android inject so,android hook 框架 libinject 如何实现so注入

于 2021-05-27 11:45:48 发布
阅读量402 收藏
点赞数
文章标签: android inject so
本文对比分析了libinject和libinject2在Android进程注入中的实现方式。libinject通过汇编构造shellcode一次性写入目标进程内存,而libinject2则是分步设置内存和寄存器。尽管两者原理相同,但libinject2的代码可读性更强。文章详细介绍了注入过程,包括目标进程的mmap、函数地址获取、参数设置和shellcode注入步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前面两篇

今天分析一下古河大神原始的 libinject 的源码,libinject2 与 原始的 libinject 大部分代码是一致的,各种 ptrace 的封装函数基本照抄,但有一点很不一样,古河的 libinject 在执行so注入及执行注入的so内的hook函数时,是将一连串的函数构造成一块统一的 shellcode ,然后整块shellcode 写入目标进程 mmap 出来的一块地址,设置目标进程寄存器,一次性调用。 而 libinject2 是分开多次设置目标进程的内存和寄存器,并多次调用实现同样的效果。从代码可读性看,libinject2 更清晰易懂。这一篇文章只分析两者不同的部分。

首先,shellcode 代码写在一个单独的汇编文件里, shellcode.s  , 将需要在目标进程执行的 dlopen,dlsym,dlclose, 及hook函数都先用汇编写好,各个函数的真实地址和参数的真实值由 inject.c 里的函数动态指定,这份汇编会与 inject.c 编译后的汇编链接在一起

.global_dlopen_addr_s

.global_dlopen_param1_s

.global_dlopen_param2_s

.global_dlsym_addr_s

.global_dlsym_param2_s

.global_dlclose_addr_s

.global_inject_start_s

.global_inject_end_s

.global_inject_function_param_s

.global_saved_cpsr_s

.global_saved_r0_pc_s

.data

_inject_start_s:

@ debug loop3:

@sub r1, r1, #0@B 3b

@ dlopen

ldr r1, _dlopen_param2_s

ldr r0, _dlopen_param1_s

ldr r3, _dlopen_addr_s

blx r3

subs r4, r0, #0beq 2f

@dlsym

ldr r1, _dlsym_param2_s

ldr r3, _dlsym_addr_s

blx r3

subs r3, r0, #0beq 1f

@call our function

ldr r0, _inject_function_param_s

blx r3

subs r0, r0, #0beq 2f1:

@dlclose

mov r0, r4

ldr r3, _dlclose_addr_s

blx r32:

@restore context

ldr r1, _saved_cpsr_s

msr cpsr_cf, r1

ldr sp, _saved_r0_pc_s

ldmfd sp, {r0-pc}

_dlopen_addr_s:

.word0x11111111_dlopen_param1_s:

.word0x11111111_dlopen_param2_s:

.word0x2_dlsym_addr_s:

.word0x11111111_dlsym_param2_s:

.word0x11111111_dlclose_addr_s:

.word0x11111111_inject_function_param_s:

.word0x11111111_saved_cpsr_s:

.word0x11111111_saved_r0_pc_s:

.word0x11111111_inject_end_s:

.space0x400, 0.end

这里插入一下,怎么在android里使用这份代码呢,仍然是新建一个module,然后 Android.mk 如下:

LOCAL_PATH := $(call my-dir)

include $(CLEAR_VARS)

LOCAL_MODULE :=inject

LOCAL_SRC_FILES := ../inject.c ../shellcode.s

LOCAL_ARM_MODE :=arm

LOCAL_CFLAGS := -g

include $(BUILD_EXECUTABLE)

在Android.mk文件目录下执行 ndk-build 即可

libinject 的注入过程如下:

int inject_remote_process( pid_t target_pid, const char *library_path, const char *function_name, void *param, size_t param_size )

{int ret = -1;void *mmap_addr, *dlopen_addr, *dlsym_addr, *dlclose_addr;void *local_handle, *remote_handle, *dlhandle;

uint8_t*map_base;structpt_regs regs, original_regs;externuint32_t _dlopen_addr_s, _dlopen_param1_s, _dlopen_param2_s, _dlsym_addr_s,

_saved_cpsr_s, _saved_r0_pc_s; // shellcode.s 汇编代码定义的变量long parameters[10];

DEBUG_PRINT("[+] Injecting process: %d", target_pid );

if ( ptrace_attach( target_pid ) == -1 )

return EXIT_SUCCESS;

if ( ptrace_getregs( target_pid, &regs ) == -1)gotoexit;/*save original registers*/memcpy(&original_regs, &regs, sizeof(regs) ); // 第一步,attach目标进程,并保留注入前的寄存器状态

mmap_addr= get_remote_addr( target_pid, "/system/lib/libc.so", (void *)mmap );/*call mmap*/parameters[0] = 0; //addr

parameters[1] = 0x4000; //size

parameters[2] = PROT_READ | PROT_WRITE | PROT_EXEC; //prot

parameters[3] = MAP_ANONYMOUS | MAP_PRIVATE; //flags

parameters[4] = 0; //fd

parameters[5] = 0; //offset

DEBUG_PRINT("[+] Calling mmap in target process.");

if ( ptrace_call( target_pid, (uint32_t)mmap_addr, parameters, 6, &regs ) == -1 )

goto exit;

if ( ptrace_getregs( target_pid, &regs ) == -1)gotoexit;

map_base= (uint8_t *)regs.ARM_r0; // 第二步,在目标进程执行 mmap 分配一块内存

dlopen_addr= get_remote_addr( target_pid, linker_path, (void *)dlopen );

dlsym_addr= get_remote_addr( target_pid, linker_path, (void *)dlsym );

dlclose_addr= get_remote_addr( target_pid, linker_path, (void *)dlclose );

remote_code_ptr= map_base + 0x3C00;

local_code_ptr= (uint8_t *)&_inject_start_s; // 本进程 shellcode 的起始地址

_dlopen_addr_s=(uint32_t)dlopen_addr;

_dlsym_addr_s=(uint32_t)dlsym_addr;

_dlclose_addr_s=(uint32_t)dlclose_addr; //第三步,获取目标进程 dlopen,dlsym,dlclose函数地址并赋值给汇编文件定义的变量

code_length= (uint32_t)&_inject_end_s - (uint32_t)&_inject_start_s;

dlopen_param1_ptr= local_code_ptr + code_length + 0x20;

dlsym_param2_ptr= dlopen_param1_ptr +MAX_PATH;

saved_r0_pc_ptr= dlsym_param2_ptr +MAX_PATH;

inject_param_ptr= saved_r0_pc_ptr +MAX_PATH; // 设置dlopen,dlsym等函数的参数相对于汇编代码起始地址的地址

strcpy( dlopen_param1_ptr, library_path );

_dlopen_param1_s = REMOTE_ADDR( dlopen_param1_ptr, local_code_ptr, remote_code_ptr );

/*dlopen parameter 1: library name*/DEBUG_PRINT("[+] _dlopen_param1_s: %x", _dlopen_param1_s );/*dlsym parameter 2: function name*/strcpy( dlsym_param2_ptr, function_name );

_dlsym_param2_s=REMOTE_ADDR( dlsym_param2_ptr, local_code_ptr, remote_code_ptr );

DEBUG_PRINT("[+] _dlsym_param2_s: %x", _dlsym_param2_s );/*saved cpsr*/_saved_cpsr_s=original_regs.ARM_cpsr;/*saved r0-pc*/memcpy( saved_r0_pc_ptr,&(original_regs.ARM_r0), 16 * 4 ); //r0 ~ r15

_saved_r0_pc_s =REMOTE_ADDR( saved_r0_pc_ptr, local_code_ptr, remote_code_ptr );

DEBUG_PRINT("[+] _saved_r0_pc_s: %x", _saved_r0_pc_s );/*Inject function parameter*/memcpy( inject_param_ptr, param, param_size );

_inject_function_param_s=REMOTE_ADDR( inject_param_ptr, local_code_ptr, remote_code_ptr );

DEBUG_PRINT("[+] _inject_function_param_s: %x", _inject_function_param_s );//第四步,计算要执行的 dlopen,dlsym函数及参数在目标进程内相对于前面mmap出来的地址的地址

DEBUG_PRINT("[+] Remote shellcode address: %x", remote_code_ptr );

ptrace_writedata( target_pid, remote_code_ptr, local_code_ptr,0x400);//第五步: 将整块shellcode代码写入目标进程的内存

memcpy(&regs, &original_regs, sizeof(regs) );

regs.ARM_sp= (long)remote_code_ptr;

regs.ARM_pc= (long)remote_code_ptr;

ptrace_setregs( target_pid,&regs ); // 第六步,修改目标进程的栈顶指针 sp 执行shellcode 的初始位置,且设置pc寄存器也指向这个位置

ptrace_detach( target_pid ); // 第七步,detach目标进程,目标进程接下去会开始执行shellcode//inject succeeded

ret = 0;

exit:returnret;

}

我们看到,libinject 没有将 original_regs 恢复到目标进程的ptrace 操作,其实shellcode里执行完hook函数后,最后会执行  @restore context   的代码,这几句就是恢复寄存器状态的

到目前为止,一共分析了3份so注入代码,前两份为:

对比一下,

首先,3份注入代码原理是一样的,都是利用ptrace系统调用,获取目标进程寄存器,在目标进程调用dlopen/dlsym等动态库函数实现在目标进程加载指定的so, 加载之后执行挂钩函数时,hijack 利用  __attribute__ ((constructor)) 函数属性实现自动执行,libinject/libinject2 还是通过寄存器ptrace操作执行函数。

其次,古河的libinject和adbi的hijack都是事先构造一片‘shellcode’,再块拷贝到目标进程地址空间(先操作目标进程寄存器调用mmap分配一块),然后再执行这块预先构造好的‘shellcode’,不同是libinject 是用汇编代码构造,hijack是写在一个数组里。libinject2在实现注入时,将上述shellcode分成多次的 ptrace 调用,代码可读性更高,逻辑更清晰

最后,libinject/libinject2只是提高了注入的实现,没有挂钩的实现。 adbi 项目还提供了挂钩框架的实现

惚兮
关注
[Frida集成篇]FB_01.内置frida-inject到手机系统
xiaomaNo01的专栏
10-24 2846
是frida中提供的可以直接放到手机端执行注入js脚本到App程序进行hook的工具。也就是说使用命令可以脱离PC端执行注入了。平时我们用frida进行App注入的时候,多半都是PC端安装frida工具,然后把放到手机端。手机端启动开启端口监听,PC端的frida工具通过端口连接到然后相应的命令去让执行相应的操作。将工具下载以后通过adb push命令放到手机,比如放到路径"
Androidso注入
墨鱼菜鸡
08-21 141
作者:Fly2015 Android平台的so库的注入是有Linux平台的进程注入移植来的。由于Android系统的底层实现是基于Linux系统的源码修改而来,因此很多Linux下的应用可以移植到Android平台上来比如漏洞。由于Linux平台的注入需要权限,相比较于Windows平台的进程的注入没有被...
andorid so注入
12-26
Andorid进程的so注入框架代码,相比网上其他的Andorid so注入代码更稳定,留给需要的同学,也为了自己备份一下。按照博客中的说明,在eclipse下能够编译成功。
Android SO Inject
hong19860320的专栏
11-02 2561
转载自:http://bbs.byr.cn/article/MobileTerminalAT/4328  以前用过LBE,一直觉得十分的彪悍,所以终于忍不住去尝试逆向了。首先工具上面很原始,小弟也是菜,一直用的IDA看静态反汇编,没有F5,动态调试起来也十分的麻烦(其实到现在我都没有成功如何加载调试器实现动态调试,不然会快很多)。    LBE主要实现的是HOOK,而HOOK的关键其实是
Android so注入(inject)和Hook技术学习(一)
weixin_33862514的博客
07-11 515
  以前对Android so注入只是通过现有的框架,并没有去研究so注入原理,趁现在有时间正好拿出来研究一下。   首先来看注入流程。Android so注入流程如下: attach到远程进程 -> 保存寄存器环境 -> 获取目标程序的mmap, dlopen, dlsym, dlclose 地址 -> 远程调用mmap函数申请内存空间用来保存参数信息 -> 向远...
Android平台的so注入--LibInject
Fly20141201. 的专栏
12-27 5925
大牛古河在看雪论坛分享的Android平台的注入代码,相信很多搞Android安全的同学应该都看过。刚接触Android平台的逆向时,我也下载了LibInject代码并且仔细的阅读和分析过,见我前面的博文《Androidso注入》。我已经基本把Android so注入的原理分析的很清楚了,想学习的同学可以参考一下。虽然作者古河分享了LibInject代码,但是在eclispe下NDK编译还
android inject (三) 跨进程注入so
qq_17748035的专栏
11-27 2260
前两篇主要说了一些基本内容,如pid的获取,都是查询后手动输入的,本片介绍注入第三方so到目标进程并执行so的方法。 前两篇的地址:android inject(一)ptrace基础 android inject (二) 跨进程注入 /* * 注入so到进程 * 1.获取目标进程pid * 2.附加目标进程 * 3.获取/保存目标进程寄存器的内容 * 4.计算mmap方法的地址...
libinject2:一个Android SO InjectHook演示
05-25
libinject2:一个Android SO InjectHook演示】 在Android应用开发中,有时我们需要深入到系统底层,对原生库(.so文件)进行注入Hook操作,以便于调试、性能优化或者实现某些特殊功能。libinject2项目就是一个...
动手打造Android7.0以上的注入工具
非虫的专栏
09-03 7125
动手打造Android7.0以上的注入工具 在不使用Xposed的一些场景下,想要Hook进入目标APK的方法,最直接有效的方法是注入代码到目标APK,进而完成Hook操作。 面临的挑战 编写注入工具的原理是借助安卓系统的ptrace接口,操纵目标进程的内存,修改进程空间的数据与代码,然后调用dlopen()、dlsym()等接口加载与使用动态库,完成达到注入so的目的。 ptrace接口...
安卓动态调试七种武器之离别钩 – Hooking(上)
beyond702的专栏
04-17 772
作者:蒸米 地址:http://drops.wooyun.org/tips/9300 0x00 序 随着移动安全越来越火,各种调试工具也都层出不穷,但因为环境和需求的不同,并没有工具是万能的。另外工具是死的,人是活的,如果能搞懂工具的原理再结合上自身的经验,你也可以创造出属于自己的调试武器。因此,笔者将会在这一系列文章中分享一些自己经常用或原创的调试工具以及手段,
arm so注入代码
06-22
arm elf格式so注入,研究elf格式,ARM1136J-S发布于2003年,是针对高性能和高能效的应用而设计的。ARM1136J-S是第一个执行ARMv6架构指令的处理器,它集成了一条具有独立的load-store和算术流水线的8级流水线。ARMv6指令包含了针对媒体处理的单指令多数据流(SIMD)扩展,采用特殊的设计以改善视频处理性能
Android平台so注入进程
01-03
该资源包含了一个android平台使用so注入进程的demo,运行在4.4模拟器。
INJECT_libInjectModule.so.zip
05-13
防内存注入测试文件,可以简单测试android APP是否做了保护,包含文件INJECTlibInjectModule.so
共享库注入--injectso实例
pany007的专栏
10-04 934
共享库注射--injectso实例作者:grip2 日期:2002/08/16内容:    1 -- 介绍    2 -- injectso -- 共享库注射技术    3 -- injectso的工作步骤及实现方法    4 -- 目标进程调试函数    5 -- 符号解析函数    6 -- 一个简单的后门程序    7 -- 最后    8 -- 参考文献 一、 ** 介绍本文介绍的是inj
Android实现so注入进程
mockingbirds的专栏
01-03 8946
这篇博客主要实现so文件注入到进程中,并且在被注入的进程中执行so文件中的方法,先说下环境使用的是4.4的模拟器,嘻嘻.,参考 Android中的so注入,我只是整合了这些资源,并将其run起来,感谢作者提供的文件和思路 先说下大概的实现思路吧: 1. 创建so文件所在进程的应用,创建c文件,并使用ndk-build编译出可执行so文件 2. 创建执行so文件所在进程应用,创建c文件,在mai
android so 注入,Android中的so注入(inject)和挂钩(hook)
weixin_36454562的博客
05-27 1446
对于Android for arm上的so注入(inject)和挂钩(hook),网上已有牛人给出了代码-libinject(http://bbs.pediy.com/showthread.php?t=141355)。由于实现中的ptrace函数是依赖于平台的,所以不经改动只能用于arm平台。本文将之扩展了一下,使它能够通用于Android的x86和arm平台。Arm平台部分基本重用了libinj...
android编写so注入,Androidso注入汇总
weixin_31854867的博客
05-27 487
/** 作者:蟑螂一号* 原文链接:http://www.sanwho.com/133.html* 转载请注明出处*/Androidso注入是基于ptrace系统调用,因此要想学会android下的so注入,首先需要了解ptrace的用法。android中进程系统调用劫持可参考博客:http://www.kanxue.com/bbs/showthread.php?t=180461,这是一个...
android系统调用封装so,android hook 框架 libinject2 如何实现so注入
weixin_39538693的博客
05-26 244
上一篇android hook 框架 libinject 简介、编译、运行实际运行了so注入并调用了注入so里的一个函数,这篇开始分析其实现。与之前分析的 abdi 项目一样,libinject2 也是依赖于linux系统的 ptrace 系统调用。这个库首先对ptrace的调用封装了几个helper函数int ptrace_readdata(pid_t pid, uint8_t *src...
LibInject技术:Android平台so注入hook操作详解
文件标题“LibInject 实现Android中的so注入和挂钩”表明这个文件很可能包含了一个名为LibInject的库或者工具的代码实现,这个实现是在Android系统中完成的。标题还说明了这个库或工具具有注入so文件和进行挂钩...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值