[原创]利用xhook安卓系统底层抹机原理-Android安全-看雪-安全社区|安全招聘|kanxue.com

54

9

[原创]利用xhook安卓系统底层抹机原理

发表于: 2021-1-16 11:06 15757

[原创]利用xhook安卓系统底层抹机原理

AyonA333

活跃值

2021-1-16 11:06

15757

先上github地址https://github.com/iqiyi/xhook

大概原理是：

先读取/proc/self/maps文件内容

正则匹配找到so文件路径和加载基址，

解析elf格式找到要hook的函数的地址替换成自己指定的函数地址

地址替换通过PLT表,详细原理https://zhuanlan.zhihu.com/p/36426206。

抹机软件通过hook一些底层函数达到抹机的目的，其中经常用到的函数如下：

实例代码如下：

大概原理明白了以后运用起来比较简单，实际场景一般跟xposed等hook框架配合，拦截需要抹机的APP进程后读取该APP的/proc/self/maps文件、然后进行native层的hook。

或抽出so文件，然后嵌入到自己写APP里，配合xhook进行要抹机的so文件，绕过native层的设备指纹检测或者其他操作。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2021-1-16 11:19 被AyonA333编辑，原因：

收藏・54

免费・9

支持

分享

赞赏记录

参与人

雪币

留言

时间

Youlor

为你点赞！

2024-8-24 05:10

PLEBFE

为你点赞~

2022-7-30 09:08

国产刘德华

为你点赞~

2021-8-7 20:00

SilverBullet

为你点赞~

2021-5-11 17:15

aizige

为你点赞~

2021-1-20 20:51

supperlitt

为你点赞~

2021-1-20 09:38

mb_jacnqyin

为你点赞~

2021-1-18 03:53

huluxia

为你点赞~

2021-1-17 08:14

0x指纹

为你点赞~

2021-1-16 12:25

查看更多

最新回复 (16)
lukarl 雪币： 24 活跃值： (1363) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 161 粉丝 16 关注私信	lukarl 2 楼好文，点赞 2021-1-18 16:38 0
又见飞刀z 雪币： 1795 活跃值： (2539) 能力值： ( LV2，RANK：15 ) 在线值：发帖 34 回帖 177 粉丝 12 关注私信	又见飞刀z 3 楼 zan 2021-1-19 09:42 0
TUGOhost 雪币： 180 活跃值： (3891) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 150 粉丝 14 关注私信	TUGOhost 4 楼感谢分享，大赞 2021-1-19 22:37 0
wuwwyu 雪币： 500 活跃值： (156) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wuwwyu 5 楼 2021-1-20 09:31 0
mb_cjuobwlb 雪币： 839 活跃值： (203) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_cjuobwlb 6 楼厉害了 2021-1-22 09:54 0
Rec0x 雪币：活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	Rec0x 7 楼有没有源码呀 xhook如何导入项目中使用 2021-1-26 17:41 0
AyonA333 雪币： 25 活跃值： (3175) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 19 粉丝 81 关注私信	AyonA333 8 楼 Rec0x 有没有源码呀[em_2] xhook如何导入项目中使用 xhook的源码在github，把文章中的实例代码复制到你项目里，然后写一个make编译就可以了 2021-1-27 09:47 0
Mr吕先生雪币： 7 活跃值： (188) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	Mr吕先生 9 楼好文，顶一个 2021-1-27 16:47 0
supperlitt 雪币： 1387 活跃值： (5614) 能力值： ( LV3，RANK：25 ) 在线值：发帖 19 回帖 396 粉丝 33 关注私信	supperlitt 10 楼点赞 2021-1-29 11:22 0
万里星河雪币： 136 活跃值： (1227) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 522 粉丝 4 关注私信	万里星河 11 楼赞 2021-1-29 13:58 0
mb_cxmjsgrw 雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_cxmjsgrw 14 楼牛逼了 2021-4-22 16:49 0
duoduo231 雪币： 27 活跃值： (196) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 1 关注私信	duoduo231 15 楼 open fopen 和 open 最后调用的都是__openat吧？？ 2021-4-23 09:32 0
疯子Tear 雪币： 3212 活跃值： (1023) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 1 关注私信	疯子Tear 16 楼 tql 2021-4-23 09:39 0
sanlic 雪币： 73 活跃值： (446) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 6 粉丝 0 关注私信	sanlic 17 楼为啥不直接修改build.prop 2021-9-7 13:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

AyonA333

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区