随着Android设备上的隐私安全问题越来越被公众重视,恶意软件对用户隐私,尤其是对电话、短信等私密信息的威胁日益突出,各大主流安全软件均推出了自己的隐私行为监控功能,在root情况下能有效防止恶意软件对用户隐私的窃取,那么这背后的技术原理是什么?我带着疑问开始一步步探索,如果要拦截恶意软件对电话、短信等API的调用,在Java或者Dalvik层面是不好进行的,因为这些层面都没有提供Hook的手段,而在Native层面,我认为可行的方案是对电话、短信的运行库so进行Hook(比如系统运行库\system\lib\libreference-ril.so或\system\lib\libril.so),如果注入自己的so到上述进程后,并通过dlopen()和dlsym()获取原有API地址,替换原有API地址为自己so中的API地址就可以达到Hook的目的。

  Hook的前提是进程注入,而Linux下最便捷的进程注入手段——ptrace,是大名鼎鼎的调试工具GDB的关键技术点;本文参考自Pradeep Padala于2002年的博文http://www.linuxjournal.com/article/6100(国内很多博客有这篇文章的译文,不过本着获取“一手”知识的想法,还是细读了原版英文,确实发现了一些翻译得不够到位的地方,在此还是推荐各位能读原文就不要读译文),由于02年时还是ia32(32位Intel Architecture)时代,时至今日,在我ia64也就是x64的机器已经无法运行了,所以自己动手实现了x64版本。代码主要功能是注入子进程的地址空间,Hook住子进程执行系统调用时的参数,并反转其参数,从而逆序输出ls命令的结果。

  代码如下:

 /*

   ptrace3.c

   author: pengyiming

   description:

   1, child process need be traced by father process

   2, father process reserve the result of "ls" command which executed by child process

 */

 #include <stdio.h>

 #include <stdlib.h>

 #include <string.h>

 #include <sys/ptrace.h>

 #include <sys/types.h>

 #include <sys/wait.h>

 #include <sys/reg.h>

 #include <sys/user.h>

 #include <sys/syscall.h>

 #include <unistd.h>

 #ifdef __x86_64__

   #define OFFSET_UNIT 8

 #else

   #define OFFSET_UNIT 4

 #endif

 // converter long to char[]

 union

 {

   long rawData;

   char strData[sizeof(long)];

 } converter;

 void getData(pid_t child, unsigned long long dataAddr, unsigned long long dataLen, char * const p_data)

 {

   // PEEKDATA counter

   int counter = ;

   // PEEKDATA max count

   int maxCount = dataLen / sizeof(long);

   if (dataLen % sizeof(long) != )

   {

     maxCount++;

   }

   // moving pointer

   void * p_moving = p_data;

   while (counter < maxCount)

   {

     memset(&converter, , sizeof(long));

     converter.rawData = ptrace(PTRACE_PEEKDATA, child, dataAddr + counter * sizeof(long), NULL);

     if (converter.rawData < )

     {

       perror("ptrace peek data error : ");

     }

     memcpy(p_moving, converter.strData, sizeof(long));

     p_moving += sizeof(long);

     counter++;

   }

   p_data[dataLen] = '\0';

 }

 void setData(pid_t child, unsigned long long dataAddr, unsigned long long dataLen, char * const p_data)

 {

   // POKEDATA counter

   int counter = ;

   // POKEDATA max count

   int maxCount = dataLen / sizeof(long);

   // data left length (prevent out of range in memory when written)

   int dataLeftLen = dataLen % sizeof(long);

   // moving pointer

   void * p_moving = p_data;

   // write part of data which align to sizeof(long)

   int ret;

   while (counter < maxCount)

   {

     memset(&converter, , sizeof(long));

     memcpy(converter.strData, p_moving, sizeof(long));

     ret = ptrace(PTRACE_POKEDATA, child, dataAddr + counter * sizeof(long), converter.rawData);

     if (ret < )

     {

       perror("ptrace poke data error : ");

     }

     p_moving += sizeof(long);

     counter++;

   }

   // write data left

   if (dataLeftLen != )

   {

     memset(&converter, , sizeof(long));

     memcpy(converter.strData, p_moving, dataLeftLen);

     ret = ptrace(PTRACE_POKEDATA, child, dataAddr + counter * sizeof(long), converter.rawData);

     if (ret < )

     {

       perror("ptrace poke data error : ");

     }

   }

 }

 void reverseStr(char * p_str)

 {

   int strLen = strlen(p_str);

   char * p_head = p_str;

   char * p_tail = p_str + strLen - ;

   char tempCh;

   // skip '\n'

   if (*p_tail == '\n')

   {

     p_tail--;

   }

   //exchange char

   while (p_head < p_tail)

   {

     tempCh = *p_head;

     *p_head = *p_tail;

     *p_tail = tempCh;

     p_head++;

     p_tail--;

   }

 }

 void debugRegs(struct user_regs_struct * p_regs )

 {

   printf("syscall param DS = %llu\n", p_regs->ds);

   printf("syscall param RSI = %llu\n", p_regs->rsi);

   printf("syscall param ES = %llu\n", p_regs->es);

   printf("syscall param RDI = %llu\n", p_regs->rdi);

   printf("syscall return RAX = %llu\n", p_regs->rax);

   printf("syscall param RBX = %llu\n", p_regs->rbx);

   printf("syscall param RCX = %llu\n", p_regs->rcx);

   printf("syscall param RDX = %llu\n", p_regs->rdx);

 }

 int main()

 {

   pid_t child = fork();

   if(child == )

   {

     ptrace(PTRACE_TRACEME, , NULL, NULL);

     // make a syscall(SYS_write)

     execl("/bin/ls", "ls", NULL);

   }

   else

   {

     int status;

     // SYS_write will be called twice, one is entry, another is exit, so we mark it

     unsigned int calledCount = ;

     while ()

     {

       wait(&status);

       if (WIFEXITED(status))

       {

         break;

       }

       // PEEK regs to find the syscall(SYS_execve)

       struct user_regs_struct regs;

       ptrace(PTRACE_GETREGS, child, NULL, &regs);

       // catch it!

       if (regs.orig_rax == SYS_write)

       {

           if (calledCount == )

           {

             calledCount = ;

             // debugRegs(&regs);

             char * p_dataStr = (char *) malloc((regs.rdx + ) * sizeof(char));

             if (p_dataStr == NULL)

         {

               return;

         }

             getData(child, regs.ds * OFFSET_UNIT + regs.rsi, regs.rdx, p_dataStr);

             reverseStr(p_dataStr);

             setData(child, regs.ds * OFFSET_UNIT + regs.rsi, regs.rdx, p_dataStr);

           }

           else if (calledCount == )

           {

             // debugRegs(&regs);

           }

       }

       ptrace(PTRACE_SYSCALL, child, NULL, NULL);

     }

   }

   return ;

 }

  代码执行结果:

  可以看到工程目录下的文件名均被反转输出,已达到想要的效果,那么接下来解释代码中的几个关键点:

  1,SYSCALL与orig_rax寄存器

  不论是ia32还是ia64,orig_rax寄存器都存放着每一次系统调用的ID,为了方便开发和调试,我们可以在/usr/include/x86_64-linux-gnu/sys/syscall.h中找到系统调用的定义,比如#define SYS_write __NR_write,但是我们无法得知__NR_write具体代表的ID,进一步搜索,可以在/usr/include/x86_64-linux-gnu/asm/unistd_64.h中找到ia64下对__NR_write的定义,#define __NR_write 1,这样一来我们打印出orig_rax寄存器中的值就可以判断此时子进程正在进行何种操作了。

  2,PTRACE_PEEKDATA与PTRACE_PEEKTEXT参数的选取

  Linux进程的地址空间不存在独立的数据段和代码段(或叫正文段),二者位于同一空间,所以上述两个参数并无实际意义上的区别,不过为了标识我们是在读取数据段中的数据,还是使用PTRACE_PEEKDATA比较好,同理对应于PTRACE_POKEDATA和PTRACE_POKETEXT。

  3,联合体converter

  由于执行PTRACE_PEEKDATA操作时,返回值的二进制代表内存中的实际数据,我们可以利用“联合体中的变量有相同的初始地址”这一特性来帮助我们完成从二进制到字符串的转换。(这是一个做过嵌入式开发的人基本都知道的小技巧,考虑到做Android开发对这段代码可能会有疑惑,容我啰嗦两句)

  4,数据段寻址

  这是在实现x64版本时遇到的最大的困难,在getData()与setData()函数中,第二个参数表示数据在数据段中的地址,由于和ia32时寻址方式不一致,苦苦搜索几天,发现国内很多博客上的说法并不一致,最终在Intel官网上下载了Intel处理器开发手册《64-ia-32-architectures-software-developer-vol-1-manual.pdf》方才解答我的问题,寻址方式涉及两个寄存器,DS和RSI,参考手册的说法,DS表示数据段的selector,其实这个selector就是index索引的意思,由于x64下字长64bit,即8个字节,索引乘以8即得数据段在内存中的基址,RSI表示数据段内偏移地址,与基址相加即可得出数据的绝对地址,使用此地址直接访问内存就可以取出数据。

玩转Hook——Android权限管理功能探讨(一)的更多相关文章

  1. 玩转Hook——Android权限管理功能探讨(二)

    距离我上一篇研究ptrace的随笔http://www.cnblogs.com/zealotrouge/p/3544147.html已经过去半年了,最近不忙的时候抽空继续研究了下.同样,参考了Prad ...

  2. Android权限管理之Android 6.0运行时权限及解决办法

    前言: 今天还是围绕着最近面试的一个热门话题Android 6.0权限适配来总结学习,其实Android 6.0权限适配我们公司是在今年5月份才开始做,算是比较晚的吧,不过现在Android 6.0以 ...

  3. Android权限管理之Permission权限机制及使用

    前言: 最近突然喜欢上一句诗:"宠辱不惊,看庭前花开花落:去留无意,望天空云卷云舒." 哈哈~,这个和今天的主题无关,最近只要不学习总觉得生活中少了点什么,所以想着围绕着最近面试过 ...

  4. Android权限管理之RxPermission解决Android 6.0 适配问题

    前言: 上篇重点学习了Android 6.0的运行时权限,今天还是围绕着Android 6.0权限适配来总结学习,这里主要介绍一下我们公司解决Android 6.0权限适配的方案:RxJava+RxP ...

  5. android: Android 权限管理小结

    一. 概述 感谢郭神,自从Android6.0发布以来,在权限上做出了很大的变动,不再是之前的只要在manifest设置就可以任意获取权限,而是更加的注重用户的隐私和体验,不会再强迫用户因拒绝不该拥有 ...

  6. Android权限管理PermissionsDispatcher2.3.2使用+原生6.0权限使用

    PermissionsDispatcher2.3.2使用 Android6.0权限官网https://developer.android.com/about/versions/marshmallow/ ...

  7. Android 权限管理

    从 Android 6.0(API 级别 23)开始,用户开始在应用运行时向其授予权限,而不是在应用安装时授予.此方法可以简化应用安装过程,因为用户在安装或更新应用时不需要授予权限.它还让用户可以对应 ...

  8. Android权限管理知识学习记录

    一.Android权限背景知识 在Android 6.0之前,所申请的权限只需要在AndroidManifest.xml列举就可以了,从而容易导致一些安全隐患,因此,在Android 6.0时,Goo ...

  9. PHP实现权限管理功能

    权限管理系统,它主要是为了给不同的用户设定不同的权限,从而实现不同权限的用户登录之后使用的功能不一样. 首先先看下数据库 总共有5张表,users,roles和roleswork 3张表与另外2张表形 ...

随机推荐

  1. WebShell代码分析溯源(第1题)墨者学院

    一.访问链接 二.下载系统源码后直接放到D盾里扫描,扫到后门文件 三.查看该木马文件 <?php error_reporting(0); $_GET['POST']($_POST['GET']) ...

  2. maven util 类 添加 service

    直接关键代码: public class DictionaryUtil { // 以下的处理,是为了在工具类中自动注入service // 前提是在applicationContext.xml中,将该 ...

  3. linux内核分析第三周

    20135103王海宁 linux内核分析第三周 http://mooc.study.163.com/course/USTC-1000029000  按照课堂提供的方法,命令行一行行敲上去,我是手机缓 ...

  4. C#获取每月最后一天或者最末一天的方法

    /// <summary> /// 取得某月的第一天 /// </summary> /// <param name="datetime">要取得 ...

  5. ajax异步导致js方法顺序执行不了

    js两个方法调用的顺序,有时候是这样的 f1(); f2(); 本来是先执行f1的,但是如果f1里面进行ajax异步    async:true,那么可能会先执行f2,如果想要顺序执行,那么就把异步设 ...

  6. Eclipse,代码中有错误,项目中却不显示红叉

    ***修改eclipse 代码提示级别1.单个项目修改项目上右键-->properties-->java compiler-->building-->enable projec ...

  7. (第二周)读《我是一只IT小小鸟》有感

    读了蒋宇东学长的这篇描述他成长经历和生活感悟的博文,我真的收获了很多,有一种“相见恨晚”的感觉.同为航院的学子,我们有太多太多相同的生活学习经历. 我已经是一名大三的学生了,不知不觉中我大学生活的大部 ...

  8. week9:个人博客作业

    团队作业(5) 以下内容多数是网上的内容,只是做了整合的过程. 要求 在PM 带领下, 每个团队深入分析下面行业的App, 找到行业的Top 5 (从下面的三个备选中,任选一个行业即可) 英语学习/词 ...

  9. Centos7 安装netcat

    1.下载 下载地址:https://sourceforge.net/projects/netcat/files/netcat/0.7.1/ 下载的是netcat-0.7.1.tar.gz版本 2.安装 ...

  10. SpringBoot 6.SpringBoot使用 Log4j2 实现日志输出

    一.添加 Log4j2 的依赖 <!-- 引入 log4j2 必须排除 logging --> <dependency> <groupId>org.springfr ...