基於Xposed和Substrate的通用性SO注入

原創 asmcvc 2020-06-29 01:25

需求來源

如果需要注入SO且HOOK一些功能做研究分析,必然需要注入HOOK,而對於不同的分析目標除了HOOK的函數不同之外,注入部分是相同的,可以把相同部分的代碼提出來,做成一個功能,那麼以後注入部分就不用再次編寫了,分析的時候只需要編寫HOOK代碼即可。

設計

我們把整體分成三個部分:java層、SO loader層、SO HOOK層。java層和SO loader層我們抽象爲框架層(負責注入流程),SO HOOK層抽象爲應用層(以後研發分析人員只需要編寫這個SO即可,關注於函數的HOOK,不必關心注入流程)。

代碼儘量在java層代碼多寫一些,畢竟寫java代碼要比寫C++代碼容易些,出錯也容易排查,如下是大致的設計流程:
image
- 注入器Java(Xposed)層:主要是攔截APP的運行,當APP運行時通過判斷包名是否是目標包名來過濾,如果不是則放行,否則就加載配置執行注入SO、注入插件APK、隱藏XPOSED以及其他功能的初始化(諸如微信骰子剪刀石頭布的作弊、貪喫蛇大作戰作弊、地圖的模擬定位等)。這裏只介紹注入SO這一塊,其他的暫不涉獵。在運行目標APP的時候,事先保存一個配置文件,裏面保存了目標APP的包名以及待攔截的SO名稱,例如libgame.so或libmono.so。由於在JNI層HOOK函數直接使用了substrate框架,注入SO前先把libsubstrate.so和libsubstratedvm.so加載進去,然後再加載loader(也是一個SO)。
- 注入器SO(loader)層:loader被加載後,JNI_OnLoad中通過讀取配置文件獲取目標APP的包名、要攔截的SO名稱、要注入的HOOK SO(應用層),然後HOOK dlopen函數,當目標SO被加載時,加載HOOK SO並調用約定導出函數on_dlopen函數,傳入足夠多的信息過去,這樣開發者可以直接利用這些信息處理,不必每次都要重新獲取了,也即只關注HOOK的函數本身。
- HOOK SO(應用層):由於在loader層已經對dlopen做了HOOK,所以這裏一定不能再用dlopen去獲取模塊的句柄,而要用從loader層傳遞過來的原始地址olddlopen,否則會進入死循環。到了這一環節,只需要獲取到目標函數進行HOOK即可,代碼量就很少了。

優勢

每次修改SO無須重啓手機,編譯SO後可以利用AndroidStudio的instantrun功能快速生效,測試效率很高。

實現

注入器SO(loader)層

HOOK dlopen的代碼如下,參考:如何hook dlopen和dlsym底層函數


Tdlopen olddlopen = NULL;
void* newdlopen(const char* filename, int myflags) {
    LOGD("[soloader]dlopen: %s",filename);
    void *handle = olddlopen(filename, myflags);

    //目標SO加載時,加載注入SO
    if ( strstr(filename, g_config.strHostSO.c_str())!=NULL ) {
        void *hInjectSO = olddlopen(g_config.strInjectSoPath.c_str(), RTLD_NOW);
        Ton_dlopen pOn_dlopen = (Ton_dlopen)olddlsym(hInjectSO, "on_dlopen");
        if ( pOn_dlopen!=NULL ) {
            pOn_dlopen(filename, handle, g_env, g_config.strHostPackage.c_str(), olddlopen, g_pMSHookFunction);
        }
    }
    return handle;
}

bool hookdlopen() {
    void *dlopen_addr = NULL;
    void *dlsym_addr = NULL;

    //獲取dlopen地址
    dlopen_addr = get_remote_addr(getpid(), "/system/bin/linker", (void *)dlopen);
    LOGD("[soloader] dlopen_addr: [%p]", dlopen_addr);

    //hook dlopen方法,下面方法類似
    g_pMSHookFunction(dlopen_addr, (void *)&newdlopen, (void**)&olddlopen);

    dlsym_addr = get_remote_addr(getpid(), "/system/bin/linker", (void *)dlsym);
    LOGD("[soloader] dlsym_addr: [%p]", dlsym_addr);
    g_pMSHookFunction(dlsym_addr, (void*)&newdlsym, (void**)&olddlsym);

    return true;
}
//////////////////////////////////////////////////////////////////////////

void *getMSHookFunction()
{
    void *pfunc = NULL;
    void *handle = dlopen("/data/data/com.bigsing.xtool/lib/libsubstrate.so", RTLD_NOW);
    if (handle == NULL) {
        LOGE("[soloader]dlopen libsubstrate.so failed!");
    }else{
        pfunc = dlsym(handle, "MSHookFunction");
        if (NULL == pfunc) {
            LOGE("[soloader]can't find MSHookFunction");
        }
    }

    return pfunc;
}


/************************************************************************/
/* 
Java層(xposed)在handleLoadPackage時會通過System.load加載本SO作爲loader。
*/
/************************************************************************/
extern "C" jint JNI_OnLoad(JavaVM* vm, void* reserved)  
{
    JNIEnv* env = NULL;
    jint result = -1;  
    LOGD("[soloader] %s begin", __FUNCTION__);
    if( vm->GetEnv((void**)&env, JNI_VERSION_1_6) != JNI_OK) {
        LOGE("[soloader]utility GetEnv error");
        return result;
    }
    g_env = env;

    //
    LoadConfig(g_config);
    LOGD("[soloader] package name: %s", g_config.strHostPackage.c_str());

    g_pMSHookFunction = (TMSHookFunction)getMSHookFunction();

    if ( g_config.strHostSO.empty()==false ) {
        if ( g_pMSHookFunction!=NULL ) {
            //當目標SO加載時注入SO
            hookdlopen();
        }
    }else{
        //無須攔截SO,那麼直接加載咯
        void *hInjectSO = dlopen(g_config.strInjectSoPath.c_str(), RTLD_NOW);
        Ton_dlopen pOn_dlopen = (Ton_dlopen)dlsym(hInjectSO, "on_dlopen");
        if ( pOn_dlopen!=NULL ) {
            pOn_dlopen(NULL, NULL, g_env, g_config.strHostPackage.c_str(), dlopen, g_pMSHookFunction);
        }
    }

    LOGD("[soloader] %s end", __FUNCTION__);
    return JNI_VERSION_1_6;  
}

HOOK SO層

由於loader層傳遞的信息足夠多,很多可以直接使用,因此主要在on_dlopen中完成HOOK處理。

/************************************************************************/
/* 
該函數可能會被調用多次,所以要記錄初始化標誌,HOOK過了就不要再HOOK了。
*/
/************************************************************************/
extern "C" void on_dlopen(const char* libname, void *handle, JNIEnv *env, const char *szPackageName, Tdlopen olddlopen, TMSHookFunction pMSHookFunction) {
    LOGD("[gamedumper]%s begin", __FUNCTION__);
    g_env = env;

    g_pMSHookFunction = pMSHookFunction;
    if ( g_pMSHookFunction==NULL ) {
        //自己再動態獲取一遍,但是要記得用olddlopen
    }
    if ( szPackageName==NULL || strlen(szPackageName) < 4 ) {
        g_bDataPathGot = getPackagePath(env, g_strDataPath);
    }else{
        g_strDataPath = "/data/data/";
        g_strDataPath.append(szPackageName);
        g_bDataPathGot = true;
    }

    if ( strstr(libname, "libmono.so")!=0 ) {
        if ( g_bU3dHooked==false ) {
            g_bU3dHooked = hookU3D(handle, olddlopen);
        }
    }else if ( strstr(libname, "libgame.so")!=0 ) {
        if ( g_bCocosHooked==false ) {
            g_bCocosHooked = hookCocos(handle, olddlopen);
        }
    }

    LOGD("[gamedumper]%s end", __FUNCTION__);
}

U3D引擎的HOOK:

//hook mono_image_open_from_data_with_name
int (*mono_image_open_from_data_with_name_orig)(char *data, int data_len, int need_copy, void *status, int refonly, const char *name) = NULL;
int mono_image_open_from_data_with_name_mod(char *data, int data_len, int need_copy, void *status, int refonly, const char *name) {
    LOGD("[dumplua] mono_image_open_from_data_with_name, name: %s, len: %d, buff: %s", name, data_len, data);
    int ret = mono_image_open_from_data_with_name_orig(data, data_len, need_copy, status, refonly, name);
    saveFile(data, data_len, getNextFilePath(".dll").c_str());
    return ret;
}


bool hookU3D(void *handlelibMonoSo, Tdlopen olddlopen) {
    void *handle = NULL;
    if ( handlelibMonoSo==NULL ) {
        if ( olddlopen==NULL ) {
            handle = dlopen("libmono.so", RTLD_NOW);
        }else{
            handle = olddlopen("libmono.so", RTLD_NOW);
        }
        if (handle == NULL) {
            LOGE("[dumplua]dlopen err: %s.", dlerror());
            return false;
        }
    }else{
        handle = handlelibMonoSo;
        LOGD("[dumplua] libmono.so handle: %p", handle);
    }

    void *mono_image_open_from_data_with_name = dlsym(handle, "mono_image_open_from_data_with_name");
    if (mono_image_open_from_data_with_name == NULL){
        LOGE("[dumplua] mono_image_open_from_data_with_name not found!");
        LOGE("[dumplua] dlsym err: %s.", dlerror());
    }else{
        LOGD("[dumplua] mono_image_open_from_data_with_name found: %p", mono_image_open_from_data_with_name);
        g_pMSHookFunction(mono_image_open_from_data_with_name, (void *)&mono_image_open_from_data_with_name_mod, (void **)&mono_image_open_from_data_with_name_orig);
    }

    return true;
}

cocos的HOOK:

//orig function copy
int (*luaL_loadbuffer_orig)(void *L, const char *buff, int size, const char *name) = NULL;

//local function
int luaL_loadbuffer_mod(void *L, const char *buff, int size, const char *name) {
    LOGD("[dumplua] luaL_loadbuffer name: %s lua: %s", name, buff);
    return luaL_loadbuffer_orig(L, buff, size, name);
}


//hook decryptUF
int (*decryptUF_orig)(void *pInBuff, int len, int *n, int *poutlen, char *name) = NULL;
int decryptUF_mod(void *pInBuff, int len, int *n, int *poutlen, char *name) {
    LOGD("[dumplua] decryptUF_mod 1");
    int ret = decryptUF_orig(pInBuff, len, n, poutlen, name);
    LOGD("[dumplua] decryptUF_mod 2, in buff: %s", (char*)pInBuff);
    LOGD("[dumplua] decryptUF_mod in len: %d n: %d", len, *n);
    LOGD("[dumplua] decryptUF_mod name: %s, outlen: %d ", name, *poutlen);
    LOGD("[dumplua] decryptUF_mod ret buff: %s", (char*)pInBuff);
    saveFile(pInBuff, *poutlen, getNextFilePath(".png").c_str());
    return ret;
}



bool hookCocos(void *handlelibGameSo, Tdlopen olddlopen) {
    LOGD("[dumplua] hook begin");
    void *handle = NULL;
    if ( handlelibGameSo==NULL ) {
        if ( olddlopen==NULL ) {
            handle = dlopen("libgame.so", RTLD_NOW);
        }else{
            handle = olddlopen("libgame.so", RTLD_NOW);
        }
        if (handle == NULL) {
            LOGE("[dumplua]dlopen err: %s.", dlerror());
            return false;
        }
    }else{
        handle = handlelibGameSo;
        LOGD("[dumplua] libgame.so handle: %p", handle);
    }

    void *pluaL_loadbuffer = dlsym(handle, "luaL_loadbuffer");
    if (pluaL_loadbuffer == NULL){
        LOGE("[dumplua] lua_loadbuffer not found!");
        LOGE("[dumplua] dlsym err: %s.", dlerror());
    }else{
        LOGD("[dumplua] luaL_loadbuffer found!");
        g_pMSHookFunction(pluaL_loadbuffer, (void *)&luaL_loadbuffer_mod, (void **)&luaL_loadbuffer_orig);
    }


    //hook decryptUF
    void *decryptUF = dlsym(handle, "_ZN7cocos2d5extra8CCCrypto9decryptUFEPhiPiS3_");
    if ( decryptUF==NULL ) {
        LOGE("[dumplua] _ZN7cocos2d5extra8CCCrypto9decryptUFEPhiPiS3_ (decryptUF) not found!");
        LOGE("[dumplua] dlsym err: %s.", dlerror());
    }else{
        LOGD("[dumplua] _ZN7cocos2d5extra8CCCrypto9decryptUFEPhiPiS3_ (decryptUF) found!");
        g_pMSHookFunction(decryptUF, (void *)&decryptUF_mod, (void **)&decryptUF_orig);
    }


    LOGD("[dumplua] hook end");
    return true;
}

界面效果

  • 包名:從安裝的APP列表裏選擇,來確定目標APP。
  • 待注入的SO:配置某個SO加載時要load的SO路徑(需要按格式導出on_dlopen函數)。
  • 注入插件:此處不講解。
  • 點擊添加,則生成一條HOOK記錄,追加到底部的列表裏,且包名爲紅色,意義爲HOOK生效。
  • 點擊“run”按鈕啓動目標APP(啓動前會殺死已經運行的該APP,且保存一個配置文件供loader讀取),APP啓動後XPOSED層就會攔截到,也就是進入handleLoadPackage函數。

image

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Android 加密, Android 常用加密, Android So 庫高強度加密

移動互聯網給人們的生活帶來了極大的便利,但是隨着移動互聯網市場的需求快速增長,移動 APP 的開發與應用也是成幾何級數量遞增,帶來的流量紅利逐漸被消耗殆盡,移動應用市場由增量變成存量,移動互聯網發展開始步入下半場,在功能上得到最大化開發的

几维安全 2020-07-07 22:52:30

Android權限系統(二):開機授予運行時權限

DefaultPermissionGrantPolicy簡介 .  Android開機後,除了根據上次開機的記錄(runtime-permissions.xml)授予運行時權限外,一些系統重要的組件也需要提前授予運行時權限。例如,

Invoker123 2020-07-03 13:00:21

Android權限系統(一):開機獲取權限信息

一.SystemConfig的整機權限信息   Android在SystemConfig的構造函數中會通過讀取相關的文件來加載整機的權限信息。這些文件是{partition}/etc/permissions下面的文件。其中{par

Invoker123 2020-07-03 13:00:21

獲取安卓APK的SHA1值(Android安裝包SHA1指紋)

接入QQ錢包支付的時候,需要獲取這個值,獲取的方法: 1) 將apk修改後綴爲 .rar文件後解壓; 2) 進入解壓後的META-INF目錄,該目錄下會存在文件CERT.RSA 3) 在該目錄下打開cmd,輸入命令 :keytoo

Invoker123 2020-07-03 13:00:21

安卓安全那點事

本文旨在對於一個安卓app的安全知識做一個較爲泛泛的總結,爲開發出更安全的應用提供思路。內容比較粗略,僅起到拋磚引玉的效果,還望大家見諒。 Android應用的安全 意義 在維基百科上有一個關於計算機安全的定義: 計算機安全(

xjz729827161 2020-07-02 01:02:20

Android應用程序簽名和權限增強應用程序安全性

沙箱、進程和權限 在 Linux 中,一個用戶 ID 識別一個給定用戶;在 Android 上,一個用戶 ID 識別一個應用程序。應用程序在安裝時被分配用戶 ID,應用程序在設備上的存續期間內,用戶 ID 保持不變。權限是關於允許或限制應

dacainiao007 2020-06-29 12:09:04

Root exploit for Android and Linux(CVE-2010-4258)

/* 本文章由 莫灰灰 編寫,轉載請註明出處。   作者:莫灰灰    郵箱: [email protected] */ 一. 漏洞簡介 CVE-2010-4258這個漏洞很有意思,主要思路是如果通過clone函數去創建進

莫灰灰 2020-06-29 10:02:51

移動APP外掛攻防實戰

前言 近日,某某龍在2018年的一次會議上發表了一個演講,4000多人聚集在現場玩“跳一跳”遊戲。隨着他們指尖的翻飛跳躍,大屏幕上的現場排名也在不斷刷新……而在全場的驚歎聲中,最高分出現了,967分!而這位最高分得主,就是某某龍本人。

阿里安全 2020-06-29 03:42:47

unity3d引擎的遊戲的腳本DUMP及HOOK方案優化

對unity3d引擎的遊戲,重要的資源就是C#腳本,腳本是被打包到APK的assets目錄下的一些dll文件,有的APP可能會對其加密,運行的時候再動態解密。可以通過HOOK libmono.so中的函數mono_image_op

asmcvc 2020-06-29 01:25:30

基於Xposed的通用破解簽名的方法

@Override public void initZygote(IXposedHookZygoteInit.StartupParam startupParam) throws Throwable { XposedBrid

asmcvc 2020-06-29 01:25:30

如何快速定位Android APP中的關鍵函數?

需求來源 在逆向分析中,肯定是越快地定位到目標函數越好,那麼有沒有這樣的一種工具可以快速地輔助分析人員定位到目標函數呢? 最早的一個想法是這樣的: - 通過某種機制讓APP輸出函數調用時候的日誌記錄。 - APP在運行的時候可

asmcvc 2020-06-29 01:25:30

【Android病毒分析報告】 - ZooTiger “集惡意推廣、隱私竊取、惡意吸費於一體”

本文章由Jack_Jia編寫,轉載請註明出處。  文章鏈接:http://blog.csdn.net/jiazhijun/article/details/11772379作者:Jack_Jia    郵箱: [email protected]

Jack_Jia 2020-06-28 17:02:00

Bionic中的ptrace函數

ptrace函數的原型是: long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data); q  參數request是請求ptrace執行

行者无疆-超越 2020-06-28 01:43:36

AndroidBinder進程間通信系統

目錄 前言及知識準備 Service組件結構 Clinet組件結構 與Binder驅動程序交互 總結 Binder進程間通信實例 問題 本次 主要介紹Android平臺下Binder進程間通信庫。所謂通信庫,就是Adroid在應

fesng 2020-06-26 14:51:04

Android安全:使用HTTPS與SSL

SSL,安全套接層(TSL),是一個常見的用來加密客戶端和服務器通信的模塊。 但是應用程序錯誤地使用SSL可能會導致應用程序的數據在網絡中被惡意攻擊者攔截。爲了確保這種情況不在我們的應用中發生,這篇文章主要說明使用網絡安全協議常見的陷阱和

范培华 2020-06-23 06:54:53