[原创]内核层隐藏inject so来规避maps扫描-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]内核层隐藏inject so来规避maps扫描

发表于: 2021-10-14 14:41 22352

[原创]内核层隐藏inject so来规避maps扫描

github_yhnu 活跃值

2021-10-14 14:41

22352

声明

学习交流, 请勿用于非法用途

防护系统如何检测你

续接上文内核层偷天换日之hook openat进行文件重定向

我们在分析一些软件的时候. 防护系统通过扫描/proc/self/maps,发现一些异常的so, 那么就会进行上报. 我们有很多方式解决这种问题, 但是我还是希望能够了解内核层底层原理的同时, 能够非常方便的解决此问题.

mmap文件映射需要注意的点

20211014134043

关于mmap的原理这里就不做详细的阐述, 这里面主要关注下文件映射, addr并不是完全相等映射, 只是相近而已. 通过官方的文档可以了解到.

20211014134217

maps文件简单介绍

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

最后于 2021-10-14 14:43 被github_yhnu编辑，原因：

#基础理论 #逆向分析 #HOOK注入 #源码框架

收藏・45

免费・6

支持

赞赏记录

参与人

雪币

留言

时间

sinker_

非常支持你的观点！

2025-2-10 22:02

嫉妒的死远点

为你点赞！

2025-2-9 04:38

alienhe

为你点赞~

2021-12-24 17:08

jmpcall

为你点赞~

2021-10-22 13:40

蟑螂一号

为你点赞~

2021-10-15 10:36

leftlizhi

为你点赞~

2021-10-14 18:35

最新回复 (24)
leftlizhi 雪币： 202 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 2 关注私信	leftlizhi 2 楼这个方案虽然不错，但是其实实际上人家会考虑如何从ROM是不是真的入手，而这个玩意的难度比maps蛋疼多了。另外，可能还得考虑linker下面2组获取modules的数据 2021-10-14 18:36 0
github_yhnu 雪币： 26 能力值： ( LV1，RANK：0 ) 在线值：发帖 11 回帖 26 粉丝 63 关注私信	github_yhnu 3 楼 leftlizhi 这个方案虽然不错，但是其实实际上人家会考虑如何从ROM是不是真的入手，而这个玩意的难度比maps蛋疼多了。另外，可能还得考虑linker下面2组获取modules的数据 rom真不真好解决后面再分享. 可能还得考虑linker下面2组获取modules的数据, 针对这个问题能否详细阐述下. 没理解 2021-10-15 10:04 0
virjar 雪币： 1867 活跃值： (4113) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 242 粉丝 152 关注私信	virjar 1 4 楼 riru不是本身就做了hide么？调用一下他的函数就可以了吧？似乎不需要在内核层面修改？ https://github.com/RikkaApps/Riru/blob/8b337d16dd7f104f543e54ad7d82149018df3298/riru/src/main/cpp/hide/hide.cpp#L93 最后于 2021-10-15 12:13 被virjar编辑，原因： 2021-10-15 12:10 0
不吃早饭雪币： 29 活跃值： (6263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 21 关注私信	不吃早饭 5 楼你都修改内核了，为什么不直接加个hide整个vma的系统调用，被隐藏的segment直接从maps里消失不是更好？ 2021-10-15 12:37 0
github_yhnu 雪币： 26 能力值： ( LV1，RANK：0 ) 在线值：发帖 11 回帖 26 粉丝 63 关注私信	github_yhnu 6 楼不吃早饭你都修改内核了，为什么不直接加个hide整个vma的系统调用，被隐藏的segment直接从maps里消失不是更好？好主意,我已经按照这种模式改了 2021-10-18 09:03 0
github_yhnu 雪币： 26 能力值： ( LV1，RANK：0 ) 在线值：发帖 11 回帖 26 粉丝 63 关注私信	github_yhnu 7 楼 virjar riru不是本身就做了hide么？调用一下他的函数就可以了吧？似乎不需要在内核层面修改？https://github.com/RikkaApps/Riru/blob/8b337d16dd7f104f5 ... 学习了,一段匿名空间但是有可执行权限, 在防护系统看来是否很可疑? 2021-10-18 09:04 0
virjar 雪币： 1867 活跃值： (4113) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 242 粉丝 152 关注私信	virjar 1 8 楼 github_yhnu 学习了,一段匿名空间但是有可执行权限, 在防护系统看来是否很可疑? 感觉还好吧，目前的风控sdk大多还是扫描so文件特征。最后于 2021-10-18 10:29 被virjar编辑，原因： 2021-10-18 10:24 0
不吃早饭雪币： 29 活跃值： (6263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 21 关注私信	不吃早饭 9 楼 github_yhnu 学习了,一段匿名空间但是有可执行权限, 在防护系统看来是否很可疑? 很可疑，某讯就会检测此类内存段 2021-10-18 12:23 0
木志本柯雪币： 4942 活跃值： (4847) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 377 粉丝 5 关注私信	木志本柯 10 楼不吃早饭很可疑，某讯就会检测此类内存段那么如何过内存段是可执行属性检测呢如果代码需要长时间驻留在内存里执行的话 2021-10-18 12:49 0
木志本柯雪币： 4942 活跃值： (4847) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 377 粉丝 5 关注私信	木志本柯 11 楼不吃早饭很可疑，某讯就会检测此类内存段要是能操控cpu就好了 2021-10-18 12:51 0
不吃早饭雪币： 29 活跃值： (6263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 21 关注私信	不吃早饭 12 楼木志本柯那么如何过内存段是可执行属性检测呢如果代码需要长时间驻留在内存里执行的话用户层的话就是拦截io操作，重定向maps，smaps文件，隐藏map_files目录，实现难度较高。内核层的话隐藏对应vma即可，难度较低。最后于 2021-10-18 12:58 被不吃早饭编辑，原因： 2021-10-18 12:57 0
木志本柯雪币： 4942 活跃值： (4847) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 377 粉丝 5 关注私信	木志本柯 13 楼 Android能不能无痕hook内存属性检测api 返回假的属性值 2021-10-18 12:59 0
virjar 雪币： 1867 活跃值： (4113) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 242 粉丝 152 关注私信	virjar 1 14 楼不吃早饭木志本柯那么如何过内存段是可执行属性检测呢如果代码需要长时间驻留在内存里执行的话用户层的话就是拦截io操作，重定向maps，smaps文件 ... 重定向maps文件在很多情况导致各种闪退。不太好操作。fd反查可以拿到重定向的真实的路径 2021-10-18 14:56 0
不吃早饭雪币： 29 活跃值： (6263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 21 关注私信	不吃早饭 15 楼 virjar 重定向maps文件在很多情况导致各种闪退。不太好操作。fd反查可以拿到重定向的真实的路径重定向包括对stat系列函数的hook，许多io相关的操作都需要，例如inotify_add_watch等，当然不只是open/openat。另外重定向只要处理完善并不会出现频繁的闪退，至少我这里没有遇到最后于 2021-10-18 15:12 被不吃早饭编辑，原因： 2021-10-18 15:09 0
不吃早饭雪币： 29 活跃值： (6263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 21 关注私信	不吃早饭 16 楼 virjar 重定向maps文件在很多情况导致各种闪退。不太好操作。fd反查可以拿到重定向的真实的路径一般来讲io重定向的主要问题是内联syscall，这种情况下如果不做专门处理确实会产生逃逸，不过实际上也有解决方案 2021-10-18 15:15 0
virjar 雪币： 1867 活跃值： (4113) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 242 粉丝 152 关注私信	virjar 1 17 楼不吃早饭一般来讲io重定向的主要问题是内联syscall，这种情况下如果不做专门处理确实会产生逃逸，不过实际上也有解决方案 ptrace？还是扫描全部可执行区域？我测试普通的io重定向没有出现过闪退，但是只要对maps进行fd重定向，确实有一定概率闪退。可能真的没有处理完善吧 2021-10-19 09:39 0
RiDiN 雪币： 44 活跃值： (4279) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 95 粉丝 69 关注私信	RiDiN 18 楼 - 最后于 2023-1-31 10:33 被RiDiN编辑，原因： 2021-10-22 11:00 0
github_yhnu 雪币： 26 能力值： ( LV1，RANK：0 ) 在线值：发帖 11 回帖 26 粉丝 63 关注私信	github_yhnu 19 楼 RiDiN https://github.com/rev1si0n/android_kernel_oneplus_msm8998/commit/d3ad2f4925f58df46f787ce46c950fbc15 ... 欢迎添加更多功能互相学习 2021-10-23 17:53 0
leftlizhi 雪币： 202 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 2 关注私信	leftlizhi 20 楼 github_yhnu rom真不真好解决后面再分享. 可能还得考虑linker下面2组获取modules的数据, 针对这个问题能否详细阐述下. 没理解就是，先生成一个进程，再attach它，在检测它的tracerid，看有无自相矛盾 2021-10-26 18:44 0
tcc0lin 雪币： 662 活跃值： (1231) 能力值： ( LV4，RANK：40 ) 在线值：发帖 3 回帖 12 粉丝 15 关注私信	tcc0lin 21 楼不吃早饭你都修改内核了，为什么不直接加个hide整个vma的系统调用，被隐藏的segment直接从maps里消失不是更好？大佬，这种方法是什么意思呢？是直接删除有rwxp权限的那一行吗？如果直接去掉的话maps中的内存地址不连续了 2023-8-10 10:20 0
安和桥南雪币： 3545 活跃值： (3599) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 39 粉丝 12 关注私信	安和桥南 22 楼木志本柯那么如何过内存段是可执行属性检测呢如果代码需要长时间驻留在内存里执行的话简单用户态可以参考 CobaltStrike，不执行的时候修改内存块权限，唤醒的时候再改一遍，要么就按内核 rootkit做 hook 内核函数写一个 filter 2023-8-10 11:24 0
袁伟业雪币： 0 活跃值： (417) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	袁伟业 23 楼好像效果不大，用cat去读maps会隐藏，但是程序都是用fopen去读maps，隐藏不了 2023-12-13 15:56 0
tcc0lin 雪币： 662 活跃值： (1231) 能力值： ( LV4，RANK：40 ) 在线值：发帖 3 回帖 12 粉丝 15 关注私信	tcc0lin 24 楼不吃早饭很可疑，某讯就会检测此类内存段是的，检测inline hook特征的 2024-2-18 19:15 0
秋狝雪币： 3995 活跃值： (31436) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1569 粉丝 38 关注私信	秋狝 25 楼感谢分享 2024-2-18 20:42 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

github_yhnu

发帖

回帖

RANK

关注

私信

声明
防护系统如何检测你
mmap文件映射需要注意的点
maps文件简单介绍

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
leftlizhi 雪币： 202 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 2 关注私信	leftlizhi 2 楼这个方案虽然不错，但是其实实际上人家会考虑如何从ROM是不是真的入手，而这个玩意的难度比maps蛋疼多了。另外，可能还得考虑linker下面2组获取modules的数据 2021-10-14 18:36 0
github_yhnu 雪币： 26 能力值： ( LV1，RANK：0 ) 在线值：发帖 11 回帖 26 粉丝 63 关注私信	github_yhnu 3 楼 leftlizhi 这个方案虽然不错，但是其实实际上人家会考虑如何从ROM是不是真的入手，而这个玩意的难度比maps蛋疼多了。另外，可能还得考虑linker下面2组获取modules的数据 rom真不真好解决后面再分享. 可能还得考虑linker下面2组获取modules的数据, 针对这个问题能否详细阐述下. 没理解 2021-10-15 10:04 0
virjar 雪币： 1867 活跃值： (4113) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 242 粉丝 152 关注私信	virjar 1 4 楼 riru不是本身就做了hide么？调用一下他的函数就可以了吧？似乎不需要在内核层面修改？ https://github.com/RikkaApps/Riru/blob/8b337d16dd7f104f543e54ad7d82149018df3298/riru/src/main/cpp/hide/hide.cpp#L93 最后于 2021-10-15 12:13 被virjar编辑，原因： 2021-10-15 12:10 0
不吃早饭雪币： 29 活跃值： (6263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 21 关注私信	不吃早饭 5 楼你都修改内核了，为什么不直接加个hide整个vma的系统调用，被隐藏的segment直接从maps里消失不是更好？ 2021-10-15 12:37 0
github_yhnu 雪币： 26 能力值： ( LV1，RANK：0 ) 在线值：发帖 11 回帖 26 粉丝 63 关注私信	github_yhnu 6 楼不吃早饭你都修改内核了，为什么不直接加个hide整个vma的系统调用，被隐藏的segment直接从maps里消失不是更好？好主意,我已经按照这种模式改了 2021-10-18 09:03 0
github_yhnu 雪币： 26 能力值： ( LV1，RANK：0 ) 在线值：发帖 11 回帖 26 粉丝 63 关注私信	github_yhnu 7 楼 virjar riru不是本身就做了hide么？调用一下他的函数就可以了吧？似乎不需要在内核层面修改？https://github.com/RikkaApps/Riru/blob/8b337d16dd7f104f5 ... 学习了,一段匿名空间但是有可执行权限, 在防护系统看来是否很可疑? 2021-10-18 09:04 0
virjar 雪币： 1867 活跃值： (4113) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 242 粉丝 152 关注私信	virjar 1 8 楼 github_yhnu 学习了,一段匿名空间但是有可执行权限, 在防护系统看来是否很可疑? 感觉还好吧，目前的风控sdk大多还是扫描so文件特征。最后于 2021-10-18 10:29 被virjar编辑，原因： 2021-10-18 10:24 0
不吃早饭雪币： 29 活跃值： (6263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 21 关注私信	不吃早饭 9 楼 github_yhnu 学习了,一段匿名空间但是有可执行权限, 在防护系统看来是否很可疑? 很可疑，某讯就会检测此类内存段 2021-10-18 12:23 0
木志本柯雪币： 4942 活跃值： (4847) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 377 粉丝 5 关注私信	木志本柯 10 楼不吃早饭很可疑，某讯就会检测此类内存段那么如何过内存段是可执行属性检测呢如果代码需要长时间驻留在内存里执行的话 2021-10-18 12:49 0
木志本柯雪币： 4942 活跃值： (4847) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 377 粉丝 5 关注私信	木志本柯 11 楼不吃早饭很可疑，某讯就会检测此类内存段要是能操控cpu就好了 2021-10-18 12:51 0
不吃早饭雪币： 29 活跃值： (6263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 21 关注私信	不吃早饭 12 楼木志本柯那么如何过内存段是可执行属性检测呢如果代码需要长时间驻留在内存里执行的话用户层的话就是拦截io操作，重定向maps，smaps文件，隐藏map_files目录，实现难度较高。内核层的话隐藏对应vma即可，难度较低。最后于 2021-10-18 12:58 被不吃早饭编辑，原因： 2021-10-18 12:57 0
木志本柯雪币： 4942 活跃值： (4847) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 377 粉丝 5 关注私信	木志本柯 13 楼 Android能不能无痕hook内存属性检测api 返回假的属性值 2021-10-18 12:59 0
virjar 雪币： 1867 活跃值： (4113) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 242 粉丝 152 关注私信	virjar 1 14 楼不吃早饭木志本柯那么如何过内存段是可执行属性检测呢如果代码需要长时间驻留在内存里执行的话用户层的话就是拦截io操作，重定向maps，smaps文件 ... 重定向maps文件在很多情况导致各种闪退。不太好操作。fd反查可以拿到重定向的真实的路径 2021-10-18 14:56 0
不吃早饭雪币： 29 活跃值： (6263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 21 关注私信	不吃早饭 15 楼 virjar 重定向maps文件在很多情况导致各种闪退。不太好操作。fd反查可以拿到重定向的真实的路径重定向包括对stat系列函数的hook，许多io相关的操作都需要，例如inotify_add_watch等，当然不只是open/openat。另外重定向只要处理完善并不会出现频繁的闪退，至少我这里没有遇到最后于 2021-10-18 15:12 被不吃早饭编辑，原因： 2021-10-18 15:09 0
不吃早饭雪币： 29 活跃值： (6263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 21 关注私信	不吃早饭 16 楼 virjar 重定向maps文件在很多情况导致各种闪退。不太好操作。fd反查可以拿到重定向的真实的路径一般来讲io重定向的主要问题是内联syscall，这种情况下如果不做专门处理确实会产生逃逸，不过实际上也有解决方案 2021-10-18 15:15 0
virjar 雪币： 1867 活跃值： (4113) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 242 粉丝 152 关注私信	virjar 1 17 楼不吃早饭一般来讲io重定向的主要问题是内联syscall，这种情况下如果不做专门处理确实会产生逃逸，不过实际上也有解决方案 ptrace？还是扫描全部可执行区域？我测试普通的io重定向没有出现过闪退，但是只要对maps进行fd重定向，确实有一定概率闪退。可能真的没有处理完善吧 2021-10-19 09:39 0
RiDiN 雪币： 44 活跃值： (4279) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 95 粉丝 69 关注私信	RiDiN 18 楼 - 最后于 2023-1-31 10:33 被RiDiN编辑，原因： 2021-10-22 11:00 0
github_yhnu 雪币： 26 能力值： ( LV1，RANK：0 ) 在线值：发帖 11 回帖 26 粉丝 63 关注私信	github_yhnu 19 楼 RiDiN https://github.com/rev1si0n/android_kernel_oneplus_msm8998/commit/d3ad2f4925f58df46f787ce46c950fbc15 ... 欢迎添加更多功能互相学习 2021-10-23 17:53 0
leftlizhi 雪币： 202 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 2 关注私信	leftlizhi 20 楼 github_yhnu rom真不真好解决后面再分享. 可能还得考虑linker下面2组获取modules的数据, 针对这个问题能否详细阐述下. 没理解就是，先生成一个进程，再attach它，在检测它的tracerid，看有无自相矛盾 2021-10-26 18:44 0
tcc0lin 雪币： 662 活跃值： (1231) 能力值： ( LV4，RANK：40 ) 在线值：发帖 3 回帖 12 粉丝 15 关注私信	tcc0lin 21 楼不吃早饭你都修改内核了，为什么不直接加个hide整个vma的系统调用，被隐藏的segment直接从maps里消失不是更好？大佬，这种方法是什么意思呢？是直接删除有rwxp权限的那一行吗？如果直接去掉的话maps中的内存地址不连续了 2023-8-10 10:20 0
安和桥南雪币： 3545 活跃值： (3599) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 39 粉丝 12 关注私信	安和桥南 22 楼木志本柯那么如何过内存段是可执行属性检测呢如果代码需要长时间驻留在内存里执行的话简单用户态可以参考 CobaltStrike，不执行的时候修改内存块权限，唤醒的时候再改一遍，要么就按内核 rootkit做 hook 内核函数写一个 filter 2023-8-10 11:24 0
袁伟业雪币： 0 活跃值： (417) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	袁伟业 23 楼好像效果不大，用cat去读maps会隐藏，但是程序都是用fopen去读maps，隐藏不了 2023-12-13 15:56 0
tcc0lin 雪币： 662 活跃值： (1231) 能力值： ( LV4，RANK：40 ) 在线值：发帖 3 回帖 12 粉丝 15 关注私信	tcc0lin 24 楼不吃早饭很可疑，某讯就会检测此类内存段是的，检测inline hook特征的 2024-2-18 19:15 0
秋狝雪币： 3995 活跃值： (31436) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1569 粉丝 38 关注私信	秋狝 25 楼感谢分享 2024-2-18 20:42 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复