisSo.Length] = 0; 2016-10-15 23:01 0
hhhaiai 雪币： 2714 活跃值： (1611) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 154 粉丝 2 关注私信	hhhaiai 28 楼第二种方式 xposed+libc.so libc你修改的意义是什么呢？ 2016-10-15 23:36 0
ckis 雪币： 241 活跃值： (231) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 144 粉丝 22 关注私信	ckis 29 楼安卓有java层和jni(native)层 XPOSED只能HOOK JAVA层那么JNI层如何HOOK？需要改 libc.so 为全局注入点的方式实现 2016-10-15 23:59 0
学编程雪币： 163 活跃值： (1623) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 30 楼 [QUOTE=ckis;1448424]static int asmAddr = 0x46260; 用这个值试试另外代码需要变动一下第28行插入 data[StrAddr + LibCkisSo.Length] = 0;[/QUOTE] 地址选这个位置可以，地址选择是有什么限制吗？代码如下： using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Tasks; using System.IO; namespace LibcInject { class Program { static int dlopenAddr = 0xD028; //opendl地址 static int InitArrayAddr = 0x00049E20 - 0x1000; //此处IDA的地址总是比UE中的多0x1000 static int asmAddr = 0x46260; //代码插入位置 static byte[] asm = { 0xFF,0x40,0x2D,0xE9,0x18,0x00,0x9F,0xE5,0x00,0x10,0xA0,0xE3,0x00,0x00,0x8F,0xE0, 0x01,0xF7,0xFF,0xEB,0xFF,0x40,0xBD,0xE8,0x08,0x00,0x9F,0xE5,0x00,0x00,0x8F,0xE0, 0x10,0xFF,0x2F,0xE1,0x9C,0x68,0x03,0x00,0x09,0xBF,0x01,0x00,0x00,0x00,0x00,0x00}; static int StrAddr = asmAddr + 0x40; static void Main(string[] args) { BinaryReader br = null; try { br = new BinaryReader(new FileStream("libc.so", FileMode.Open)); } catch (IOException e) { Console.WriteLine(e.Message + "Cannot open file."); return; } int length = Convert.ToInt32(br.BaseStream.Length); byte[] data = br.ReadBytes(length); br.Close(); byte[] LibCkisSo = System.Text.Encoding.ASCII.GetBytes("libckis.so"); Array.ConstrainedCopy(LibCkisSo, 0, data, StrAddr, LibCkisSo.Length); data[StrAddr + LibCkisSo.Length] = 0; int JmpReturnAddr = System.BitConverter.ToInt32(data, InitArrayAddr); byte[] byAsmAddr = System.BitConverter.GetBytes(asmAddr); Array.ConstrainedCopy(byAsmAddr, 0, data, InitArrayAddr, byAsmAddr.Length); byte[] JmpOffset = System.BitConverter.GetBytes(JmpReturnAddr - asmAddr - 0x24); Array.ConstrainedCopy(JmpOffset, 0, asm, 0x28, JmpOffset.Length); byte[] StrOffset = System.BitConverter.GetBytes(StrAddr - asmAddr - 0x14); Array.ConstrainedCopy(StrOffset, 0, asm, 0x24, StrOffset.Length); byte[] DlopenOffset = System.BitConverter.GetBytes((dlopenAddr - asmAddr - 0x18) / 4); Array.ConstrainedCopy(DlopenOffset, 0, asm, 0x10, StrOffset.Length - 1); Array.ConstrainedCopy(asm, 0, data, asmAddr, asm.Length); BinaryWriter bw = new BinaryWriter(new FileStream("libc_ok.so", FileMode.Create)); bw.Write(data); bw.Close(); } } } 2016-10-17 09:42 0
ckis 雪币： 241 活跃值： (231) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 144 粉丝 22 关注私信	ckis 31 楼位置没什么限制应该是ELF文件格式的问题你之前选的地址是在 data段的但我给出的例子是rodata段的在text段arm机器码执行的偏移位置不一样如果按你之前的地址代码里需要+0x1000即可 2016-10-17 13:22 0
ccsprite 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ccsprite 32 楼谢谢分享 2016-10-31 18:01 0
yyxljy 雪币： 204 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	yyxljy 33 楼感谢分享，学习一下思路 2016-10-31 23:56 0
chicha 雪币： 3 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	chicha 34 楼 Mark下，感谢楼主分享 2016-11-4 07:26 0
hhhaiai 雪币： 2714 活跃值： (1611) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 154 粉丝 2 关注私信	hhhaiai 35 楼 libc修改了后,怎么拦截jni层呢?是否有样例代码? 2016-11-14 09:58 0
ckis 雪币： 241 活跃值： (231) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 144 粉丝 22 关注私信	ckis 36 楼 http://www.weibo.com/ele7enxxh https://github.com/ele7enxxh/Android-Inline-Hook 2017-1-16 14:09 0
五鬼星雪币： 48 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 1 关注私信	五鬼星 37 楼感谢分享 2017-2-17 11:12 0
季末是秋客雪币： 220 活跃值： (77) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	季末是秋客 38 楼楼主分析相当仔细，感觉分享 2017-2-17 17:05 0
longpoxin 雪币： 1553 活跃值： (492) 能力值： ( LV6，RANK：80 ) 在线值：发帖 3 回帖 41 粉丝 12 关注私信	longpoxin 39 楼 mark 2017-5-23 17:53 0
ArcherJohn 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 27 粉丝 0 关注私信	ArcherJohn 40 楼如果有一些JNI层比较丰富的hook实例就棒棒了，不过还是非常感谢 2017-5-29 02:26 0
猪头虾雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	猪头虾 41 楼楼主说的hook JNI层，说的是hook native方法吗？xposed不是支持native方法的hook吗？哪位大神解惑一下，非常感谢！！ 2017-6-7 11:45 0
jzgxxx 雪币： 195 活跃值： (29) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	jzgxxx 42 楼感谢楼主，能否解析下static byte[] asm这个数组的意思和怎样生成的呢？ 2017-6-16 15:15 0
vurtneye 雪币： 35 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 50 粉丝 1 关注私信	vurtneye 43 楼 2017-6-18 01:17 0
Mattermon 雪币： 139 活跃值： (235) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 102 粉丝 0 关注私信	Mattermon 44 楼第二种懵懵懂懂 2017-6-19 17:55 0
ckis 雪币： 241 活跃值： (231) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 144 粉丝 22 关注私信	ckis 45 楼 vurtneye 我之前一直研究探探，发现探探会检测java层的钩子，因为xpose是把hook的java方法改成native属性，探探会检测出来你是否hook，所以对于目前你说的这两种方案应该无法避过检测把他要检测的Method的Native属性去掉会吗？ 2017-6-20 17:44 0
哈C 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	哈C 46 楼楼主，看了你得帖子很是受启发，可以帮我在安卓cydia框架上写个hook插件吗？报酬丰厚，QQ416359880 2017-6-21 10:55 0
vurtneye 雪币： 35 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 50 粉丝 1 关注私信	vurtneye 47 楼 ckis 把他要检测的Method的Native属性去掉会吗？这个检测的我已经去掉，但是还是被检测出来使用了xpose，看来自己功力不够深厚，还需要继续研究才行，看你的文章收益不少，感谢 2017-6-23 20:33 0
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 606 粉丝 3 关注私信	无边 48 楼 xposed是classloader被检测到的。 2017-6-23 20:49 0
聖blue 雪币： 6818 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 358 粉丝 1 关注私信	聖blue 49 楼感谢分享！！！！ 2017-6-23 22:39 0
睡懒觉的猫雪币： 89 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	睡懒觉的猫 50 楼用ida看区段.rodata与.data中的插入代码一样的，但是.rodata可以hook,.data无法hook。 libc.so中.init_array: libc_rodata中asmAddr: libc_data中asmAddr: 生成代码如下： using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Tasks; using System.IO; namespace LibcInject { class Program { static int dlopenAddr = 0xCF14; //opendl地址 static int InitArrayAddr = 0x48E20 - 0x1000; //此处IDA的地址总是比UE中的多0x1000 static int idaAsmAddr = 0x49350; //代码插入位置(带入插入的是.data区段) static int offAsmAddr = idaAsmAddr - 0x1000; static byte[] asm = { 0xFF,0x40,0x2D,0xE9,0x18,0x00,0x9F,0xE5,0x00,0x10,0xA0,0xE3,0x00,0x00,0x8F,0xE0, 0x01,0xF7,0xFF,0xEB,0xFF,0x40,0xBD,0xE8,0x08,0x00,0x9F,0xE5,0x00,0x00,0x8F,0xE0, 0x10,0xFF,0x2F,0xE1,0x9C,0x68,0x03,0x00,0x09,0xBF,0x01,0x00,0x00,0x00,0x00,0x00}; static int idaStrAddr = idaAsmAddr + 0x40; static int offStrAddr = offAsmAddr + 0x40; static void Main(string[] args) { BinaryReader br = null; try { br = new BinaryReader(new FileStream("libc.so", FileMode.Open)); } catch (IOException e) { Console.WriteLine(e.Message + "Cannot open file."); return; } int length = Convert.ToInt32(br.BaseStream.Length); byte[] data = br.ReadBytes(length); br.Close(); byte[] LibCkisSo = System.Text.Encoding.ASCII.GetBytes("libckis.so"); Array.ConstrainedCopy(LibCkisSo, 0, data, offStrAddr, LibCkisSo.Length); data[offStrAddr + LibCkisSo.Length] = 0; int JmpReturnAddr = System.BitConverter.ToInt32(data, InitArrayAddr); byte[] byAsmAddr = System.BitConverter.GetBytes(idaAsmAddr); Array.ConstrainedCopy(byAsmAddr, 0, data, InitArrayAddr, byAsmAddr.Length); byte[] JmpOffset = System.BitConverter.GetBytes(JmpReturnAddr - idaAsmAddr - 0x24); Array.ConstrainedCopy(JmpOffset, 0, asm, 0x28, JmpOffset.Length); byte[] StrOffset = System.BitConverter.GetBytes(idaStrAddr - idaAsmAddr - 0x14); Array.ConstrainedCopy(StrOffset, 0, asm, 0x24, StrOffset.Length); byte[] DlopenOffset = System.BitConverter.GetBytes((dlopenAddr - idaAsmAddr - 0x18) / 4); Array.ConstrainedCopy(DlopenOffset, 0, asm, 0x10, StrOffset.Length - 1); Array.ConstrainedCopy(asm, 0, data, offAsmAddr, asm.Length); BinaryWriter bw = new BinaryWriter(new FileStream("libc_ok.so", FileMode.Create)); bw.Write(data); bw.Close(); } } } 求指点为什么.data的不行，找了好久没找到原因。上传的附件： libc_libcdata_libcrodata.rar （501.12kb，51次下载） 2017-6-25 22:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

学编程

雪币： 163

活跃值： (1623)

能力值：

( LV5，RANK：60 )

在线值：

发帖

30

回帖

441

粉丝

2

关注

私信

学编程 1: 26 楼

前面也有传
模仿取得的数据
static int dlopenAddr = 0xD028; //opendl地址
static int InitArrayAddr = 0x00049E20 - 0x1000; //此处IDA的地址总是比UE中的多0x1000
static int asmAddr = 0x4A400; //代码插入位置

libc.so And libc_ok.so,附件

libc_and_libc_ok.rar

上传的附件：

libc_and_libc_ok.rar （335.91kb，86次下载）

2016-10-15 20:32

0

ckis

雪币： 241

活跃值： (231)

能力值：

( LV3，RANK：30 )

在线值：

发帖

22

回帖

144

粉丝

22

关注

私信

ckis: 27 楼

static int asmAddr = 0x46260;

用这个值试试

另外代码需要变动一下
第28行插入
data[StrAddr + LibCkisSo.Length] = 0;

2016-10-15 23:01

0

hhhaiai

雪币： 2714

活跃值： (1611)

能力值：

( LV2，RANK：10 )

在线值：

发帖

5

回帖

154

粉丝

2

关注

私信

hhhaiai: 28 楼

第二种方式 xposed+libc.so libc你修改的意义是什么呢？

2016-10-15 23:36

0

ckis

雪币： 241

活跃值： (231)

能力值：

( LV3，RANK：30 )

在线值：

发帖

22

回帖

144

粉丝

22

关注

私信

ckis: 29 楼

安卓有java层和jni(native)层
XPOSED只能HOOK JAVA层
那么JNI层如何HOOK？需要改 libc.so 为全局注入点的方式实现

2016-10-15 23:59

0

学编程

雪币： 163

活跃值： (1623)

能力值：

( LV5，RANK：60 )

在线值：

发帖

30

回帖

441

粉丝

2

关注

私信

学编程 1: 30 楼

[QUOTE=ckis;1448424]static int asmAddr = 0x46260;

用这个值试试

另外代码需要变动一下
第28行插入
data[StrAddr + LibCkisSo.Length] = 0;[/QUOTE]

地址选这个位置可以，地址选择是有什么限制吗？

代码如下：

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.IO;
namespace LibcInject
{
    class Program
    {
        static int dlopenAddr = 0xD028; //opendl地址
        static int InitArrayAddr = 0x00049E20 - 0x1000; //此处IDA的地址总是比UE中的多0x1000
        static int asmAddr = 0x46260; //代码插入位置

        static byte[] asm = { 0xFF,0x40,0x2D,0xE9,0x18,0x00,0x9F,0xE5,0x00,0x10,0xA0,0xE3,0x00,0x00,0x8F,0xE0,
              0x01,0xF7,0xFF,0xEB,0xFF,0x40,0xBD,0xE8,0x08,0x00,0x9F,0xE5,0x00,0x00,0x8F,0xE0,
              0x10,0xFF,0x2F,0xE1,0x9C,0x68,0x03,0x00,0x09,0xBF,0x01,0x00,0x00,0x00,0x00,0x00};
        static int StrAddr = asmAddr + 0x40;
        static void Main(string[] args)
        {
            BinaryReader br = null;
            try
            {
                br = new BinaryReader(new FileStream("libc.so", FileMode.Open));
            }
            catch (IOException e)
            {
                Console.WriteLine(e.Message + "Cannot open file.");
                return;
            }
            int length = Convert.ToInt32(br.BaseStream.Length);
            byte[] data = br.ReadBytes(length);
            br.Close();
            byte[] LibCkisSo = System.Text.Encoding.ASCII.GetBytes("libckis.so");
            Array.ConstrainedCopy(LibCkisSo, 0, data, StrAddr, LibCkisSo.Length);
            data[StrAddr + LibCkisSo.Length] = 0; 
            int JmpReturnAddr = System.BitConverter.ToInt32(data, InitArrayAddr);
            byte[] byAsmAddr = System.BitConverter.GetBytes(asmAddr);
            Array.ConstrainedCopy(byAsmAddr, 0, data, InitArrayAddr, byAsmAddr.Length);
            byte[] JmpOffset = System.BitConverter.GetBytes(JmpReturnAddr - asmAddr - 0x24);
            Array.ConstrainedCopy(JmpOffset, 0, asm, 0x28, JmpOffset.Length);
            byte[] StrOffset = System.BitConverter.GetBytes(StrAddr - asmAddr - 0x14);
            Array.ConstrainedCopy(StrOffset, 0, asm, 0x24, StrOffset.Length);
            byte[] DlopenOffset = System.BitConverter.GetBytes((dlopenAddr - asmAddr - 0x18) / 4);
            Array.ConstrainedCopy(DlopenOffset, 0, asm, 0x10, StrOffset.Length - 1);
            Array.ConstrainedCopy(asm, 0, data, asmAddr, asm.Length);
            BinaryWriter bw = new BinaryWriter(new FileStream("libc_ok.so", FileMode.Create));
            bw.Write(data);
            bw.Close();
        }
    }
}

2016-10-17 09:42

0

ckis

雪币： 241

活跃值： (231)

能力值：

( LV3，RANK：30 )

在线值：

发帖

22

回帖

144

粉丝

22

关注

私信

ckis: 31 楼

位置没什么限制应该是ELF文件格式的问题你之前选的地址是在 data段的但我给出的例子是rodata段的在text段arm机器码执行的偏移位置不一样

如果按你之前的地址代码里需要+0x1000即可

2016-10-17 13:22

0

ccsprite

雪币： 0

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

1

粉丝

0

关注

私信

ccsprite: 32 楼

谢谢分享

2016-10-31 18:01

0

yyxljy

雪币： 204

活跃值： (20)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

23

粉丝

0

关注

私信

yyxljy: 33 楼

感谢分享，学习一下思路

2016-10-31 23:56

0

chicha

雪币： 3

活跃值： (15)

能力值：

( LV2，RANK：10 )

在线值：

发帖

3

回帖

21

粉丝

0

关注

私信

chicha: 34 楼

Mark下，感谢楼主分享

2016-11-4 07:26

0

hhhaiai

雪币： 2714

活跃值： (1611)

能力值：

( LV2，RANK：10 )

在线值：

发帖

5

回帖

154

粉丝

2

关注

私信

hhhaiai: 35 楼

libc修改了后,怎么拦截jni层呢?是否有样例代码?

2016-11-14 09:58

0

ckis

雪币： 241

活跃值： (231)

能力值：

( LV3，RANK：30 )

在线值：

发帖

22

回帖

144

粉丝

22

关注

私信

ckis: 36 楼

http://www.weibo.com/ele7enxxh
https://github.com/ele7enxxh/Android-Inline-Hook

2017-1-16 14:09

0

五鬼星

雪币： 48

活跃值： (27)

能力值：

( LV2，RANK：10 )

在线值：

发帖

3

回帖

42

粉丝

1

关注

私信

五鬼星: 37 楼

感谢分享

2017-2-17 11:12

0

季末是秋客

雪币： 220

活跃值： (77)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

7

粉丝

0

关注

私信

季末是秋客: 38 楼

楼主分析相当仔细，感觉分享

2017-2-17 17:05

0

longpoxin

雪币： 1553

活跃值： (492)

能力值：

( LV6，RANK：80 )

在线值：

发帖

3

回帖

41

粉丝

12

关注

私信

longpoxin: 39 楼

mark

2017-5-23 17:53

0

ArcherJohn

雪币： 0

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

8

回帖

27

粉丝

0

关注

私信

ArcherJohn: 40 楼

如果有一些JNI层比较丰富的hook实例就棒棒了，不过还是非常感谢

2017-5-29 02:26

0

猪头虾

雪币： 202

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

2

粉丝

0

关注

私信

猪头虾: 41 楼

楼主说的hook JNI层，说的是hook native方法吗？xposed不是支持native方法的hook吗？哪位大神解惑一下，非常感谢！！

2017-6-7 11:45

0

jzgxxx

雪币： 195

活跃值： (29)

能力值：

( LV3，RANK：30 )

在线值：

发帖

0

回帖

2

粉丝

0

关注

私信

jzgxxx: 42 楼

感谢楼主，能否解析下static byte[] asm这个数组的意思和怎样生成的呢？

2017-6-16 15:15

0

vurtneye

雪币： 35

活跃值： (30)

能力值：

( LV2，RANK：10 )

在线值：

发帖

5

回帖

50

粉丝

1

关注

私信

vurtneye: 43 楼

2017-6-18 01:17

0

Mattermon

雪币： 139

活跃值： (235)

能力值：

( LV2，RANK：10 )

在线值：

发帖

12

回帖

102

粉丝

0

关注

私信

Mattermon: 44 楼

第二种懵懵懂懂

2017-6-19 17:55

0

ckis

雪币： 241

活跃值： (231)

能力值：

( LV3，RANK：30 )

在线值：

发帖

22

回帖

144

粉丝

22

关注

私信

ckis: 45 楼

vurtneye 我之前一直研究探探，发现探探会检测java层的钩子，因为xpose是把hook的java方法改成native属性，探探会检测出来你是否hook，所以对于目前你说的这两种方案应该无法避过检测

把他要检测的Method的Native属性去掉会吗？

2017-6-20 17:44

0

哈C

雪币： 1

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

1

粉丝

0

关注

私信

哈C: 46 楼

楼主，看了你得帖子很是受启发，可以帮我在安卓cydia框架上写个hook插件吗？报酬丰厚，QQ416359880

2017-6-21 10:55

0

vurtneye

雪币： 35

活跃值： (30)

能力值：

( LV2，RANK：10 )

在线值：

发帖

5

回帖

50

粉丝

1

关注

私信

vurtneye: 47 楼

ckis 把他要检测的Method的Native属性去掉会吗？

这个检测的我已经去掉，但是还是被检测出来使用了xpose，看来自己功力不够深厚，还需要继续研究才行，看你的文章收益不少，感谢

2017-6-23 20:33

0

无边

雪币： 9479

活跃值： (757)

能力值：

( LV2，RANK：10 )

在线值：

发帖

17

回帖

606

粉丝

3

关注

私信

无边: 48 楼

xposed是classloader被检测到的。

2017-6-23 20:49

0

聖blue

雪币： 6818

活跃值： (153)

能力值：

( LV2，RANK：10 )

在线值：

发帖

2

回帖

358

粉丝

1

关注

私信

聖blue: 49 楼

感谢分享！！！！

2017-6-23 22:39

0

睡懒觉的猫

雪币： 89

活跃值： (19)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

4

粉丝

0

关注

私信

睡懒觉的猫: 50 楼

用ida看区段.rodata与.data中的插入代码一样的，但是.rodata可以hook,.data无法hook。

libc.so中.init_array:

libc_rodata中asmAddr:

libc_data中asmAddr:

生成代码如下：

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.IO;
namespace LibcInject
{
    class Program
    {
        static int dlopenAddr = 0xCF14; //opendl地址
        static int InitArrayAddr = 0x48E20 - 0x1000; //此处IDA的地址总是比UE中的多0x1000
        static int idaAsmAddr = 0x49350; //代码插入位置(带入插入的是.data区段)
        static int offAsmAddr = idaAsmAddr - 0x1000;
        static byte[] asm = { 0xFF,0x40,0x2D,0xE9,0x18,0x00,0x9F,0xE5,0x00,0x10,0xA0,0xE3,0x00,0x00,0x8F,0xE0,
                            0x01,0xF7,0xFF,0xEB,0xFF,0x40,0xBD,0xE8,0x08,0x00,0x9F,0xE5,0x00,0x00,0x8F,0xE0,
                            0x10,0xFF,0x2F,0xE1,0x9C,0x68,0x03,0x00,0x09,0xBF,0x01,0x00,0x00,0x00,0x00,0x00};
        static int idaStrAddr = idaAsmAddr + 0x40;
        static int offStrAddr = offAsmAddr + 0x40;
        static void Main(string[] args)
        {
            BinaryReader br = null;
            try
            {
                br = new BinaryReader(new FileStream("libc.so", FileMode.Open));
            }
            catch (IOException e)
            {
                Console.WriteLine(e.Message + "Cannot open file.");
                return;
            }
            int length = Convert.ToInt32(br.BaseStream.Length);
            byte[] data = br.ReadBytes(length);
            br.Close();
            byte[] LibCkisSo = System.Text.Encoding.ASCII.GetBytes("libckis.so");
            Array.ConstrainedCopy(LibCkisSo, 0, data, offStrAddr, LibCkisSo.Length);
            data[offStrAddr + LibCkisSo.Length] = 0;
            int JmpReturnAddr = System.BitConverter.ToInt32(data, InitArrayAddr);
            byte[] byAsmAddr = System.BitConverter.GetBytes(idaAsmAddr);
            Array.ConstrainedCopy(byAsmAddr, 0, data, InitArrayAddr, byAsmAddr.Length);
            byte[] JmpOffset = System.BitConverter.GetBytes(JmpReturnAddr - idaAsmAddr - 0x24);
            Array.ConstrainedCopy(JmpOffset, 0, asm, 0x28, JmpOffset.Length);
            byte[] StrOffset = System.BitConverter.GetBytes(idaStrAddr - idaAsmAddr - 0x14);
            Array.ConstrainedCopy(StrOffset, 0, asm, 0x24, StrOffset.Length);
            byte[] DlopenOffset = System.BitConverter.GetBytes((dlopenAddr - idaAsmAddr - 0x18) / 4);
            Array.ConstrainedCopy(DlopenOffset, 0, asm, 0x10, StrOffset.Length - 1);
            Array.ConstrainedCopy(asm, 0, data, offAsmAddr, asm.Length);
            BinaryWriter bw = new BinaryWriter(new FileStream("libc_ok.so", FileMode.Create));
            bw.Write(data);
            bw.Close();
        }
    }
}

求指点为什么.data的不行，找了好久没找到原因。

上传的附件：

libc_libcdata_libcrodata.rar （501.12kb，51次下载）

2017-6-25 22:27

0