[原创] 基于文件内部指针拦截文件读写-Android安全-看雪安全社区

[原创] 基于文件内部指针拦截文件读写

发表于: 2024-2-20 10:23 19291

[原创] 基于文件内部指针拦截文件读写

肉蚌葱鸡

2024-2-20 10:23

19291

LOGE("开始读取maps");
int fd = syscall(__NR_openat, AT_FDCWD, "/proc/self/maps", O_RDONLY); // 使用系统调用打开文件
if (fd == -1) {
    LOGE("Failed to open maps file");
}
 
char buf[BUF_SIZE];
char byte;
int bytesRead;
int i = 0;
 
while ((bytesRead = syscall(__NR_read, fd, &byte, 1)) > 0) { // 逐字节读取文件内容
    buf[i++] = byte;
 
    if (byte == '\n') {
        buf[i] = '\0'; // 在行末添加字符串终止符
        LOGE("%s", buf);
        i = 0; // 重置缓冲区索引
    }
}
 
if (bytesRead == -1) {
    LOGE("Error while reading file");
    close(fd);
}
 
close(fd);
LOGE("开始读取maps");
int fd = syscall(__NR_openat, AT_FDCWD, "/proc/self/maps", O_RDONLY); // 使用系统调用打开文件
if (fd == -1) {
    LOGE("Failed to open maps file");
}
 
char buf[BUF_SIZE];
char byte;
int bytesRead;
int i = 0;
 
while ((bytesRead = syscall(__NR_read, fd, &byte, 1)) > 0) { // 逐字节读取文件内容
    buf[i++] = byte;
 
    if (byte == '\n') {
        buf[i] = '\0'; // 在行末添加字符串终止符
        LOGE("%s", buf);
        i = 0; // 重置缓冲区索引
    }
}
 
if (bytesRead == -1) {
    LOGE("Error while reading file");
    close(fd);
}
 
close(fd);
#define BUF_SIZE 1024
 
static int count = 0;
 
int checkFd(int fd) {
    if (count == 0) {
        char buf[BUF_SIZE] = {0};
        char byte;
        int i = 0;
 
        while (syscall(__NR_read, fd, &byte, 1) > 0) { // 逐字节读取文件内容
            buf[i++] = byte;
            if (byte == '\n') {
                buf[i] = '\0'; // 在行末添加字符串终止符
                if (strstr(buf, "libart.so")) {
                    // 读取到指定内容 字节返回fd
                    return fd;
                } else {
                    // 回移文件指针
                    off_t current_pos = lseek(fd, 0, SEEK_CUR);
                    syscall(__NR_lseek, fd, current_pos - i, SEEK_SET);
                    count = i;
                    return fd;
                }
            }
        }
    }
    count--;
 
    return fd;
}
#define BUF_SIZE 1024
 
static int count = 0;
 
int checkFd(int fd) {
    if (count == 0) {
        char buf[BUF_SIZE] = {0};
        char byte;
        int i = 0;
 
        while (syscall(__NR_read, fd, &byte, 1) > 0) { // 逐字节读取文件内容
            buf[i++] = byte;
            if (byte == '\n') {

		
								
				
				登录后可查看完整内容
			
			
				
	

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！

		最后于  2024-2-20 10:28		
				被肉蚌葱鸡编辑
				
		，原因： 内容编辑		
	

		#基础理论
		#HOOK注入
		#工具脚本
	

收藏・7

免费・5

支持

最新回复 (5)
肉蚌葱鸡雪币： 0 活跃值： (1803) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 5 关注私信	肉蚌葱鸡 2 楼使用seccomp进行拦截svc似乎会导致一些问题这似乎和在信号处理程序里面再次调用svc有关系 2024-2-21 13:11 0
万里星河雪币： 275 活跃值： (2109) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 591 粉丝 8 关注私信	万里星河 3 楼肉蚌葱鸡使用seccomp进行拦截svc似乎会导致一些问题这似乎和在信号处理程序里面再次调用svc有关系[em_5] 所以需要做个标记以过滤 2024-2-27 22:36 0
肉蚌葱鸡雪币： 0 活跃值： (1803) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 5 关注私信	肉蚌葱鸡 4 楼万里星河所以需要做个标记以过滤好像是的死循环是因为系统调用没有增加判断标识 2024-2-28 10:01 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 810 粉丝 1 关注私信	caolinkai 5 楼感谢分享 2024-3-9 13:59 0
iBa0 雪币： 1550 活跃值： (4493) 能力值： ( LV4，RANK：40 ) 在线值：发帖 6 回帖 325 粉丝 35 关注私信	iBa0 6 楼现在更多的用KPM模块来拦截了 7小时前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

肉蚌葱鸡

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (5)
肉蚌葱鸡雪币： 0 活跃值： (1803) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 5 关注私信	肉蚌葱鸡 2 楼使用seccomp进行拦截svc似乎会导致一些问题这似乎和在信号处理程序里面再次调用svc有关系 2024-2-21 13:11 0
万里星河雪币： 275 活跃值： (2109) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 591 粉丝 8 关注私信	万里星河 3 楼肉蚌葱鸡使用seccomp进行拦截svc似乎会导致一些问题这似乎和在信号处理程序里面再次调用svc有关系[em_5] 所以需要做个标记以过滤 2024-2-27 22:36 0
肉蚌葱鸡雪币： 0 活跃值： (1803) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 5 关注私信	肉蚌葱鸡 4 楼万里星河所以需要做个标记以过滤好像是的死循环是因为系统调用没有增加判断标识 2024-2-28 10:01 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 810 粉丝 1 关注私信	caolinkai 5 楼感谢分享 2024-3-9 13:59 0
iBa0 雪币： 1550 活跃值： (4493) 能力值： ( LV4，RANK：40 ) 在线值：发帖 6 回帖 325 粉丝 35 关注私信	iBa0 6 楼现在更多的用KPM模块来拦截了 7小时前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复