-
-
[原创] 60秒学会用eBPF-BCC hook系统调用 ( 2 ) hook安卓所有syscall
-
发表于: 2022-11-15 20:39
-
.
.
查看手机内核对BPF支持情况
手机为Pixel 6 / Kernel 5.10,
需要的内核功能默认已打开,开箱即用.
.
.
.
下载eadb和debianfs-arm64-full.tar.gz
d1eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6@1K9h3q4F1L8W2)9J5c8X3g2S2k6r3u0Q4x3V1k6J5k6h3I4W2j5i4y4W2M7H3`.`.
.
.
通过eadb安装debian环境
eadb是对adeb的重新实现(rust重写的),
eadb的作用是可以给Android安装一个完整健全的arm debian环境.
(注意:配置ssh密钥的过程这里略过,可通过Magisk模块完成.)
.
.
像平时在ubuntu上那样布置eBPF-BCC的常规过程,
在手机里中来一遍, 没什么不一样的.
.
.
编译安装后, 运行helloworld测试
可以跑的话,
到这就算成功了,
缺陷是还没有IDE,
不方便开发.
.
.
安装proxychains
被墙的话,在手机Deabian里git和wget比较慢,
还是要在手机Debian里配置proxychains之类的代理.
.
.
安装pip
.
.
目的
有了这个步骤, 就可以不用eadb了,
后面可以直接拿vscode ssh登录到手机的Debian上.
.
.
在手机Debian中执行以下操作,配置ssh
.
.
sshd_config的详细配置
.
.
修改Debian的root密码
需要重新修改Debian root密码,登ssh时需要.
.
.
PC客户端上配置一下私钥,然后连接测试
.
.
安装vscode ssh插件
.
.
客户端ssh配置
.
.
连接后,可访问debian服务端上的文件,这个就是资源管理器
.
.
打开bash
.
.
安装Remote Development插件, 即远程开发插件
.
.
安装python插件
.
.
如果要debug启动python脚本, 想传递参数的话, 需要配置一个启动文件.
.
.
配置中,你可能还需要补充一下环境变量
.
.
最后用这个配置文件,调试启动python脚本.
.
.
项目推荐
通过maiyao1988/ebpf-plugin项目,
可一键一次性的HOOK全部syscall.
代码逻辑清晰,
可根据需求自由修改.
(本文只关注eBPF亮点,无痕hook系统调用)
.
.
项目地址
bf1K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6E0j5h3W2&6j5h3)9I4z5e0R3^5i4K6u0r3k6h3u0H3k6W2)9J5k6s2m8D9N6h3N6A6L8R3`.`.
.
.
在手机Debian上运行一下, 看看效果
.
uname -auname -azcat /proc/config.gz | grep PROBEzcat /proc/config.gz | grep PROBE./eadb --ssh root@192.168.x.x -p xxxx prepare -a debianfs-arm64-full.tar.gz./eadb --ssh root@192.168.x.x -p xxxx prepare -a debianfs-arm64-full.tar.gz./eadb --ssh root@192.168.x.x shell./eadb --ssh root@192.168.x.x shellgit clone https://github.com/iovisor/bcc.gitmkdir bcc/build; cd bcc/buildcmake ..makesudo make installcmake -DPYTHON_CMD=python3 .. # build python3 bindingpushd src/python/makesudo make installpopdgit clone https://github.com/iovisor/bcc.gitmkdir bcc/build; cd bcc/buildcmake ..makesudo make installcmake -DPYTHON_CMD=python3 .. # build python3 bindingpushd src/python/makesudo make installpopdcd /bcc/examplespython hello_world.pycd /bcc/examplespython hello_world.pyapt-get install proxychainsvim /etc/proxychains.conf# ---- 配置proxychains.conf ----socks5 192.168.?.? 12345 # 填写代理ip端口# ---- 配置proxychains.conf ----apt-get install proxychainsvim /etc/proxychains.conf# ---- 配置proxychains.conf ----socks5 192.168.?.? 12345 # 填写代理ip端口# ---- 配置proxychains.conf ----proxychains apt-get install python3-pip# 或者proxychains wget https://bootstrap.pypa.io/get-pip.pyproxychains python get-pip.pyproxychains apt-get install python3-pip# 或者proxychains wget https://bootstrap.pypa.io/get-pip.pyproxychains python get-pip.pyapt-get updateapt-get install sshvim /etc/ssh/sshd_config # 编辑详细服务配置vim id_rsa.pub # 手动粘贴导入公钥cat id_rsa.pub >> ~/.ssh/authorized_keyschmod 600 ~/.ssh/authorized_keyschmod 700 ~/.sshservice ssh restart # 手机每次重启后,第一次进入debian,可能都需要手动启动下ssh服务apt-get updateapt-get install sshvim /etc/ssh/sshd_config # 编辑详细服务配置vim id_rsa.pub # 手动粘贴导入公钥cat id_rsa.pub >> ~/.ssh/authorized_keyschmod 600 ~/.ssh/authorized_keyschmod 700 ~/.sshservice ssh restart # 手机每次重启后,第一次进入debian,可能都需要手动启动下ssh服务vim /etc/ssh/sshd_configAuthorizedKeysFile .ssh/authorized_keysPort 11111PubkeyAuthentication yesPermitRootLogin yesPasswordAuthentication yesGSSAPIAuthentication no # 加速SSHUseDNS no # 加速SSHvim /etc/ssh/sshd_configAuthorizedKeysFile .ssh/authorized_keys[培训]Windows内核深度攻防:从Hook技术到Rootkit实战!
