[原创]SVC的TraceHook沙箱的实现&无痕Hook实现思路-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]SVC的TraceHook沙箱的实现&无痕Hook实现思路

2022-6-4 16:39 56061

[原创]SVC的TraceHook沙箱的实现&无痕Hook实现思路

珍惜Any

2022-6-4 16:39

56061

查看主题内容

收藏・184

点赞・71

打赏

打赏 + 165.00雪花

打赏次数 4

雪花 + 165.00

ch1	+5.00	2022/09/25	拨云见雾，受到启发，楼主继续努力！
Editor	+150.00	2022/07/04	恭喜您获得“雪花”奖励，安全圈有你而精彩！
Imyang	+5.00	2022/06/04
菱志漪	+5.00	2022/06/04	大佬牛鼻

最新回复 (103) ◀ 1 2 3 4 5 ▶
珍惜Any 雪币： 1929 活跃值： (12830) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 994 关注私信	珍惜Any 2 2023-1-16 23:46 76 楼 0 不是这么用的。cmake支持asm 直接导入.S文件就可以了 ......
万里星河雪币： 62 活跃值： (518) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 503 粉丝 3 关注私信	万里星河 2023-1-17 11:41 77 楼 0 珍惜Any 不是这么用的。cmake支持asm 直接导入.S文件就可以了 ...... 可是32位的我这样用就没问题呀
不吃早饭雪币： 29 活跃值： (5105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 19 关注私信	不吃早饭 2023-1-17 11:48 78 楼 0 万里星河可是32位的我这样用就没问题呀[em_5] 标注一下naked函数，编译器自动生成的入口部分破坏了上下文
万里星河雪币： 62 活跃值： (518) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 503 粉丝 3 关注私信	万里星河 2023-1-17 18:05 79 楼 0 不吃早饭标注一下naked函数，编译器自动生成的入口部分破坏了上下文嗯标注了naked还是有个坑就是不支持不定长参数目前这样可以用但是感觉不够优雅
不吃早饭雪币： 29 活跃值： (5105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 19 关注私信	不吃早饭 2023-1-17 19:15 80 楼 0 万里星河嗯标注了naked还是有个坑就是不支持不定长参数目前这样可以用但是感觉不够优雅那你为什么不试试把它定义成变长函数？
珍惜Any 雪币： 1929 活跃值： (12830) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 994 关注私信	珍惜Any 2 2023-1-17 23:05 81 楼 0 创建一个.s文件，按照我这样写。
xxRea 雪币： 121 活跃值： (1517) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 146 粉丝 1 关注私信	xxRea 2023-1-17 23:07 82 楼 0 mark
万里星河雪币： 62 活跃值： (518) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 503 粉丝 3 关注私信	万里星河 2023-1-18 13:32 83 楼 0 不吃早饭那你为什么不试试把它定义成变长函数？变长参数始终不行不知为啥但是也不是完全不行第一次的opnat的系统调用正常紧接着的read系统调用出的问题把参数都写出来的版本就没问题最后于 2023-1-18 13:48 被万里星河编辑，原因：
万里星河雪币： 62 活跃值： (518) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 503 粉丝 3 关注私信	万里星河 2023-1-18 13:37 84 楼 0 珍惜Any 创建一个.s文件，按照我这样写。报未定义的错误应该是汇编文件没在cmakeLists.txt里配置好但百度了一圈也没看到配置方法
珍惜Any 雪币： 1929 活跃值： (12830) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 994 关注私信	珍惜Any 2 2023-1-18 20:33 85 楼 0 需要加一下ams支持，这个我在课程都讲过了，v296488320
珍惜Any 雪币： 1929 活跃值： (12830) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 994 关注私信	珍惜Any 2 2023-1-18 20:34 86 楼 0 我看你源码里面没有这个头文件啊，你需要创建一个头文件，.....看我上面图片
万里星河雪币： 62 活跃值： (518) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 503 粉丝 3 关注私信	万里星河 2023-1-19 09:23 87 楼 0 珍惜Any 我看你源码里面没有这个头文件啊，你需要创建一个头文件，.....看我上面图片好的我明白了感谢大佬
樊辉雪币： 224 活跃值： (962) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 147 粉丝 0 关注私信	樊辉 2023-2-22 23:03 88 楼 0 珍惜Any 创建一个.s文件，按照我这样写。大佬，怎么样才能hook execve("ps",...) 过滤掉ps输出的部分内容？
珍惜Any 雪币： 1929 活跃值： (12830) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 994 关注私信	珍惜Any 2 2023-2-23 10:18 89 楼 0 我这个文章写的很详细了，你可以在执行execve之前先生成一份文件，然后把参数换成cat你的文件
mb_ggnlrzcs 雪币： 225 活跃值： (141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	mb_ggnlrzcs 2023-2-23 11:37 90 楼 0 666,mark 一下
樊辉雪币： 224 活跃值： (962) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 147 粉丝 0 关注私信	樊辉 2023-2-23 15:50 91 楼 0 珍惜Any 我这个文章写的很详细了，你可以在执行execve之前先生成一份文件，然后把参数换成cat你的文件好思路，谢谢大佬
樊辉雪币： 224 活跃值： (962) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 147 粉丝 0 关注私信	樊辉 2023-2-25 10:15 92 楼 0 珍惜Any 我这个文章写的很详细了，你可以在执行execve之前先生成一份文件，然后把参数换成cat你的文件再次感谢最后于 2023-2-25 11:36 被樊辉编辑，原因：
mb_foyotena 雪币： 477 活跃值： (1412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 320 粉丝 10 关注私信	mb_foyotena 2023-3-10 18:03 93 楼 0 有没有开箱即用的tool啊
Andy_877594 雪币： 414 活跃值： (934) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 8 粉丝 2 关注私信	Andy_877594 2023-3-12 22:47 94 楼 0 mark
憨豆爆发雪币： 217 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 20 粉丝 9 关注私信	憨豆爆发 2023-3-20 13:04 95 楼 0 tql
万里星河雪币： 62 活跃值： (518) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 503 粉丝 3 关注私信	万里星河 2023-6-7 19:45 96 楼 0 mark
winte 雪币： 18 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	winte 2023-6-7 22:38 97 楼 0 某些国产手机也是这样禁用了hook软件签名
mb_eubdckcw 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	mb_eubdckcw 2023-6-14 14:24 98 楼 0 proot 修改svc返回值依赖于tracee->restart_how = PTRACE_SYSCALL;等待下一次syscall exit stop，这也是linux文档里写的用法。至于proot修改sp简单看了一下，只是为了恢复alloc_mem时对sp的修改，这能导致二次进入svc吗，从汇编来讲也没有道理
珍惜Any 雪币： 1929 活跃值： (12830) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 994 关注私信	珍惜Any 2 2023-6-14 15:01 99 楼 0 mb_eubdckcw proot 修改svc返回值依赖于tracee->restart_how = PTRACE_SYSCALL;等待下一次syscall exit stop，这也是linux文档里写的用法。至于pr ... 你可以看看他seccomp.c里面的那个过滤after, 设计那块
mb_eubdckcw 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	mb_eubdckcw 2023-6-15 11:53 100 楼 0 珍惜Any 你可以看看他seccomp.c里面的那个过滤after, 设计那块 BPF_STMT(BPF_RET + BPF_K, SECCOMP_RET_TRACE + flag) seccomp.c after的逻辑就是这里吧，需要修改返回值的svc此处flag = FILTER_SYSEXIT，在触发enter stop时获取flag并判断是否需要exit stop，需要则tracee->restart_how = PTRACE_SYSCALL;。或许我们看的不是同一个版本吗
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

珍惜Any

发帖

332

回帖

190

RANK

关注

私信

他的文章

聊聊Android签名检测7种核心检测方案详解

[原创]聊聊大厂设备指纹其三&如何在风控对抗这场“猫鼠游戏”中转换角色

[原创]聊聊大厂设备指纹其二&Hunter环境检测思路详解!

il2cpp方法回溯监听&Dump优化

[原创]XposedJnitrace

关于我们

联系我们

企业服务

看雪公众号

最新回复 (103) ◀ 1 2 3 4 5 ▶
珍惜Any 雪币： 1929 活跃值： (12830) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 994 关注私信	珍惜Any 2 2023-1-16 23:46 76 楼 0 不是这么用的。cmake支持asm 直接导入.S文件就可以了 ......
万里星河雪币： 62 活跃值： (518) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 503 粉丝 3 关注私信	万里星河 2023-1-17 11:41 77 楼 0 珍惜Any 不是这么用的。cmake支持asm 直接导入.S文件就可以了 ...... 可是32位的我这样用就没问题呀
不吃早饭雪币： 29 活跃值： (5105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 19 关注私信	不吃早饭 2023-1-17 11:48 78 楼 0 万里星河可是32位的我这样用就没问题呀[em_5] 标注一下naked函数，编译器自动生成的入口部分破坏了上下文
万里星河雪币： 62 活跃值： (518) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 503 粉丝 3 关注私信	万里星河 2023-1-17 18:05 79 楼 0 不吃早饭标注一下naked函数，编译器自动生成的入口部分破坏了上下文嗯标注了naked还是有个坑就是不支持不定长参数目前这样可以用但是感觉不够优雅
不吃早饭雪币： 29 活跃值： (5105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 19 关注私信	不吃早饭 2023-1-17 19:15 80 楼 0 万里星河嗯标注了naked还是有个坑就是不支持不定长参数目前这样可以用但是感觉不够优雅那你为什么不试试把它定义成变长函数？
珍惜Any 雪币： 1929 活跃值： (12830) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 994 关注私信	珍惜Any 2 2023-1-17 23:05 81 楼 0 创建一个.s文件，按照我这样写。
xxRea 雪币： 121 活跃值： (1517) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 146 粉丝 1 关注私信	xxRea 2023-1-17 23:07 82 楼 0 mark
万里星河雪币： 62 活跃值： (518) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 503 粉丝 3 关注私信	万里星河 2023-1-18 13:32 83 楼 0 不吃早饭那你为什么不试试把它定义成变长函数？变长参数始终不行不知为啥但是也不是完全不行第一次的opnat的系统调用正常紧接着的read系统调用出的问题把参数都写出来的版本就没问题最后于 2023-1-18 13:48 被万里星河编辑，原因：
万里星河雪币： 62 活跃值： (518) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 503 粉丝 3 关注私信	万里星河 2023-1-18 13:37 84 楼 0 珍惜Any 创建一个.s文件，按照我这样写。报未定义的错误应该是汇编文件没在cmakeLists.txt里配置好但百度了一圈也没看到配置方法
珍惜Any 雪币： 1929 活跃值： (12830) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 994 关注私信	珍惜Any 2 2023-1-18 20:33 85 楼 0 需要加一下ams支持，这个我在课程都讲过了，v296488320
珍惜Any 雪币： 1929 活跃值： (12830) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 994 关注私信	珍惜Any 2 2023-1-18 20:34 86 楼 0 我看你源码里面没有这个头文件啊，你需要创建一个头文件，.....看我上面图片
万里星河雪币： 62 活跃值： (518) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 503 粉丝 3 关注私信	万里星河 2023-1-19 09:23 87 楼 0 珍惜Any 我看你源码里面没有这个头文件啊，你需要创建一个头文件，.....看我上面图片好的我明白了感谢大佬
樊辉雪币： 224 活跃值： (962) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 147 粉丝 0 关注私信	樊辉 2023-2-22 23:03 88 楼 0 珍惜Any 创建一个.s文件，按照我这样写。大佬，怎么样才能hook execve("ps",...) 过滤掉ps输出的部分内容？
珍惜Any 雪币： 1929 活跃值： (12830) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 994 关注私信	珍惜Any 2 2023-2-23 10:18 89 楼 0 我这个文章写的很详细了，你可以在执行execve之前先生成一份文件，然后把参数换成cat你的文件
mb_ggnlrzcs 雪币： 225 活跃值： (141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	mb_ggnlrzcs 2023-2-23 11:37 90 楼 0 666,mark 一下
樊辉雪币： 224 活跃值： (962) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 147 粉丝 0 关注私信	樊辉 2023-2-23 15:50 91 楼 0 珍惜Any 我这个文章写的很详细了，你可以在执行execve之前先生成一份文件，然后把参数换成cat你的文件好思路，谢谢大佬
樊辉雪币： 224 活跃值： (962) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 147 粉丝 0 关注私信	樊辉 2023-2-25 10:15 92 楼 0 珍惜Any 我这个文章写的很详细了，你可以在执行execve之前先生成一份文件，然后把参数换成cat你的文件再次感谢最后于 2023-2-25 11:36 被樊辉编辑，原因：
mb_foyotena 雪币： 477 活跃值： (1412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 320 粉丝 10 关注私信	mb_foyotena 2023-3-10 18:03 93 楼 0 有没有开箱即用的tool啊
Andy_877594 雪币： 414 活跃值： (934) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 8 粉丝 2 关注私信	Andy_877594 2023-3-12 22:47 94 楼 0 mark
憨豆爆发雪币： 217 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 20 粉丝 9 关注私信	憨豆爆发 2023-3-20 13:04 95 楼 0 tql
万里星河雪币： 62 活跃值： (518) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 503 粉丝 3 关注私信	万里星河 2023-6-7 19:45 96 楼 0 mark
winte 雪币： 18 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	winte 2023-6-7 22:38 97 楼 0 某些国产手机也是这样禁用了hook软件签名
mb_eubdckcw 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	mb_eubdckcw 2023-6-14 14:24 98 楼 0 proot 修改svc返回值依赖于tracee->restart_how = PTRACE_SYSCALL;等待下一次syscall exit stop，这也是linux文档里写的用法。至于proot修改sp简单看了一下，只是为了恢复alloc_mem时对sp的修改，这能导致二次进入svc吗，从汇编来讲也没有道理
珍惜Any 雪币： 1929 活跃值： (12830) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 994 关注私信	珍惜Any 2 2023-6-14 15:01 99 楼 0 mb_eubdckcw proot 修改svc返回值依赖于tracee->restart_how = PTRACE_SYSCALL;等待下一次syscall exit stop，这也是linux文档里写的用法。至于pr ... 你可以看看他seccomp.c里面的那个过滤after, 设计那块
mb_eubdckcw 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	mb_eubdckcw 2023-6-15 11:53 100 楼 0 珍惜Any 你可以看看他seccomp.c里面的那个过滤after, 设计那块 BPF_STMT(BPF_RET + BPF_K, SECCOMP_RET_TRACE + flag) seccomp.c after的逻辑就是这里吧，需要修改返回值的svc此处flag = FILTER_SYSEXIT，在触发enter stop时获取flag并判断是否需要exit stop，需要则tracee->restart_how = PTRACE_SYSCALL;。或许我们看的不是同一个版本吗
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复