Android代码入侵原理解析(一)

本文涉及的产品
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
云解析 DNS,旗舰版 1个月
简介:

Android代码入侵原理解析(一)

 

 

 

 


 

1.代码入侵原理

代码入侵,或者叫代码注入,指的是让目标应用/进程执行指定的代码。代码入侵,可以在应用进行运行过程中进行动态分析,也是对应用进行攻击的一种常见方式。我把代码入侵分为两种类型:静态和动态。静态代码入侵是直接修改相关代码,在应用启动和运行之前,指定代码就已经和应用代码关联起来。动态代码入侵是应用启动之后,控制应用运行进程,动态加载和运行指定代码。


2.静态代码入侵

静态代码入侵,有直接和间接的手段。

直接手段是修改应用本身代码。修改应用本身代码,在Android和iOS移动操作系统上,一般利用重打包的方式来完成。攻击者需要对应用安装包文件,完成解包、插入指定代码、重打包的三个步骤。现在用到的代码插桩技术和这个比较类似,只不过是代码注入的工作直接在编译过程中完成了。

间接手段是修改应用运行环境。关于应用运行环境,可以是修改和替换关键系统文件,如xposed通过修改应用启动的系统文件 /system/bin/app_process 实现代码注入。可以造出一套模拟的系统运行环境,如应用运行沙箱、应用双开器等。对于Android系统,可以自行修改系统编译rom。


3.动态代码入侵

这里以Android系统为例,说明动态代码入侵的整个过程(单指代码注入,不包括后续控制逻辑的实现)。动态代码入侵需要在应用进程运行过程中,控制进程加载和运行指定代码。控制应用进程,我们需要用到ptrace。ptrace是类unix系统中的一个系统调用,通过ptrace我们可以查看和修改进程的内部状态,能够修改目标进程中的寄存器和内存,实现目标进程的断点调试、监视和控制。常见的调试工具如:gdb, strace, ltrace等,这些调试工具都是依赖ptrace来工作的。


关于ptrace,可以参考维基百科的说明:https://en.wikipedia.org/wiki/Ptrace

long ptrace(int request, pid_t pid, void *addr, void *data);
pid: 目标进程
addr: 目标地址
data: 操作数据
request:
PTRACE_ATTACH
PTRACE_DETACH
PTRACE_CONT
PTRACE_GETREGS
PTRACE_SETREGS
PTRACE_POKETEXT
PTRACE_PEEKTEXT


ptrace的功能主要是以下:

1)进程挂载

2)进程脱离

3)进程运行

4)读寄存器

5)写寄存器

6)读内存

7)写内存


进程被挂载后处于跟踪状态(traced mode),这种状态下运行的进程收到任何signal信号都会停止运行。利用这个特性,可以很方便地对进程持续性的操作:查看、修改、确认、继续修改,直到满足要求为止。进程脱离挂载后,会继续以正常模式(untraced mode)运行。


3.1 动态代码注入的步骤

1)挂载进程

2)备份进程现场

3)代码注入

4)恢复现场

5)脱离挂载

其中,代码注入的过程相对复杂,因为代码注入过程和cpu架构强相关,需要先了解Android系统底层的ARM架构。


3.2 ARM架构简介

ARM处理器在用户模式和系统模式下有16个公共寄存器:r0~r15。

有特殊用途的通用寄存器(除了做通用寄存器,还有以下功能):

r0~r3: 函数调用时用来传递参数,最多4个参数,多于4个参数时使用堆栈传递多余的参数。其中,r0还用来存储函数返回值。

r13:堆栈指针寄存器sp。

r14:链接寄存器lr,一般用来表示程序的返回地址。

r15:程序计数器pc,当前指令地址。


状态寄存器cpsr:

N=1:负数或小于(negtive)

Z=1:等于零(zero)

C=1:有进位或借位扩展

V=1:有溢出

I=1:IRQ禁止interrupt

F=1:FIQ禁止fast

T=1/0:Thumb/ARM状态位

其中,T位需要注意。程序计数器pc(r15)末位为1时T位置1,否则T位置0。




代码动态注入过程中,前面的准备和后面的收尾工作比较简单,较复杂的是中间的代码注入。整体过程的基础代码如下:




3.3 代码注入过程

代码注入需要完成在目标进程内加载和运行指定代码。指定代码的一般形式是so文件。动态加载so需要使用到linker提供的相关方法。关于linker,请阅读《程序员的自我修养-链接、装载与库》。具体来说,代码注入过程分为三步,也就是三次函数调用:

1)dlopen加载so文件

2)dlsym获取so的入口函数地址

3)调用so入口函数


和正常调用函数相比,通过ptrace在目标进程中调用函数是完全不同的,是通过直接修改寄存器和内存数据来实现函数调用。具体来说,有几点需要注意:


1)获取函数地址

调用函数首先要知道函数地址。因为ASLR(地址空间格局随机化,Address Space Layout Randomization)的影响,父进程孵化子进程时,系统动态库的基地址会随机变化,具体表现为,相同的系统动态库在不同子进程中的内存地址是不同的。我们可以利用下面的简单公式来计算得到我们需要用到的相关函数在目标进程中的地址:address = base + offset

其中,base是函数实现所在动态库的基地址,offset是函数在动态库中的偏移地址。

在Linux系统中,可以通过/proc/<pid>/maps查看进程的虚拟地址空间(查看非当前进程需要root权限),包括进程的所有动态库的base。通过动态库文件名查询虚拟地址空间获取base。offset值是函数地址在动态库中的偏移,可以直接静态查看动态库文件获得函数偏移地址,也可以在其他应用运行时计算得出:offset = address - base。具体到代码注入,需要用到的函数dlopen和dlsym,其实现代码所在文件为 /system/bin/linker(为什么开发过程中使用dlopen、dlsym, 编译时链接的是文件libdl.so,运行时链接的却是另外一个文件 /system/bin/linker,这里不做详述)。


2)函数调用参数传递和返回值获取

对于ARM体系来说,函数调用遵循的是 ATPCS(ARM-Thumb Procedure Call Standard),ATPCS建议函数的形参不超过4个,如果形参个数少于或等于4,则形参由R0、R1、R2、R3四个寄存器进行传递;若形参个数大于4,大于4的部分必须通过堆栈进行传递。函数调用的返回值通过R0传递。


3) 内存分配/获取

像字符串类型这样的参数运行时需要占用内存。当然我们可以通过调用malloc来动态申请内存。但是,正如之前介绍的,通过ptrace进行函数调用的过程有些复杂。我们直接使用栈的内存空间更加方便。通过栈指针sp,我们将数据放到栈暂时不用的内存空间,也能省去释放内存空间的繁琐。


4)函数调用后重获控制权

代码注入需要多次函数调用,我们希望调用第一个函数之后,进程马上停下来,等待后续其他的函数调用。这里,我们需要使用到lr寄存器。通过设置lr为非法地址(一般设为0),可以使得函数返回时出错,触发非法指令的signal信号,进程停止。然后,我们可以重设进程状态,执行后面其他的函数调用。

 

 

 

本文来自合作伙伴“阿里聚安全”,发表于2017年05月09日 09:40.

相关文章
|
20天前
|
运维 持续交付 云计算
深入解析云计算中的微服务架构:原理、优势与实践
深入解析云计算中的微服务架构:原理、优势与实践
54 1
|
24天前
|
Java 开发工具 Android开发
Android与iOS开发环境搭建全解析####
本文深入探讨了Android与iOS两大移动操作系统的开发环境搭建流程,旨在为初学者及有一定基础的开发者提供详尽指南。我们将从开发工具的选择、环境配置到第一个简单应用的创建,一步步引导读者步入移动应用开发的殿堂。无论你是Android Studio的新手还是Xcode的探索者,本文都将为你扫清开发道路上的障碍,助你快速上手并享受跨平台移动开发的乐趣。 ####
|
2天前
|
存储 缓存 算法
HashMap深度解析:从原理到实战
HashMap,作为Java集合框架中的一个核心组件,以其高效的键值对存储和检索机制,在软件开发中扮演着举足轻重的角色。作为一名资深的AI工程师,深入理解HashMap的原理、历史、业务场景以及实战应用,对于提升数据处理和算法实现的效率至关重要。本文将通过手绘结构图、流程图,结合Java代码示例,全方位解析HashMap,帮助读者从理论到实践全面掌握这一关键技术。
28 13
|
17天前
|
存储 Linux API
深入探索Android系统架构:从内核到应用层的全面解析
本文旨在为读者提供一份详尽的Android系统架构分析,从底层的Linux内核到顶层的应用程序框架。我们将探讨Android系统的模块化设计、各层之间的交互机制以及它们如何共同协作以支持丰富多样的应用生态。通过本篇文章,开发者和爱好者可以更深入理解Android平台的工作原理,从而优化开发流程和提升应用性能。
|
17天前
|
Java 调度 Android开发
安卓与iOS开发中的线程管理差异解析
在移动应用开发的广阔天地中,安卓和iOS两大平台各自拥有独特的魅力。如同东西方文化的差异,它们在处理多线程任务时也展现出不同的哲学。本文将带你穿梭于这两个平台之间,比较它们在线程管理上的核心理念、实现方式及性能考量,助你成为跨平台的编程高手。
|
16天前
|
PHP 开发者 容器
PHP命名空间深度解析:避免命名冲突与提升代码组织####
本文深入探讨了PHP中命名空间的概念、用途及最佳实践,揭示其在解决全局命名冲突、提高代码可维护性方面的重要性。通过生动实例和详尽分析,本文将帮助开发者有效利用命名空间来优化大型项目结构,确保代码的清晰与高效。 ####
18 1
|
24天前
|
机器学习/深度学习 存储 人工智能
强化学习与深度强化学习:深入解析与代码实现
本书《强化学习与深度强化学习:深入解析与代码实现》系统地介绍了强化学习的基本概念、经典算法及其在深度学习框架下的应用。从强化学习的基础理论出发,逐步深入到Q学习、SARSA等经典算法,再到DQN、Actor-Critic等深度强化学习方法,结合Python代码示例,帮助读者理解并实践这些先进的算法。书中还探讨了强化学习在无人驾驶、游戏AI等领域的应用及面临的挑战,为读者提供了丰富的理论知识和实战经验。
49 5
|
28天前
|
运维 持续交付 虚拟化
深入解析Docker容器化技术的核心原理
深入解析Docker容器化技术的核心原理
45 1
|
21天前
|
存储 供应链 算法
深入解析区块链技术的核心原理与应用前景
深入解析区块链技术的核心原理与应用前景
44 0
|
24天前
|
开发框架 Dart Android开发
安卓与iOS的跨平台开发:Flutter框架深度解析
在移动应用开发的海洋中,Flutter作为一艘灵活的帆船,正引领着开发者们驶向跨平台开发的新纪元。本文将揭开Flutter神秘的面纱,从其架构到核心特性,再到实际应用案例,我们将一同探索这个由谷歌打造的开源UI工具包如何让安卓与iOS应用开发变得更加高效而统一。你将看到,借助Flutter,打造精美、高性能的应用不再是难题,而是变成了一场创造性的旅程。

推荐镜像

更多