android的got表HOOK实现代码
更新时间:2021年08月14日 15:40:16 作者:小道安全
对于android的so文件的hook根据ELF文件特性分为:Got表hook、Sym表hook和inline hook等。今天通过本文给大家介绍android HOOK实现got表的实例代码,需要的朋友参考下吧
概述
对于android的so文件的hook根据ELF文件特性分为:Got表hook、Sym表hook和inline hook等。
全局符号表(GOT表)hook,它是通过解析SO文件,将待hook函数在got表的地址替换为自己函数的入口地址,这样目标进程每次调用待hook函数时,实际上是执行了我们自己的函数。
Androd so注入和函数Hook(基于got表)的步骤:
1.ptrace附加目标pid进程;
2.在目标pid进程中,查找内存空间(用于存放被注入的so文件的路径和so中被调用的函数的名称或者shellcode);
3.调用目标pid进程中的dlopen、dlsym等函数,用于加载so文件实现Android so的注入和函数的Hook;
4.释放附加的目标pid进程和卸载注入的so文件。
具体代码实现
以下以fopen函数进行got hook为例。
//获取模块地址功能实现
void* getModuleBase(pid_t pid, const char* module_name){
FILE* fp;
long address = 0;
char* pch;
char filename[32];
char line[1024];
// 格式化字符串得到 "/proc/pid/maps"
if(pid < 0){
snprintf(filename, sizeof(filename), "/proc/self/maps");
}else{
snprintf(filename, sizeof(filename), "/proc/%d/maps", pid);
}
// 打开文件/proc/pid/maps,获取指定pid进程加载的内存模块信息
fp = fopen(filename, "r");
if(fp != NULL){
// 每次一行,读取文件 /proc/pid/maps中内容
while(fgets(line, sizeof(line), fp)){
// 查找指定的so模块
if(strstr(line, module_name)){
// 分割字符串
pch = strtok(line, "-");
// 字符串转长整形
address = strtoul(pch, NULL, 16);
}
break;
}
}
}
fclose(fp);
return (void*)address;
}
//hook fopen进行实现
//(libxxxx.so文件是ELF32文件)
#define LIBPATH "/data/app-lib/com.xxxx/libxxxx.so"
int hookFopen(){
// 获取目标pid中"/data/app-lib/com.xxxx/libxxxx.so"模块的加载地址
void* base_addr = getModuleBase(getpid(), LIBPATH );
// 保存Hook目标函数的原始调用地址
old_fopen = fopen;
int fd;
// 用open打开内存模块文件"/data/app-lib/com.xxxx/libxxxx.so"
fd = open(LIB_PATH, O_RDONLY);
if(-1 == fd){
return -1;
}
// elf32文件的文件头结构体Elf32_Ehdr
Elf32_Ehdr ehdr;
// 读取elf32格式的文件"/data/app-lib/com.xxxx/libxxxx.so"的文件头信息
read(fd, &ehdr, sizeof(Elf32_Ehdr));
// elf32文件中节区表信息结构的文件偏移
unsigned long shdr_addr = ehdr.e_shoff;
// elf32文件中节区表信息结构的数量
int shnum = ehdr.e_shnum;
// elf32文件中每个节区表信息结构中的单个信息结构的大小(描述每个节区的信息的结构体的大小)
int shent_size = ehdr.e_shentsize;
// elf32文件节区表中每个节区的名称存放的节区名称字符串表,在节区表中的序号index
unsigned long stridx = ehdr.e_shstrndx;
Elf32_Shdr shdr;
lseek(fd, shdr_addr + stridx * shent_size, SEEK_SET);
// 读取elf32文件中的描述每个节区的信息的结构体(这里是保存elf32文件的每个节区的名称字符串的)
read(fd, &shdr, shent_size);
// 为保存elf32文件的所有的节区的名称字符串申请内存空间
char * string_table = (char *)malloc(shdr.sh_size);
// 定位到具体存放elf32文件的所有的节区的名称字符串的文件偏移处
lseek(fd, shdr.sh_offset, SEEK_SET);
read(fd, string_table, shdr.sh_size);
lseek(fd, shdr_addr, SEEK_SET);
int i;
uint32_t out_addr = 0;
uint32_t out_size = 0;
uint32_t got_item = 0;
int32_t got_found = 0;
// 循环遍历elf32文件的节区表(描述每个节区的信息的结构体)
for(i = 0; i<shnum; i++){
// 依次读取节区表中每个描述节区的信息的结构体
read(fd, &shdr, shent_size);
// 判断当前节区描述结构体描述的节区是否是SHT_PROGBITS类型
//类型为SHT_PROGBITS的.got节区包含全局偏移表
if(shdr.sh_type == SHT_PROGBITS){
// 获取节区的名称字符串在保存所有节区的名称字符串段.shstrtab中的序号
int name_idx = shdr.sh_name;
// 判断节区的名称是否为".got.plt"或者".got"
if(strcmp(&(string_table[name_idx]), ".got.plt") == 0
|| strcmp(&(string_table[name_idx]), ".got") == 0){
// 获取节区".got"或者".got.plt"在内存中实际数据存放地址
out_addr = base_addr + shdr.sh_addr;
// 获取节区".got"或者".got.plt"的大小
out_size = shdr.sh_size;
int j = 0;
// 遍历节区".got"或者".got.plt"获取保存的全局的函数调用地址
for(j = 0; j<out_size; j += 4){
// 获取节区".got"或者".got.plt"中的单个函数的调用地址
got_item = *(uint32_t*)(out_addr + j);
// 判断节区".got"或者".got.plt"中函数调用地址是否是将要被Hook的目标函数地址
if(got_item == old_fopen){
got_found = 1;
// 获取当前内存分页的大小
uint32_t page_size = getpagesize();
// 获取内存分页的起始地址(需要内存对齐)
uint32_t entry_page_start = (out_addr + j) & (~(page_size - 1));
// 修改内存属性为可读可写可执行
if(mprotect((uint32_t*)entry_page_start, page_size, PROT_READ | PROT_WRITE | PROT_EXEC) == -1){
return -1;
}
// Hook的函数,是我们自己定义的函数
got_item = new_fopen;
// 进行恢复内存属性为可读可执行
if(mprotect((uint32_t*)entry_page_start, page_size, PROT_READ | PROT_EXEC) == -1){
return -1;
}
break;
// 目标函数的调用地址已经被Hook了
}else if(got_item == new_fopen){
break;
}
}
// 对目标函数HOOk成功,跳出循环
if(got_found)
break;
}
}
}
free(string_table);
close(fd);
}
到此这篇关于android的got表HOOK实现代码的文章就介绍到这了,更多相关android HOOK实现got表内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
这篇文章主要给大家介绍了Android自定义View实现绘制虚线的方法,在绘制过程中走了一些弯路才实现了虚线的效果,所以想着总结分享出来,方便有需要的朋友和自己在需要的时候参考学习,下面来一起看看吧。2017-04-04
android handler.post和handler.sendMessage的区别和联系
handler.post和handler.sendMessage本质上是没有区别的,都是发送一个消息到消息队列中,而且消息队列和handler都是依赖于同一个线程的。接下来通过本文给大家分享android handler.post和handler.sendMessage的区别和联系,一起看看吧2017-08-08
android studio使用SQLiteOpenHelper()建立数据库的方法
这篇文章主要介绍了android studio使用SQLiteOpenHelper()建立数据库的方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2020-03-03
这篇文章主要介绍了flutter 输入框组件TextField的实现代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2019-07-07
这篇文章主要介绍了 Android开发之splash界面下详解及实例的相关资料,需要的朋友可以参考下2017-03-03
这篇文章主要介绍了Android6.0开发中屏幕旋转原理与流程,结合实例形式详细分析了Android6.0屏幕旋转的原理与相关实现流程,并附带了Android动态开启与禁用屏幕旋转的实现方法,需要的朋友可以参考下2017-11-11
Android中的popupwindow进入和退出的动画效果
这篇文章主要介绍了Android中的popupwindow进入和退出的动画,需要的朋友可以参考下2017-04-04
详解Flutter中StatefulBuilder组件的使用
StatefulBuilder小部件可以在这些区域的状态发生变化时仅重建某些小区域而无需付出太多努力。本文将来详细讲讲它的使用,需要的可以参考一下2022-05-05
Android Studio由于使用了gradle的进行项目构建,使我们开发app方便很多,下面这篇文章主要给大家介绍了关于Android Studio中Gradle依赖的相关资料,文中通过示例代码介绍的非常详细,需要的朋友可以参考下2018-09-09
android播放视频时在立体声与单声道之间切换无变化原因分析及解决
使用第三方视频播放器,有立体声与单声道之间切换,发现切换后无作用,原因是由于在HAL层默认没有处理上层发的stereo 转mono的命令,具体的解决方法如下2013-06-06
最新评论