首页
论坛
专栏
课程

一种简单的Android全局注入方案

2018-1-19 21:54 13519

一种简单的Android全局注入方案

2018-1-19 21:54
13519
    Xposed和Cydia Substrate是android上两款比较知名的全局Hook框架,但都不尽善尽美,有时为了实现某个功能往往要绕许多弯路去配合框架,结果也差强人意,与其浪费精力去熟悉框架不如自己实现一套框架。
    既然Xposed可以通过修改app_process源码实现全局注入,那自然我们也可通过修改app_process的ELF结构达成相同目的,简单观察发现app_process普遍存在一个DT_DEBUG项,这显然不是必须的,如果我们将其改成DT_NEEDED不就可以完成注入了?答案是肯定的。

    一、环境准备
    Genymotion + Android 8.0模拟器,由于system分区只读挂载,命令`mount -o rw,remount /system`无法达成目的,故需先修改android_system_disk.vmdk的fstab.vbox86,去掉/system的只读属性,注意权限前后要保持一致。
    二、文件修改
    模拟器是32位系统,故修改/system/bin/app_process32。搜索FAFFFF6F(对应DEBUG前一项的tag 0x6ffffffa),找到DT_DEBUG,改为DT_NEEDED,因为涉及字符表不好调整,这里直接选择libandroid_runtime.so,并去掉前三个字符lib,结果如下:
   
    测试执行修改后app_process32:`app_process -Xzygote /system/bin --zygote --start-system-server`,如果提示android_runtime.so(注意此处没有lib)找不到,即表明修改正确。
    三、代码注入
    我们需要编写一个so并放到/system/lib/android_runtime.so,注意此时JNI_OnLoad是不会被加载的,故代码需要置于.init_array中,在C++中可简单借助静态对象的构造函数。
    接着是一个关键问题,进入app_process进程后如何优雅地进入Java虚拟机内? 观察发现JNI_CreateJavaVM是个极佳的切入点,通过拦截它可得到JavaVM以及JNIEnv指针,从而打开Java世界大门。
class static_initializer
{
public:
    static_initializer() {
        LOGI(__FUNCTION__);

        void *p = dlsym(RTLD_DEFAULT, "JNI_CreateJavaVM");
        LOGI("JNI_CreateJavaVM = %p", p);

        if (p != NULL) {
            AKHookFunction(p, __func_cast(JNI_CreateJavaVM_Impl), reinterpret_cast<void **>(&JNI_CreateJavaVM));
        } //if
    }
};
static static_initializer s;
    此时还存在另一个关键问题,如何优雅地监听到每个apk的加载即Application.OnCreate入口点的调用?观察发现android/app/Instrumentation@callApplicationOnCreate是个不错的选择。
static JavaVM   *sys_vm = NULL;
static jmethodID sys_callApplicationOnCreate;
static jmethodID sys_getPackageName;
static void JNICALL callApplicationOnCreate(JNIEnv *env, jobject obj, jobject thisApp)
{
    LOGI("thisApp = %p", thisApp);
    if (thisApp != NULL) {        
        jstring   pkg_name     = static_cast<jstring>(env->CallObjectMethod(thisApp, sys_getPackageName));
        const char *s_pkg_name = env->GetStringUTFChars(pkg_name, NULL);
        LOGI("thisApp = %p, %s", thisApp, s_pkg_name);
        env->ReleaseStringUTFChars(pkg_name, s_pkg_name);
        env->DeleteLocalRef(pkg_name);
    } //if
    env->CallVoidMethod(obj, sys_callApplicationOnCreate, thisApp);
}

//-------------------------------------------------------------------------

static jint(JNICALL *JNI_CreateJavaVM)(JavaVM **p_vm, JNIEnv **p_env, void *vm_args);
extern "C" jint JNICALL JNI_CreateJavaVM_Impl(JavaVM **p_vm, JNIEnv **p_env, void *vm_args)
{
    LOGI("p_vm = %p, p_env = %p, vm_args = %p", p_vm, p_env, vm_args);

    jint r = JNI_CreateJavaVM(p_vm, p_env, vm_args);

    LOGI("vm = %p, env = %p", *p_vm, *p_env);
    sys_vm = *p_vm;
   
    (*p_env)->PushLocalFrame(128);
    while (r >= JNI_OK) {
        jclass class_Instrumentation = (*p_env)->FindClass("android/app/Instrumentation");
        LOGI("class android.app.Instrumentation = %p", class_Instrumentation);
        if (class_Instrumentation == NULL) {
            (*p_env)->ExceptionDescribe();
            (*p_env)->ExceptionClear();
            break;
        } //if

        jmethodID method_callApplicationOnCreate = (*p_env)->GetMethodID(class_Instrumentation,
                                                                         "callApplicationOnCreate",
                                                                         "(Landroid/app/Application;)V");
        LOGI("method callApplicationOnCreate = %p", callApplicationOnCreate);
        if (method_callApplicationOnCreate == NULL) {
            (*p_env)->ExceptionDescribe();
            (*p_env)->ExceptionClear();
            break;
        } //if

        jclass class_Application = (*p_env)->FindClass("android/app/Application");
        sys_getPackageName = (*p_env)->GetMethodID(class_Application,
                                                   "getPackageName", "()Ljava/lang/String;");

        if (AKInitializeOnce(*p_env, *p_vm) < JNI_OK) break;

        AKForceNativeMethod(method_callApplicationOnCreate,
                            __func_cast(callApplicationOnCreate), true, &sys_callApplicationOnCreate);
        // while (true) usleep(654321000);
        break;
    } //if
    (*p_env)->PopLocalFrame(NULL);

    return r;
}
    四、测试
    替换掉/system/bin/app_process32,将原来的zygote进程kill掉,此时会软重启,观察日志应该得到类似如下的结果,全局注入达成,是不是很简单?



[招聘]欢迎市场人员加入看雪学院团队!

最新回复 (39)
sudami 25 2018-1-19 23:31
2
0
AndHook大牛,Orz...
toToC 2018-1-20 00:58
3
0
学习了!!!
junkboy 2018-1-20 02:40
4
0
前排...
WX学徒 2018-1-20 07:41
5
0
新思路  厉害  可以  666  只要兼容性好可以自动化配置能通用才好
茅山小僧 2018-1-20 09:37
6
0
赞一个
ckis 2018-1-20 11:35
7
0
666  老铁没毛病
确实是个好的思路
龙飞雪 2018-1-20 11:48
8
0
lykseek 2018-1-20 12:10
9
0
厉害
hhhaiai 2018-1-20 15:34
10
0
等于  你强制修改了系统的调用逻辑,  封装的是AndHook  ?
rrrfff 2018-1-20 17:01
11
0
hhhaiai 等于 你强制修改了系统的调用逻辑, 封装的是AndHook ?
怎么说呢,  菜是这么做的,  用什么灶具就是因人而异了
MaYil 2018-1-20 19:32
12
0
新姿势
聖blue 2018-1-20 23:31
13
0
hbwazxf 2018-1-22 21:34
14
0
新人学习一下……
hhhaiai 2018-1-22 21:49
15
0
rrrfff 怎么说呢, 菜是这么做的, 用什么灶具就是因人而异了
嗯  讲的很棒。。谢谢分享
ChengQing 2018-1-23 09:27
16
0

 

找到了,思路不错。

刘lhhh 2018-1-23 16:14
17
0
全局注入的思路  真的是各种骚操作
莫灰灰 8 2018-1-24 13:04
18
0
学习了,不错~
wangzehua 2018-1-24 17:18
19
0
学习学习。。。
高军 2018-1-25 21:41
20
0
mark
Yougar 2018-1-26 16:29
21
0
给份源代码吧  大神
Deeppanda 2018-1-26 19:04
22
0
nice
gtict 2018-2-1 13:43
23
0
需要编写一个so并放到/system/lib/android_runtime.so,注意此时JNI_OnLoad是不会被加载的。。..这个是什么意思说明下。。把so放到android_runtime.so怎么放
wushaominkk 2018-2-1 16:40
24
0
感谢大牛分享技术贴
流年似风 1 2018-2-2 16:38
25
0
gtict 需要编写一个so并放到/system/lib/android_runtime.so,注意此时JNI_OnLoad是不会被加载的。。..这个是什么意思说明下。。把so放到android_runtime. ...
@gtict  意思是android_runtime里面的hook代码放到android_runtime.so的initarray中。因为so被加载的时候会依次执行initarray的函数,是先于JNI_OnLoad执行胡
Elice 2018-3-1 14:28
26
0
mark一下    学习大神思路
lovexy看雪 2018-3-2 07:17
27
0
sao操作666
bluth 2018-4-20 10:58
28
0
  666
最后于 2018-4-23 00:16 被bluth编辑 ,原因:
番茄.蛋花 2018-5-11 12:32
29
0
作者有联系方式么,我能请教一些问题嘛?
bluth 2018-6-20 22:35
30
0
有朋友测试过6.0的吗,我测试4.4的可以    6.0的卡死,是不是6.0的有什么校验,真心求教博主大大 
zoukaiping 2018-9-9 19:17
31
0
bluth 有朋友测试过6.0的吗,我测试4.4的可以 6.0的卡死,是不是6.0的有什么校验,真心求教博主大大
能把出错的日志写出来吗?我试了下Andhook在 5.1.1的N5机器上,HOOK不了,因为selinux 安全机制的原因
芃杉 2018-9-9 20:30
32
0
mark
ycmint 5 2018-9-14 10:21
33
0
不错不错。。。
koflfy 1 2018-9-16 15:31
34
0
mark
gezigezao 2018-9-18 21:03
35
0
mark
无所从来 2018-9-26 17:34
36
0
m
飞越我限 2018-11-13 23:39
37
0
方便把静态库libAK.a这个文件分享给我一下吗?我这边自己测试用,绝对不对外分享,谢谢了!

最后于 2018-11-14 02:00 被飞越我限编辑 ,原因:
bluth 2018-12-26 16:22
38
0
zoukaiping 能把出错的日志写出来吗?我试了下Andhook在 5.1.1的N5机器上,HOOK不了,因为selinux 安全机制的原因
请教下,你在5.1.1之后成功运行了吗,我发现修改了不行呀
xxRea 2019-1-17 11:01
39
0
这波操作真的666
木剑枫 2019-3-1 10:53
40
0
AndHook bug太多了,兼容性很差
游客
登录 | 注册 方可回帖
返回