代碼實(shí)例分析android中inline hook

更新時(shí)間：2018年01月07日 08:13:10 作者：mmmmar

本片文章主要給大家通過代碼示例分析了android中inline hook的用法是實(shí)現(xiàn)過程，需要的朋友跟著參考下吧。

以下內(nèi)容通過1、實(shí)現(xiàn)目標(biāo)注入程序，2、實(shí)現(xiàn)主程序，3、實(shí)現(xiàn)注入函數(shù)，4、thumb指令集實(shí)現(xiàn)等4個(gè)方面詳細(xì)分析了android中inline hook的用法，以下是全部內(nèi)容：

最近終于沉下心來對著書把hook跟注入方面的代碼敲了一遍，打算寫幾個(gè)博客把它們記錄下來。

第一次介紹一下我感覺難度最大的inline hook，實(shí)現(xiàn)代碼參考了騰訊GAD的游戲安全入門。

inline hook的大致流程如下：

首先將目標(biāo)指令替換為跳轉(zhuǎn)指令，跳轉(zhuǎn)地址為一段我們自己編寫的匯編代碼，這段匯編代碼先是執(zhí)行用戶指定的代碼，如修改寄存器的值，然后執(zhí)行被替換掉的原指令2，最后再跳轉(zhuǎn)回原指令3處，恢復(fù)程序的正常運(yùn)行。

為了避開注入過程，我們通過hook自己進(jìn)程加載的動(dòng)態(tài)連接庫進(jìn)行演示。

1、實(shí)現(xiàn)目標(biāo)注入程序

我們將這個(gè)程序編譯為動(dòng)態(tài)連接庫，然后在主程序中加載，作為hook的目標(biāo)。

target.h
#ifndef TARGET_H_INCLUDED
#define TARGET_H_INCLUDED
void target_foo();
#endif // TARGET_H_INCLUDED
target.c
#include "target.h"
#include <stdlib.h>
#include <stdio.h>
#include <unistd.h>
void target_foo()
{
 int a = 3;
 int b = 2;
 while(a--) {
  sleep(2);
  b = a * b;
  printf("[INFO] b is %d\n", b);
 }
 b = b + 2;
 b = b - 1;
 printf("[INFO] finally, b is %d\n", b);
}

Android.mk
include $(CLEAR_VARS)
LOCAL_ARM_MODE := arm
LOCAL_MODULE := target
LOCAL_CFLAGS += -pie -fPIE -std=c11
LOCAL_LDFLAGS += -pie -fPIE -shared -llog
APP_ABI := armeabi-v7a
LOCAL_SRC_FILES := target.c
include $(BUILD_SHARED_LIBRARY)

注意Android.mk中LOCAL_ARM_MODE := arm代表編譯時(shí)使用4字節(jié)的arm指令集，而不是2字節(jié)的thumb指令集。

2、實(shí)現(xiàn)主程序

在主程序中我們首先加載之前編寫的動(dòng)態(tài)鏈接庫，進(jìn)行hook之后再對其中的函數(shù)target_foo進(jìn)行調(diào)用。

main.c
#include <stdio.h>
#include <stdlib.h>
#include <dlfcn.h>
#include <unistd.h>
#include <stdbool.h>
#include "hook_inline.h"
typedef void (*target_foo)(void);
void my_func(struct hook_reg *reg)
{
 puts("here we go!");
}
void main()
{
 void *handler = dlopen("/data/local/tmp/libtarget.so", RTLD_NOW);
 target_foo foo = (target_foo)dlsym(handler, "target_foo");
 hook_inline_make("/data/local/tmp/libtarget.so", 0xde2, my_func, true);
 foo();
}
hook_inline.h
#ifndef HOOK_INLINE_H_INCLUDED
#define HOOK_INLINE_H_INCLUDED
#include <stdbool.h>
struct hook_reg {
 long ARM_r0; long ARM_r1; long ARM_r2; long ARM_r3;
 long ARM_r4; long ARM_r5; long ARM_r6; long ARM_r7;
 long ARM_r8; long ARM_r9; long ARM_r10;long ARM_r11;
 long ARM_r12;long ARM_sp; long ARM_lr; long ARM_cpsr;
};
typedef void (*hook_func)(struct hook_reg *reg);
bool hook_inline_make(const char *library, long address, hook_func func, bool isArm);
#endif // HOOK_INLINE_H_INCLUDED

這里我們hook功能的實(shí)現(xiàn)函數(shù)為hook_inline_make，4個(gè)參數(shù)分別為動(dòng)態(tài)庫路徑，目標(biāo)地址，用戶函數(shù)，目標(biāo)地址處指令集。

當(dāng)程序執(zhí)行到目標(biāo)地址處時(shí)會(huì)回調(diào)我們傳入的用戶函數(shù)，可通過參數(shù)hook_reg來更改寄存器的值（不包括寄存器pc）。因?yàn)橹霸趧?dòng)態(tài)鏈接庫的Android.mk文件指定了使用arm指令集進(jìn)行編譯，所以此處指定最后一個(gè)參數(shù)為true。

3、實(shí)現(xiàn)注入函數(shù)

現(xiàn)在到了最為關(guān)鍵的地方，為了實(shí)現(xiàn)這個(gè)功能還需要了解幾個(gè)知識(shí)。

（1）、獲取內(nèi)存中動(dòng)態(tài)鏈接庫的基址

Linux系統(tǒng)中各個(gè)進(jìn)程的內(nèi)存加載信息可以在/proc/pid/maps文件中到，通過它我們可以獲取到動(dòng)態(tài)鏈接庫在內(nèi)存中的加載基址。

long get_module_addr(pid_t pid, const char *module_name)
{
 char file_path[256];
 char file_line[512];
 if (pid < 0) {
  snprintf(file_path, sizeof(file_path), "/proc/self/maps");
 } else {
  snprintf(file_path, sizeof(file_path), "/proc/%d/maps", pid);
 }
 FILE *fp = fopen(file_path, "r");
 if (fp == NULL) {
  return -1;
 }
 long addr_start = -1, addr_end = 0;
 while (fgets(file_line, sizeof(file_line), fp)) {
  if (strstr(file_line, module_name)) {
   if (2 == sscanf(file_line, "%8lx-%8lx", &addr_start, &addr_end)) {
    break;
   }
  }
 }
 fclose(fp);
 printf("library :%s %lx-%lx, pid : %d\n", module_name, addr_start, addr_end, pid);
 return addr_start;
}

（2）、更改內(nèi)存中的二進(jìn)制代碼

現(xiàn)在的計(jì)算機(jī)系統(tǒng)中一般對內(nèi)存進(jìn)行分段式管理，不同的段有不同的讀、寫、執(zhí)行的屬性。一般來講代碼段只有讀和執(zhí)行的屬性，不允許對代碼段進(jìn)行寫操作。Linux系統(tǒng)中通過函數(shù)mprotect對內(nèi)存的屬性進(jìn)行更改，需要注意的一點(diǎn)是需要以內(nèi)存頁的大小進(jìn)行對齊。

bool change_addr_writable(long address, bool writable) {
 long page_size = sysconf(_SC_PAGESIZE);
 //align address by page size
 long page_start = (address) & (~(page_size - 1));
 //change memory attribute
 if (writable == true) {
  return mprotect((void*)page_start, page_size, PROT_READ | PROT_WRITE | PROT_EXEC) != -1;
 } else {
  return mprotect((void*)page_start, page_size, PROT_READ | PROT_EXEC) != -1;
 }
}

接下來就可以著手實(shí)現(xiàn)功能了，inline hook跟指令集密切相關(guān)，此處我們先演示arm指令集的情況，之后對thumb指令集進(jìn)行討論。這里實(shí)現(xiàn)的功能是用戶可在自己注冊的回調(diào)函數(shù)中對hook點(diǎn)寄存器的值進(jìn)行修改。

為了實(shí)現(xiàn)32位地址空間的長跳轉(zhuǎn)，我們需要兩條指令的長度（8個(gè)字節(jié)）來實(shí)現(xiàn)。一般手機(jī)上的arm處理器為3級流水，所以pc寄存器的值總是指向當(dāng)前執(zhí)行指令后的第二條指令，因而使用ldr pc, [pc, #-4]來加載該指令之后的跳轉(zhuǎn)地址。當(dāng)程序跳轉(zhuǎn)到shellcode后，首先對寄存器組進(jìn)行備份，然后調(diào)用用戶注冊的回調(diào)函數(shù)，用戶可在回調(diào)函數(shù)中修改備份中各個(gè)寄存器（pc寄存器除外）的值，然后從備份中恢復(fù)寄存器組再跳轉(zhuǎn)到stubcode，stubcode的功能是執(zhí)行被hook點(diǎn)的跳轉(zhuǎn)指令替換掉的兩條指令，最后跳回原程序。

ellcode.S 1 .global _shellcode_start_s
 .global _shellcode_end_s
 .global _hook_func_addr_s
 .global _stub_func_addr_s
 .data
 _shellcode_start_s:
     @ 備份各個(gè)寄存器
     push  {r0, r1, r2, r3}
     mrs   r0, cpsr
     str   r0, [sp, #0xc]
     str   r14, [sp, #0x8]
     add   r14, sp, #0x10
     str   r14, [sp, #0x4]
     pop   {r0}
     push  {r0-r12}
     @ 此時(shí)寄存器被備份在棧中，將棧頂?shù)刂纷鳛榛卣{(diào)函數(shù)的參數(shù)（struct hook_reg）
     mov   r0, sp
     ldr   r3, _hook_func_addr_s
     blx   r3
     @ 恢復(fù)寄存器值
     ldr   r0, [sp, #0x3c]
     msr   cpsr, r0
     ldmfd sp!, {r0-r12}
     ldr   r14, [sp, #0x4]
     ldr   sp, [r13]
     ldr   pc, _stub_func_addr_s
 _hook_func_addr_s:
 .word 0x0
 _stub_func_addr_s:
 .word 0x0
 _shellcode_end_s:
 .end

shellcode使用匯編實(shí)現(xiàn)，在使用時(shí)需要對里邊的兩個(gè)地址進(jìn)行修復(fù)，用戶回調(diào)函數(shù)地址（_hook_func_addr_s）跟stubcode地址（_stub_func_addr_s）。

接下來我們可以看一下函數(shù)hook_inline_make的具體實(shí)現(xiàn)了

 void hook_inline_make(const char *library, long address, hook_func func)
 {
     //獲取hook點(diǎn)在內(nèi)存中的地址
     long base_addr = get_module_addr(-1, library);
     long hook_addr = base_addr + address;
     //獲取shellcode中的符號地址
  extern long _shellcode_start_s;
     extern long _shellcode_end_s;
     extern long _hook_func_addr_s;
     extern long _stub_func_addr_s;
     void *p_shellcode_start = &_shellcode_start_s;
     void *p_shellcdoe_end = &_shellcode_end_s;
     void *p_hook_func = &_hook_func_addr_s;
     void *p_stub_func = &_stub_func_addr_s;
     //計(jì)算shellcode大小
     int shellcode_size = (int)(p_shellcdoe_end - p_shellcode_start);
     //新建shellcode
     void *shellcode = malloc(shellcode_size);
     memcpy(shellcode, p_shellcode_start, shellcode_size);
     //添加執(zhí)行屬性
     change_addr_writable((long)shellcode, true);
     //在32bit的arm指令集中，stubcode中的4條指令占用16個(gè)字節(jié)的空間
     //前兩條指令為hook點(diǎn)被替換的兩條指令
     //后兩條指令跳轉(zhuǎn)回原程序
     void *stubcode = malloc(16);
     memcpy(stubcode, (void*)hook_addr, 8);
     //ldr pc, [pc, #-4]
     //[address]
     //手動(dòng)填充stubcode
     char jump_ins[8] = {0x04, 0xF0, 0x1F, 0xE5};
     uint32_t jmp_address = hook_addr + 8;
     memcpy(jump_ins + 4, &jmp_address, 4);
     memcpy(stubcode + 8, jump_ins, 8);
     //添加執(zhí)行屬性
     change_addr_writable((long)stubcode, true);
     //修復(fù)shellcode中的兩個(gè)地址值
     uint32_t *shell_hook = shellcode + (p_hook_func - p_shellcode_start);
     *shell_hook = (uint32_t)func;
     uint32_t *shell_stub = shellcode + (p_stub_func - p_shellcode_start);
     *shell_stub = (uint32_t)stubcode;
     //為hook點(diǎn)添加寫屬性
     change_addr_writable(hook_addr, true);
     //替換hook點(diǎn)指令為跳轉(zhuǎn)指令，跳轉(zhuǎn)至shellcode
     jmp_address = (uint32_t)shellcode;
     memcpy(jump_ins + 4, &jmp_address, 4);
     memcpy((void*)hook_addr, jump_ins, 8);
     change_addr_writable(hook_addr, false);
     //刷新cache
     cacheflush(hook_addr, 8, 0);
 }

注意這里的change_addr_writable函數(shù)無論傳入false還是true對應(yīng)地址都會(huì)添加上執(zhí)行屬性。由于處理器采用流水線跟多級緩存，在更改代碼后我們需要手動(dòng)刷新cache，即函數(shù)cacheflush(第三個(gè)參數(shù)無意義)。

4、thumb指令集實(shí)現(xiàn)

由于thumb指令集的功能受到限制，雖然思路上跟arm指令集一致，但在實(shí)現(xiàn)上需要用更多條指令，下面是我自己想的一種實(shí)現(xiàn)方式，歡迎交流。

需要注意的是由于每條thumb指令為16bit，所以32位的跳轉(zhuǎn)地址需要占用兩條指令的空間，而且跳轉(zhuǎn)時(shí)會(huì)污染r0寄存器所以要對其進(jìn)行保護(hù)。我在實(shí)現(xiàn)程序時(shí)將shellcode編譯為了arm指令集，所以在原程序、shellcode、stubcode之間相互跳轉(zhuǎn)時(shí)需要使用bx指令進(jìn)行處理器狀態(tài)切換（需要跳轉(zhuǎn)的地址代碼為thumb指令集時(shí)，需要將地址的第1個(gè)bit位置位）。

您可能感興趣的文章: