安卓hook技术

http://www.epubit.com.cn/book/onlinechapter/33620 阅读总结

两个层面上的hook： java层：需要了解虚拟机的特性与java上反射的使用； native层：难点在于理解elf文件。关键在于如何找到函数的入口点、替换函数。

对于进程附着，Android的内核中有一个函数叫ptrace，它能够动态地attach（跟踪一个目标进程）、detach（结束跟踪一个目标进程）、peektext（获取内存字节）、poketext（向内存写入地址）等，它能够满足我们的需求。而Android中的另一个内核函数dlopen，能够以指定模式打开指定的动态链接库文件。对于程序的指向流程，我们可以调用ptrace让PC指向LR堆栈。最后调用，对目标进程调用dlopen则能够将我们希望注入的动态库注入至目标进程中。

对于代码的注入，我们可以使用mmap函数分配一段临时的内存来完成代码的存放。对于目标进程中的mmap函数地址的寻找与Hook API函数地址的寻找都需要通过目标进程的虚拟地址空间解析与ELF文件解析来完成，具体算法如下：

（1）通过读取/proc/PID/maps文件找到链接库的基地址。

（2）读取动态库，解析elf文件，找到目标函数相对elf文件开始的偏移。

（3）计算目标函数的绝对地址 （＝ 函数在elf中的偏移＋ 动态库基地址）

 总之，向目标进程中注入代码分为以下几步：

（1）用ptrace attach上目标进程 （2）发现装载共享库so函数。（3）装载指定的so （4）让目标进程的执行流程跳转到注入的代码执行 （5）使用ptrace函数的detach释放目标进程。

ptrace提供了一种使父进程得以监视和控制其他进程的方式，它还能够改变子进程中的寄存器和内核映像，因而可以实现断点调试和系统调用的跟踪。使用ptrace，你可以在用户层拦截和修改系统调用（这个和Hook所要达到的目的类似），父进程还可以使子进程继续执行，并选择是否忽略引起终止的信号。

ptrace函数定义如下所示：

int ptrace(int request, int pid, int addr, int data);

• request是请求ptrace执行的操作。
• pid是目标进程的ID。
• addr是目标进程的地址值。
• data是作用的数据。

ptrace允许的操作见 http://www.epubit.com.cn/book/onlinechapter/33620

常用的hook工具： XPosed框架，CydiaSubstrate框架，ADBI/DDI框架等。

使用这些框架可以hook 系统api， 用户自定义的函数，以及nativce code的执行，实现广告注入、登陆劫持、改变系统表现（如系统颜色）等功能。

hook检测：

首先得到该app的pid,之后用/proc/PID/maps查看在其进程空间中的信息，看其加载了哪些第三方的库文件，看是否包含有substrate等怀疑为hook框架的库。

hook修复：

我们希望除了自身包名（com.example.testndklib）下的其他动态链接全都给删除关闭，且关闭后的应用程序还能够正常地运行。因为所有的第三方库都是通过dlopen后注入的方式附加到应用程序进程中的，这里我们很容易想到我们直接使用 dlclose 将其中的第三方函数挨个卸载关闭即可。

这样一个程序思路就来了，首先扫描/proc/<pid>/maps目录下的所有so库文件，并将自身的动态库文件排除，对于非自身的动态链接库我们全都卸载关闭。对于Java我们无法使用dlclose，所以这里我们还是采用了JNI的方式来完成，具体的操作函数如下所示。

 /**
　　 * 根据包名与进程pid，删除非包名下的动态库
　　 * @parampid 进程pid
　　 * @parampkg 包名
　　 * @return
　　 */
public List<String> removeHooks(intpid, String pkg) {
　　　　List<String> hookLibFile = newArrayList<>();
　　　　// 找到对应进程的虚拟地址空间文件
　　　　File file = newFile("/proc/" + pid + "/maps");
if(!file.exists()) {
returnhookLibFile;
　　　　}

try{
　　　　　　BufferedReader bufferedReader = newBufferedReader(newInputStreamReader  
(newFileInputStream(file)));
　　　　　　String lineString = null;
while((lineString = bufferedReader.readLine()) != null) {
　　　　　　　　String tempString = lineString.trim();
　　　　　　　　// 被hook注入的so动态库
if(tempString.contains("/data/data") && !tempString.contains("/data/data/" + pkg)) {
intindex = tempString.indexOf("/data/data");
　　　　　　　　　　String soPath = tempString.substring(index);
　　　　　　　　　　hookLibFile.add(soPath);
　　　　　　　　　　// 调用native方法删除so动态库
　　　　　　　　　　removeHookSo(soPath);
　　　　　　　　}
　　　　　　}
　　　　　　bufferedReader.close();
　　　　} catch(FileNotFoundException e) {
　　　　　　e.printStackTrace();
　　　　} catch(IOException e) {
　　　　　　e.printStackTrace();
　　　　}
return hookLibFile;
　　}

　　/**
　　 *　卸载加载的so库
　　 * @paramsoPath so库地址路径
　　 */
public native void removeHookSo(String soPath);

//　JNI中的removeHookSo卸载一个so的加载
void Java_com_example_testndklib_MainActivity_removeHookSo(JNIEnv* env,
　　　　jobject thiz, jstring path) {
　　constchar* chars = env->GetStringUTFChars(path, 0);
　　void* handle = dlopen(chars, RTLD_NOW);
　　intcount = 4;
　　inti = 0;
　　for(i = 0; i < count; i++) {
　　　　 if(NULL != handle) {
　　　　　　  dlclose(handle);
　　　　 }
　　}
}

在需要卸载的应用程序中调用removeHooks(Process.myPid(), getPackageName())就能够轻松地完成上述的功能。

但dlclose用于关闭指定句柄的动态链接库 ，只有当此动态链接库的使用计数为0时，才会真正被系统卸载。也就是说如果我们手动卸载动态链接库之前，系统已经保持对其的应用的话，我们是无法卸载的。

 

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 

 之后看了一下linux下用gdb实现的so代码注入http://blog.chinaunix.net/uid-29482215-id-4135833.html ，实验了下做到最后一步并没有像作者说的打印出时间信息，或许某一步出错，稍后重新试一下。

（目的是用injection.o中的injection函数地址 替换目标进程 app 中的print函数地址。

在gdb已经attach到app 进程上的条件下，通过gdb调用open("injection.o",2)来打开要注入的文件并返回文件描述符；之后call mmap(0, 2504, 1|2|4, 1, 3, 0) 其中3为文件描述符 来将要注入的函数加载到内存中。

通过readelf 得到injection函数中调用的第一个函数print相对于文件开头的偏移，用 cat /proc/PID/maps （PID为app的进程id）找到injection.o加载到内存中的地址空间。用此地址空间的起始地址加上print函数的偏移得到print函数应该映射到内存中哪个地址。

在要注入的目标进程app中，readelf －s app 得到重定向表中要被hook的函数print的offset （相对于plt的）

这里的逻辑是，在加载之后执行之前print真正的地址会填到0x0804a010处。若我们将injection函数的入口地址写在这里，则可以实现app中print方法的hook

在完成这一步替换之后还要做一下函数重定位来解决injection函数内部调用的问题。

linux x86架构 重定位类型：

R_386_32表示绝对地址的重定位，可以直接使用符号的地址；
R_386_PC32表示对相对地址的重定位，要用“符号地址－重定位地址 + 附加数”得出相对地址。
说明：所谓重定位类型，就是规定了使用何种方式，去计算这个值，具体有哪些变量参与计算如同如何进行计算一样也是不固定的，各种重定位类型有自己的规定。据规范里面的规定，重定位类型R_386_PC32的计算需要有三个变量参与：S，A和P。其计算方式是 S+A-P。根据规范，当R_386_PC32类型的重定位发生在link editor链接若干个.o对象文件从而形成可执行文件的过程中的时候，变量S指代的是被重定位的符号的实际运行时地址，而变量P是重定位所影响到的地址单元的实际运行时地址。在运行于x86架构上的Linux系统中，这两个地址都是虚拟地址。变量A最简单，就是重定位所需要的附加数，它是一个常数。x86架构所使用的重定位条目结构体类型Elf32_Rela，所以附加数就存在于受重定位影响的地址单元中。重定位最后将计算得到的值patch到这个地址单元中。
R_386_32 类型规定只是将附加数加上符号的值作为所需要的值，即.rodata的重定位需要在地址0x00bee000的基础上加上一个附加数。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

然后又看了下看雪上有大神实现的android so injection的代码。应该是跟CydiaSubstrate框架中的原理类似，框架中大约封装的是类似的代码吧。

http://bbs.pediy.com/showthread.php?t=141355