title: 应用调试(五)侵入式SWI

date: 2019/01/19 21:27:31

toc: true

应用调试(五)侵入式SWI

场景应用

  1. 反汇编源程序,查看汇编代码,然后直接修改二进制的bin文件,替换其中一条A指令为B指令,B指令是swi跳转指令
  2. 构造一个SWI跳转,加入到内核中,这个SWI跳转可以用来打印变量等,然后完成原来A指令需要完成的事情
  3. 直接运行修改后的文件,也就是说程序执行到A指令时,先去执行内部的SWI跳转,然后执行A指令
  4. 整个过程实际上和我们调试的软件断点是很像的

为什么需要这么调试?不直接修改APP程序更方便?

这个应用我个人觉得应该是破解程序用的,不然修改APP多省事,或者直接弄个驱动能够操作内核,APP去调用这个驱动函数就好了.

应该是有个APP,那么这个时候我们只有执行程序,没有源代码,我们就可以大概看下想破解什么的,,如果直接加入代码的话,有些地址相关的指令可能就不对的,这种直接替换的方式,也不会破坏地址空间.

但是 破解应该有更好的工具,暂时没想到有什么绝佳的用处.

测试程序

这里写一个正常的测试程序如下,这里使用了sleep是因为直接快速打印,估计缓存区有优先级后两个不同的进程打印不一致

#include <stdio.h>

#include <unistd.h>

int cnt = 0;

void C(void)

{

	int i = 0;

	while (1)

	{

		printf("Hello, cnt = %d, i = %d\n", cnt, i);

		cnt++;

		i = i + 2;

		sleep(5);

	}

}

void B(void){C();}

void A(void){B();}

int main(int argc, char **argv)

{

	A();

	return 0;

}

现在假设我们需要在i = i+ 2;这里设置断点,因为这个汇编语句简单,反汇编文件

000084c0 <C>:

    84c0:	e1a0c00d 	mov	ip, sp

    84c4:	e92dd800 	stmdb	sp!, {fp, ip, lr, pc}

    84c8:	e24cb004 	sub	fp, ip, #4	; 0x4

    84cc:	e24dd004 	sub	sp, sp, #4	; 0x4

....

    84fc:	e5823000 	str	r3, [r2]

    8500:	e51b3010 	ldr	r3, [fp, #-16]		;这里获取局部变量i的值

    8504:	e2833002 	add	r3, r3, #2	; 0x2   ;这个就是i=i+2

...

修改APP的bin

修改为SWI指令,可以参考上一节的汇编,或者看下SWI的指令格式

// 上一节的指令格式如下

84b8:	ef900160 	swi	0x00900160

所以 也就是修改二进制文件中的e2833002ef900160,注意下小端模式低字节在低地址也就是搜索02 30 83 e2替换为60 01 90 ef

修改SWI

在上一个小结的基础上修改sys_hello,在fs/read_write.c

  • 查看下全局变量cnt,我们可以在dis中查看cnt的地址

    000107c8 <cnt>:
    
   107c8:	00000000 	andeq	r0, r0, r0

  • 局部变量的值怎么看? 看到汇编i的运算,也就是存在[fp-16]

        8500:	e51b3010 	ldr	r3, [fp, #-16]					;这里获取局部变量i的值
    
    8504:	e2833002 	add	r3, r3, #2	; 0x2				;替换指令在这里

接下来我们打印全局变量cnt和局部变量i,这里看下汇编知道是r3

asmlinkage void sys_hello(char __user * buf, size_t count)

{

	int val;

	struct pt_regs *regs;

	/* 1.输出一些调试信息 */

	/* 这里我们输出应用程序中的cnt值,在反汇编文件test_sc.dis中搜cnt的cnt的地址为0x00010788 */

	copy_from_user(&val, (const void __user *)0x000107c4,4);

	printk("sys_hello : cnt = %d \n",val);

	/* 2. 执行被替代的指令 */

	regs = task_pt_regs(current);

	regs->ARM_r3 += 2;

        /* 获得应用程序中C函数局部变量i的值 */

	copy_from_user(&val,(const void __user *)(regs->ARM_fp - 16),4);

	printk("sys_hello : i = %d \n",val);

	/* 3. 返回 */

}

获得当前进程的寄存器

上述的例子中需要获得寄存器的值,使用task_pt_regs(current)可以获得当前进程的寄存器值.当前进程就是发生swi前应用程序的进程。

regs = task_pt_regs(current);

#define task_pt_regs(p) \

	((struct pt_regs *)(THREAD_START_SP + task_stack_page(p)) - 1)

测试运行

可以看到SWI中打印出来了全局变量cnt,因为函数是先打印cnt,然后cnt+1,所以SWIcntapp打印的大1,局部变量iapp打印后swi打印,然后+2,所以app的比swii一致

# chmod +x test_sc_sleep_swi

# ./test_sc_sleep_swi

Hello, cnt = 0, i = 0

sys_hello : cnt = 1

sys_hello : i = 0

######################################

# 系统调用cnt 比app的大1,与上一次的i值相同

#####################################

###↓↓↓↓ 接下去是第二轮

Hello, cnt = 1, i = 2

sys_hello : cnt = 2

sys_hello : i = 2

Hello, cnt = 2, i = 4

sys_hello : cnt = 3

sys_hello : i = 4

Hello, cnt = 3, i = 6

sys_hello : cnt = 4

sys_hello : i = 6

恢复代码 进程间内存拷贝

代码是放在内存里的,我们可以在执行一段时间后恢复这段代码,可以看到指令地址在0x8504

这里使用了函数access_process_vm来将当前进程的一段内存内容拷贝到另一个进程的内存中

// 8504:	e2833002 	add	r3, r3, #2	; 0x2				;替换指令在这里

static int cnt = 0;

int ret;

if (++cnt == 5)

{

    copy_from_user(&val, (const void __user *)0x8504, 4);

    printk("[0x8504] code = 0x%x\n", val);

    printk("regs->ARM_lr  = 0x%x\n", regs->ARM_lr);

    val = 0xe2833002;   //原来正确的代码

    ret = access_process_vm(current, 0x8504, &val, 4, 1);

    printk("access_process_vm ret = %d\n", ret);

    cnt = 0;

}

接着测试下是否生效,确实5次后就不再打印sys_hello

# mount -t nfs -o nolock,vers=2 192.168.95.222:/home/book/stu /mnt

# /mnt/code/test_sc_sleep_swi

Hello, cnt = 0, i = 0

sys_hello : cnt = 1

sys_hello : i = 0

Hello, cnt = 1, i = 2

sys_hello : cnt = 2

sys_hello : i = 2

Hello, cnt = 2, i = 4

sys_hello : cnt = 3

sys_hello : i = 4

Hello, cnt = 3, i = 6

sys_hello : cnt = 4

sys_hello : i = 6

Hello, cnt = 4, i = 8

sys_hello : cnt = 5

sys_hello : i = 8

[0x8504] code = 0xef900160

regs->ARM_lr  = 0x84ec

access_process_vm ret = 4

#####下面不再打印sys_hello了

Hello, cnt = 5, i = 10

Hello, cnt = 6, i = 12

TODO 更多参考文献

下面的文章没怎么仔细看,先放在这里等以后水平上来了再瞅瞅,标记下 @Todo

课堂笔记 应用调试:自制系统调用,并编写进程查看器

浅析基于ARM的Linux下的系统调用的实现

ARM Linux上的系统调用代码分析

从glibc源码看系统调用原理

Arm Linux系统调用流程详细解析

应用调试(五)侵入式SWI的更多相关文章

  1. MVC的验证(模型注解和非侵入式脚本的结合使用) .Net中初探Redis .net通过代码发送邮件 Log4net (Log for .net) 使用GDI技术创建ASP.NET验证码 Razor模板引擎 (RazorEngine) .Net程序员应该掌握的正则表达式

    MVC的验证(模型注解和非侵入式脚本的结合使用)   @HtmlHrlper方式创建的标签,会自动生成一些属性,其中一些属性就是关于验证 如图示例: 模型注解 通过模型注解后,MVC的验证,包括前台客 ...

  2. 使用phpAnalysis打造PHP应用非侵入式性能分析器

    使用phpAnalysis打造PHP应用非侵入式性能分析器,查找PHP性能瓶颈. 什么是phpAnalysis phpAnalysis是一款轻量级非侵入式PHP应用性能分析器,适用于开发.测试及生产环 ...

  3. 支付宝开源非侵入式 Android 自动化测试工具 Soloπ

    Soloπ(SoloPi)是支付宝开源的一个无线化.非侵入式的Android自动化测试工具,公测版拥有录制回放.性能测试.一机多控三项主要功能,能为测试开发人员节省宝贵时间. 本文是SoloPi团队关 ...

  4. BlockCanary 一个轻量的,非侵入式的性能监控组件(阿里)

    开发者博客: BlockCanary — 轻松找出Android App界面卡顿元凶 开源代码:moduth/blockcanary BlockCanary对主线程操作进行了完全透明的监控,并能输出有 ...

  5. Android沉浸式(侵入式)标题栏(状态栏)Status(三)

     Android沉浸式(侵入式)标题栏(状态栏)Status(三) 从附录文章1,2可以看到,依靠Android系统提供的标准方案,状态栏即便在透明状态下,仍然有些半透明而不是全透明.本文是And ...

  6. Android沉浸式(侵入式)标题栏(状态栏)Status(二)

     Android沉浸式(侵入式)标题栏(状态栏)Status(二) 附录1以xml写style实现了Android沉浸式(侵入式)状态栏(标题栏),同样以上层Java代码实现.在附录文章1的基础上 ...

  7. Android沉浸式(侵入式)标题栏(状态栏)Status(一)

     Android沉浸式(侵入式)标题栏(状态栏)Status(一) 现在越来越多的APP设计采用这种称之为沉浸式状态栏(Status)的设计,这种沉浸式状态栏又称之"侵入式"状 ...

  8. C++侵入式链表

    C++标准模板库中的list是非侵入式的链表,当我们通过对象来删除容器中的对象时,需要从头到尾查找一次得到iterator,最后通过iterator来删除对象.这样删除容器中的对象时比较缓慢,所以就实 ...

  9. Hook 无侵入式埋点(页面统计)

    一.技术原理 Method-Swizzling 黑魔法 方法交换(不懂的可以查) 二.页面统计 某盟页面统计SDK需要开发者在APP基类里实现ViewDidAppear和viewDidDisappea ...

随机推荐

  1. sql server 错误日志errorlog

    一 .概述 SQL Server 将某些系统事件和用户定义事件记录到 SQL Server 错误日志和 Microsoft Windows 应用程序日志中. 这两种日志都会自动给所有记录事件加上时间戳 ...

  2. linux内核IDR机制详解【转】

    这几天在看Linux内核的IPC命名空间时候看到关于IDR的一些管理性质的东西,刚开始看有些迷茫,深入看下去豁然开朗的感觉,把一些心得输出共勉. 我们来看一下什么是IDR?IDR的作用是什么呢? 先来 ...

  3. Zookeeper与Kafka基础概念和原理

    1.zookeeper概念介绍 在介绍ZooKeeper之前,先来介绍一下分布式协调技术,所谓分布式协调技术主要是用来解决分布式环境当中多个进程之间的同步控制,让他们有序的去访问某种共享资源,防止造成 ...

  4. LeetCode算法题-Non-decreasing Array(Java实现)

    这是悦乐书的第283次更新,第300篇原创 01 看题和准备 今天介绍的是LeetCode算法题中Easy级别的第151题(顺位题号是665).给定一个包含n个整数的数组,您的任务是通过修改最多1个元 ...

  5. LeetCode算法题-Number Complement(Java实现-五种解法)

    这是悦乐书的第240次更新,第253篇原创 01 看题和准备 今天介绍的是LeetCode算法题中Easy级别的第107题(顺位题号是476).给定正整数,输出其补码数.补充策略是翻转其二进制表示的位 ...

  6. Springboot项目配置druid数据库连接池,并监控统计功能

    pom.xml配置依赖 <!-- https://mvnrepository.com/artifact/com.alibaba/druid --> <dependency> & ...

  7. 【Teradata SQL】十进制转换成二进制

    1.数值类型转换为二进制(TO_BYTE+FROM_BYTES) sel FROM_BYTES(TO_BYTE(),'base2');  2.字符串类型转换为二进制(TO_BYTES+FROM_BYT ...

  8. pip install urllib3[secure] 报错 error: ffi.h: No such file or directory

    解决 sudo apt-get install build-essential autoconf libtool pkg-config python-opengl python-imaging pyt ...

  9. VS2017 安装Swagger初步认识

    1.安装NuGet包 2.配置 3.运行测试 参考博客:https://www.cnblogs.com/yilezhu/p/9241261.html 一 安装NuGet包 包名:Swashbuckle ...

  10. 更多的贴片SOT-23三极管,请点击以下表格购买。

    更多的贴片SOT-23三极管,请点击以下表格购买. 型号 标识 电流 V数 极性 封装 购买链接 S9012 2T1 0.3A 20V PNP SOT-23 点击购买 S9013 J3 0.3A 25 ...