android adbi hook elf 运行过程,adbi学习：so hook实现机制

机制"/>

android adbi hook elf 运行过程,adbi学习：so hook实现机制

本篇我们来看看adbi的实现原理，其实里面的知识点前面差不多都有涉及了，没多少新知识。adbi利用hijack程序将libexample.so注入到指定的进程中，并且在进程中加载libexample.so；而libexample.so在加载过程中会执行其.init_array section里的代码，代码中实现函数hook(替换原先的函数为自定义函数)。这样运行hijack就自动实现了函数hook。

hijack流程图：

1.得到pid进程下的mprotect()函数地址

2.得到piid进程下的dlopen()函数地址

3.利用ptrace attach pid进程，并得到regs并保存

4.将sc结构体push进pin 进程的栈空间中；sc包含特定指令、regs、mprotect、dlopen和libexample.so的绝对路径

5.修改regs值并设置到pin进程，接着PTRACE_DETACH释放pid进程，使之得以继续运行；此时hijack已全部执行完毕

6.此时pid进程会去执行先前压入栈中的特定指令:

这里涉及到2个知识点：

1.如何得到pid进程下的指定的fun函数地址：

假设fun在lib.so中，首先得到本进程lib.so的地址addrLib(如何得到加载的so库地址：/proc/pid/maps存储共享库的内存地址),接着得到本进程fun地址addrFun，再得到pin进程的addrPidLib地址，则pid下的fun地址=addrFun-addrLib+addrPidLib；另外一种方式是根据so中dynamic section得到dynsym和dynstr section，利用dynsym->name作为在dynstr的字符得到字符串str1和fun比较，即可得到fun的地址(具体参考之前的文章：elf格式和linker源码分析)。

2.特定指令究竟是什么，它干了什么事？指令如下：

特定指令用mprotect改变page读写权限；dlopen加载libexample.so；利用保存的regs恢复attach 前的pid进程状态。至于这些指令的细节看参考资料1，这里就不展开了。需要提及的是arm_pc这个寄存器，在hijack修改了pid进程的pc寄存器，使pid进程在DETACH后直接执行压入栈中的特定指令。但我们知道pc是取指令的地址，arm架构中在执行指令和取指令中还有译码，怎么会在改变pc值后直接去执行pc所执行地址的指令呢？网上是说在修改pc值后，先前的流水线(取指令、译码、执行)丢弃，然后从pc出开始取指令、译码、执行。没查到arm官方资料，望知情人告知！

libexample执行流程：

1.得到要hook函数hookedfun的地址；如何得到函数地址看上面方法1

2.修改hookedfun函数指令前几个指令为特定指令，使hookedfun函数替换成自定义的函数

3.在进程执行hookedfun函数时，会去执行自定义函数而不是hookedfun函数;再次修改hookedfun函数指令来卸载函数hook

这里的知识点主要在于如何替换hookedfun中涉及到的汇编指令。arm分为arm指令和thum指令，在adbi中这么判断的：

if (addr % 4 == 0) {

arm指令

}else{

thumb指令

}

接着arm指令涉及到的替换函数汇编指令：

h->patch = (unsigned int)hook_arm; //自定义函数的地址h->orig = addr; //hookedfun函数的地址h->jump[0] = 0xe59ff000; //LDR pc, [pc, #0]

h->jump[1] = h->patch; //自定义函数的地址h->jump[2] = h->patch; //自定义函数的地址

for (i = 0; i < 3; i++)

h->store[i] = ((int*)h->orig)[i]; //保存hookedfun函数的指令for (i = 0; i < 3; i++)

((int*)h->orig)[i] = h->jump[i]; //修改hookedfun函数的指令，当调用hookedfun时，执行h->jump[0]

看上面代码，执行hookedfun时其实是执行LDR pc,[pc,#0]。我们知道pc值为当前执行的指令+8，即pc值为h->jump[2] = 自定义函数的值。ok，这相当于就是jump去执行自定义函数了。下面看thumb汇编指令：

if ((unsigned long int)hook_thumb % 4 == 0)

log("warning hook is not thumb 0x%lx\n", (unsigned long)hook_thumb)

h->thumb = 1;

log("THUMB using 0x%lx\n", (unsigned long)hook_thumb)

h->patch = (unsigned int)hook_thumb;

h->orig =addr;

h->jumpt[1] = 0xb4;

h->jumpt[0] = 0x60; //push {r5,r6}

h->jumpt[3] = 0xa5;

h->jumpt[2] = 0x03; //add r5, pc, #12; 这里r5实质是指向jumpt[18]那为什么会说其执行自定义函数地址junpt[16]呢？

h->jumpt[5] = 0x68;

h->jumpt[4] = 0x2d; //ldr r5, [r5]

h->jumpt[7] = 0xb0;

h->jumpt[6] = 0x02; //add sp,sp,#8

h->jumpt[9] = 0xb4;

h->jumpt[8] = 0x20; //push {r5}

h->jumpt[11] = 0xb0;

h->jumpt[10] = 0x81; //sub sp,sp,#4

h->jumpt[13] = 0xbd;

h->jumpt[12] = 0x20; //pop {r5, pc}

h->jumpt[15] = 0x46;

h->jumpt[14] = 0xaf; //mov pc, r5 ; just to pad to 4 byte boundary

memcpy(&h->jumpt[16], (unsigned char*)&h->patch, sizeof(unsigned int));　　//存自定义函数地址到jumpt[16]——jumpt[19]

unsignedint orig = addr - 1; //sub 1 to get real address

注意这里减1了，thumb的函数被编译后其函数符号地址都会在真正地址+1，这是为了辨别thumb函数还是arm函数，arm函数4字节对齐最低位永远为0

for (i = 0; i < 20; i++) {

h->storet[i] = ((unsigned char*)orig)[i];//log("%0.2x ", h->storet[i])

}//log("\n")

for (i = 0; i < 20; i++) {

((unsignedchar*)orig)[i] = h->jumpt[i];//log("%0.2x ", ((unsigned char*)orig)[i])

}

利用栈的push和pop将保存自定义函数地址(jump[16])的r5赋值为pc,具体原理看参考资料2。但下面这段话需要注意

这里还有一点需要注意，对于Thumb的“Add Rd, Rp, #expr”指令来说，如果Rp是PC寄存器的话，那么PC寄存器读出的值应该是(当前指令地址+4)& 0xFFFFFFFC，也就是去掉最后两位，算下来正好可以减去2。但这里也有个假设，就是被hook函数的起始地址必须是4字节对齐的，哪怕被hook函数使用Thumb指令集写的。

也就说当被hook函数4字节对齐时，add r5, pc, #12这条指令的地址刚好是2字节对齐，那么根据上面这段话刚好可以减2即r5指向的是jumpt[16]而不是jumpt[18]，所以这对hook函数有要求。替换函数的指令讲解完毕，卸载hook自然就清楚了——把原来改变的指令复原就ok了。我们是改变了函数指令达到替换函数的效果。但处理都包含指令cache，若执行的时候从cache中取呢，那我就再刷新下cache；在这里我们用系统调用号的方式来执行：

void inline hook_cacheflush(unsigned int begin, unsigned intend)

{const int syscall = 0xf0002;

__asm __volatile ("mov r0, %0\n"

"mov r1, %1\n"

"mov r7, %2\n"

"mov r2, #0x0\n"

"svc 0x00000000\n":

:"r" (begin), "r" (end), "r"(syscall)

:"r0", "r1", "r7");

}

r0=begin,r1=end，r7=0xf0002(cacheflush的系统调用号)，直接svc来执行系统调用。

hijack和libexample的流程就这样了，但怎么从hijack到libexample啊？

//this file is going to be compiled into a thumb mode binary//这里是重点，当进程第一次打开lib操作时，linker会执行此函数

void __attribute__ ((constructor)) my_init(void);

还记得hijack执行完毕后，pid进程执行的指令吗；它会去执行dlopen(libexample)，此时回去执行libexample中的.init_array中的指令；而加了"__attribute__ ((constructor))"则my_init就是在.init_array中。知道了吧，在dlopen中执行my_init，而在my_init中实现函数的替换即hook。当然my_init的函数可以不同，但必须有在.init_array中的函数去执行函数替换功能(对于adbi来说是调用hook())。

最后我们看看libinject：

1.利用ptrace来注入pid进程

2.得到pid进程中的函数地址，用的是上面第一种方法：fun地址=addrFun-addrLib+addrPidLib

3.libinject不注入so没实现函数挂钩，它实现了hijack的功能，但是它不仅仅是dlopen还在这里执行了自定义函数(实现方式与adbi相同)

下篇我们来看看adbi是如何实现dalvik hook

参考资料：

原文：.html