前言:
现在 市面上的 Hook 框架有很多 ,Xposed,Frida,YAHAK 等
Frida 是目前最火的 ,跨平台注入 框架 ,支持 java和 Naive 层
安卓 目前 沙盒注入 方式 应该 就 两种Ptrace 和 Zygote
各有各的优点和短板 曾经Hook之王 Xposed 在 Native层显得比较无力
也就导致 市场上很多 模块都 不能 进行Native层的 Hook
一直在想着 能不能 试着 完善一下。
如何利用xposed Hook Native层 函数 - 简书
在之前这篇帖子里 简单实现了 Xposed 在 4.4的 版本的 NativeHook
主要 原理就是 在加载 被Hook So的 时候 利用Xposed拦截
在 java层 调用System.load函数 把Xposed 模块里面的so进行 加载注入
在so里面 直接调用 dlopen拿到 被Hook So地址 即可
在高版本里面 是不允许直接 System.load 的 认为是 不安全的
大概意思就是说 直接 System.load 容易被串改 在高版本会失效 应该使用 System.loadLib
这个函数是加载 app内部 Lib下So的函数 但最终 都会调用 doLoad函数 (具体 可以参考对应源码 )我们就从 这个函数入手
Xposed 先挂钩 作为 So名字 作为 条件过滤依据
这块 有个问题 就是 怎么把 Xposed模块里面的 So注入到 目标 进程中
在 4.4 版本的时候 可以 直接 System.load 打开即可 然后进行 装载和链接
这个 问题 我想了很长时间 有两种 可行方案
第一种方案 :可以吧 模块里的 so 利用shell权限 进行 copy 直接 拷贝到 被 Hook的 lib下面
然后 System.loadLib 去加载即可 因为 因为shell需要 root 会导致 被 Hook 进程 申请 Root权限才可以
(比如 Hook A app 因为 Xposed 走的是 A所在的进程 所以如果 在 代码里申请 Root 最终 会提示A app 申请 Root)
进行操作 不方便 和 不实用
第二种方案:直接利用反射 调用 doLoad 函数 进行 So的 加载 如图
第一个 参数 是 So的 路径 第二个参数 Classloader 其实他是一个 PathClassloader
如果 发现 加载的 So 是被Hook的 So 便进行 注入 把第二个 参数 传入 进去 反射备用
这块的 Path是 绝对路径 有人会问 为什么要这么写
我在Hook 这个 函数的时候 把参数 1 打印了一下 可以看到 加载的 是 So的绝对路径
(这块 楼主 也有一件事 不太懂 为什么 路径 要加个 -1 很奇怪 算了 照葫芦画瓢 先这么写 )
这里科普一下 /data/data/ 下面 都是 App的数据 而/data/App/下面放的是 app 包
然后吧 路径 改成自己Xposed模块里的 So 进行 注入 成功!
这块有个调用时机 问题 一定要在 目标 So加载完毕 以后 在进行 注入
因为后期需要 实现 突破 7.0 dlopen 限制 需要遍历 内存对应的Map文件
下来 开始 在 Xposed模块的 so得 JNI_OnLoad 进行 挂钩 Hook 楼主用的是 InlineHook
在 4.4 版本 以前 可以 直接 dlopen直接打开 任意目录的 So 进制 装载和链接
在 4.4的 时候 直接打开 被Hook的 so即可
在高版本 因为 权限问题 不能 直接打开
楼上图片参考 地址 https://www.cnblogs.com/eniac1946/p/7515557.html
突破 dlopen 限制 楼主 用的是 感谢大佬提供的 轮子
GitHub - lizhangqu/dlfcn_compat: 兼容Android 7.0 dlfcn(dlopen、dlsym、dlclose、dlerror)
主要是遍历 Map文件 拿到so的 地址 和 dlopen的 Hook
(具体可参考 项目的 reademe)
下面 我们看看 内存里的 文件对应内容 楼主用的是 7.1的 安卓 系统
利用GG修改器 导出内存 看看 对应 文件的 地址的映射 和 路径
有人 会问 这个 怎么导出的?
内存 管理页面 点导出 内存
结束地址 随便 输入
保存即可
(GG修改器 是个 神器 ,可以 用来 dex脱壳 So 还原 ,Dll提取等 直接操作内存 感兴趣可以 学学 )
将路径 改为 绝对路径
直接 dlopen打开
拿到 句柄 以后 直接进行 用dlsym 拿到 对应函数地址 用 InlineHook 进行 挂钩
还是以loadbuffer函数 为 目标 函数 dump lua文件
在 my_luaL_loadbuffer 进行保存
保存成功
上面的 只是一个 demo 一个Hook的 模板
Xposed 模块 可以用 这种方式 进行 so层的 Hook和 注入
具体代码 上传到
XPOSED 实现ART NativeHook Demo
-------------------------------------------
2020年9月21日18:36:08
在之前版本里面是通过调用doLoad函数进行反射加载模块So文件8.0还可以
但是在9.0,10.0发现不可行。去源码里面搜索在Runtime.java里面已经没有这个方法
找到了一个替换方法nativeLoad 参数类型也一样
兼容了一下在Android 10里面也可以支持这种
在获取模块So文件路径的时候在高版本里面
/data/app下面会有一个随机字符串,每次安装都会变所以写死路径不可以
//data/app/com.lyh.nkddemo-YuNFiNvInJyE3ahHYBXAQw==/base.apk
大概长这样
我在模块里面获取安装的app路径,然后将后面的base.apk换成/lib/arm/模块so
即可解决
增加了开源库 dlfc 寻找So指定格式,只需要传入一个需要的 包名|So名字
在安卓10 data/app下面的包名都是这种加密的。
想要定位很难,在遍历Map文件的时候字符串分割,两个都满足就认为是匹配项
代码也很简单。在兼容原来逻辑 加个判断。
这块有个很坑的地方 就是fgets函数 读取文件每一行的时候会加个回车
直接打开是打不开的 。
当时对比发现都一样卡了很久,直到打印字符串长度的时候才发现多一位字符串
代码上传了有需求可以down 下来看看 ,根据自己需求改改。有啥问题也可以帖子下面留言。
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
最后于 2020-9-22 11:54
被珍惜Any编辑
,原因: 兼容Android 10