android 安全讲座第五层(三) android so注入的研究

最近公司研究一个变速软件,本来就是一个很小的功能,就是在用户游戏的时候能够加速减速这个功能,
并且对于网络的游戏并没有做要求,实现的思路主要是给目标进程注入自己写的so,然后再hook住gettimeofday,
clock_gettime 这两个比较关键的刷帧的时间函数,改变其返回值,达到刷帧变慢或者变快的效果,然后
实现游戏变速的功能。


  功能要求那是相当的简单,但是实现起来发现却没有那么简单,有几个技术关键点要完成,并且对月linux下的so
加载要有一些了解才行。

  技术关键点

  1 能够顺利的将自己编写的so注入到目标进程中

  2 能够正确找到目标进程调用要hook的函数的so库,并且替换其got表中的地址,
    换成自己的函数地址。

  3 直接找到目标进程中的地址空间中的目标函数的地址,比如send,recv,gettimeofday 这些基础的
    函数一定在libc.so中也就是glibc中的,所以根据目标进程的maps表这些函数的实现地址也一定在
    libc.so所占的地址空间中。找到这个函数的实际地址以后,首先通过mprotect 修改页面的属性,
    让页面属性能够写入,然后喂入一段自己编写的汇编代码,跳转到自己的函数里面,达到hook的目的。

  4 使用ptrace函数附着到目标进程以后,截获相关的系统调用,当系统调用出现以后,修改系统调用的
    参数,达到修改函数实现的目的。

  上面几个关键的技术点,其中2和3 需要以1 为基础点,而4 则可以脱离1独立存在。

  下面分别描述一下几个技术的关键点的实现方法和需要注意的事项。

  关键技术点1  将自己编写的so注入到目标进程中

  这个的实现网上一搜索一大堆,关键核心点就是attach到目标进程,然后找到目标进程的mmap函数的地址
  调用mmap函数
  通过 map_base = (uint8_t *)regs.ARM_r0; 得到mmap函数的返回值,这个时候就可以将精心编写好的
  一小段汇编代码写入到这个map_base这个地址上了,其实这个地址是目标进程的地址。
  并且权限是 parameters[2] = PROT_READ | PROT_WRITE | PROT_EXEC;  // prot
  可读,可写,可执行的。
  同时还需要得到 目标进程的 dlopen  dlsym dlclose 这三个加载库的函数的地址,这是需要在汇编中
  调用的,这些都准备好了以后,给汇编代码准备了栈空间传递了要注入的库的路径的空间以后,然后将
  那一小段汇编代码拷贝到目标进程的地址  
  ptrace_writedata( target_pid, remote_code_ptr, local_code_ptr, 0x400 );

  接着就执行
   memcpy( &regs, &original_regs, sizeof(regs) );
   regs.ARM_sp = (long)remote_code_ptr;
   // change pc to execute instructions at remote_code_ptr
   regs.ARM_pc = (long)remote_code_ptr;  

   sp指针是r13 堆栈寄存器,然后pc是r15 执行寄存器,强制赋值以后就执行汇编代码了,
   而汇编代码也很简单
   就是调用了一下 dlopen 将要注入的so注入到目标进程中去了,仅仅将so注入到目标进程中其实没有什么
   用的,所以需要dlsym 中获取要注入的so库的一个函数,再调用一下这个函数,这个函数要干很多事情的
   最重要的就是修改目标进程中加载的so的got表,修改成要hook的自己的函数,这部分具体要在关键技术点
   2 详细说明,记住这个函数是 so_entry 即可

   关于技术关键点1 就这么点东西需要分析的。当然最后还需要父进程的上下文,然后detach子进程。

  关键技术点2:

  根据第一步,将编写好的so给注入到目标进程了,而注入的so就开始 so_entry
  so_entry 这个函数首先需要注入者写好要修改目标进程的哪个so库,和哪个函数,哪个函数还好说,毕竟做
  不同的功能hook的函数是很明确的,比如你做游戏变速,肯定要hook gettimeofday和clock_gettime 这些
  函数了,你做流量监控肯定要hook  connet send recvmsg 这些函数了,你做电话或者短信防火墙就要hook
  电话或者短信相关的函数。
  但是修改目标进程的哪个so库,的确是一个比较麻烦的事情,android上层应用普通的进程都会挂载很多很多
  的so库,并且你修改了a.so 的got表,但是java应用程序是通过b.so 调用的要hook函数,那么对不起,你
  同样没有办法hook住想要的hook的函数,因为你只是修改了a.so中的got表的该函数的跳转地址,所以这种方
  法的弊端在于你需要要了解你要hook的函数在这个应用中使用哪个so库调用的,或者你把maps表所有的so的  
  got表都修改一遍,反正就是挺麻烦的。

  其中具体方法就是 do_hook 这个函数,找到so的基地址以后,再通过解析elf文件,找到got表地址的偏移
  量,根据这个偏移量再加上基地址  得到got表的地址 got_shdr->sh_offset + module_base

  接着再把 所在页的
      mprotect((uint32_t *) entry_page_start, page_size, PROT_READ | PROT_WRITE);
  属性变换成可读可写,最后将hookfun的地址替换got表的跳转地址
   // replace GOT entry content with hook_func's address
   memcpy((uint32_t *) entry_addr, &hook_func, sizeof(uint32_t));

  下面的这段trace分析很好的说明了这个过程

maps表(部分)

400dc000-4011f000 r-xp 00000000 103:02 565       /system/lib/libc.so
4011f000-40122000 rw-p 00043000 103:02 565       /system/lib/libc.so

40729000-407cb000 r-xp 00000000 103:02 585       /system/lib/libdvm.so
407cc000-407ce000 r--p 000a2000 103:02 585       /system/lib/libdvm.so
407ce000-407cf000 rw-p 000a4000 103:02 585       /system/lib/libdvm.so
407cf000-407d4000 rw-p 000a5000 103:02 585       /system/lib/libdvm.so

41c20000-41c23000 r-xp 00000000 103:04 588087    /data/data/com.example.socketcomm/lib/libsocketclient.so
41c23000-41c25000 rw-p 00002000 103:04 588087    /data/data/com.example.socketcomm/lib/libsocketclient.so

5c06c000-5c070000 r-xp 00000000 00:0c 84482      /dev/libhook.so
5c070000-5c071000 r--p 00003000 00:0c 84482      /dev/libhook.so
5c071000-5c072000 rw-p 00004000 00:0c 84482      /dev/libhook.so


11-20 13:12:31.509: I/cheatecore-hookso(19676): [+] lib loaded ...
11-20 13:12:31.509: I/hook(19676): [+] base address of /system/lib/libdvm.so: 0x40729000(libdvm.so 虽然got表中有send函数,但是应用并没有通过这个库来调用
socket 的send函数,所以修改这个so的got表项其实是没有用处的)
11-20 13:12:31.517: I/hook(19676): [+] got entry offset of send: 0xa5f40
11-20 13:12:31.517: I/hook(19676): [----]1-407cef40
11-20 13:12:31.517: D/hook(19676): [+] hook_fun addr: 0x5c06d24d(这个地址在libhook.so中r-xp)
11-20 13:12:31.517: D/hook(19676): [+] got entry addr: 0x407cef40(这个地址在libdvm.so中rw-p)
11-20 13:12:31.517: D/hook(19676): [+] original addr: 0x400f5f15(这是send的真实实现地址,在glib也就是libc.so这个库中r-xp中)
11-20 13:12:31.517: D/hook(19676): [+] page size: 0x1000
11-20 13:12:31.517: D/hook(19676): [+] entry page start: 0x407ce000(mprotect 修改页属性的时候需要从整页开始)
11-20 13:12:31.517: I/cheatecore-hookso(19676): [+] module_path /system/lib/libdvm.so function send  address is : 0x400f5f15


11-20 13:12:31.524: I/hook(19676): [+] base address of /data/data/com.example.socketcomm/lib/libsocketclient.so: 0x41c20000
(libsocketclient.so got表中有send函数,但是应用通过这个库来调用socket 的send函数,所以修改这个so的got表项是可以生效的)
11-20 13:12:31.524: I/hook(19676): [+] got entry offset of send: 0x3fdc
11-20 13:12:31.524: I/hook(19676): [----]1-41c23fdc
11-20 13:12:31.524: D/hook(19676): [+] hook_fun addr: 0x5c06d24d
11-20 13:12:31.524: D/hook(19676): [+] got entry addr: 0x41c23fdc
11-20 13:12:31.524: D/hook(19676): [+] original addr: 0x400f5f15 (这是send的真实实现地址,在glib也就是libc.so这个库中r-xp中和上面的一样)
11-20 13:12:31.524: D/hook(19676): [+] page size: 0x1000
11-20 13:12:31.524: D/hook(19676): [+] entry page start: 0x41c23000
11-20 13:12:31.524: I/cheatecore-hookso(19676): [+] module_path /data/data/com.example.socketcomm/lib/libsocketclient.so function send  address is : 0x400f5f15  

    目前这种调试方法在实践中有一个问题,就是在变速 unity3d比如神庙逃亡 这类游戏的时候,即便修改了所有的so的got表,发现也没有生效,这个问题尚在研究,
    当中。



   关键技术点3:  这个方法比较关键技术点2来说可以说是简单粗暴,不美观,但是很霸道,分析elf文件,查找got表等操作都和关键技术点2是一样,唯一不同的是
   对于 original addr: 0x400f5f15(这是send的真实实现地址,在glib也就是libc.so这个库中r-xp中)
   这个send函数的真实地址的处理方式不同,因为已经找到send函数的地址了

    entry_page_start = PAGE_START(original_addr, page_size);
   LOGD("[+] entry page start: 0x%x", entry_page_start);
   result = mprotect((uint32_t *) entry_page_start, page_size, PROT_READ  | PROT_WRITE | PROT_EXEC);

  找到页的边沿地址,然后通过mprotect 函数给其赋予 PROT_READ  | PROT_WRITE | PROT_EXEC 这样权限
  在那个地址上喂入一段汇编代码,完成跳转即可。


  关键技术点4:
  只是以前实验了一下,觉得原理可行,但是尚未深究...


  附件有个例子,里面包含两个程序,一个是android应用,一个是命令行的注入程序,里面实现了so注入和拦截socket 的send recv函数,但是没有是实现直接向地址里面写入自己的汇编代码的功能...



你可能感兴趣的:(android,linux,技术,空间,关键点)