Android9.0 hook dlopen问题/如何hook dlopen相关函数

最新推荐文章于 2025-10-03 11:51:37 发布
原创 最新推荐文章于 2025-10-03 11:51:37 发布 · 4.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

Android9.0中在activity的onCreate之前hook dlopen函数,如果需要返回值(即修改了LR寄存器),那么会触发:E/libEGL: EGL_ANDROID_blob_cache advertised, but unable to get eglSetBlobCacheFuncsANDROID。不会crash,但是界面不会绘制出来。

是因为dlopen(libEGL_adreno.so, 2)、dlopen(libGLESv2_adreno.so, 2)返回都是null。理论上其他任何hook框架也都存在这个问题,测试了几个也确实都存在。

dlopen函数实现在libdl.so,

.text:0000000000000EF8                 WEAK dlopen
.text:0000000000000EF8 dlopen                                  ; DATA XREF: LOAD:0000000000000508↑o
.text:0000000000000EF8
.text:0000000000000EF8 var_s0          =  0
.text:0000000000000EF8
.text:0000000000000EF8 ; __unwind {
.text:0000000000000EF8                 STP             X29, X30, [SP,#-0x10+var_s0]!
.text:0000000000000EFC                 MOV             X29, SP
.text:0000000000000F00                 MOV             X2, X30 ; a3
.text:0000000000000F04                 BL              .__loader_dlopen
.text:0000000000000F08                 LDP             X29, X30, [SP+var_s0],#0x10
.text:0000000000000F0C                 RET
.text:0000000000000F0C ; } // starts at EF8
.text:0000000000000F0C ; End of function dlopen

这里把LR寄存器当作第三个参数传递给.__loader_dlopen,而我们hook时为了能拿到返回值是修改了LR寄存器的,这是不可避免的。如果不修改LR寄存器,除非我们知道函数结尾,在函数结尾修改LR寄存器或者跳到shellcode/hook函数,但是通常是不现实的,函数开头容易确认,函数结尾很难自动化确认。

// Proxy calls to bionic loader
__attribute__((__weak__))
void* dlopen(const char* filename, int flag) {
  const void* caller_addr = __builtin_return_address(0);
  return __loader_dlopen(filename, flag, caller_addr);
}

__builtin_return_address函数应该是gcc内部函数,0获取的是被调用函数返回后执行的指令地址,至于1之后的数字是否能获取到函数调用栈待测试。已测试:
1、0获取的就是进入函LR寄存器的值。
2、1获取的是r7(thumb)/r12(arm),即ip寄存器的值,所以能不能获取到正确的值取决于上层是否使用了ip寄存器暂存sp,且ip寄存器之后(栈上)就是在栈上存储的LR寄存器的值。所以不满足这些条件的函数是获取不到的甚至是错误的。

爷爷函数:
.text:0000C250 ; __unwind {
.text:0000C250                 PUSH            {R4,R5,
最低0.47元/天 解锁文章
python eval 转换k m到乘法计算
weixin_43852674的博客
09-28 831
原数据 lambda函数处理 我之前写了各种if substr函数,各种报错 正确到热泪盈眶的函数 data['Followers/Fans'] = data['Followers/Fans'].str.replace('k|K','*1000').str.replace('m|M','*1000000').fillna('0') data['Followers/Fans'] = data['Followers/Fans'].apply(eval) 报错函数 # def trans(x): #
绕过bili frida反调试
头铁逆向的旅程
04-29 7245
绕过bilibili frida反调试
安卓逆向为什么需要hook dlopen
最新发布
hhtt19820919的博客
10-03 1512
摘要:在安卓逆向工程中,Hook dlopen 是关键操作,用于监控和修改动态库(.so文件)的加载过程。通过拦截dlopen,可实现动态库加载监控、关键函数注入、反调试绕过等功能。常见技术包括LD_PRELOAD、Inline Hook及Frida等工具。应用场景包括分析加密算法、绕过保护机制和动态注入功能。但需注意兼容性、反检测措施及法律合规性。该技术为深入分析和修改应用行为提供了强大支持。(150字)
Android中opengles,egl库的结构
liao_hb的专栏
05-15 3613
目录 egl,opengl es的软硬件实现 需要的库 库的分工 加载模块 软件实现模块 硬件实现模块 egl,opengl es的软硬件实现 需要的库 //算是android中的egl库,用来加载具体的实现(软件实现或者硬件实现) system\lib\libEGL.so //opengl具体实现的wrapper,无论软件硬件实现时,均需加载这2个调用转发库 system\lib\libGLESv1_CM.so // opengl es 1.0调用的wrapper壳,对应..
android下运行时动态链接dlopen()和dlsym()的实现
weixin_34253126的博客
07-13 871
android中,就如同在Linux下一样,我们也可以在app...
Android下使用dlopen函数动态调用.
shangyaowei的专栏
12-19 868
在这篇文章(【09.03.25】Linux环境中dlopen函数的简单应用)中。实现了在UBUNTU LINUX环境下使用dlopen函数动态调用.so链接库。但是也提到了在Android下未能成功。由于Android也是使用linux内核,因此估计程序本身可能并没有什么错误,问题应该是出现在Android.mk文件中。今天早上试着修改了一下Android.mk,终于将这个问题解决了。 好在两
frida_hook_dlopen
SXXYNHHXX的博客
11-28 1716
Frida 脚本用于拦截 Android 应用程序中的dlopen函数。这两个函数用于动态加载共享库,脚本通过拦截这些函数的调用来记录加载的库的路径。
精选资源
绕过移动系统限制的dlopen库-Android开发
05-26
Android 7以上dlopen, System.load都是被限制调用的,虽然目前网上有Nougat_dlfunctions等库通过从maps中找so库来绕过加载限制。 不过对于app中还没被加载到maps的so库,这种方式就不行了。 而byOpen不仅支持fake ...
【胖虎的逆向之路】——GOT/PLT Hook详解&针对自定义so库的Hook实操
无方少年游
06-30 2322
随着 Android 开发的技术宽度不断向 native 层扩展,Native hook 已经被用于越来越多的业务场景中,之前作者一直游离于Java层面的逆向,后来工作使然,接触到了Native 层的Hook,熟悉了ELF的文件结构&GOT/PLT&In Line Hook相关知识和实际操作,Android Native Hook 的实现方式有很多种,我们接下来要讲的是(篇幅略略略长,阅读时长约20 min。
hook dlopen
05-15
具体实现可以使用动态链接库注入技术,将一个自行编写的动态链接库注入到目标进程中,然后在该库中通过 hook dlopen 函数,修改链接库的符号表实现函数劫持。这个库可以通过 LD_PRELOAD 环境变量或者使用函数调用的...
Android下使用dlopen函数动态调用.so链接库
Android 开发
10-31 8290
在这篇文章(【09.03.25】Linux环境中dlopen函数的简单应用)中。实现了在UBUNTU LINUX环境下使用dlopen函数动态调用.so链接库。但是也提到了在Android下未能成功。由于Android也是使用linux内核,因此估计程序本身可能并没有什么错误,问题应该是出现在Android.mk文件中。今天早上试着修改了一下Android.mk,终于将这个问题解决了。 好在
Android9.0 代码注入,[原创]Android9.0 hook dlopen问题/如何hook dlopen相关函数
weixin_28744423的博客
05-26 803
Android9.0中在activity的onCreate之前hook dlopen函数,如果需要返回值(即修改了LR寄存器),那么会触发:E/libEGL: EGL_ANDROID_blob_cache advertised, but unable to get eglSetBlobCacheFuncsANDROID。不会crash,但是界面不会绘制出来。是因为dlopen(libEGL_adr...
android 禁用dlsym_Android10 aarch64 dlopen Hook
weixin_32302013的博客
01-15 749
前言[toc]对于自动化hook Il2cpp 的模块来说, dlopenhook相当于一个大门, 没有该大门口, 一切都是纸上谈兵在 armabi-v7a 上hook dlopen, 轻松的不要不要的, 甚至借用一下 virtual 系列app的 va++ 核心提供的 hook_dlopen 函数的接口都行可是到了 aarch64 这里, 找了一圈, 能用的 hook构件 也就一枚 And6...
Android JNI使用dlopen动态链接库
wolf0706的专栏
04-17 1257
具体来说,dlopen 函数可以接受一个共享库的路径作为参数,并返回一个句柄(handle),该句柄用于后续操作,例如通过 dlsym 获取库中的函数地址,以及通过 dlclose 关闭已加载的库。在 Android 开发中,dlopen 通常与 JNI(Java Native Interface)一起使用,以便在 C/C++ 层加载第三方库,并在 Java 层中调用这些库中的函数。它的主要作用是在程序运行时动态地加载共享库,使得程序可以在不重新编译的情况下加载并使用库中的函数和变量。
[LINUX]LD_PRELOAD中对于dlopen函数hook
小蜗牛之家
04-08 1212
- LD_PRELOAD的hook方式可以hook大部分的函数,通常需要通过dlopen获取共享库的句柄,然后用dlsym获取对应名称的函数地址, 用于后续调用; - 这种方式对于绝大多数的libc暴露的函数均有效,但是对于dlopen这种机制中需要使用的函数无法进行hook,因为一旦hookdlopen函数,则会在获取共享库句柄的时候,陷入死循环; - 解决方式:自主编译libc,建立一个...
1-6. C++函数
Bean Wang
10-12 443
函数的作用是将一段经常使用的进行封装,减少代码的重复。在大型程序中,也将程序拆分为不同的程序块(函数),每个模块实现不同的功能。 一、函数的定义 1. 函数的组成 返回值类型 函数名 参数列表 函数体语句 return 表达式 2. 函数语法 返回值类型函数名(参数列表) { 函数体语句; return 表达式; } int add(int num1, int num2) { int sum = 0; sum = num1+num2; return sum; } ...
Android 逆向】Android 进程注入工具开发 ( 注入代码分析 | 获取 linker 中的 dlopen 函数地址 并 通过 远程调用 执行该函数 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-05 1588
一、dlopen 函数简介、 二、获取 目标进程 linker 中的 dlopen 函数地址、 三、远程调用 目标进程 linker 中的 dlopen 函数
android dlopen问题
韩搏专栏
04-12 526
其实我们的dlopen()或者dlsym()并没有发生错误,是Android系统自己的某些dlopen使用导致报了错。然后没有地方用dlerror()清空,导致我们使用时报错。在Android中通过JNI调用dlopen()或dlsym()时,有时打印dlerror()会出现:“undefined symbol: JNI_OnLoad”
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值