[原创] Android(Linux) 内核 Patch (root + 内核 inline hook) 方案-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创] Android(Linux) 内核 Patch (root + 内核 inline hook) 方案

发表于: 2023-8-22 07:39 16611

[原创] Android(Linux) 内核 Patch (root + 内核 inline hook) 方案

bmax

2023-8-22 07:39

16611

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2024-1-9 17:41 被bmax编辑，原因：怎么内容丢了

#基础理论 #程序开发 #HOOK注入 #系统相关 #源码框架 #工具脚本

收藏・32

免费・16

支持

最新回复 (28) 1 2 ▶
mb_lpcoesnt 雪币： 1331 活跃值： (1934) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 2 关注私信	mb_lpcoesnt 2 楼这个和skroot很像啊 2023-8-22 08:24 0
秋狝雪币： 3004 活跃值： (30866) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 3 楼感谢分享 2023-8-22 09:17 1
wx_晚风_407 雪币： 21 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	wx_晚风_407 4 楼强!! 支持! 2023-8-22 10:34 1
New对象处雪币： 129 活跃值： (4485) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 135 粉丝 18 关注私信	New对象处 5 楼 666，start先，坐等大佬实现syscall hook 2023-8-22 10:34 0
bmax 雪币： 764 活跃值： (2045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 47 关注私信	bmax 6 楼 New对象处 666，start先，坐等大佬实现syscall hook 已经有了现在，KernelPatch 中有实现了两种模式，一种使替换 syscall table 的，但是这种方式在高版本的android内核（我测过5.10）会因为有 Control Flow Integrity 出问题，还需要适配，低版本没问题。另一种模式是 inline-hook 的，现在使用的是这种。你可以看看 KernelPatch 的 kernel/init/include/syscall.h 和 kernel/init/accctl/supercall.c 是如何使用的。不过现在模块模块功能没开发，可能需要直接改 KernelPatch 代码 2023-8-22 10:50 0
不吃早饭雪币： 29 活跃值： (5647) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 7 楼 666，强的 2023-8-22 11:03 0
月落之汀雪币： 6369 活跃值： (1683) 能力值： ( LV4，RANK：156 ) 在线值：发帖 6 回帖 158 粉丝 8 关注私信	月落之汀 1 8 楼 bmax 已经有了现在，KernelPatch 中有实现了两种模式，一种使替换 syscall table 的，但是这种方式在高版本的android内核（我测过5.10）会因为有 Control Flow In ... 早上就在奇怪cfi的问题，不过之前看过cfi的具体实现，感觉hook下就能过掉，不是很难，这个patch的思路真的挺不错的，读完代码研习下dalao的操作 2023-8-22 11:36 0
NPC2000 雪币： 2264 活跃值： (3094) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 3 关注私信	NPC2000 9 楼太强了 2023-8-22 12:10 0
Loopher 雪币： 210 活跃值： (626) 能力值： ( LV2，RANK：15 ) 在线值：发帖 3 回帖 204 粉丝 0 关注私信	Loopher 10 楼这么强悍6666 2023-8-22 12:39 0
bmax 雪币： 764 活跃值： (2045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 47 关注私信	bmax 11 楼月落之汀早上就在奇怪cfi的问题，不过之前看过cfi的具体实现，感觉hook下就能过掉，不是很难，这个patch的思路真的挺不错的，读完代码研习下dalao的操作但是其实 inline hook 也有问题，如果是内核运行中进行 hook，因为不是原子操作，还会引入同步问题，需要 stop_machine，并且如果某个task正运行在需要 patch 的指令上，或者 patch 指令的地方有跳转且某个task堆栈正好就在这，会很麻烦，不过概率很小，可以检测到就 hook 失败重新来。具体我也没细研究 2023-8-22 13:11 0
bmax 雪币： 764 活跃值： (2045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 47 关注私信	bmax 12 楼月落之汀早上就在奇怪cfi的问题，不过之前看过cfi的具体实现，感觉hook下就能过掉，不是很难，这个patch的思路真的挺不错的，读完代码研习下dalao的操作有个思路，如果只是 syscall table hook，其实可以尝试下跳过 xxx.cfi 函数，不知道可不可行 2023-8-22 13:16 0
月落之汀雪币： 6369 活跃值： (1683) 能力值： ( LV4，RANK：156 ) 在线值：发帖 6 回帖 158 粉丝 8 关注私信	月落之汀 1 13 楼 bmax 有个思路，如果只是 syscall table hook，其实可以尝试下跳过 xxx.cfi 函数，不知道可不可行之前尝试过是不行的，当然也可能是我的方法有问题，过段时间我试试能不能把kcfi bypass了 2023-8-22 16:04 0
智取棋雪币： 893 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 9 粉丝 1 关注私信	智取棋 14 楼很好 2023-8-23 14:59 0
fangkang 雪币： 195 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	fangkang 15 楼 Meizu M5 Note5 kernel 是 Linux version 3.18.35+ (flyme@Mz-Builder-l7) (gcc version 4.9 20150123 (prerelease) (GCC) ) #1 SMP PREEMPT Thu Jul 9 20:02:30 CST 2020 使用kptools patch 后得到新kernel，使用AIK重新打包后再使用mtk-client写入boot分区后无法启动，主板上的URAT脚位也不知道，不好抓preloader的启动日志信息。不知道有没有朋友了解 MTK平台的BOOT解包、修改、打包中的注意事项最后于 2023-8-25 10:36 被fangkang编辑，原因： 2023-8-25 10:35 0
miyuecao 雪币： 574 活跃值： (405) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 156 粉丝 1 关注私信	miyuecao 16 楼支持下，持续关注 2023-8-25 15:00 0
mb_ckpefbiq 雪币： 1 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 1 关注私信	mb_ckpefbiq 17 楼 app的状态栏和kernelsu 好像，实测骁龙 5.15的设备无法开机， 2023-8-25 16:13 0
abcz316 雪币： 401 活跃值： (2034) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 69 粉丝 199 关注私信	abcz316 18 楼楼主思路不错，但不是所有内核的banner都是Linux version开头，而且不是所有的内核都会开放kallsyms_lookup_name，楼主是否有考虑这点呢？ 2023-8-26 13:12 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 19 楼 mark 2023-8-26 15:04 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 20 楼 abcz316 楼主思路不错，但不是所有内核的banner都是Linux version开头，而且不是所有的内核都会开放kallsyms_lookup_name，楼主是否有考虑这点呢？活捉一位读烂了十多本内核书的大佬 2023-8-26 23:14 0
mb_ipugnluu 雪币： 18 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 11 粉丝 2 关注私信	mb_ipugnluu 21 楼厉害大佬 2023-8-28 04:56 0
bmax 雪币： 764 活跃值： (2045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 47 关注私信	bmax 22 楼确实是，没有开 CONFIG_KALLSYMS 确实不行，还没见过，不过这种设备应该只有少部分路由器啥的内存少才会这么配吧 2023-8-28 07:51 0
bmax 雪币： 764 活跃值： (2045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 47 关注私信	bmax 23 楼 abcz316 楼主思路不错，但不是所有内核的banner都是Linux version开头，而且不是所有的内核都会开放kallsyms_lookup_name，楼主是否有考虑这点呢？确实是，没有开 CONFIG_KALLSYMS 确实不行，还没见过，不过这种设备应该只有少部分路由器啥的内存少才会这么配吧 2023-8-28 07:53 0
bmax 雪币： 764 活跃值： (2045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 47 关注私信	bmax 24 楼 fangkang Meizu M5 Note5kernel 是 Linux version 3.18.35+& ... 3.18 没测过，uart 搞了几天没搞明白就不搞了，现在都是一块块的注释代码定位问题在哪，实在不行也可以把手机寄给我我搞一下 2023-8-28 08:03 0
fangkang 雪币： 195 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	fangkang 25 楼 @bmax 这个魅族M5 Note中的kallsyms的读取需要在kallsyms.c的593行修改成 int32_t target_offset = info->linux_banner_offset - 0x1000 主要是他的起始地址是 0xffffffc000081000 而不是 0xffffffc000080000 然后我尝试手动修补bytecode 试着在某个函数的开头使用B指令跳转到新的偏移，然后平衡堆栈后在跳回原处，但无法启动，我觉得如果您知道手动修补的注意事项，告诉我们，我们可以试试看只做简单修补，看能否完成刷机启动最好不过如果需要手机，请私信。 2023-8-28 09:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

bmax

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
mb_lpcoesnt 雪币： 1331 活跃值： (1934) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 2 关注私信	mb_lpcoesnt 2 楼这个和skroot很像啊 2023-8-22 08:24 0
秋狝雪币： 3004 活跃值： (30866) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 3 楼感谢分享 2023-8-22 09:17 1
wx_晚风_407 雪币： 21 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	wx_晚风_407 4 楼强!! 支持! 2023-8-22 10:34 1
New对象处雪币： 129 活跃值： (4485) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 135 粉丝 18 关注私信	New对象处 5 楼 666，start先，坐等大佬实现syscall hook 2023-8-22 10:34 0
bmax 雪币： 764 活跃值： (2045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 47 关注私信	bmax 6 楼 New对象处 666，start先，坐等大佬实现syscall hook 已经有了现在，KernelPatch 中有实现了两种模式，一种使替换 syscall table 的，但是这种方式在高版本的android内核（我测过5.10）会因为有 Control Flow Integrity 出问题，还需要适配，低版本没问题。另一种模式是 inline-hook 的，现在使用的是这种。你可以看看 KernelPatch 的 kernel/init/include/syscall.h 和 kernel/init/accctl/supercall.c 是如何使用的。不过现在模块模块功能没开发，可能需要直接改 KernelPatch 代码 2023-8-22 10:50 0
不吃早饭雪币： 29 活跃值： (5647) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 7 楼 666，强的 2023-8-22 11:03 0
月落之汀雪币： 6369 活跃值： (1683) 能力值： ( LV4，RANK：156 ) 在线值：发帖 6 回帖 158 粉丝 8 关注私信	月落之汀 1 8 楼 bmax 已经有了现在，KernelPatch 中有实现了两种模式，一种使替换 syscall table 的，但是这种方式在高版本的android内核（我测过5.10）会因为有 Control Flow In ... 早上就在奇怪cfi的问题，不过之前看过cfi的具体实现，感觉hook下就能过掉，不是很难，这个patch的思路真的挺不错的，读完代码研习下dalao的操作 2023-8-22 11:36 0
NPC2000 雪币： 2264 活跃值： (3094) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 3 关注私信	NPC2000 9 楼太强了 2023-8-22 12:10 0
Loopher 雪币： 210 活跃值： (626) 能力值： ( LV2，RANK：15 ) 在线值：发帖 3 回帖 204 粉丝 0 关注私信	Loopher 10 楼这么强悍6666 2023-8-22 12:39 0
bmax 雪币： 764 活跃值： (2045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 47 关注私信	bmax 11 楼月落之汀早上就在奇怪cfi的问题，不过之前看过cfi的具体实现，感觉hook下就能过掉，不是很难，这个patch的思路真的挺不错的，读完代码研习下dalao的操作但是其实 inline hook 也有问题，如果是内核运行中进行 hook，因为不是原子操作，还会引入同步问题，需要 stop_machine，并且如果某个task正运行在需要 patch 的指令上，或者 patch 指令的地方有跳转且某个task堆栈正好就在这，会很麻烦，不过概率很小，可以检测到就 hook 失败重新来。具体我也没细研究 2023-8-22 13:11 0
bmax 雪币： 764 活跃值： (2045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 47 关注私信	bmax 12 楼月落之汀早上就在奇怪cfi的问题，不过之前看过cfi的具体实现，感觉hook下就能过掉，不是很难，这个patch的思路真的挺不错的，读完代码研习下dalao的操作有个思路，如果只是 syscall table hook，其实可以尝试下跳过 xxx.cfi 函数，不知道可不可行 2023-8-22 13:16 0
月落之汀雪币： 6369 活跃值： (1683) 能力值： ( LV4，RANK：156 ) 在线值：发帖 6 回帖 158 粉丝 8 关注私信	月落之汀 1 13 楼 bmax 有个思路，如果只是 syscall table hook，其实可以尝试下跳过 xxx.cfi 函数，不知道可不可行之前尝试过是不行的，当然也可能是我的方法有问题，过段时间我试试能不能把kcfi bypass了 2023-8-22 16:04 0
智取棋雪币： 893 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 9 粉丝 1 关注私信	智取棋 14 楼很好 2023-8-23 14:59 0
fangkang 雪币： 195 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	fangkang 15 楼 Meizu M5 Note5 kernel 是 Linux version 3.18.35+ (flyme@Mz-Builder-l7) (gcc version 4.9 20150123 (prerelease) (GCC) ) #1 SMP PREEMPT Thu Jul 9 20:02:30 CST 2020 使用kptools patch 后得到新kernel，使用AIK重新打包后再使用mtk-client写入boot分区后无法启动，主板上的URAT脚位也不知道，不好抓preloader的启动日志信息。不知道有没有朋友了解 MTK平台的BOOT解包、修改、打包中的注意事项最后于 2023-8-25 10:36 被fangkang编辑，原因： 2023-8-25 10:35 0
miyuecao 雪币： 574 活跃值： (405) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 156 粉丝 1 关注私信	miyuecao 16 楼支持下，持续关注 2023-8-25 15:00 0
mb_ckpefbiq 雪币： 1 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 1 关注私信	mb_ckpefbiq 17 楼 app的状态栏和kernelsu 好像，实测骁龙 5.15的设备无法开机， 2023-8-25 16:13 0
abcz316 雪币： 401 活跃值： (2034) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 69 粉丝 199 关注私信	abcz316 18 楼楼主思路不错，但不是所有内核的banner都是Linux version开头，而且不是所有的内核都会开放kallsyms_lookup_name，楼主是否有考虑这点呢？ 2023-8-26 13:12 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 19 楼 mark 2023-8-26 15:04 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 20 楼 abcz316 楼主思路不错，但不是所有内核的banner都是Linux version开头，而且不是所有的内核都会开放kallsyms_lookup_name，楼主是否有考虑这点呢？活捉一位读烂了十多本内核书的大佬 2023-8-26 23:14 0
mb_ipugnluu 雪币： 18 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 11 粉丝 2 关注私信	mb_ipugnluu 21 楼厉害大佬 2023-8-28 04:56 0
bmax 雪币： 764 活跃值： (2045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 47 关注私信	bmax 22 楼确实是，没有开 CONFIG_KALLSYMS 确实不行，还没见过，不过这种设备应该只有少部分路由器啥的内存少才会这么配吧 2023-8-28 07:51 0
bmax 雪币： 764 活跃值： (2045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 47 关注私信	bmax 23 楼 abcz316 楼主思路不错，但不是所有内核的banner都是Linux version开头，而且不是所有的内核都会开放kallsyms_lookup_name，楼主是否有考虑这点呢？确实是，没有开 CONFIG_KALLSYMS 确实不行，还没见过，不过这种设备应该只有少部分路由器啥的内存少才会这么配吧 2023-8-28 07:53 0
bmax 雪币： 764 活跃值： (2045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 47 关注私信	bmax 24 楼 fangkang Meizu M5 Note5kernel 是 Linux version 3.18.35+& ... 3.18 没测过，uart 搞了几天没搞明白就不搞了，现在都是一块块的注释代码定位问题在哪，实在不行也可以把手机寄给我我搞一下 2023-8-28 08:03 0
fangkang 雪币： 195 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	fangkang 25 楼 @bmax 这个魅族M5 Note中的kallsyms的读取需要在kallsyms.c的593行修改成 int32_t target_offset = info->linux_banner_offset - 0x1000 主要是他的起始地址是 0xffffffc000081000 而不是 0xffffffc000080000 然后我尝试手动修补bytecode 试着在某个函数的开头使用B指令跳转到新的偏移，然后平衡堆栈后在跳回原处，但无法启动，我觉得如果您知道手动修补的注意事项，告诉我们，我们可以试试看只做简单修补，看能否完成刷机启动最好不过如果需要手机，请私信。 2023-8-28 09:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复