首页
论坛
专栏
课程

[原创]SandHook 第四弹,Android Q 支持 & Inline 的特别处理

4天前 842
坑大
1

[原创]SandHook 第四弹,Android Q 支持 & Inline 的特别处理

4天前
842

SandHook

目前支持 4.4 - 10.0
32/64 bit
支持 Xposed API

 

Github:

 

https://github.com/ganyao114/SandHook

Android Q 支持

Hidden Api

这个是从 Android P 就开始引入的反射限制机制。

 

目前来说有几种方案:

  • Hook 法,Hook 某些判断函数,修改 ART 对限制 API 的判断流程
  • Hidden API 在内部抽象为 Policy,修改全局的 Policy 策略,一般是 Runtime 中的某个 Flag
  • 系统函数调 Hidden API 是 OK 的,想办法让 ART 误以为是系统函数调用 API,一般是修改 ClassLoader

P 上,判断函数较为集中,Policy 的 Flag 也较为好搜索,然而到了 Q 上就多了,至于在 Runtime 中搜索 Flag,由于 Runtime 是个巨大的结构体,这并不是一个健壮的方法。。。

 

最后是想办法让 ART 误以为是系统函数调用 API,还有一种办法是双重反射,即用反射调用 Class.getDeclareMethod 之类的 API 去使用反射,也能达到目的。PS 这个方法还是在贴吧偶然看到的,OpenJDK 也有这个问题。。。。后面就简单了,依据此法找到 Hidden API 的开关方法,调用即可。

 

Github:

 

https://github.com/ganyao114/AndroidHiddenApi

 

Android P 也可以使用此方法。

AccessFlag

这个比较好解决,Android Q 上也是因为 Hidden Api 机制为每个方法增加了一个 Flag,导致我使用预测 Flag 值在 ArtMethod 中搜索 Offset 未能搜到。

 

kAccPublicApi = 0x10000000 代表此方法/Field 为公开 API

uint32_t accessFlag = getIntFromJava(jniEnv, "com/swift/sandhook/SandHook",
                                                 "testAccessFlag");
            if (accessFlag == 0) {
                accessFlag = 524313;
                //kAccPublicApi
                if (SDK_INT >= ANDROID_Q) {
                    accessFlag |= 0x10000000;
                }
            }
            int offset = findOffset(p, getParentSize(), 2, accessFlag);

一些符号的变化

libart-compiler.so 中的 jit_compile_method 增加了一个参数。

 

另外前面通过修改 CompilerOptions 中的参数来达到阻止 JIT Inline 的目的,现在 Android Q 会在某种情况下刷新 CompilerOptions,这个方法和jit_compile_method 一样,在 JIT 初始化的时候从 libart-compiler.so 加载到 jit_updateoptions 全局变量中,符号搜索找到这个变量替换成空实现即可。

fake_dlopen

N 以上搜索符号的库 avs333/Nougat_dlfunctions 中,从 maps 内存布局解析 module base 的逻辑写的有点死

while(!found && fgets(buff, sizeof(buff), maps)) 
            if(strstr(buff,"r-xp") && strstr(buff,libpath)) found = 1;

到了 Android Q 上,一个 so 很容易被内核映射成好几段:

70f410a000-70f41ca000 r--p 00000000 fc:00 2306 /system/lib64/libart-compiler.so
70f41ca000-70f43d0000 --xp 000c0000 fc:00 2306 /system/lib64/libart-compiler.so。70f43d0000-70f43d1000 rw-p 002c6000 fc:00 2306 /system/lib64/libart-compiler.so。70f43d1000-70f43e4000 r--p 002c7000 fc:00 2306 /system/lib64/libart-compiler.so

这样写就有问题了,ELF 头部并不是 r-xp。修改这个即可

其他问题

Q 中 JNI 方法默认全部 AOT,这导致 Frida 的方案会有问题,Frida 在 Q 上应该暂时不能用。

测试

另外 Android Q 的版本号暂时还是为 28,为区别 Android P, SandHook 内部以 29 处理,初始化之前手动设置成 29 即可

Inline 处理

JIT 的 Inline 优化可以通过修改 CompilerOptions 缓解,然而 AOT 的则不受我们控制。好在 N 以上默认新装 APK 部分是不会 AOT 的,如果实在有特殊情况则只能单独考量。

 

解决方法就是如果能预先知道 Inline 的 Caller 的话,强制让 Caller 解释执行即可。

 

逆编译的方法很简单,只需要把 CodeEntry 入口替换回解释执行的跳板即可。

 

那现在的问题就是如何准确无误地获取:

//普通方法
art_quick_to_interpreter_bridge
//JNI 方法
art_quick_generic_jni_trampoline

虽然前面是通过一个从不调用的方法拿到这个入口,然而还是可能有被 AOT 的情况。一旦被 AOT,替换错入口则会导致严重后果。

 

然而不凑巧的是,art_quick_to_interpreter_bridge 这两个入口虽然保留了符号,但并不是动态链接符号,所以 dlsym / fake_dlsym 是搜不到的。

 

这个符号在符号表 SHT_SYMTAB 中,所以需要修改实现。

 

Github:

 

https://github.com/ganyao114/AndroidELF



[推荐]看雪企服平台,提供安全分析、定制项目开发、APP等级保护、渗透测试等安全服务!

上一主题 下一主题
打赏 + 2.00
打赏次数 1 金额 + 2.00
收起 
赞赏  junkboy   +2.00 2019/03/15 感谢分享~
最新回复 (1)
junkboy 4天前
2
0
支持
游客
登录 | 注册 方可回帖
返回