android hook分为另种:
native层hook---理解ELF文件
java层---虚拟机特性和Java上的反射的作用
注入代码:
存放在哪?
用mmap函数分配临时内存来完成代码存放,对于函数的寻找需要用到目标地址空间解析和ELF解析
如何注入?
用ptrace函数attach上目标进程
发现装载共享库so函数
装载指定的.so
让目标进程的执行流程跳转到注入的代码执行
使用ptrace函数的detach释放咪表进程
注入动态共享库:
如何附着在目标进程?---内核函数ptrace能够动态attach、detach、peektext(获取内存字节)、poketext(向内存写入地址)
如何让目标进程调用动态链接库函数?---内核函数dlopen,能够以制定模式打开指定动态链接库文件。
hook分类:
对于android的so文件的hook根据ELF文件特性分为:Got表hook、Sym表hook和inline hook等
常用hook工具:
Xposed框架;
CydiaSubstrate框架;
ADBI/DDI框架。
这些工具使用流程:配置环境、安装本地服务、下载使用库。
Xposed框架:###
handleLoadPackage获取包加载时的回调并拿到其对应的classLoader
findAndLoadHookMethod对指定类的方法进行hook
Cydiasubstrate框架的hook方法:
MS.hookClassLoad 拿到指定class载入时的通知
MS.hookMethod 使用一个Java方法去替换另一个Java方法
MS.moveUnderClassLoader 使用不同的ClassLoader重载对象
使用substrate:
1、在AndroidManifest.xml文件中配置主入口
2、新创建主入口Main.Java类
3、hook系统的resources,hook对应的方法
4、安装、重启、验证
注入广告:
通过hook指定的Activity中的onCreate方法来启动一个广告的activity
在恶意设计中,可以将广告的activity设置成恶意的activity作为钓鱼activity。
使用Xposed进行hook步骤:
1、在AndroidManifest.xml文件中配置插件名称与Api版本号
2、新创建一个入口类继承并实现IXposedHookLoadPackage接口
3、声明主入口路径
4、使用findAndLoadHookMethod方法hook劫持登录信息
5、在XposedInstaller中启动自定义的模块
6、重启验证去
原生程序hook:
框架:Cydiasubstrate
函数:MSGetImageByName、MSFindSymbol、MSHookFunction
步骤:
1、在androidmanifest中声明权限和安装方式--安装方式internalOnly和hasCode=“false”
2、新创建项目的cpp文件,导入所需的库
3、载入配置文件和cydiasubtract入口
4、hook并替换其方法
5、编译、安装、重启验证
hook检测和修复:
hook的本质:在一个目标进程中通过改变函数方法的指向地址,加入一段自定义的代码块
java层的hook检测:用ps命令查找进程id--用cat/proc……命令查找地址空间中对应的dex文件是否由对应进程(系统)提供。
原生层hook检测 :类似java层。对于应用程序自身检测,只需要读取对应进程的虚拟地址空间目录/proc/pid/maps文件, 判断当前进程空间中载入的代码库文件是否存在于自己的白名单中
hook过的程序修复:由于所有的第三方库都是通过dlopen注入的方式添加到进程中,所以我们只需要通过dlclose把对应的第三方函数按个删除。
但是dlclose函数并不能把所有函数完全删除,因为dlclose关闭指定句柄的动态链接库,只有当对应动态链接库使用次数为0时才能被系统卸载。
由于无法知晓hook的动态库用何种方式在何时注入,所以也需要采用实时监测。