Android内核定制-找到openat插装点

已于 2024-01-16 09:55:05 修改
阅读量434 收藏
点赞数
分类专栏: 安卓系统 文章标签: android
于 2023-09-20 16:43:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44348983/article/details/133087037
版权

部分应用会采用svc调用,直接hook libc 的 open会无法得到想要的信息,这时候需要从内核下手,高版本内核直接上ebpf,低版本麻烦一点,手动插装:

1 下载aosp 及 机型 对应的内核源码

2 打桩(fs/open.c):

// add start
extern long strncpy_from_user(char *, const char __user *, long);
// add end


long do_sys_open(int dfd, const char __user *filename, int flags, umode_t mode)
{
	struct open_flags op;
	int fd = build_open_flags(flags, mode, &op);
	struct filename *tmp;
	// add start
	char bufname[256]={0};
	int pid=current->pid;
 	// add end
	if (fd)
		return fd;

	tmp = getname(filename);
	if (IS_ERR(tmp))
		return PTR_ERR(tmp);

	fd = get_unused_fd_flags(flags);
	if (fd >= 0) {
		struct file *f = do_filp_open(dfd, tmp, &op);
		if (IS_ERR(f)) {
			put_unused_fd(fd);
			fd = PTR_ERR(f);
		} else {
			fsnotify_open(f);
			fd_install(fd, f);
		}
	}
	putname(tmp);
	// add start
	if(pid>2000){
		//dump_stack();
     		strncpy_from_user(bufname,filename,255);
		printk("YoohaLog: {\"Type\":\"KernelLog\",\"Pid\":\"%d\",\"Info\":\"__NR_openat fd=%d filename=%s flags=%d return=%d\"}", pid, dfd, bufname, flags, fd);
	}
	// add end
	return fd;
}

效果:

安卓10源码开发定制(23)内核系统调用openat Hook研究测试
xiaomaNo01的专栏
02-08 916
安卓10源码开发定制(22)内核系统调用openat Hook研究实现 以下操作基于lineageOs 17.1, 一、 参考: Hooking Android System Calls for Pleasure and Benefit
3.6 Android gpu_mem ebpf程序设计原理(二)
从0到1,突破自己
10-14 553
本篇我们继续以gpu_mem为例详细拆解eBPF程序组成。
探索KernelHook:一种强大的内核钩子技术
gitblog_00060的博客
04-06 1162
探索KernelHook:一种强大的内核钩子技术 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个开源的项目,由开发者smallzhong创建,它提供了一种在Linux内核中实现高效、安全的钩子(hook)机制的方法。通过此项目,开发者可以轻松地入自定义代码到内核关键函数中,以实现对系统行为的监控、调试或增强。 技术分析 KernelHook的核心在于它的钩子实...
Linux ARM64平台上Hook系统调用(以openat为例)
weixin_42915431的博客
03-29 6144
我之前已经有几篇关于linux下hook系统调用的文章1,2,3,都是基于x86_64平台的,本文将会先介绍下如何在arm64平台下hook系统调用,最后会手撸的简单的例子。 本文实验环境是在银河麒麟服务器V10系统上: [root@localhost ~]# cat /etc/os-release NAME="Kylin Linux Advanced Server" VERSION="V10 (Tercel)" ID="kylin" VERSION_ID="V10" PRETTY_NAME=.
openat
weixin_30555753的博客
01-28 230
阅读android的init代码中uevent部分时,发现openat系统调用。小记一下: #include <fcntl.h> int openat(int dirfd, const char *pathname, int flags); int openat(int dirfd, const char *pathname,...
cpp-OpenAT开源算法交易库
08-16
**OpenAT开源算法交易库详解** OpenAT是一个专注于算法交易的开源库,主要采用C++语言编写,适用于金融市场的自动化交易策略开发。在金融领域,算法交易是指利用计算机程序自动执行买卖指令,以达到提高效率、减少...
openat-ext:openat板条箱的助手
02-23
这个箱子在openat::Dir上定义了许多扩展方法, openat::Dir方法具有许多实际应用程序所需的通用文件实用程序功能。 该代码源自 执照 根据以下任一许可 Apache许可证2.0版(../LICENSE-APACHE或 ) 您可以选择MIT...
Android应用 为啥执行openat /proc/self/exe
最新发布
03-29
好的,用户问的是为什么Android应用会执行openat系统调用访问/proc/self/exe。首先,我需要回忆一下Linux中的/proc文件系统,特别是/proc/self/exe这个符号链接的作用。通常,这个链接指向当前进程的可执行文件路径...
Android存储系统-外置存储权权限管理实现
woai110120130的专栏
08-11 3830
前言         在Android存储系统-使用fuse来管理外置存储 一文中我们介绍了Android fuse 来实现灵活的权限管理,我们知道获取不同的外置存储权限使用的外置存储目录是不同的, 获取外置存储读权限的应用程序看到的fuse目录为/mnt/runtime/read/${label}目录,获取了外置存储写权限的应用程序使用的是fuse的/mnt/runtime/write/${label}目录,而没有获取任何外置
android file函数,Android IO 函数
weixin_35895994的博客
05-25 357
只说安卓5.0以上:faccessat&access:(判断文件使用权限的函数)调用open函数时,是以有效用户而不是实际用户的身份去验证进程对要打开的文件的读写权限。但是有时候我们想知道的是实际用户而非有效用户对某一文件的权限,此时就要用到access函数。函数原型:int access(const char* pathname, int mode);int faccessat(int ...
Android挂载QNX的NFS服务问题记录
code/decode的博客
03-02 6185
Android挂载QNX的NFS服务问题记录配置方法挂载时提示“Permission denied”挂载后对挂载目录只有读权限,无法写入数据写入数据时提示“I/O error” 在QNX开启NFS服务,由QNX上的guest OS–Android作为客户端,将QNX的目录作为网络设备以NFS的方式挂载。过程中主要遇到三个问题,下面分别描述配置方法,配置过程遇到的问题、分析思路以及解决方案。 配置方法 QNX侧 1.1 将netconfig配置文件保存至/etc目录下,netconfig内容如下: # Ent
linux系统调用内核源码解析(基于4.18.0-87版本内核)
weixin_42915431的博客
04-25 3232
本文基于linux x86-64平台下内核源码分析,源码版本4.18.0-80,以应用层openat调用为例展开探索。
Android小分享:通用svc跟踪以及hook方案
m0_64420071的博客
04-10 2266
目前暂时只支持ARM64,ARM32的逻辑也是一样,有兴趣的大佬们可以自行更改哈 具体效果 对 openat进行跟踪: 对 recvfrom进行跟踪: 到底什么是seccomp呢? 其实概念并不难,但是大家要多多实践去操作。 seccomp 是 Linux 内核提供的一种应用程序沙箱机制,主要通过限制进程的系统调用来完成部分沙箱隔离功能。seccomp-bpf 是 seccomp 的一个扩展,它可以通过配置来允许应用程序调用其他的系统调用。 如何和frida结合? 基本原理 这是.
Hook android系统调用研究(一)
Fly20141201. 的专栏
02-20 1万+
一、Android内核源码的编译环境 系统环境:Ubuntu 14.04 Android系统版本:Android 4.4.4 r1 Android内核版本:android-msm-hammerhead-3.4-kitkat-mr1 手机设备:Nexus 5 研究Android系统调用的目的: Android内核是逆向工程师的好伙伴。虽然常规的Android应用被限制和沙盒化,
openat与open的区别及用法示例
baodiceng4914的博客
08-20 635
从2.6.16版本开始,GNU/Linux引入opeant系统调用: #define _XOPEN_SOURCE 700 /* Or define _POSIX_C_SOURCE >= 200809 */ #include <fcntl.h> int openat(int dirfd , const char * pathname , int flags ...
android-linux系统调用原理之整体系统框架实现原理之OPEN实现
YACHL882828的博客
11-26 1980
 android-linux系统调用原理之整体系统框架实现原理之OPEN实现.docx 【 相关源码版本: LINUX内核源码版本:linux-3.0.86 UBOOT版本:uboot-2010.12. Android系统源码版本:Android-5.0.2】   对于安桌系统来说系统调用就是指:Andriod层调用Linux函数。由于安桌层在文件系统层,而LINUX层在内核
openat函数的用法示例
热门推荐
艺海拾贝
08-20 1万+
《Unix环境高级编程》的第三章和第四章出现了大量的以at结尾的函数,如openat、fstatat等,书中只是粗略的说明了下,没有实际的例子让人很难懂。 int openat(int dirfd, const char *pathname, int flags, mode_t mode); 我初看的时候有如下几个疑问: 1、按函数原型明显是要给一个目录的文件描述符,可是打开目录用的事ope
Android Vold 架构简析
般若程序蝉(prajna.top)的专栏
06-01 9845
这篇文章中主要是分析一下,android系统里面的Vold——Vold是andorid系统的设备管理器,扮演着linux里面的udev的角色。它通过监听uevent的端口,取得uevent事件,dispatch到 相应的Listener,执行相应的动作。UEvent在linux平台上,uevent给系统软件提供设备事件,设备节点的权限管理等等,它由kernel发出。通过socket与udev守护进程通讯(systemd-udevd.service), 在sysfs下的很多kobject下都有uevent属性
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值