文章目录
一、ARM 架构下的插桩拦截
二、完整代码示例
一、ARM 架构下的插桩拦截
ARM 架构下的跳转指令 : 下面的二进制数都是十六进制数 ; 32 3232 位指令 ;
04 F0 1F E5 00 00 00 00 , B target ;
B 指令是无条件跳转指令 , 04 F0 1F E5 是对应的机器码 ;
在 【Android 逆向】函数拦截 ( 修改内存页属性 | x86 架构插桩拦截 ) 一、修改内存页属性 基础上 , 先修改内存页属性 , 取得修改内存的权限 ;
然后开始进行函数拦截 ;
首先 , 拼装 ARM 架构下的无条件跳转指令 ;
/* B 无条件跳转指令 */ unsigned char code[] = { 0x04,0xF0,0x1F,0xE5,0x00,0x00,0x00,0x00 };
然后 , 设置跳转指令的绝对地址 ; 注意这里与 x86 的跳转指令不同 , x86 设置的跳转地址是相对地址 , arm 的跳转地址是绝对地址 ;
/* arm 的跳转是绝对地址跳转 , 传入 pStub 函数指针即可 */ *(unsigned*)(code + 4) = (unsigned)pStub;
最后 , 将 arm 跳转指令二进制机器码拷贝到函数开始位置 ;
/* 将机器码复制到函数开始位置 */ memcpy(pFunc, code, sizeof(code));
二、完整代码示例
下面是 插桩函数拦截 的代码 , 兼容 x86 与 arm 架构 ;
注意 : 写完之后推荐刷新 CPU 高速缓存 , 调用 cache_flush 系统调用函数 ;
/* * unsigned char* pFunc * unsigned char* pStub * 上述两个参数分别是两个函数指针 * * 注意 : 写完之后要刷新 CPU 高速缓存 , 调用 cache_flush 系统调用函数 */ int write_code(unsigned char* pFunc, unsigned char* pStub) { /* 获取 pFunc 函数入口 , 先获取该函数所在内存页地址 */ void* pBase = (void*)(0xFFFFF000 & (int)pFunc); /* 修改整个内存页属性 , 修改为 可读 | 可写 | 可执行 , * 避免因为内存访问权限问题导致操作失败 * mprotect 函数只能对整个页内存的属性进行修改 * 每个 内存页 大小都是 4KB */ int ret = mprotect(pBase, 0x1000, PROT_WRITE | PROT_READ | PROT_EXEC); /* 修改内存页属性失败的情况 */ if (ret == -1) { perror("mprotect:"); return -1; } #if defined(__i386__) // arm 情况处理 /* E9 是 JMP 无条件跳转指令 , 后面 4 字节是跳转的地址 */ unsigned char code[] = { 0xE9,0,0,0,0 }; /* 计算 pStub 函数跳转地址 , 目标函数 pStub 地址 - 当前函数 pFunc 地址 - 5 * 跳转指令 跳转的是 偏移量 , 不是绝对地址值 */ *(unsigned*)(code + 1) = pStub - pFunc - 5; /* 将跳转代码拷贝到 pFunc 地址处 , 这是 pFunc 函数的入口地址 */ memcpy(pFunc, code, sizeof(code)); #else // arm 情况处理 /* B 无条件跳转指令 */ unsigned char code[] = { 0x04,0xF0,0x1F,0xE5,0x00,0x00,0x00,0x00 }; /* arm 的跳转是绝对地址跳转 , 传入 pStub 函数指针即可 */ *(unsigned*)(code + 4) = (unsigned)pStub; /* 将机器码复制到函数开始位置 */ memcpy(pFunc, code, sizeof(code)); #endif return 0; } /* C/C++ 中的 hook 函数方式 */ void hook_func(uint8_t* pApi, uint8_t* pUser, uint8_t* pStub, size_t size) { unsigned char code[64] = { 0 }; memcpy(code, pApi, size); write_code(pApi, pUser); write_code(size + pStub, size + pApi); memcpy(pStub, code, size); }
