Android Inline hook跳转部分代码

最新推荐文章于 2024-11-12 10:58:35 发布
最新推荐文章于 2024-11-12 10:58:35 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: ARM汇编 SO安全
本文介绍了一种通过SO文件注入并Hook目标函数的方法,详细展示了libservice.cpp与shellcode.s两个核心组件的实现细节。文章提供了具体的代码示例,并讨论了可能遇到的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

转自看雪帖子:http://bbs.pediy.com/showthread.php?p=1216957


求人不如求己阿,已经解决啦!现在放出被注入的SO源码(至于如何注入并查找目标函数,自己去看看古河大哥的libinject);


源码主要分为两块:
1.用于初始化trampoline和实现自己函数的libservice.cpp
2.用于实现trampoline的shellcode.s

/* libservice.cpp */
#include <sys/ptrace.h>
#include <asm/user.h>
#include <sys/wait.h>
#include <sys/mman.h>
#include <dlfcn.h>
#include <dirent.h>
#include <unistd.h>
#include <string.h>
#include <elf.h>
#include <sys/types.h>
#include <fcntl.h>
#include <errno.h>

#include <netdb.h>
#include <arpa/inet.h>
#include <sys/stat.h>
#include <pthread.h>
#include <unistd.h>
#include <stdbool.h>
#include <string.h>
#include <android/log.h>
#include <stdio.h> 
#include <stdlib.h>
#include <semaphore.h>
#include <elf.h>
#include <errno.h>
#include <sys/ioctl.h>
#include <fcntl.h>
#include <linux/input.h>
#include "../common/Log.h"

#define LOG_TAG   "Service"

typedef void (*fun_XXXX)(void);

extern uint32_t _hijack, _o_code_0, _o_code_1, _addr_o_code_2, _addr_hook_proc, _n_code_0, _n_code_1;

extern "C" void XXXX_stub() {
  LOGI("[+] XXXX() is called");  
}

/* 根据古河大哥的libject,init函数将会在inject的时候被调到,这里我们传入被hook函数的地址 */
extern "C" int init(void *arg) {
  unsigned int original_XXXX_addr = (unsigned int)arg;

  void* page_start = (void *)(((long)&_hijack / PAGE_SIZE) * PAGE_SIZE);
   if(-1 == mprotect((void *)page_start, PAGE_SIZE, PROT_READ | PROT_WRITE | PROT_EXEC) {
      LOGE("mprotect failed(%d)", errno );
      return -1;
  }
  
  page_start = (void *)(((long)g_original_XXXX / PAGE_SIZE) * PAGE_SIZE);
   if(-1 == mprotect((void *)page_start, PAGE_SIZE * 2, PROT_READ | PROT_WRITE | PROT_EXEC)) {
    LOGE("mprotect failed(%d)", errno );
    return -1;
  }
  
  _o_code_0 = *((unsigned int*)g_original_XXXX); //从被hook函数处读取第一条原始指令
  _o_code_1 = *((unsigned int*)g_original_XXXX + 1); //从被hook函数处读取第二条原始指令
  _addr_o_code_2 = (unsigned int)((unsigned int*)g_original_XXXX + 2); //hook函数第三条指令地址

  _addr_hook_proc = (unsigned int)XXXX_stub; //设置自己函数的地址
  _n_code_1 = (unsigned int)&_hijack;
   memcpy((void *)g_original_XXXX, (void *)&_n_code_0, 2 * sizeof(unsigned int)); //将新的两条指令写入到被hook函数的头两条指令处

  return 0;
}


/* shellcode.s */
.global _hijack
.global _o_code_0
.global _o_code_1
.global _addr_o_code_2

.global _addr_hook_proc

.global _n_code_0
.global _n_code_1

.data

_hijack:
  stmdb sp!, {r0-r11,lr}    @将需要保护的寄存器(r0-r11,lr)压栈
  ldr r3, _addr_hook_proc    @将自己的函数地址装载到寄存器r3
  blx r3         @调用自己的函数
  ldmia sp!, {r0-r11, lr}    @恢复寄存器(r0-r11,lr)

_o_code_0:
.word 0x11111111        @执行被hook函数的第一条原始指令(需要在程序中初始化)

_o_code_1:
.word 0x11111111        @执行被hook函数的第二条原始指令(需要在程序中初始化)
  
  ldr pc, _addr_o_code_2      @跳转到被hook函数的第三条原始指令处继续执行
  
_addr_o_code_2:
.word 0x11111111        @用于保存被hook函数的第三条原始指令的地址(需要在程序中初始化)

_addr_hook_proc:
.word 0x11111111        @用于保存自己函数的地址(需要在程序中初始化)

_n_code_0:
  ldr pc, _n_code_1        @该指令需要被写入被hook函数的第一条指令处,这条指令后就会立即跳转到_hijack处了
 
_n_code_1:
.word 0x11111111        @用于保存trampoline的起始地址,需要被写入被hook函数的第二条指令处(需要在程序中初始化)

.space 0x900, 0

.end

已知问题:

如果被HOOK函数的头两条指令存在相对寻址指令的话,就会有问题。

参考文献:
1.http://bbs.pediy.com/showthread.php?t=72728
2.http://bbs.routerclub.com/blog-681-7706.html
3.http://blog.dbgtech.net/blog/?p=51 
Android_InlineHook:Android内联hook框架
04-15
ndk16、ndk20编译通过。 自实现inline hook 因为以上的问题,目前/或者之前用过的一些hook框架或多或少都有些较大的bug(hookzz之前的某个版本应该是可以的),而对其进行修复成本较高,还不如自己写一个。 首先统一一些概念。把覆盖被hook函数的指令称为跳板0,因为这部分指令越短越好,所以其大多数情况下只是一个跳板,跳到真正的用于hook指令处,这部分指令称为shellcode(shellcode不是必须的,比如跳板0直接跳到hook函数去执行,那么就不需要shellcode)。 这里假设都有一些arm指令的基础了,或者对hook已经有些理解了。后来我想了下我这篇更偏向于怎么写一个稳定可用hook框架,更偏向设计、编程,所以适合已经有些基础的,不是从0讲述hook实现,虽然接下来的部分也会有很细节的部分,但是是针对一些特定的点。建议可以先看下其他人,比如ele7e
Android inline hook
zy531的专栏
11-27 2001
http://www.sanwho.com/248.html 在android中可以通过ptrace附加进程,然后向远程进程注入so库,从而达到监控以及远程进程关键函数挂钩。目前,android上的注入hook基本上都是基于修改got表,从而达到hook拦截效果。比如,android中binder通信封装在libbinder.so里面,libbinder.so中和binder驱动打交道是通过系统
Androidinline hook
kernweak的博客
06-27 1322
arm平台与其他平台的inline hook原理一致,均为函数arm字节码替换 由于指令集的特点,arm平台的inline hook较为复杂: 1、存在arm指令集和thumb指令集 2、无法单纯使用B指令直接跳转,因为b指令跳转范围优先 3、存在literal指令,与当前PC值相关,需要对指令进行修正 以arm指令集作为hook实例 由于arm架构特性,每次修改代码需要刷新cache,因为指令...
Android Inline Hook
weixin_30432007的博客
01-06 214
最近终于沉下心来对着书把hook跟注入方面的代码敲了一遍,打算写几个博客把它们记录下来。 第一次介绍一下我感觉难度最大的inline hook实现代码参考了腾讯GAD的游戏安全入门。 inline hook的大致流程如下: 首先将目标指令替换为跳转指令,跳转地址为一段我们自己编写的汇编代码,这段汇编代码先是执行用户指定的代码,如修改寄存器的值,然后执行被替换掉的原指令2,最后再跳转回原...
android hook 实例,代码实例分析androidinline hook
weixin_39599372的博客
05-29 455
以下内容通过1、实现目标注入程序,2、实现主程序,3、实现注入函数,4、thumb指令集实现等4个方面详细分析了androidinline hook的用法,以下是全部内容:最近终于沉下心来对着书把hook跟注入方面的代码敲了一遍,打算写几个博客把它们记录下来。第一次介绍一下我感觉难度最大的inline hook实现代码参考了腾讯GAD的游戏安全入门。inline hook的大致流程如下:首先将...
代码实例分析androidinline hook
01-05
以下内容通过1、实现目标注入程序,2、实现主程序,3、实现注入函数,4、thumb指令集实现等4个方面详细分析了androidinline hook的用法,以下是全部内容: 最近终于沉下心来对着书把hook跟注入方面的代码敲了一遍...
Android Arm Inline Hook.pdf
最新发布
04-18
Android Arm Inline Hook技术是Android平台下逆向工程的重要手段之一,它允许开发者在不影响原程序功能的前提下,改变程序执行流程,将程序的执行引向开发者指定的函数。Inline Hook的关键在于替换目标函数的起始...
深入理解Android inline hook代码实例解析
"本文将通过代码实例分析Android中的inline hook技术,包括实现目标注入程序、主程序、注入函数以及thumb指令集的实现。" 在Android开发中,inline hook是一种高级的调试和修改应用行为的技术,它允许开发者在运行...
深入解析Android inline hook代码实战与流程分析
文中详细描述了inline hook的基本流程,即替换目标指令为跳转指令,跳转到自定义的汇编代码执行,该代码会执行用户指定的操作,然后恢复原指令执行,确保程序正常运行。" 在Android开发中,inline hook是一种强大的...
Android Arm Inline Hook
云守护的专栏
06-07 3098
http://ele7enxxh.com/Android-Arm-Inline-Hook.html 本文将结合本项目的源代码,详细阐述Android Arm Inline Hook的原理与实现过程。 什么是Inline Hook Inline Hook即内部跳转Hook,通过替换函数开始处的指令为跳转指令,使得原函数跳转到自己的函数,通常还会保留原函数的调用接口。与GOT表H
Android Inline Hook原理图
08-13
Android Inline Hook原理图
HOOK技术之InLineHOOK代码
09-02
InLineHOOK技术,通过读写进程内存的技术实现在指令层面上的HOOK技术,比较常用的HOOK技术。
android Hook DEmo
09-27
练习Hook 技术 不在Manefest 文件注册类 ,并且可以启动一个新的Activity
Android-Inline-Hook, 在Android中,thumb16 thumb32 arm32 inlineHook.zip
09-18
Android-Inline-Hook, 在Android中,thumb16 thumb32 arm32 inlineHook Android-Inline-Hookthumb16 thumb32 arm32 inlineHook插件生成ndk-build NDK_PROJECT_PATH=. APP_BUILD_SCRIPT=./Android.mk ND
Android-Inline-Hook 项目推荐
gitblog_00906的博客
11-12 437
Android-Inline-Hook 项目推荐 项目基础介绍和主要编程语言 Android-Inline-Hook 是一个专注于在 Android 平台上实现内联钩子(Inline Hook)的开源项目。该项目主要使用 C 语言编写,适用于 Android 系统中的 ARM 架构,包括 thumb16、thumb32 和 arm32 指令集。通过该项目,开发者可以在 Android 应用中实现动...
android pie so文件,Android实现so的hookAndroid-Inline-Hook的使用)
weixin_39616367的博客
05-27 707
需求:给一个目标apk,要求hook它的native层代码,但是不能修改它原本的so文件。实现方法:通过/proc/pid/maps查看目标so文件加载到内存的基址,然后利用ida查看目标函数在so文件的内存偏移,两个数字相加得到目标函数的内存地址,然后利用Android-Inline-Hook框架编写c文件,编译生成so文件,再修改apk中的smali文件,加载我们的so文件,从而达到hook的...
实现Android ARM64平台下Inline Hook框架
热门推荐
Rprop
09-23 6万+
Android阵营新出机型的cpu基本都是64位了,虽然可以向下兼容armeabi-v7a,但是使用32位的so毕竟不能充分发挥64位cpu的潜力,所以以后arm64-v8a用的会越来越多。但是整个安卓生态圈似乎还没有开源发布的ARM64内联HOOK方案,所以自己动手写了个,姑且取名And64InlineHook吧,需要注意的是仍然是Alpha版。         关于Inline Hook的背
Android Hook框架adbi的分析(3)---编译和inline Hook实践
Fly20141201. 的专栏
07-16 3636
本文博客地址:http://blog.youkuaiyun.com/qq1084283172/article/details/75200800一、序言在前面的博客中,已经分析过了Android Hook框架adbi源码的具体实现Android Hook框架adbi的实现主要分为两部分,一部分是root权限下的Android跨进程的so注入,一部分是基于Android系统的inline Hook
Android Natvie Hook讲解、 got表hookinline hook 原理
spinchao的博客
12-06 7363
Android Natvie Hook 讲解什么是Hook,以及Android Native层 hook名词解释以及知识储备处理器架构欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 什么是
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值