说明

段落引用 本文思路和主要代码来源，感谢大佬们提供的NB思路，关于seccomp等不再赘述，直接传送至各位前辈大佬的文章即可：

[原创]基于seccomp+sigaction的Android通用svc hook方案
[原创]SVC的TraceHook沙箱的实现&无痕Hook实现思路
[原创]分享一个Android通用svc跟踪以及hook方案——Frida-Seccomp

引言

一切都因WMCTF2023一道Android 游戏题BabyAnti-2而起，预期解为拦截mincore调用（int mincore(void *start, size_t length, unsigned char *vec);监测指定大小的页面是否处于物理内存中。一般用于内存扫描的检查，一旦扫描行为发生，有些并不在物理内存的页面被调入。vec 是一个字节数组，用于存储结果。每个字节对应 addr 和 length 指定的内存区域中的一个页面。如果相应的页面驻留在内存中，那么相应的字节的最低位会被设置为 1，否则会被设置为 0。），当时非预期了题目，即直接CheatEngine附加游戏题，扫描内存时游戏虽然会监测到并弹窗，但是游戏正常运行，直接能修改分数并且拿到flag。后来想着除了通过内存搜索mincore的svc调用指令外还有什么其他别的办法快速的拦截svc调用，就看到了看雪上面的三篇文章

实操

经过实验发现，

• Ptrace-seccomp方案原理简单，因为要fork子进程来监控父进程，实操较为复杂且容易出现各种问题。本人手太拙，在用这种方案对小demo是成功的，但是对游戏父进程进行ptrace时会出现问题。

• Frida-seccomp方案，上手十分迅速，但是由于异常处理是Frida来做的，而且利用Frida的Process.setExceptionHandler来自己设置异常回调。这就会导致在进行大量系统调用的APP上使用该方案时产生极大的时间损耗，游戏运行极慢，但是可以成功拦截mincore调用并修改参数。

• Sigaction-seccomp方案中作者给出了主要思路，即通过sigaction注册信号处理handler，这个注册过程和信号处理是发生在APP内部而不是Frida，所以会快很多。一开始采用自己编译so注入到APP，成功拦截mincore调用并修改参数。为了更方便一点，参考Frida-seccomp方案的思路，直接使用Frida的CModule，无需自己编译so并注入，经实验可以成功拦截mincore调用并修改参数。

  关于后两种方案速度的差异可以看,左侧为Frida-seccomp，右侧Sigaction-seccomp
  https://www.notion.so/image/https%3A%2F%2Fprod-files-secure.s3.us-west-2.amazonaws.com%2F3d9d581b-1cbe-449e-9723-f2162662aa76%2F09e51fd2-5c64-40c6-acb4-23206baa069f%2F202401242129.gif?table=block&id=9bd9e09b-835d-4054-9d85-4be562ebb3a3&t=9bd9e09b-835d-4054-9d85-4be562ebb3a3

DEMO

https://github.com/LLeavesG/Frida-Sigaction-Seccomp

直接将js注入即可实现对openat的监控，需要在logcat过滤native查看结果

在实战时根据自己需求修改CModule中的define，其中target_nr 是目标系统调用号。

在拦截到系统调用后会再次进行系统调用，防止再次被拦截，就需要一个寄存器来放一个标识符SECMAGIC ，避免循环拦截系统调用从而crash。SECMAGIC_POS 即为对应系统调用所不需要的第一个寄存器，比如openat需要三个参数，那么SECMAGIC_POS 填3即可，因为寄存器从x0开始，args[3]即为第四个寄存器。

然后就是在sig_handler 中写劫持逻辑。如果想拦截更多的系统调用，就需要重写seccomp filter 。

除此之外调用栈等信息，可以参考[原创]分享一个Android通用svc跟踪以及hook方案——Frida-Seccomp 阿碧大佬的思路自己添加。

同理也可以实现对mincore的拦截

再次感谢上述大佬提供的代码和思路，本文意在抛砖引玉，如有侵权联系本人删除。

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。