[求助]x86模拟器注入so进行hook的问题-Android安全-看雪-安全社区|安全招聘|kanxue.com

[求助]x86模拟器注入so进行hook的问题

发表于: 2022-5-9 19:01 15407

[求助]x86模拟器注入so进行hook的问题

Migration

2022-5-9 19:01

15407

环境: 模拟器是x86架构雷电模拟器, android系统是5.1, app只支持v7a架构, app在模拟器上正常运行
需求: 现在自己写了一个so, 想要注入app进行hook, 但是一直没办法注入

ptrace注入方式

x86的注入器, x86的so, 注入似乎是成功的, maps文件能看到自己的so的路径, 但是因为app是v7a, 所以可能不行
x86的注入器, v7a的so, 注入在调用dlopen时, 提示has unexpected e_machine: 40, 百度说是elf文件
v7a的注入器, v7a的so, 注入的时候, 调用函数没有报错, 但是在执行后调用ptrace(PTRACE_SETREGS, nPid, nullptr, pRegs)时总是说Device or resource busy

请问有什么办法可以在模拟器上注入自己的so, 或者有什么框架可以做到这个操作, 听朋友说有些外挂通过Xposed可以做到这些, 是否要去学习Xposed框架

代码流程

//ptrace(PTRACE_ATTACH)附加到app
//执行mmap获取返回值, 写入dlopen需要的参数
//执行dlopen函数加载自己的so
//调用函数的方法如下
int ptraceCall(int nPid, uint32_t unAddr, long arrParams[], int nParamNum, pt_regs *pRegs)
{
#if defined(__i386__)
    //写入参数到堆栈
    pRegs->esp -= (long) (nParamNum * sizeof(long));
    ptraceWriteData(nPid, (uint8_t *) pRegs->esp, (uint8_t *) arrParams,
                    (int) (nParamNum * sizeof(long)));
 
    //不知道为什么写入这个
    long unTmp = 0x00;
    pRegs->esp -= sizeof(long);
    ptraceWriteData(nPid, (uint8_t *) pRegs->esp, (uint8_t *) &unTmp, sizeof(unTmp));
 
    pRegs->eip = (long) unAddr;
#elif defined(__arm__)
    //写入参数
    for (int i = 0; i < nParamNum; ++i)
    {
        //写入参数到堆栈
        if (i >= 4)
        {
            pRegs->ARM_sp -= (long)((nParamNum - i) * sizeof(long));
            break;
        }
        //写入参数到寄存器
        pRegs->uregs[i] = arrParams[i];
    }
 
    pRegs->ARM_pc = (long)unAddr;
    if (pRegs->ARM_pc & 1)
    {
        pRegs->ARM_pc &= (long)(~1u);
        pRegs->ARM_cpsr |= CPSR_T_MASK;
    }
    else
    {
        pRegs->ARM_cpsr &= ~CPSR_T_MASK;
    }
#endif
 
    //设置参数并运行
    if (ptraceSetRegs(nPid, pRegs) == -1 || ptraceContinue(nPid) == -1)
    {
        perror("设置寄存器出错或继续运行出错");
        return -1;
    }
 
    int nStat = 0;
    waitpid(nPid, &nStat, WUNTRACED);
    while (nStat != 0xB7F)
    {
        if (ptraceContinue(nPid) == -1)
        {
            perror("继续运行出错");
            return -1;
        }
        waitpid(nPid, &nStat, WUNTRACED);
    }
 
    return 0;
}

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2022-5-9 19:04 被Migration编辑，原因：

#HOOK注入

收藏・13

免费・1

支持

最新回复 (24)
不吃早饭雪币： 29 活跃值： (5652) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 2 楼注入x86作为bridge调用houdini加载arm的so完成hack 2022-5-9 20:28 0
不吃早饭雪币： 29 活跃值： (5652) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 3 楼当然直接远程调用houdini注入arm的库进行hack也行 2022-5-9 20:31 0
Migration 雪币： 196 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 13 粉丝 1 关注私信	Migration 4 楼不吃早饭注入x86作为bridge调用houdini加载arm的so完成hack 感谢回复, 没能在网上找到太多的相关资料, 有相关的代码参考吗 2022-5-10 07:31 0
不吃早饭雪币： 29 活跃值： (5652) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 5 楼 Migration 感谢回复, 没能在网上找到太多的相关资料, 有相关的代码参考吗看aosp里libnativebridge部分代码，那是官方调用houdini的方法 2022-5-10 10:29 0
不吃早饭雪币： 29 活跃值： (5652) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 6 楼 Migration 感谢回复, 没能在网上找到太多的相关资料, 有相关的代码参考吗 https://cs.android.com/android/platform/superproject/+/master:art/libnativebridge/native_bridge.cc;l=563 2022-5-10 10:32 0
Migration 雪币： 196 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 13 粉丝 1 关注私信	Migration 7 楼十分感谢, 我去参考一下 2022-5-10 12:06 0
Migration 雪币： 196 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 13 粉丝 1 关注私信	Migration 8 楼十分感谢, 我去参考一下 2022-5-10 12:06 0
Migration 雪币： 196 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 13 粉丝 1 关注私信	Migration 9 楼不吃早饭 https://cs.android.com/android/platform/superproject/+/master:art/libnativebridge/native_bridge.cc;l ... 十分感谢, 我去参考一下 2022-5-10 12:07 0
Yecate 雪币： 129 活跃值： (2763) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 259 粉丝 6 关注私信	Yecate 10 楼可以替换掉libnb.so native_bridge2_loadLibrary 加载arm的so static void native_bridge2_loadLibrary(const char libpath, int flag) { ALOGV("enter native_bridge2_loadLibrary %s", libpath); NativeBridgeCallbacks cb = get_callbacks(); if (strstr(libpath, "xxx.so")) { ALOGV("load xxx.so"); // 加载我们自己的so文件 void handle = cb->loadLibrary("/data/local/tmp/libhackclient.so", flag); ALOGV("load libhackclient = %p", handle); } return cb ? cb->loadLibrary(libpath, flag) : nullptr; } https://github.com/openthos/device-generic-common/blob/marshmallow-openthos/nativebridge/src/libnb.cpp 最后于 2022-5-10 13:19 被Yecate编辑，原因： 2022-5-10 13:17 0
Migration 雪币： 196 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 13 粉丝 1 关注私信	Migration 11 楼 Yecate 可以替换掉libnb.so native_bridge2_loadLibrary 加载arm的sostatic void *native_brid ... 十分感谢, 我试试 2022-5-10 17:16 0
mb_pabsmtia 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_pabsmtia 12 楼大佬们，出出视频讲解一下，带带弟弟，。 2022-6-17 20:06 0
wx_阿诺雪币： 1 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	wx_阿诺 13 楼大佬最后有解决了吗 2022-7-4 00:41 0
快乐的萌小萌雪币： 195 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	快乐的萌小萌 14 楼大佬能给个联系方式吗学习一下 2022-7-7 10:22 0
lbwnb_nblbw 雪币： 1 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	lbwnb_nblbw 15 楼 x86加载armv7的动态库可以参考java层System.load方法，或者直接java层注入就可以了。 2022-7-7 21:45 0
happyZore 雪币： 40 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	happyZore 16 楼 Yecate 可以替换掉libnb.so native_bridge2_loadLibrary 加载arm的sostatic void *native_brid ... 大佬请问: libnb 这个该如何才能编译他的nativebridge目录下只有android.mk 和 nativebridge.mk 没有application.mk 这种情况该如何才能编译 2022-7-17 23:01 0
Yecate 雪币： 129 活跃值： (2763) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 259 粉丝 6 关注私信	Yecate 17 楼 happyZore 大佬请问: libnb 这个该如何才能编译他的nativebridge目录下只有android.mk 和 nativebridge.mk 没有application.mk 这种情况该如何才能 ... Android.mk LOCAL_PATH := $(call my-dir) include $(CLEAR_VARS) LOCAL_MODULE := nb LOCAL_SRC_FILES := ../libnb.cpp LOCAL_LDLIBS := -llog include $(BUILD_SHARED_LIBRARY) Application.mk APP_ABI := x86 APP_PLATFORM := android-21 APP_STL := c++_static 2022-7-19 08:31 0
wx_小薛_256 雪币： 140 活跃值： (616) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 17 粉丝 35 关注私信	wx_小薛_256 18 楼还是用感染注入好了这些编译的方式好麻烦 2022-8-20 01:03 0
U3D_Modder 雪币： 941 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	U3D_Modder 19 楼 wx_小薛_256 还是用感染注入好了这些编译的方式好麻烦我想买这个添加我的 QQ2491045843 2022-9-4 01:28 0
梅雨个个雪币： 205 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	梅雨个个 20 楼大佬，你解决了吗 2024-3-8 16:54 0
龙乎雪币： 22 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 18 粉丝 3 关注私信	龙乎 21 楼梅雨个个大佬，你解决了吗很多人实现不了应该是不懂如何处理houdini，那玩意确实很坑，网上资料不会很多 2024-3-8 17:27 0
梅雨个个雪币： 205 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	梅雨个个 22 楼龙乎很多人实现不了应该是不懂如何处理houdini，那玩意确实很坑，网上资料不会很多我看了一个https://bbs.kanxue.com/thread-271478.htm 这个链接里有其他解决方法。但我没怎么看懂 2024-3-8 18:25 0
龙乎雪币： 22 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 18 粉丝 3 关注私信	龙乎 23 楼梅雨个个我看了一个https://bbs.kanxue.com/thread-271478.htm 这个链接里有其他解决方法。但我没怎么看懂看下这篇文章就可以了https://www.perfare.net/archives/1897，我也是从这得到灵感，调试了半个多月跑通了模拟器全架构的注入 2024-3-8 19:40 1
梅雨个个雪币： 205 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	梅雨个个 24 楼龙乎看下这篇文章就可以了https://www.perfare.net/archives/1897，我也是从这得到灵感，调试了半个多月跑通了模拟器全架构的注入这么牛逼..感谢我去看看，但这个好像是用面具来注入修改的吧。可以不用面具直接有shell root权限注入嘛？ 2024-3-9 00:07 0
x96dbg 雪币： 198 活跃值： (240) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	x96dbg 25 楼龙乎看下这篇文章就可以了https://www.perfare.net/archives/1897，我也是从这得到灵感，调试了半个多月跑通了模拟器全架构的注入感谢大佬无私馈赠,天不生龙乎大哥,逆向万古如长夜~ 2024-4-25 01:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Migration

发帖

回帖

RANK

关注

私信

他的文章

[求助]x86模拟器注入so进行hook的问题 15408

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
不吃早饭雪币： 29 活跃值： (5652) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 2 楼注入x86作为bridge调用houdini加载arm的so完成hack 2022-5-9 20:28 0
不吃早饭雪币： 29 活跃值： (5652) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 3 楼当然直接远程调用houdini注入arm的库进行hack也行 2022-5-9 20:31 0
Migration 雪币： 196 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 13 粉丝 1 关注私信	Migration 4 楼不吃早饭注入x86作为bridge调用houdini加载arm的so完成hack 感谢回复, 没能在网上找到太多的相关资料, 有相关的代码参考吗 2022-5-10 07:31 0
不吃早饭雪币： 29 活跃值： (5652) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 5 楼 Migration 感谢回复, 没能在网上找到太多的相关资料, 有相关的代码参考吗看aosp里libnativebridge部分代码，那是官方调用houdini的方法 2022-5-10 10:29 0
不吃早饭雪币： 29 活跃值： (5652) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 6 楼 Migration 感谢回复, 没能在网上找到太多的相关资料, 有相关的代码参考吗 https://cs.android.com/android/platform/superproject/+/master:art/libnativebridge/native_bridge.cc;l=563 2022-5-10 10:32 0
Migration 雪币： 196 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 13 粉丝 1 关注私信	Migration 7 楼十分感谢, 我去参考一下 2022-5-10 12:06 0
Migration 雪币： 196 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 13 粉丝 1 关注私信	Migration 8 楼十分感谢, 我去参考一下 2022-5-10 12:06 0
Migration 雪币： 196 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 13 粉丝 1 关注私信	Migration 9 楼不吃早饭 https://cs.android.com/android/platform/superproject/+/master:art/libnativebridge/native_bridge.cc;l ... 十分感谢, 我去参考一下 2022-5-10 12:07 0
Yecate 雪币： 129 活跃值： (2763) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 259 粉丝 6 关注私信	Yecate 10 楼可以替换掉libnb.so native_bridge2_loadLibrary 加载arm的so static void native_bridge2_loadLibrary(const char libpath, int flag) { ALOGV("enter native_bridge2_loadLibrary %s", libpath); NativeBridgeCallbacks cb = get_callbacks(); if (strstr(libpath, "xxx.so")) { ALOGV("load xxx.so"); // 加载我们自己的so文件 void handle = cb->loadLibrary("/data/local/tmp/libhackclient.so", flag); ALOGV("load libhackclient = %p", handle); } return cb ? cb->loadLibrary(libpath, flag) : nullptr; } https://github.com/openthos/device-generic-common/blob/marshmallow-openthos/nativebridge/src/libnb.cpp 最后于 2022-5-10 13:19 被Yecate编辑，原因： 2022-5-10 13:17 0
Migration 雪币： 196 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 13 粉丝 1 关注私信	Migration 11 楼 Yecate 可以替换掉libnb.so native_bridge2_loadLibrary 加载arm的sostatic void *native_brid ... 十分感谢, 我试试 2022-5-10 17:16 0
mb_pabsmtia 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_pabsmtia 12 楼大佬们，出出视频讲解一下，带带弟弟，。 2022-6-17 20:06 0
wx_阿诺雪币： 1 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	wx_阿诺 13 楼大佬最后有解决了吗 2022-7-4 00:41 0
快乐的萌小萌雪币： 195 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	快乐的萌小萌 14 楼大佬能给个联系方式吗学习一下 2022-7-7 10:22 0
lbwnb_nblbw 雪币： 1 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	lbwnb_nblbw 15 楼 x86加载armv7的动态库可以参考java层System.load方法，或者直接java层注入就可以了。 2022-7-7 21:45 0
happyZore 雪币： 40 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	happyZore 16 楼 Yecate 可以替换掉libnb.so native_bridge2_loadLibrary 加载arm的sostatic void *native_brid ... 大佬请问: libnb 这个该如何才能编译他的nativebridge目录下只有android.mk 和 nativebridge.mk 没有application.mk 这种情况该如何才能编译 2022-7-17 23:01 0
Yecate 雪币： 129 活跃值： (2763) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 259 粉丝 6 关注私信	Yecate 17 楼 happyZore 大佬请问: libnb 这个该如何才能编译他的nativebridge目录下只有android.mk 和 nativebridge.mk 没有application.mk 这种情况该如何才能 ... Android.mk LOCAL_PATH := $(call my-dir) include $(CLEAR_VARS) LOCAL_MODULE := nb LOCAL_SRC_FILES := ../libnb.cpp LOCAL_LDLIBS := -llog include $(BUILD_SHARED_LIBRARY) Application.mk APP_ABI := x86 APP_PLATFORM := android-21 APP_STL := c++_static 2022-7-19 08:31 0
wx_小薛_256 雪币： 140 活跃值： (616) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 17 粉丝 35 关注私信	wx_小薛_256 18 楼还是用感染注入好了这些编译的方式好麻烦 2022-8-20 01:03 0
U3D_Modder 雪币： 941 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	U3D_Modder 19 楼 wx_小薛_256 还是用感染注入好了这些编译的方式好麻烦我想买这个添加我的 QQ2491045843 2022-9-4 01:28 0
梅雨个个雪币： 205 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	梅雨个个 20 楼大佬，你解决了吗 2024-3-8 16:54 0
龙乎雪币： 22 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 18 粉丝 3 关注私信	龙乎 21 楼梅雨个个大佬，你解决了吗很多人实现不了应该是不懂如何处理houdini，那玩意确实很坑，网上资料不会很多 2024-3-8 17:27 0
梅雨个个雪币： 205 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	梅雨个个 22 楼龙乎很多人实现不了应该是不懂如何处理houdini，那玩意确实很坑，网上资料不会很多我看了一个https://bbs.kanxue.com/thread-271478.htm 这个链接里有其他解决方法。但我没怎么看懂 2024-3-8 18:25 0
龙乎雪币： 22 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 18 粉丝 3 关注私信	龙乎 23 楼梅雨个个我看了一个https://bbs.kanxue.com/thread-271478.htm 这个链接里有其他解决方法。但我没怎么看懂看下这篇文章就可以了https://www.perfare.net/archives/1897，我也是从这得到灵感，调试了半个多月跑通了模拟器全架构的注入 2024-3-8 19:40 1
梅雨个个雪币： 205 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	梅雨个个 24 楼龙乎看下这篇文章就可以了https://www.perfare.net/archives/1897，我也是从这得到灵感，调试了半个多月跑通了模拟器全架构的注入这么牛逼..感谢我去看看，但这个好像是用面具来注入修改的吧。可以不用面具直接有shell root权限注入嘛？ 2024-3-9 00:07 0
x96dbg 雪币： 198 活跃值： (240) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	x96dbg 25 楼龙乎看下这篇文章就可以了https://www.perfare.net/archives/1897，我也是从这得到灵感，调试了半个多月跑通了模拟器全架构的注入感谢大佬无私馈赠,天不生龙乎大哥,逆向万古如长夜~ 2024-4-25 01:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复