摘要

APatch在内核中HOOK了truncate(45号)系统调用，作为应用层请求ROOT权限的接口。如下是相关代码，它的含义如下：

• 挑选truncate作为后门调用, 安装HOOK
• 取调用的key与cmd参数, 如果参数校验通过, 进入后门调用, 否则进入正常调用

由此可以得出检验方法：

设置key, cmd参数, 尽可能多的触发后门调用中的代码, 计算执行时间为T1
设置key, cmd参数, 尽可能少的触发后门调用中的代码, 计算执行时间为T2
在正常环境中, T1与T2应该接近, 因为都会触发truncate的参数检验提前返回
在APatch环境中, T1与T2应该有较大相差值

实现细节

检测代码如下, 基本逻辑如下:

• 要将执行线程绑定到固定CPU核心上, 避免线程切换CPU核心产生影响
• 设置参数1为su, 参数2在1000-1005执行若干次, 计算时间T1
• 设置参数1为su, 参数2在994-999执行若干次, 计算时间T2
• 在APatch环境中, T1与T2存在较大差异, 因为T1会执行更多后门代码, T2在后门代码开头即会退出
• 在正常环境中, T1与T2基本无差异, 因为会在truncate函数入口处由于su文件不存在退出

#define _GNU_SOURCE
 
#include <sched.h>
#include <stdio.h>
#include <unistd.h>
 
static inline uint64_t get_ticks() {
  uint64_t v;
  asm volatile("isb; mrs %0, cntvct_el0; isb" : "=r"(v) : : "memory");
  return v;
}
 
void bind_to_cpu(int cpu_id) {
  cpu_set_t cpuset;
  CPU_ZERO(&cpuset);
  CPU_SET(cpu_id, &cpuset);
 
  if (sched_setaffinity(0, sizeof(cpu_set_t), &cpuset) == -1) {
    perror("sched_setaffinity");
  } else {
    printf("Thread successfully bound to CPU %d\n", cpu_id);
  }
}
 
int get_current_cpu() {
  int cpu = sched_getcpu();
  if (cpu == -1) {
    perror("sched_getcpu");
    return -1;
  }
  return cpu;
}
 
uint64_t runner(int cmd) {
  char buffer[3] = "su";
 
  uint64_t t1 = get_ticks();
  for (int i = 0; i < 10000; i++) {
    syscall(45, buffer, cmd);
  }
  uint64_t t2 = get_ticks();
  return t2 - t1;
}
 
int main(int argc, char *argv[]) {
  // 绑定cpu核心, 避免切换cpu核心对结果的影响
  bind_to_cpu(0);
 
  uint64_t d1 = 0, d2 = 0;
  for (int i = 0; i < 5; i++) {
    d2 += runner(0x999 - i);
  }
  for (int i = 0; i < 5; i++) {
    d1 += runner(0x1000 + i);
  }
  printf("Duration for cmd 0x1000: %lu tk\n", d1);
  printf("Duration for cmd 0x500 : %lu tk\n", d2);
  uint64_t diff = d1 > d2 ? d1 - d2 : d2 - d1;
  printf("Delta percentage: %.2f%%\n",
         (double)diff / ((double)(d1 + d2) / 2) * 100.0);
  return 0;
}

如下图所示, APatch环境中T1 T2差异较明显, 正常环境中T1 T2差异不明显

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！

#系统相关

收藏・21

免费・13

支持

最新回复 (7)
mb_ldbucrik 雪币： 7 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 514 粉丝 6 关注私信	mb_ldbucrik 2 楼感谢分享 2026-1-21 11:12 0
Yangser 雪币： 1916 活跃值： (1846) 能力值： ( LV4，RANK：40 ) 在线值：发帖 8 回帖 79 粉丝 120 关注私信	Yangser 3 楼感谢分享 2026-1-21 11:28 0
西瓜帅雪币： 1320 活跃值： (2312) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 56 粉丝 1 关注私信	西瓜帅 4 楼感谢分享 2026-1-21 15:01 0
R0g 雪币： 2259 活跃值： (6504) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 141 粉丝 174 关注私信	R0g 2 5 楼 libtersafe.so，这地方还有种方式可以利用最后于 2026-1-21 20:45 被R0g编辑，原因： 2026-1-21 20:44 0
安卓逆向test 雪币： 495 能力值： ( LV1，RANK：0 ) 在线值：发帖 7 回帖 34 粉丝 60 关注私信	安卓逆向test 6 楼换个系统调用就行了 2026-1-21 21:07 0
lrhtony 雪币： 904 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	lrhtony 7 楼 mt好像有这个检测 2026-1-21 21:39 0
fei3ei 雪币： 184 活跃值： (577) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	fei3ei 8 楼感谢分享 20小时前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

天水姜伯约

发帖

150

回帖

235

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (7)
mb_ldbucrik 雪币： 7 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 514 粉丝 6 关注私信	mb_ldbucrik 2 楼感谢分享 2026-1-21 11:12 0
Yangser 雪币： 1916 活跃值： (1846) 能力值： ( LV4，RANK：40 ) 在线值：发帖 8 回帖 79 粉丝 120 关注私信	Yangser 3 楼感谢分享 2026-1-21 11:28 0
西瓜帅雪币： 1320 活跃值： (2312) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 56 粉丝 1 关注私信	西瓜帅 4 楼感谢分享 2026-1-21 15:01 0
R0g 雪币： 2259 活跃值： (6504) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 141 粉丝 174 关注私信	R0g 2 5 楼 libtersafe.so，这地方还有种方式可以利用最后于 2026-1-21 20:45 被R0g编辑，原因： 2026-1-21 20:44 0
安卓逆向test 雪币： 495 能力值： ( LV1，RANK：0 ) 在线值：发帖 7 回帖 34 粉丝 60 关注私信	安卓逆向test 6 楼换个系统调用就行了 2026-1-21 21:07 0
lrhtony 雪币： 904 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	lrhtony 7 楼 mt好像有这个检测 2026-1-21 21:39 0
fei3ei 雪币： 184 活跃值： (577) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	fei3ei 8 楼感谢分享 20小时前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复