-
-
[原创]用伪造so的方式注入
-
发表于: 2017-8-31 16:58
-
-0x1:
20180927更新:
1.更新了0x5 part的源码,之前的源码链接不知何时失效了,(别问了,懒,笨,还不上进,不知道啥是git)
2.解决了某些机型,在mprotect的时候由于权限不够而导致的失败。就是在声明的时候把结构体声明到.text段就好了,具体如下
3.emmm...另外这个源码的下载不知道啥时候又会失效,有缘再见...
现在很多安全插件,都会用本地文件和系统的内存进行校验,来防止修改code内存的hook,
或者一些其他的原因,无法注入,无法hook,又不想麻烦的编译android源码,
若是有图片看不清,那就下载附件吧
-------------------------------------------------------------------
比如我在android 7中,想注入dex2oat来达到不可告人的目的,
我需要用ida打开dex2oat,看看dex2oat都需要哪些so
C++的导出:_Z32register_android_hardware_CameraP7_JNIEnv
C导出: register_android_hardware_Camera
根据上面的标准,我认为伪造libsigchain.so,最靠谱。
然后需要获得libsigchain.so的导出函数列表,步骤如下
在linux用 readelf -s libsigchain.so 得到导出函数列表,
这里要说一下,如果so中的导出函数是C++格式的,那么从ida窗口复制出来的导出函数列表,
这里我用 readelf -s libsigchain.so | grep "13 " 得到libsigchain.so的导出函数列表
------------------------------------------------------------------------------
复制 __attribute__((visibility("default"))) JmpStruct
用上面介绍的按住alt的方法,一次性粘贴到,导出函数列表前面
__attribute__((section(".text"))) __attribute__((visibility("default"))) JmpStruct InvokeUserSignalHandler;
__attribute__((section(".text"))) __attribute__((visibility("default"))) JmpStruct ClaimSignalChain;
__attribute__((section(".text"))) __attribute__((visibility("default"))) JmpStruct UnclaimSignalChain;
__attribute__((section(".text"))) __attribute__((visibility("default"))) JmpStruct EnsureFrontOfChain;
__attribute__((section(".text"))) __attribute__((visibility("default"))) JmpStruct InitializeSignalChain;
__attribute__((section(".text"))) __attribute__((visibility("default"))) JmpStruct SetSpecialSignalHandlerFn;
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
还可以这样。。。之前我都是每个导出函数都写一遍的
