随着Android设备上的隐私安全问题越来越被公众重视,恶意软件对用户隐私,尤其是对电话、短信等私密信息的威胁日益突出,各大主流安全软件均推出了自己的隐私行为监控功能,在root情况下能有效防止恶意软件对用户隐私的窃取,那么这背后的技术原理是什么?我带着疑问开始一步步探索,如果要拦截恶意软件对电话、短信等API的调用,在Java或者Dalvik层面是不好进行的,因为这些层面都没有提供Hook的手段,而在Native层面,我认为可行的方案是对电话、短信的运行库so进行Hook(比如系统运行库\system\lib\libreference-ril.so或\system\lib\libril.so),如果注入自己的so到上述进程后,并通过dlopen()和dlsym()获取原有API地址,替换原有API地址为自己so中的API地址就可以达到Hook的目的。

  Hook的前提是进程注入,而Linux下最便捷的进程注入手段——ptrace,是大名鼎鼎的调试工具GDB的关键技术点;本文参考自Pradeep Padala于2002年的博文http://www.linuxjournal.com/article/6100(国内很多博客有这篇文章的译文,不过本着获取“一手”知识的想法,还是细读了原版英文,确实发现了一些翻译得不够到位的地方,在此还是推荐各位能读原文就不要读译文),由于02年时还是ia32(32位Intel Architecture)时代,时至今日,在我ia64也就是x64的机器已经无法运行了,所以自己动手实现了x64版本。代码主要功能是注入子进程的地址空间,Hook住子进程执行系统调用时的参数,并反转其参数,从而逆序输出ls命令的结果。

  代码如下:

 /*

   ptrace3.c

   author: pengyiming

   description:

   1, child process need be traced by father process

   2, father process reserve the result of "ls" command which executed by child process

 */

 #include <stdio.h>

 #include <stdlib.h>

 #include <string.h>

 #include <sys/ptrace.h>

 #include <sys/types.h>

 #include <sys/wait.h>

 #include <sys/reg.h>

 #include <sys/user.h>

 #include <sys/syscall.h>

 #include <unistd.h>

 #ifdef __x86_64__

   #define OFFSET_UNIT 8

 #else

   #define OFFSET_UNIT 4

 #endif

 // converter long to char[]

 union

 {

   long rawData;

   char strData[sizeof(long)];

 } converter;

 void getData(pid_t child, unsigned long long dataAddr, unsigned long long dataLen, char * const p_data)

 {

   // PEEKDATA counter

   int counter = ;

   // PEEKDATA max count

   int maxCount = dataLen / sizeof(long);

   if (dataLen % sizeof(long) != )

   {

     maxCount++;

   }

   // moving pointer

   void * p_moving = p_data;

   while (counter < maxCount)

   {

     memset(&converter, , sizeof(long));

     converter.rawData = ptrace(PTRACE_PEEKDATA, child, dataAddr + counter * sizeof(long), NULL);

     if (converter.rawData < )

     {

       perror("ptrace peek data error : ");

     }

     memcpy(p_moving, converter.strData, sizeof(long));

     p_moving += sizeof(long);

     counter++;

   }

   p_data[dataLen] = '\0';

 }

 void setData(pid_t child, unsigned long long dataAddr, unsigned long long dataLen, char * const p_data)

 {

   // POKEDATA counter

   int counter = ;

   // POKEDATA max count

   int maxCount = dataLen / sizeof(long);

   // data left length (prevent out of range in memory when written)

   int dataLeftLen = dataLen % sizeof(long);

   // moving pointer

   void * p_moving = p_data;

   // write part of data which align to sizeof(long)

   int ret;

   while (counter < maxCount)

   {

     memset(&converter, , sizeof(long));

     memcpy(converter.strData, p_moving, sizeof(long));

     ret = ptrace(PTRACE_POKEDATA, child, dataAddr + counter * sizeof(long), converter.rawData);

     if (ret < )

     {

       perror("ptrace poke data error : ");

     }

     p_moving += sizeof(long);

     counter++;

   }

   // write data left

   if (dataLeftLen != )

   {

     memset(&converter, , sizeof(long));

     memcpy(converter.strData, p_moving, dataLeftLen);

     ret = ptrace(PTRACE_POKEDATA, child, dataAddr + counter * sizeof(long), converter.rawData);

     if (ret < )

     {

       perror("ptrace poke data error : ");

     }

   }

 }

 void reverseStr(char * p_str)

 {

   int strLen = strlen(p_str);

   char * p_head = p_str;

   char * p_tail = p_str + strLen - ;

   char tempCh;

   // skip '\n'

   if (*p_tail == '\n')

   {

     p_tail--;

   }

   //exchange char

   while (p_head < p_tail)

   {

     tempCh = *p_head;

     *p_head = *p_tail;

     *p_tail = tempCh;

     p_head++;

     p_tail--;

   }

 }

 void debugRegs(struct user_regs_struct * p_regs )

 {

   printf("syscall param DS = %llu\n", p_regs->ds);

   printf("syscall param RSI = %llu\n", p_regs->rsi);

   printf("syscall param ES = %llu\n", p_regs->es);

   printf("syscall param RDI = %llu\n", p_regs->rdi);

   printf("syscall return RAX = %llu\n", p_regs->rax);

   printf("syscall param RBX = %llu\n", p_regs->rbx);

   printf("syscall param RCX = %llu\n", p_regs->rcx);

   printf("syscall param RDX = %llu\n", p_regs->rdx);

 }

 int main()

 {

   pid_t child = fork();

   if(child == )

   {

     ptrace(PTRACE_TRACEME, , NULL, NULL);

     // make a syscall(SYS_write)

     execl("/bin/ls", "ls", NULL);

   }

   else

   {

     int status;

     // SYS_write will be called twice, one is entry, another is exit, so we mark it

     unsigned int calledCount = ;

     while ()

     {

       wait(&status);

       if (WIFEXITED(status))

       {

         break;

       }

       // PEEK regs to find the syscall(SYS_execve)

       struct user_regs_struct regs;

       ptrace(PTRACE_GETREGS, child, NULL, &regs);

       // catch it!

       if (regs.orig_rax == SYS_write)

       {

           if (calledCount == )

           {

             calledCount = ;

             // debugRegs(&regs);

             char * p_dataStr = (char *) malloc((regs.rdx + ) * sizeof(char));

             if (p_dataStr == NULL)

         {

               return;

         }

             getData(child, regs.ds * OFFSET_UNIT + regs.rsi, regs.rdx, p_dataStr);

             reverseStr(p_dataStr);

             setData(child, regs.ds * OFFSET_UNIT + regs.rsi, regs.rdx, p_dataStr);

           }

           else if (calledCount == )

           {

             // debugRegs(&regs);

           }

       }

       ptrace(PTRACE_SYSCALL, child, NULL, NULL);

     }

   }

   return ;

 }

  代码执行结果:

  可以看到工程目录下的文件名均被反转输出,已达到想要的效果,那么接下来解释代码中的几个关键点:

  1,SYSCALL与orig_rax寄存器

  不论是ia32还是ia64,orig_rax寄存器都存放着每一次系统调用的ID,为了方便开发和调试,我们可以在/usr/include/x86_64-linux-gnu/sys/syscall.h中找到系统调用的定义,比如#define SYS_write __NR_write,但是我们无法得知__NR_write具体代表的ID,进一步搜索,可以在/usr/include/x86_64-linux-gnu/asm/unistd_64.h中找到ia64下对__NR_write的定义,#define __NR_write 1,这样一来我们打印出orig_rax寄存器中的值就可以判断此时子进程正在进行何种操作了。

  2,PTRACE_PEEKDATA与PTRACE_PEEKTEXT参数的选取

  Linux进程的地址空间不存在独立的数据段和代码段(或叫正文段),二者位于同一空间,所以上述两个参数并无实际意义上的区别,不过为了标识我们是在读取数据段中的数据,还是使用PTRACE_PEEKDATA比较好,同理对应于PTRACE_POKEDATA和PTRACE_POKETEXT。

  3,联合体converter

  由于执行PTRACE_PEEKDATA操作时,返回值的二进制代表内存中的实际数据,我们可以利用“联合体中的变量有相同的初始地址”这一特性来帮助我们完成从二进制到字符串的转换。(这是一个做过嵌入式开发的人基本都知道的小技巧,考虑到做Android开发对这段代码可能会有疑惑,容我啰嗦两句)

  4,数据段寻址

  这是在实现x64版本时遇到的最大的困难,在getData()与setData()函数中,第二个参数表示数据在数据段中的地址,由于和ia32时寻址方式不一致,苦苦搜索几天,发现国内很多博客上的说法并不一致,最终在Intel官网上下载了Intel处理器开发手册《64-ia-32-architectures-software-developer-vol-1-manual.pdf》方才解答我的问题,寻址方式涉及两个寄存器,DS和RSI,参考手册的说法,DS表示数据段的selector,其实这个selector就是index索引的意思,由于x64下字长64bit,即8个字节,索引乘以8即得数据段在内存中的基址,RSI表示数据段内偏移地址,与基址相加即可得出数据的绝对地址,使用此地址直接访问内存就可以取出数据。

玩转Hook——Android权限管理功能探讨(一)的更多相关文章

  1. 玩转Hook——Android权限管理功能探讨(二)

    距离我上一篇研究ptrace的随笔http://www.cnblogs.com/zealotrouge/p/3544147.html已经过去半年了,最近不忙的时候抽空继续研究了下.同样,参考了Prad ...

  2. Android权限管理之Android 6.0运行时权限及解决办法

    前言: 今天还是围绕着最近面试的一个热门话题Android 6.0权限适配来总结学习,其实Android 6.0权限适配我们公司是在今年5月份才开始做,算是比较晚的吧,不过现在Android 6.0以 ...

  3. Android权限管理之Permission权限机制及使用

    前言: 最近突然喜欢上一句诗:"宠辱不惊,看庭前花开花落:去留无意,望天空云卷云舒." 哈哈~,这个和今天的主题无关,最近只要不学习总觉得生活中少了点什么,所以想着围绕着最近面试过 ...

  4. Android权限管理之RxPermission解决Android 6.0 适配问题

    前言: 上篇重点学习了Android 6.0的运行时权限,今天还是围绕着Android 6.0权限适配来总结学习,这里主要介绍一下我们公司解决Android 6.0权限适配的方案:RxJava+RxP ...

  5. android: Android 权限管理小结

    一. 概述 感谢郭神,自从Android6.0发布以来,在权限上做出了很大的变动,不再是之前的只要在manifest设置就可以任意获取权限,而是更加的注重用户的隐私和体验,不会再强迫用户因拒绝不该拥有 ...

  6. Android权限管理PermissionsDispatcher2.3.2使用+原生6.0权限使用

    PermissionsDispatcher2.3.2使用 Android6.0权限官网https://developer.android.com/about/versions/marshmallow/ ...

  7. Android 权限管理

    从 Android 6.0(API 级别 23)开始,用户开始在应用运行时向其授予权限,而不是在应用安装时授予.此方法可以简化应用安装过程,因为用户在安装或更新应用时不需要授予权限.它还让用户可以对应 ...

  8. Android权限管理知识学习记录

    一.Android权限背景知识 在Android 6.0之前,所申请的权限只需要在AndroidManifest.xml列举就可以了,从而容易导致一些安全隐患,因此,在Android 6.0时,Goo ...

  9. PHP实现权限管理功能

    权限管理系统,它主要是为了给不同的用户设定不同的权限,从而实现不同权限的用户登录之后使用的功能不一样. 首先先看下数据库 总共有5张表,users,roles和roleswork 3张表与另外2张表形 ...

随机推荐

  1. PAT甲题题解-1075. PAT Judge (25)-排序

    相当于是模拟OJ评测,这里注意最后输出:1.那些所有提交结果都是-1的(即均未通过编译器的),或者从没有一次提交过的用户,不需要输出.2.提交结果为-1的题目,最后输出分数是03.某个题目从没有提交过 ...

  2. Actual Time Cost

  3. wordpress学习五: 通过wordpress_xmlrpc的python包远程操作wordpress

    wordpress提供了丰富的xmlrpc接口api来供我们远程操控wp的内容.伟大的开源社区有人就将这些api做了一下封装,提供了一个功能比较完整的python库,库的使用文档地址http://py ...

  4. HTTP 和 HTTPS 直观上看哪里不一样了

    1. 我在自己搭建的 HTTP 网站上进行登陆测试 填写账号和密码,账号:123456 ,密码:654321 (当然是乱填的,只为了看传输数据) 点击登录,用wireshark抓包看看传输的数据 2. ...

  5. 腾讯云申请的64位ubuntu服务器配置php环境

    腾讯云申请的64位ubuntu服务器配置php环境 一.首先还是安装Lamp组合 Linux+Apache+Mysql+php 直接命令 sudo apt-get install apache2 su ...

  6. [2017BUAA软工]提问回顾

    原博客链接 原问题1:有没有系统的方法来提高一开始的文档的设计后的质量呢 在之前的OO课程上,我已经深刻领会到了设计的重要性,而且在这次的团队开发中,我也是负责从需求分析到代码设计的转换,所以对设计这 ...

  7. Alpha 冲刺六

    团队成员 051601135 岳冠宇 051604103 陈思孝 031602629 刘意晗 031602248 郑智文 031602234 王淇 会议照片 今天没有进行站立式会议,由于团队内有些细节 ...

  8. [转帖] K8S 常用命令

    k8s常用命令  原贴地址 查看集群信息: [root@kubernetes-master pods]# kubectl cluster-info kubectl cluster-info展示结果 k ...

  9. power shell 常用查询-查看操作系统信息

    https://technet.microsoft.com/en-us/library/dd367892.aspx 首推使用 Get-Counter 该函数下可以把现有的电脑监控统计数据 直接提取出来 ...

  10. Kivy 中文教程 实例入门 简易画板 (Simple Paint App):0. 项目简介 & 成果展示

    本教程咪博士将带领大家学习创建自己的窗口部件 (widget).最终,我们完成的作品是一个简易的画板程序. 当用 kivy 创建应用时,我们需要仔细思考以下 3 个问题: 我们创建的应用需要处理什么数 ...