【Abyss】Android平台BPF和SECCOMP的SVC指令拦截

于 2025-01-23 13:25:31 发布
阅读量952 收藏 6
点赞数 15
分类专栏: Android 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chendianbo/article/details/145321817
版权

Android平台从上到下,无需ROOT/解锁/刷机,应用级拦截框架的最后一环 —— SVC系统调用拦截。

☞ Github: https://www.github.com/iofomo/abyss ☜

在这里插入图片描述
由于我们虚拟化产品的需求,需要支持在普通的Android手机运行。我们需要搭建覆盖应用从上到下各层的应用级拦截框架,而Abyss作为系统SVC指令的调用拦截,是我们最底层的终极方案。

源码位置:https://github.com/iofomo/abyss/tree/main/svcer

01. 说明

Seccomp(Secure Computing Mode):

SeccompLinux 内核的一个安全特性,用于限制进程可以执行的系统调用。它通过过滤系统调用,防止恶意程序执行危险操作。Seccomp 通常与 BPF 结合使用,以实现更灵活的过滤规则。

BPF(Berkeley Packet Filter):

BPF 是一种内核技术,最初用于网络数据包过滤,但后来被扩展用于更广泛的用途,包括系统调用过滤。BPF 程序可以在内核中运行,用于检查和过滤系统调用。

02. 主要流程

首先,配置 BPF 规则,如下我们配置了目标系统调用号的拦截规则,不在这个名单内的就放过,这样可以实现仅拦截我们关心的系统调用(即函数),提升拦截效率和稳定性。

static void doInitSyscallNumberFilter(struct sock_filter* filter, unsigned short& i) {
   
    // Load syscall number into accumulator
    filter[i++] = BPF_STMT(BPF_LD | BPF_W | BPF_ABS, (offsetof(struct seccomp_data, nr)));
    // config target syscall
    // add more syscall here ...
//    filter[i++] = BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, __NR_openat, 5, 0);
//    filter[i++] = BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, __NR_getcwd, 4, 0);
//    filter[i++] = BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, __NR_chdir, 3, 0);
//    filter[i++] = BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, __NR_execve, 2, 0);
    filter[i++] = BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, __NR_openat, 1, 0);

    filter[i++] = BPF_STMT(BPF_RET | BPF_K, SECCOMP_RET_ALLOW);
}

然后,我们需要过滤掉一些系统库和自身库,防止写入死循环。

  • 自身实现库的过滤【必须】
  • vdso 的过滤【必须】
  • linker 的过滤【可选,提效】
  • libc 的过滤【可选,提效】

通过解析进程 maps 中对应库地址区间,配置跳过此区间的系统调用规则。

static void doInitSyscallLibFilterByAddr(struct sock_filter* filter, unsigned short& i, const uintptr_t& start, const uintptr_t& end) {
   
    // Load syscall lib into accumulator
最低0.47元/天 解锁文章
3.3 Android bpfloader初始化流程解读(一)
从0到1,突破自己
09-23 861
这里梳理下androidbpfloader的初始化过程
Linux/Androidseccomp介绍及使用(一百一十六)
Android系统攻城狮
07-06 4614
seccomp是Linux的一种安全机制,android 8.1以后版本使用seccomp.主要功能是限制直接通过syscall去调用某些系统函数 3.strict模式filter模式应用 1.strict模式# emacs strict.c 2.基于BPF(伯克利分组过滤器)的seccomp安装依赖包 上述基于prctl系统调用的seccomp机制不够灵活,在linux 3.5之后引入了基于BPF的可定制的系统调用过滤功能。# emacs filter.c.........
【无标题】Android上使用BPF工具获取内核信息
hudongliang2006nb的专栏
03-05 1656
android中ebpf是如何从内核获取信息,并在framework层进行处理的
android bpf流程
osnet的博客
10-07 1169
以dhcpd使用bpf为例进行分析 通过PF_PACKET,SOCK_DGRAM socket直接从kernel 网卡设备层把原始整个以太网数据原始数据读到用空空间。为了只读取感兴趣的数据包类型,例如ARP包,可以通过配置bpf进行过滤。 用户空间 attch bpf int open_socket(struct interface *iface, int protocol) { int s; union sockunion { struct sockaddr sa; struct sockad
Android 中ebpf 的集成调试
私房菜
08-27 2184
在 2013 年,Alexei Starovoitov 对 BPF 进行彻底地改造,这个新版本被命名为eBPF(extended BPF),与此同时,将以前的 BPF 变成 cBPF (classic BPF)。新版本出现了如映射尾调用 (tail call)这样的新特性,并且 JIT 编译器也被重写了。新的语言比 cBPF 更接近于原生机器语言。并且,在内核中创建了新的附着点。bpf(2)
AbyssAndroid平台应用级系统调用拦截框架
最新发布
chendianbo的博客
09-19 1276
Android 平台从上到下,无需ROOT/解锁/刷机,应用级拦截框架的最后一环 —— SVC 系统调用拦截
Abyss Web Server X2 2.12.zip
12-05
总的来说,Abyss Web Server X2 2.12是一款高效且易用的Web服务器解决方案,它提供的虚拟主机高级特性使得它在个人小企业市场中具有很高的竞争力。无论是对于新手还是经验丰富的系统管理员,它都是一个值得考虑...
平台小型HTTP服务:Abyss源代码分析
1. **跨平台性**:描述中强调了abyss能在多种操作系统上运行,包括Unix系列(如Linux、FreeBSD等)Windows系列。这通常意味着开发团队需要处理不同系统间的差异,例如文件路径、系统调用等。 2. **HTTP1.1协议...
BPF初探 - AndroidBPF运用实例
ulangch的博客
05-28 4892
本文主要介绍在Android中对BPF的使用及其解析,参考Android 7.1源码 注:阅读本文需要一定的网络协议基础 参考文章:https://www.freebsd.org/cgi/man.cgi?query=bpf&sektion=4&manpath=FreeBSD+4.7-RELEASE 什么是BPF   伯克利包过滤器(Berkeley Pack...
bpftools, BPF工具包分析工具包.zip
09-18
bpftools, BPF工具包分析工具包 BPF工具介绍性博客文章:http://blog.cloudflare.com/bpf-the-forgotten-bytecode/http://blog.cloudflare.com/introducing-the-bpf-t
Android bpf简单上手教程
performance
08-23 1383
3D LUT按照面划分就是16x16x16,32x32x32,64x64x64,256x256x256......,我们知道面由线段围成,而一根线段有两个端点,因此一个3D LUT按照端点来计算深度,那么就有17x17x17,33x33x33,65x65x65,257x257x257的表示方法。如前述,3D LUT有不同的文件格式,不同的文件格式有不同的使用方式性能表现,在工业界平台的技术栈性能要求,对3D LUT的文件格式的选型有决定性的影响。蓝色是固定不变的,只会随着小方片的序号的增长而增长。
Seccomp BPF 详细解析
x646602196的博客
04-13 2181
Secommp (SECure COMPuting) 是 Linux 内核 2.6.12 版本引入的安全模块,主要是用来限制某一进程可用的系统调用 (system call)。它最初被用于 cpushare 这个项目,让人们可以出租自己空闲的 cpu cycle 来执行 untrusted code。这个 feature 本身并不是一个沙盒 (sandbox),它只是一种减少 Linux 内核暴露的机制,是构建一个安全的沙盒的重要组成部分。
Android关于IptableBPF的切换
apu的专栏
08-05 1300
最近在做一个项目,发现修改FIREWALL_CHAIN_POWERSAVE里调用enableFirewallChainUL,却打印iptables信息时完全没有相关信息。 1、NetworkManagementService.java里通过setFirewallUidRules设置防火墙规则,三条现有规则如下: FIREWALL_CHAIN_POWERSAVE: mNetdService.firewallReplaceUidChain("fw_powersave", true, uids...
Android中使用 eBPF 扩展内核
Peter的专栏
06-02 1813
Android 包含一个 eBPF 加载器库,它可在 Android 启动时加载 eBPF 程序以扩展内核功能。这可用于从内核收集统计信息,进行监控或调试。eBPF 简介扩展型柏克莱封...
android平台eBPF初探
内核工匠
01-08 4529
一、eBPF是什么eBPF是extended BPF的缩写,而BPF是Berkeley Packet Filter的缩写。对linux网络比较熟悉的伙伴对BPF应该比较了解,它通过特定的...
Android O 中的 seccomp 过滤器
weixin_34217773的博客
12-03 571
Android 的设备中,强制执行 Android 安全模式的重任交由内核承担。由于安全团队已努力加强 Android 的用户空间,并隔离削弱进程的权限。因此内核已成为更多安全攻击的焦点。系统调用是攻击者攻击内核的常用方式。 所有 Android 软件都使用系统调用(简写为...
(一百八十七)Android P netd 初步学习
JT的专栏
10-20 4615
参考 https://www.jianshu.com/p/f752b2019c97 https://blog.youkuaiyun.com/andytian1991/article/details/80444195 1.netd简介 所谓 Netd 就是Network Daemon 的缩写,表示Network守护进程,类似的命名还有很多,例如 Vold(Volumn Deamon)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

iofomo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值