ARM INLINE HOOK (一)

最新推荐文章于 2024-06-20 12:14:02 发布
原创 最新推荐文章于 2024-06-20 12:14:02 发布 · 2k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ARM HOOK INLINE HOOK

本文详细介绍在ARM指令集上的InlineHook技术,包括其原理、指令修复难点及应用案例,如性能监控和安全防护。

运行在ARM指令集的CPU上(比如Android手机),通过HOOK机制,对一些关键的方法进行监控,从而达到一些特殊目的,比如性能监控、安全等。

常用的HOOK方法有:GOT表Hook和Inline Hook。而inline hook具有更广泛的适用性,几乎可以Hook任何函数(当然也有特殊情况无法进行inline hook,后面会提到)。相较于GOT表hook,inline hook由于需要能读懂ARM指令,而且还需要会对修改过的指令进行修复,会写一些基本的ARM指令,所以门槛较高。如果您有兴趣研究底层的技术,可以好好读一下我这篇文章。

inline hook的原理:

如图:

这张图很清晰表达了inline hook的原理,Caller是调用者,Callee是被调用函数,inline hook修改被调用函数头,将其修改为jmp指令,跳转到Hook进去的方法里,在Hook方法里可以做一些工作,比如记录函数参数值,或者对传参机型一些合法校验等,然后执行Trampoline,Trampoline其实就是Callee方法里被覆盖为jmp的内容,但是注意,不是简单的把jmp覆盖的内容直接拷贝到Trampoline中执行,这里要做指令的修复(为什么?后面会详细解释),执行完Trampoline后继续执行Callee后面的指令,然后返回调用者,这就是一个完整的inline hook的执行流程。

所以实际的执行步骤如下:

     1、将需要hook的方法的头两个指令替换为跳转指令,并保存原指令;

     2、将保存的原指令等价搬迁到Trampoline,注意是等价搬迁不是拷贝,这样在执行hook的内容后继续执行原来的逻辑;

 要解决上述两个问题之前,我们必须先要了解:

     1、ARM和Thumb指令的区别,ARM指令是按照固定长度的四字节进行编码,需要四字节对齐,Thumb指令是可变长度的两字节或四字节编码,需要两字节对齐,Thumb指令大部分都是两字节编码,但是也有部分指令是四字节编码,比如:bl和blx指令就是四字节编码。

     2、Arm处理器采用3级流水线来增加处理器指令流的速度,也就是说程序计数器R15(PC)总是指向“正在取指”的指令,而不是指向“正在执行”的,即PC总是指向当前正在执行的指令地址再加2条指令的地址。

  所以被hook的方法的头两个指令被替换为如下:

        LDR PC, [PC, #-4]

        addr (自己编写的hook方法的地址)

   下面举例进行说明:

     需求:需要hook libc库中的read方法,在执行read方法前先跳转到my_read方法里,记录read的参数fd,*buf等内容,然后返回继续执行。

     那这里的addr就是my_read方法的地址。为什么要将PC寄存器减去4呢?因为PC当前的地址为PC+8,所以-4刚好执行下一条指令地址,然后通过LDR将addr的内容load进PC寄存器中,达到跳转的目的。

     1、首先将LDR PC, [PC, #-4]这条指令转化为16进制的机器码,这里推荐一个网站,可以提供arm指令和十六进制机器码之间的转换:http://svr-acjf3-armie.cl.cam.ac.uk/main.cgi,如图:

 2、备份read方法的头两条指令,在Assembly code中输入LDR PC, [PC, #-4]后,machine code部分就显示出十六进制的机器码,然后将0xE51FF004写入第一个指令,通过取值符获得my_read方法的地址,将该地址(四字节)写入下一条指令。

   OK,现在执行read方法时,会首先跳转到my_read方法中,记录相关数据。那么是不是大工告成了呢?远远没有!万里长征刚开始,下面就是最复杂的部分:指令修复

  在了解指令修复之前,首先需要熟悉ARM指令的结构,ARM指令的的summary图如下:

        这张图基本上把ARM所以的指令结构都表示出来了(不包括Thumb),根据该图我们试着转化一条指令,该指令的格式为:

        LDR RX, [PC, #xx],其中RX代表R0、R1...等寄存器#xx表示任意一个立即数,那么这条指令翻译成16进制后有什么特点呢?         1、31-28位,Cond:这个四位是固定条件位不用管;
       2、27-25位,101,Load指令标识
       3、24位,Load指令为1:add offset before transfer;

       4、23-20位:1001

       5、19-16位:1111:PC寄存器是R15

       从上述分析可以得出,将该指令 & 0xfff0000 等于0x59f0000,这个运算就把LDR RX, [PC, #xx]这个类型的指令进行了归类。

       下面就引出指令修复中的一个难题:因为所有的PC地址都只想当前指令地址向下偏移两个字节的地址,如果我们把该指令迁移到另外一个地址,那么执行该指令时,PC寄存器指向的是迁移的新地址加上两个字节的偏移地址,所以在迁移前需要判断一下,该指令是否包含PC寄存器:  例如:if ( (*instruction & 0x0fff0000) == 0x59f0000) ,如果包含PC寄存器,则首先将pc向下偏移两条指令的地址加上指令后的立即数,得到绝对地址。得到四个字节绝对地址后,可以保存起来,然后通过指令load指令进行加载。

       思路就是如此,但是实现起来有很多细节要考虑,比如Thumb,Thumb-2指令的支持,处理的细节也很麻烦,稍微出错就可能引起崩溃,而且很难定位。笔者花了大量的经历,基本上将涉及到PC寄存器的ARM、THUMB、THUMB-2指令都进行了修复。

      时间问题,这篇文章暂时写到这儿,后面我还会具体讲一些实例,如何做指令的解析、如何修复指令,ARM指令的操作很有意思,需要程序员有扎实的技术功底和耐心,比如要对位操作非常熟,我也打算为位操作写一篇专门的文章。到时候您会发现位操作有多好玩儿,有多强大。

     最后,推荐我写的一个抓包工具,WebSee,能抓取网页的http/https数据,无需root,无需中间人攻击,可以在华为应用商城下载:https://appstore.huawei.com/app/C101448345

Arm Inline hook的简易原理
beyond702的专栏
05-16 6075
Arm架构下有arm指令和thumb指令之分,不同指令集的hook过程不样。 假设我们要hook libc.so中的execv和read函数,android系统的库应该都加了-mthumb-interworking编译选项,支持thumb/arm的代码交织,所以要区分目标函数是thumb还是arm指令的。 用ndk编译自己的代码好像默认的是arm(虽然我网上查的说默认是thumb,但我的库编
arm64 内核 inline hook
inquisiter
02-17 2314
linux 内核对于安全可能是比较重要的环。 关于syscall table 表替换的问题 这里以linux 4.15和4.19为代表的说明我遇到的问题。 syscall hook 4.15 4.19 拥有可读写状态 hook成功 hook失败 这里似乎到4.19添加了对systable的保护。 如果非要对systable进行hook,可能替换这页表,改变物理地址指向是种解...
memo问题
qq_37153576的博客
03-25 1424
汇总ARM汇编中B BL BLX 之间的区别Arm和Thumb的区别pc、lr的寄存器是什么,对应寄存器的编号arm怎么传参arm64ptrace过程过程如何保存寄存器状态的在高版本进行ptrace的过程中是否有遇到问题lnlinehook的过程.got hook实现常见注入和hook注入hookMSHookFunction和lnlinehook的区别so文件的elf结构结构纵览.rodata是...
c++ hook例子_ARM平台linux系统内核HOOK常见问题探讨二
weixin_39795325的博客
11-12 586
次我们针对内核HOOK常见问题讲了只读内存问题以及为了避免操作被打断如何阻塞其它CPU核心,还有ARM64的参数及内存布局等基础问题。在这些问题上,已经能基本满足我们日常做HOOK的需求。本节主要讲述另外几个HOOK相关问题。首先是HOOK的方式。除了上节讲过的系统调用表的HOOK和各种inline HOOK外,这里再介绍几种相对兼容性、稳定性更有保障的做法。最核心、最灵活的当然就是...
ARM64汇编0C - inlinehook
a5right的博客
06-20 1211
本文是ARM64汇编系列的完结篇,主要利用前面学过的知识做个小实验完整系列博客地址:https://www.lyldalek.top/article/arm这里只讨论 ARM64 下的 inlinehook,做个简单的demo,只是抛砖引玉,有兴趣了解更多细节的可以去查找资料,看开源项目。ARM64 相比 ARMinlinehook 要麻烦不少,因为有很多指令都没了,且无法直接访问 PC 寄存器。
Android Arm Inline Hook
云守护的专栏
06-07 3131
http://ele7enxxh.com/Android-Arm-Inline-Hook.html 本文将结合本项目的源代码,详细阐述Android Arm Inline Hook原理实现过程。 什么是Inline Hook Inline Hook即内部跳转Hook,通过替换函数开始处的指令为跳转指令,使得原函数跳转到自己的函数,通常还会保留原函数的调用接口。与GOT表H
Android Arm Inline Hook.pdf
04-18
Android Arm Inline Hook技术是Android平台下逆向工程的重要手段之,它允许开发者在不影响原程序功能的前提下,改变程序执行流程,将程序的执行引向开发者指定的函数。Inline Hook的关键在于替换目标函数的起始...
精选资源
And64InlineHook:适用于Android CC ++的轻量级ARMv8-A(ARM64,AArch64,Little-Endian)内联挂钩库
04-30
And64InlineHook个专为Android平台设计的轻量级库,主要针对C/C++开发者,用于实现ARMv8-A架构(ARM64或AArch64,Little-Endian字节序)的内联挂钩功能。这个库允许开发人员在运行时修改已编译的二进制代码的...
Android_Inline_Hook_ARM64,建立个.so文件,自动执行android本地钩子的工作。支持ARM64!有了这个,像xposed这样的工具就可以实现android原生hook。.zip
09-25
Android_Inline_Hook_ARM64 是个开源项目,专门针对基于ARM64架构的Android设备设计,用于实现在原生层进行代码注入和钩子功能。这个项目的主要目的是模仿Xposed框架的功能,允许开发者在不修改系统应用源码的情况...
Android-Inline-Hook, 在Android中,thumb16 thumb32 arm32 inlineHook.zip
09-18
Android-Inline-Hook, 在Android中,thumb16 thumb32 arm32 inlineHook Android-Inline-Hookthumb16 thumb32 arm32 inlineHook插件生成ndk-build NDK_PROJECT_PATH=. APP_BUILD_SCRIPT=./Android.mk ND
InlineHook:目前支持32位android系统,thumb-2,arm指令集的hook
03-11
[目录] 概述 这是个完整的InlineHook的使用模块,直接将jni目录克隆下来,使用ndk-build编译即可 使用 共享库 该演示 修改ModifyIBored函数里GetModuleBaseAddr的参数,选择需要挂钩的so模块 找到需要hook的指令地址,计算转换(指令的内存地址-指令所在模块的基址),然后写入 uint32_t uiHookAddr = (uint32_t)pModuleBaseAddr + 偏移;中的uint32_t uiHookAddr = (uint32_t)pModuleBaseAddr + 偏移; 完善替换函数EvilHookStubFunctionForIBored,执行自己需要的操作 ndk-build编译出共享库so文件 在代码中使用System.loadLibrary加载共享库,加载的时候就会调用用hook函数 void ModifyIBo
【亲测免费】 探秘Android Inline Hook ARM64:高效而隐蔽的动态 hook 解决方案
gitblog_00038的博客
05-26 1305
探秘Android Inline Hook ARM64:高效而隐蔽的动态 hook 解决方案 在移动安全和应用调试领域,对于原生代码的动态监控与操控是项至关重要的技能。今天,我们要介绍的是款专为Android平台设计的高效、无痕的内联挂钩库——Android Inline Hook ARM64。它基于作者GToad的Android Inline Hook,并针对ARM64架构进行了优化。 项目...
arm opcode hook
weixin_30951231的博客
09-05 323
/**************************************/*作者:半斤八兩/*博客:http://cnblogs.com/bjblcracked/*日期:2013-09-0511:11/**************************************只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!因工作需要,最近直在研究arm.看到论坛也有不少ar...
android arm hook初探
XIAONIAOCAICAI的博客
09-22 390
hook,通常我们会使用各种hook 框架,但是实际在使用中,尤其是armhook,各种框架,或多或少都有会bug。其中多线程的处理,和指令、函数的处理,是大难题,在此记录笔记,以供查阅。 通常思路是,在个子线程中,做如下操作: 遍历/proc/pid/task目录,获得进程下的所有线程id号; 通过tkill函数向所有线程发SIGSTOP信号,暂停其他所有线程; 获得其他所有线程的函数调用信息; 遍历所有线程的函数调用信息,将每层调用地址与需要hook的函数作判断,若调用地址均不位于待hook的函
ARM汇编基础知识汇总与Inline Hook
犀牛划水
08-09 1301
ARM汇编 ARM汇编中B、BL、BLX指令的使用? B:跳转 BL:例如BL{cond} label。带链接的跳转,如果条件cond满足,会首先将当前指令的下条指令的地址拷贝到R14(即LR)寄存器中,然后跳转到label指定的地址处继续执行。这个指令通常用于调用子程序,在子程序的尾部,通过MOV PC, LR返回到主程序中。 BX:例如BX{cond} Rm。带状态切换的跳转,如果条
实现Android ARM64平台下Inline Hook框架
热门推荐
Rprop
09-23 6万+
Android阵营新出机型的cpu基本都是64位了,虽然可以向下兼容armeabi-v7a,但是使用32位的so毕竟不能充分发挥64位cpu的潜力,所以以后arm64-v8a用的会越来越多。但是整个安卓生态圈似乎还没有开源发布的ARM64内联HOOK方案,所以自己动手写了个,姑且取名And64InlineHook吧,需要注意的是仍然是Alpha版。         关于Inline Hook的背
arm平台下的反汇编pdf_ARM平台linux系统内核HOOK常见问题探讨
weixin_39569076的博客
11-27 304
这些年,以安卓系统为代表的移动及IoT设备几乎占据了除开PC外的大半壁互联网行业江山,其安全问题足以撼动整个互联网行业安全基础。现有的这些终端设备,硬件层面多数以ARM/ARM64为核心平台。以往,基于这些设备的操作系统都完全在代码层面受厂商控制,所以要在内核层面添加安全特性几乎没有任何难度,直接源代码层面修改内核代码就行了。这样做的好处是稳定灵活,开发成本低;但是问题在于虽然都是安卓系...
linux arm和x86 inline hook技术
fanlilei的专栏
11-18 3822
Suterusu Rootkit: Inline Kernel Function Hooking on x86 and ARM Posted on January 7, 2013 Table of Contents IntroductionFunction Hooking in Suterusu Function Hooking on x86 Write Protec
linux arm64 inline hook
最新发布
05-14
<think>嗯,用户问的是在Linux ARM64架构下如何实现inline hook的技术或方法。首先,我得回忆inline hook的基本概念。Inline hook通常是指通过修改目标函数的机器码,插入跳转指令,从而拦截或重定向函数执行流程。这对于调试、性能分析或安全检测很有用。 接下来要考虑的是ARM64架构的特点。ARM64使用AArch64指令集,指令长度固定为4字节,所以跳转指令可能需要更多的空间。比如,ARM64的B指令只能跳转±128MB的范围,如果目标地址超出这个范围,可能需要使用LDR+BR组合或者ADR指令来构造长跳转。 然后,权限问题也很重要。修改内存中的代码需要目标内存页具有可写和可执行的权限。通常,内核模块可以通过修改页表属性来调整权限,比如使用set_memory_rw函数。但用户空间的话可能需要使用mprotect系统调用来调整权限。 还有指令修复的问题。覆盖原有指令时,如果原来的指令不是4字节对齐的,可能会导致执行错误。比如,如果原函数的前两条指令被覆盖,可能需要将这两条指令复制到跳板(trampoline)中,并在跳转回来时执行它们,保证程序正确性。 接着要考虑的是同步问题。在修改指令时,如果有其他线程正在执行该函数,可能会导致竞争条件。需要暂停所有相关线程,或者在单核环境下确保原子操作。内核中可能需要使用stop_machine机制,用户空间可能需要信号处理或其他同步方法。 此外,还需要处理缓存致性问题。ARM架构有指令缓存和数据缓存,修改代码后需要刷新缓存,确保CPU读取到最新的指令。可以使用__builtin___clear_cache函数来刷新缓存。 然后,用户可能需要具体的步骤示例。比如,如何编写内核模块或用户空间的代码来实现hook。比如在内核模块中,找到目标函数的地址,修改内存权限,写入跳转指令,处理指令修复,刷新缓存。用户空间的话,可能需要使用mprotect和memcpy来修改函数代码。 安全性也是个问题,inline hook可能被安全软件检测到,因此可能需要更隐蔽的方法,比如使用硬件断点或修改函数指针。不过用户可能只是需要基本的方法。 最后,生成相关问题的时候,要考虑用户可能进步的问题,比如如何调试、如何处理不同内核版本、如何绕过保护机制等等。</think>### Linux ARM64架构下实现Inline Hook的技术实现步骤 #### 、技术原理 Inline Hook通过修改目标函数的机器指令,插入跳转指令到自定义函数。在ARM64架构中需注意: 1. 指令长度固定为4字节,跳转指令需适配$2^{28}$地址范围限制 2. 需要处理指令缓存(ICache)与数据缓存(DCache)致性[^1] 3. 必须确保内存页可写(通过`mprotect`或`set_memory_rw`) #### 二、具体实现步骤 1. **定位目标函数地址** - 内核空间:通过`kallsyms_lookup_name` - 用户空间:使用`dlopen/dlsym` 2. **构造跳转指令** ```c // ARM64长跳转指令模板 uint32_t hook_code[] = { 0x58000050, // LDR X16, =hook_function 0xD61F0200 // BR X16 }; ``` 3. **修改内存权限** ```c // 内核模块示例 set_memory_rw((unsigned long)target_addr, 1); ``` 4. **写入Hook指令** ```c memcpy(target_addr, hook_code, sizeof(hook_code)); ``` 5. **处理指令缓存** ```c __builtin___clear_cache((char*)target_addr, (char*)target_addr + sizeof(hook_code)); ``` 6. **跳板函数实现** ```c void trampoline(void) { // 执行被覆盖的原指令 asm volatile("nop \n nop"); // 跳转回原函数+8字节处 } ``` #### 三、关键注意事项 1. **指令对齐**:ARM64要求所有指令必须4字节对齐 2. **原子操作**:建议使用`stop_machine`防止竞争条件[^2] 3. **异常处理**:需捕获可能产生的缺页异常(用户空间) #### 四、完整代码示例(内核模块) ```c #include <linux/module.h> #include <linux/kallsyms.h> typedef void (*target_func_type)(void); static void hook_function(void) { printk(KERN_INFO "Hook triggered!\n"); ((target_func_type)(trampoline))(); } static void install_hook(void) { unsigned long target_addr = (unsigned long)kallsyms_lookup_name("target_function"); uint32_t jump_code[2] = { /* 构造的跳转指令 */ }; set_memory_rw(target_addr, 1); memcpy((void*)target_addr, jump_code, sizeof(jump_code)); __builtin___clear_cache((void*)target_addr, (void*)target_addr+8); } ``` #### 五、检测与防御 1. 完整性校验:检查关键函数首指令 2. 陷阱标志:在关键内存区域设置写保护 3. 监控系统调用:拦截`mprotect`和`ptrace`调用[^3]
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值