android 进程注入 x86,Android中进程注入(一)-程序员宅基地

技术标签: android 进程注入 x86  

前言

以前我们在window在vx上做过进程注入,效果好极了。现在我们就来看看在Android上的进程注入,网上有很多资料但是都大同小异,主要是使用了Linux上的ptrace函数,这个函数可以对目标进程进行内存读写附加等功能。所以我们只需要对其进行封装就可以得到我们所需的函数了。

思路

我们的目的是在目标进程中打开我们自己的so库,然后执行so中导出的函数。在正常的开发逻辑中打开so,然后调用其导出函数的代码如下

//打开文件

void *handle = dlopen(dllPath, RTLD_NOW | RTLD_GLOBAL);

if (!handle) {

__android_log_print(ANDROID_LOG_ERROR, "SharkChilli",

"handle error");

}

//获取函数地址

void *hook_entry_addr = dlsym(handle, "main_entry");

__android_log_print(ANDROID_LOG_ERROR, "SharkChilli",

"hook_entry_addr = %p\n", hook_entry_addr);

typedef int(* HOOK_ENTRY)(char *); // 定义函数指针类型的别名

HOOK_ENTRY my_hook_entry = (HOOK_ENTRY)hook_entry_addr;

my_hook_entry("test");

dlclose(handle);

由于Linux是进程隔离所以我们在自己的进程中执行上面代码是没有用的,所以我们等依靠ptrace函数来完成这些操作。其中定义的字符串变量都得是目标进程中分配的。我们还得从目标进程中获取返回值等结果。所以按照这个思路我们有以下函数需要实现

函数实现

附加卸载函数

//挂载到目标进程

int ptrace_attach(pid_t pid) {

if (ptrace(PTRACE_ATTACH, pid, NULL, 0) < 0) {

perror("ptrace_attach");

return -1;

}

int status = 0;

waitpid(pid, &status, WUNTRACED);

return 0;

}

//从目标进程中卸载

int ptrace_detach(pid_t pid) {

if (ptrace(PTRACE_DETACH, pid, NULL, 0) < 0) {

perror("ptrace_detach");

return -1;

}

return 0;

}

寄存器读写函数

//读取进程寄存器数据

int ptrace_getregs(pid_t pid, struct pt_regs *regs) {

if (ptrace(PTRACE_GETREGS, pid, NULL, regs) < 0) {

perror("ptrace_getregs: Can not get register values");

return -1;

}

return 0;

}

//设置进程寄存器

int ptrace_setregs(pid_t pid, struct pt_regs *regs) {

if (ptrace(PTRACE_SETREGS, pid, NULL, regs) < 0) {

perror("ptrace_setregs: Can not set register values");

return -1;

}

return 0;

}

进程继续执行函数

int ptrace_continue(pid_t pid) {

if (ptrace(PTRACE_CONT, pid, NULL, 0) < 0) {

perror("ptrace_cont");

return -1;

}

return 0;

}

获得函数返回值、获得PC执行地址

long ptrace_retval(struct pt_regs *regs) {

return regs->ARM_r0;

}

long ptrace_ip(struct pt_regs *regs) {

return regs->ARM_pc;

}

1.读取目标进程数据函数

ptrace(PTRACE_PEEKTEXT, pid, addr, data)

ptrace的第一个参数为PTRACE_PEEKTEXT的时候,从子进程内存空间addr指向的位置读取一个字节,并作为调用的结果返回。Linux内部对文本段和数据段不加区分

int ptrace_readdata(pid_t pid, uint8_t *src, uint8_t *buf, size_t size) {

uint32_t i, j, remain;

uint8_t *laddr;

union u {

long val;

char chars[sizeof(long)];

} d;

j = size / 4;

remain = size % 4;

laddr = buf;

for (i = 0; i < j; i++) {

//拷贝src指向的数据

d.val = ptrace(PTRACE_PEEKTEXT, pid, src, 0);

memcpy(laddr, d.chars, 4);

src += 4;

laddr += 4;

}

if (remain > 0) {

d.val = ptrace(PTRACE_PEEKTEXT, pid, src, 0);

memcpy(laddr, d.chars, remain);

}

return 0;

}

参数一:目标进程id

参数二:目标进程读取的地址

参数二:buf用于保存读出的结果

参数四:读取的大小

这里是每次读取4个字节,最后在if判断中读取剩下的字节。

这里之所以使用union 是因为ptrace这时候返回的是long,使用union就省去了转化。

2.写入目标进程数据函数

ptrace(PTRACE_POKETEXT, pid, addr, data);

ptrace的第一个参数为PTRACE_POKETEXT的时候,将data指向的字拷贝到子进程内存空间由addr指向的位置。

int ptrace_writedata(pid_t pid, uint8_t *dest, uint8_t *data, size_t size) {

uint32_t i, j, remain;

uint8_t *laddr;

union u {

long val;

char chars[sizeof(long)];

} d;

j = size / 4;

remain = size % 4;

laddr = data;

for (i = 0; i < j; i++) {

memcpy(d.chars, laddr, 4);

ptrace(PTRACE_POKETEXT, pid, dest, d.val);

dest += 4;

laddr += 4;

}

if (remain > 0) {

for (i = 0; i < remain; i++) {

d.chars[i] = *laddr++;

}

ptrace(PTRACE_POKETEXT, pid, dest, d.val);

}

return 0;

}

参数一:目标进程id

参数二:目标进程写入的地址

参数二:data写入数据

参数四:写入的大小

这个和上面读取的操作是类似的。

3.调用目标进程指定地址函数

这里我们要知道arm中的调用约定,参数1~参数4 分别保存到 R0~R3 寄存器中 ,剩下的参数从右往左依次入栈,被调用者实现栈平衡,返回值存放在 R0 中。

int ptrace_call(pid_t pid, uint32_t addr, long *params, uint32_t num_params, struct pt_regs* regs)

{

uint32_t i;

//前4个参数放入寄存器

for (i = 0; i < num_params && i < 4; i ++) {

regs->uregs[i] = params[i];

}

//后面的参数从右往左依次入栈

if (i < num_params) {

//栈空间大小

regs->ARM_sp -= (num_params - i) * sizeof(long) ;

//写入栈中

ptrace_writedata(pid, (void *)regs->ARM_sp, (uint8_t *)&params[i], (num_params - i) * sizeof(long));

}

regs->ARM_pc = addr;

if (regs->ARM_pc & 1) {

/* thumb */

regs->ARM_pc &= (~1u);

regs->ARM_cpsr |= CPSR_T_MASK;

} else {

/* arm */

regs->ARM_cpsr &= ~CPSR_T_MASK;

}

//那么如何notify进程我们mmp执行完了。就是通过下面这句话。

//原因是当函数调用时候,当我们使用bl或者bx,链接寄存器指向的是下一条返回地址,

//如果把下条返回地址赋值成0,返回时候pc=0,就会产生异常。相当于一个notify,

//然后用下面那个waitpid得到异常模式,确定mmp执行完。所以其实下面不一定是0,只要是无效即可。

regs->ARM_lr = 0;

if (ptrace_setregs(pid, regs) == -1

|| ptrace_continue(pid) == -1) {

printf("error\n");

return -1;

}

int stat = 0;

waitpid(pid, &stat, WUNTRACED);

while (stat != 0xb7f) {

if (ptrace_continue(pid) == -1) {

printf("error\n");

return -1;

}

waitpid(pid, &stat, WUNTRACED);

}

return 0;

}

参数一:目标进程id

参数二:函数地址

参数三:参数数组

参数四:参数数量

参数五:寄存器结构体

这里有一点需要注意,在ARM架构下有ARM和Thumb两种指令,因此在调用函数前需要判断函数被解析成哪种指令,上面代码就是通过地址的最低位是否为1来判断调用地址处指令为ARM或Thumb,若为Thumb指令,则需要将最低位重新设置为0,并且将CPSR寄存器的T标志位置位,若为ARM指令,则将CPSR寄存器的T标志位复位。

再次封装得到返回值代码如下

int ptrace_call_wrapper(pid_t target_pid, const char *func_name, void *func_addr, long *parameters,

int param_num, struct pt_regs *regs) {

DEBUG_PRINT("[+] Calling %s in target process.\n", func_name);

if (ptrace_call(target_pid, (uint32_t) func_addr, parameters, param_num, regs) == -1)

return -1;

if (ptrace_getregs(target_pid, regs) == -1)

return -1;

DEBUG_PRINT("[+] Target process returned from %s, return value=%x, pc=%x \n",

func_name, ptrace_retval(regs), ptrace_ip(regs));

return 0;

}

4.获取目标进程模块基址

读取”/proc/pid/maps”可以获取到系统模块在本地进程和远程进程的加载基地址

void *get_module_base(pid_t pid, const char *module_name) {

FILE *fp;

long addr = 0;

char *pch;

char filename[32];

char line[1024];

if (pid < 0) {

/* self process */

snprintf(filename, sizeof(filename), "/proc/self/maps", pid);

} else {

snprintf(filename, sizeof(filename), "/proc/%d/maps", pid);

}

fp = fopen(filename, "r");

if (fp != NULL) {

while (fgets(line, sizeof(line), fp)) {

if (strstr(line, module_name)) {

pch = strtok(line, "-");

//转成16进制

addr = strtoul(pch, NULL, 16);

if (addr == 0x8000)

addr = 0;

break;

}

}

fclose(fp);

}

return (void *) addr;

}

参数一:目标pid(小于0时查看自己的模块地址)

参数二:模块名称

尾言

有了这些函数我们就可以,在目标进程中加载我们的so并执行我们的函数了。

参考

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42361071/article/details/117580489

智能推荐

IntelliJ IDEA 调试技巧_idea的debuger模式list数据复制为size-程序员宅基地

文章浏览阅读580次。分享一下 IntelliJ IDEA 的高级调试技巧一、条件断点循环中经常用到这个技巧,比如:遍历1个大List的过程中,想让断点停在某个特定值。参考上图,在断点的位置,右击断点旁边的小红点,会出来一个界面,在Condition这里填入断点条件即可,这样调试时,就会自动停在i=10的位置二、回到"上一步"该技巧最适合特别复杂的方法套方法的场景,好不容易跑起来,一不小心手一抖,断点过去了,想回过头看看刚才的变量值,如果不知道该技巧,只能再跑一遍。参考上图,method._idea的debuger模式list数据复制为size

java swing actionlistener_关于Java swing Jcomponent的ActionListener-程序员宅基地

文章浏览阅读325次。java控件响应是swing最基本的内容。在c#中完全不用考虑这个问题,因为拖拽过去的按钮一双击,.net会自动写好事件响应的代码。但java swing就得自己写。今天算是真正搞明白了ActionListener.以Jbutton这个最简单的Jcomponent为例。双击button是一个事件,而我们需要做出对事件的响应。首先要告诉button,当我双击你时你要做出响应,即要把响应注册到butt..._java swing button的addactionlistener

windows系统 与linux系统文件通过pscp上传下载文件、文件夹,window下载linux文件、文件夹_pscp 下载文件-程序员宅基地

文章浏览阅读392次,点赞10次,收藏9次。如提示运行pscp命令时报错pscp不是内部变量,可直接cd 到下载的文件位置,执行命令。如果服务器的ssh端口号改变,则需要加-P 端口号。_pscp 下载文件

linux 嵌入式系统 逆向,嵌入式Linux逆向解析技术研究-程序员宅基地

文章浏览阅读272次。摘要:嵌入式设备固件代码的逆向解析有利于遗产系统的升级维护及关键电子设备的功能解读和安全防护,研究固件代码逆向解析技术具有重要意义。 论文提出了一种针对Linux固件的逆向解析识别框架;研究了固件的一般结构和三大模块的运行机制、实现机制、存储介质相关性及其相互之间的关系;采用局部特征和分布特征相结合的方法搜索可疑模块并对模块区间进行排除性剥离;针对逆向分析过程中存在固件获取不完整性和固件读取出错的..._嵌入式逆向

5G初级中级多选填空_关于5gbbu单板配置原则,下面说法错误的是-程序员宅基地

文章浏览阅读7.5k次,点赞8次,收藏32次。一、多项选择题1. 以下针对5G帧结构描述正确的是( )。A.5G一个无线帧长为10msC.5G一个时隙在常规CP下有14个OFDM符号 D.5G NR中一个时隙的时长是可变的2. 96.通信工程建设中常用的坡度仪包括以下( )部件。A.刻度盘 B. 指示针 C.水准管 D.刻度旋轮3. 以下对5G BBU上电源模块指示灯状态描述正确的是( )。 B. ALM 常亮:输入过压、输入欠压..._关于5gbbu单板配置原则,下面说法错误的是

织梦如何去掉dedecms_如何优雅的拿下dedecms-程序员宅基地

文章浏览阅读4.3k次。如何去掉dedecms解决方法很简单,如果你的网页中出现power by dedecms,或power by xxx。你就去找include/目录下的dedesql.class.php。然后打开。然后查看代码(最好是用dreamweaver这样的编辑器,会显示页码)。在include/dedesql.class.php文件会多出第588到第592行的那几段代码(也可以复制以下一小段代码进行搜索),代码大致如下:$arrs1 = array(0x63,0x66,0x67,0x5f,0x70,0_如何优雅的拿下dedecms

随便推点

机器学习中的随机过程(高斯过程)_高斯随机过程-程序员宅基地

文章浏览阅读1.4k次,点赞2次,收藏5次。高斯过程的直观解释与推导、实现过程_高斯随机过程

女生做java开发最多做几年,附赠复习资料_女孩子需要几次开发-程序员宅基地

文章浏览阅读1.8w次。前言疫情过去,真正的春暖花开又回来了,时不时的可以和朋友约个饭,感慨今年的工作竞争压力很大,工作很不好找。作为一个开发人员,你是否面上了理想的公司,拿到了理想中的薪资?作为程序员,跳槽就是最好的涨薪方式。前提当然是你有足够实力,而不是只会纸上谈兵。面试准备不充分,就是浪费时间,更是对自己不负责任。今天给大家分享一份由粉丝投稿,我精心整理出来的一份1200页Java架构面试专题(文末见面试答案),绝大部分都是一线大厂的面试真题,可以根据这份面试专题查漏补缺,希望能够帮助你尽快找到工作!kafka面试基_女孩子需要几次开发

java ecc 加密_基于java实现的ECC加密算法示例-程序员宅基地

文章浏览阅读1.6k次。本文实例讲述了基于java实现的ECC加密算法。分享给大家供大家参考,具体如下:ECCECC-Elliptic Curves Cryptography,椭圆曲线密码编码学,是目前已知的公钥体制中,对每比特所提供加密强度最高的一种体制。在软件注册保护方面起到很大的作用,一般的序列号通常由该算法产生。当我开始整理《Java加密技术(二)》的时候,我就已经在开始研究ECC了,但是关于Java实现ECC算..._java ecc加密

SQL Server 使用企业微信发送消息_sql 企业微信推送-程序员宅基地

文章浏览阅读2k次。SQL Server使用企业微信发送消息要推送企业微信消息需要使用WebAPI方式调用下面两个方法:1.获取Token请求方式: GET(HTTPS)请求地址: https://qyapi.weixin.qq.com/cgi-bin/gettoken?corpid=ID&corpsecret=SECRET企业微信API文档:https://developer.work.weixin.qq.com/document/path/910392.发送消息。请求方式:POST(HTTPS)请求_sql 企业微信推送

python数据类型对应布尔值,python基础数据类型一(整数类型和布尔值)-程序员宅基地

文章浏览阅读483次。整型(int)整型在Python中的关键字用int来表示; 整型在计算机中是用于计算和比较的在python3中所有的整数都是int类型. 但在python2中如果数据量比较大. 会使用long类型.在python3中不存在long类型 整数可以进行的操作:1.1 整数的加a = 10b = 20print(a + b)结果:301.2 整数的减a = 10b = 20print(b - a)结果1..._python中,布尔型是一种特殊的整型,它只有true和false两种值,分别对应整数1和0。

推荐文章

热门文章

相关标签