[原创] Android10 aarch64 dlopen Hook

发表于: 2021-5-7 11:22 14560

[原创] Android10 aarch64 dlopen Hook

Himeko

2021-5-7 11:22

14560

前言

对于自动化hook Il2cpp 的模块来说, dlopen 的hook相当于一个大门, 没有该大门口, 一切都是纸上谈兵

在 armabi-v7a 上hook dlopen, 轻松的不要不要的, 甚至借用一下 virtual 系列app的 va++ 核心提供的 hook_dlopen 函数的接口都行

可是到了 aarch64 这里, 找了一圈, 能用的 hook构件 也就一枚 And64InlineHook, 而且源项目好像还得自己手动修一下才能使用....

好了有 hook构件 了, 但是我看了一圈主流的 VirtualApp 商业授权做出来的 虚拟多开 系列软件, 基本上都没实现 aarch64 的 hook_dlopen, 有的实现了却没有给调用, 自己去调用的话就会卡死

就你妈离谱

环境 & 预习

测试平台

机型: 红米K30-4G, 已Root

系统: miui11, android-10

看雪上看到的一篇文章: Android9.0 hook dlopen问题
虽然半年前就看到这篇文章,但是基本上在看天书,现在拿出来看了一圈, 关键实现就是这里

虽然我看不懂什么 LR寄存器 什么的, 但是唯独看懂这第三个参数强制赋值为 dlerror 函数的函数地址, 以达到越过系统的限制

而关于那所谓的系统限制, 就是在安卓7开始, 系统就禁止 用户APP 打开/读取 部分 系统库文件 , 所以直接 dlopen linker 会直接失败, 具体可以使用 dlerror() 函数查看原因

初步尝试Hook

反汇编 libdl.so

貌似安卓9开始, dlopen就由 libdl.so 库进行导入, 反汇编看看

看了一下导出函数, 也就只有两个函数涉及到dlopen

让我康康这个 dlopen 长什么样!

中间的 .__loader_dlopen 是个跳板

最终指向的是got表的导出变量 __loader_dlopen

康康 __loader_dlopen

步骤很简单

加载 libdl.so
使用 dlsym() 获取 __loader_dlopen
打印该值, 顺便看看该内存所在maps的何处

LOGE("pid: %d", getpid());
 
void *libdl_handle = dlopen("libdl.so", RTLD_NOW);

LOGE("libdl_handle: %p", libdl_handle);
 
void *__loader_dlopen_addr = dlsym(libdl_handle, "__loader_dlopen");

LOGE("__loader_dlopen at: %p", __loader_dlopen_addr);

先查看logcat输出

__loader_dlopen 的值为0x700258f11c

使用adb shell去查看对应的内存区段

adb shell

su #升级为root用户

cat /proc/目标pid/maps

跑到 linker64 里去了, 把文件提取出来反汇编, 顺便先把这 __loader_dlopen 的偏移值算出来
0x700258f11c - 0x7002557000 = 0x3811C

反汇编 linker64

利用刚刚算出来的偏移,转跳后发现指向的是 linker64 里的 __loader_dlopen 函数

登录后可查看完整内容

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

#基础理论 #逆向分析 #HOOK注入 #系统相关

收藏・19

免费・6

支持

赞赏记录

参与人

雪币

留言

时间

東陽不列山

为你点赞！

2024-7-15 02:08

PLEBFE

为你点赞~

2023-1-13 11:35

RorschachL

为你点赞~

2021-9-22 11:38

wusha

为你点赞~

2021-6-20 19:09

0x指纹

为你点赞~

2021-5-8 10:42

qq6282371

为你点赞~

2021-5-7 21:07

最新回复 (8)
葫芦娃雪币： 916 活跃值： (3444) 能力值： ( LV8，RANK：120 ) 在线值：发帖 10 回帖 171 粉丝 334 关注私信	葫芦娃 1 2 楼 "可是到了 aarch64 这里, 找了一圈, 能用的 hook构件也就一枚 And64InlineHook" dobby、frida-gum 哭晕在厕所 2021-5-9 11:18 1
不吃早饭雪币： 29 活跃值： (6258) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 21 关注私信	不吃早饭 3 楼 hook一下linker内的__dl__ZN19android_namespace_t13is_accessibleERKNSt3__112basic_stringIcNS0_11char_traitsIcEENS0_9allocatorIcEEEE，也就是android_namespace_t::is_accessible，让它永远返回true即可解决namespace限制问题最后于 2021-5-26 13:05 被不吃早饭编辑，原因： 2021-5-26 13:05 1
至尊小仙侠雪币： 3257 活跃值： (8345) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 140 粉丝 330 关注私信	至尊小仙侠 4 楼葫芦娃 "可是到了 aarch64 这里, 找了一圈, 能用的 hook构件也就一枚 And64InlineHook" dobby、frida-gum 哭晕在厕所嘻嘻嘻嘻嘻嘻嘻嘻嘻嘻嘻嘻嘻活捉葫芦娃一枚 2021-5-26 13:11 0
不吃早饭雪币： 29 活跃值： (6258) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 21 关注私信	不吃早饭 5 楼文中通过解析opcode得到的那个函数其实是linker的导出函数，手动解析一下linker的导出表（linker其实就是一个特殊的elf文件）即可直接得到该函数的offset 2021-5-26 13:18 0
不吃早饭雪币： 29 活跃值： (6258) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 21 关注私信	不吃早饭 6 楼另外linker并不存在无法加载的问题，因为实际上zygote进程启动时内存中装载的第一段内存的就是linker文件的映射。可以通过解析maps来获取内存中加载好的linker的文件路径最后于 2021-5-26 13:24 被不吃早饭编辑，原因： 2021-5-26 13:23 0
珍惜Any 雪币： 4660 活跃值： (14508) 能力值： ( LV9，RANK：230 ) 在线值：发帖 30 回帖 401 粉丝 1346 关注私信	珍惜Any 3 7 楼和VA里面代码差不多,VA里面是通过systemcall去查找linker地址，然后进行Hook的 2021-5-26 14:18 0
lhxdiao 雪币： 2090 活跃值： (3948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 115 关注私信	lhxdiao 8 楼恩，楼主绕了太大的弯子，推荐看看我开源的这个：https://github.com/2-young-2-simple/VirtualApp 把仅ARM注释掉，同样支持ARM64的hook，dlopen的钩子实际上不一定要在dlopen上弄，不是会有个回调函数嘛 2021-5-30 08:59 0
heartbeast 雪币： 59 活跃值： (185) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 105 粉丝 0 关注私信	heartbeast 9 楼 dlopen、linker都是开源的。。。。 2021-9-17 10:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Himeko

发帖

回帖

RANK

关注

私信

前言
环境 & 预习
初步尝试Hook

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
葫芦娃雪币： 916 活跃值： (3444) 能力值： ( LV8，RANK：120 ) 在线值：发帖 10 回帖 171 粉丝 334 关注私信	葫芦娃 1 2 楼 "可是到了 aarch64 这里, 找了一圈, 能用的 hook构件也就一枚 And64InlineHook" dobby、frida-gum 哭晕在厕所 2021-5-9 11:18 1
不吃早饭雪币： 29 活跃值： (6258) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 21 关注私信	不吃早饭 3 楼 hook一下linker内的__dl__ZN19android_namespace_t13is_accessibleERKNSt3__112basic_stringIcNS0_11char_traitsIcEENS0_9allocatorIcEEEE，也就是android_namespace_t::is_accessible，让它永远返回true即可解决namespace限制问题最后于 2021-5-26 13:05 被不吃早饭编辑，原因： 2021-5-26 13:05 1
至尊小仙侠雪币： 3257 活跃值： (8345) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 140 粉丝 330 关注私信	至尊小仙侠 4 楼葫芦娃 "可是到了 aarch64 这里, 找了一圈, 能用的 hook构件也就一枚 And64InlineHook" dobby、frida-gum 哭晕在厕所嘻嘻嘻嘻嘻嘻嘻嘻嘻嘻嘻嘻嘻活捉葫芦娃一枚 2021-5-26 13:11 0
不吃早饭雪币： 29 活跃值： (6258) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 21 关注私信	不吃早饭 5 楼文中通过解析opcode得到的那个函数其实是linker的导出函数，手动解析一下linker的导出表（linker其实就是一个特殊的elf文件）即可直接得到该函数的offset 2021-5-26 13:18 0
不吃早饭雪币： 29 活跃值： (6258) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 21 关注私信	不吃早饭 6 楼另外linker并不存在无法加载的问题，因为实际上zygote进程启动时内存中装载的第一段内存的就是linker文件的映射。可以通过解析maps来获取内存中加载好的linker的文件路径最后于 2021-5-26 13:24 被不吃早饭编辑，原因： 2021-5-26 13:23 0
珍惜Any 雪币： 4660 活跃值： (14508) 能力值： ( LV9，RANK：230 ) 在线值：发帖 30 回帖 401 粉丝 1346 关注私信	珍惜Any 3 7 楼和VA里面代码差不多,VA里面是通过systemcall去查找linker地址，然后进行Hook的 2021-5-26 14:18 0
lhxdiao 雪币： 2090 活跃值： (3948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 115 关注私信	lhxdiao 8 楼恩，楼主绕了太大的弯子，推荐看看我开源的这个：https://github.com/2-young-2-simple/VirtualApp 把仅ARM注释掉，同样支持ARM64的hook，dlopen的钩子实际上不一定要在dlopen上弄，不是会有个回调函数嘛 2021-5-30 08:59 0
heartbeast 雪币： 59 活跃值： (185) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 105 粉丝 0 关注私信	heartbeast 9 楼 dlopen、linker都是开源的。。。。 2021-9-17 10:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创] Android10 aarch64 dlopen Hook

前言

环境 & 预习

初步尝试Hook

反汇编 libdl.so

康康 __loader_dlopen

反汇编 linker64

账号登录 验证码登录

账号登录

验证码登录