【移动应用开发技术】代码实例分析android中inline hook

【移动应用开发技术】代码实例分析android中inlinehook

以下内容通过1、实现目标注入程序，2、实现主程序，3、实现注入函数，4、thumb指令集实现等4个方面详细分析了android中inlinehook的用法，以下是全部内容：

最近终于沉下心来对着书把hook跟注入方面的代码敲了一遍，打算写几个博客把它们记录下来。第一次介绍一下我感觉难度最大的inlinehook，实现代码参考了腾讯GAD的游戏安全入门。inlinehook的大致流程如下：首先将目标指令替换为跳转指令，跳转地址为一段我们自己编写的汇编代码，这段汇编代码先是执行用户指定的代码，如修改寄存器的值，然后执行被替换掉的原指令2，最后再跳转回原指令3处，恢复程序的正常运行。为了避开注入过程，我们通过hook自己进程加载的动态连接库进行演示。1、实现目标注入程序我们将这个程序编译为动态连接库，然后在主程序中加载，作为hook的目标。注意Android.mk中LOCAL_ARM_MODE:=arm代表编译时使用4字节的arm指令集，而不是2字节的thumb指令集。2、实现主程序在主程序中我们首先加载之前编写的动态链接库，进行hook之后再对其中的函数target_foo进行调用。这里我们hook功能的实现函数为hook_inline_make，4个参数分别为动态库路径，目标地址，用户函数，目标地址处指令集。当程序执行到目标地址处时会回调我们传入的用户函数，可通过参数hook_reg来更改寄存器的值（不包括寄存器pc）。因为之前在动态链接库的Android.mk文件指定了使用arm指令集进行编译，所以此处指定最后一个参数为true。3、实现注入函数现在到了最为关键的地方，为了实现这个功能还需要了解几个知识。（1）、获取内存中动态链接库的基址Linux系统中各个进程的内存加载信息可以在/proc/pid/maps文件中到，通过它我们可以获取到动态链接库在内存中的加载基址。（2）、更改内存中的二进制代码现在的计算机系统中一般对内存进行分段式管理，不同的段有不同的读、写、执行的属性。一般来讲代码段只有读和执行的属性，不允许对代码段进行写操作。Linux系统中通过函数mprotect对内存的属性进行更改，需要注意的一点是需要以内存页的大小进行对齐。接下来就可以着手实现功能了，inlinehook跟指令集密切相关，此处我们先演示arm指令集的情况，之后对thumb指令集进行讨论。这里实现的功能是用户可在自己注册的回调函数中对hook点寄存器的值进行修改。

为了实现32位地址空间的长跳转，我们需要两条指令的长度（8个字节）来实现。一般手机上的arm处理器为3级流水，所以pc寄存器的值总是指向当前执行指令后的第二条指令，因而使用ldrpc,[pc,#-4]来加载该指令之后的跳转地址。当程序跳转到shellcode后，首先对寄存器组进行备份，然后调用用户注册的回调函数，用户可在回调函数中修改备份中各个寄存器（pc寄存器除外）的值，然后从备份中恢复寄存器组再跳转到stubcode，stubcode的功能是执行被hook点的跳转指令替换掉的两条指令，最后跳回原程序。shellcode使用汇编实现，在使用时需要对里边的两个地址进行修复，用户回调函数地址（_hook_func_addr_s）跟stubcode地址（_stub_func_addr_s）。接下来我们可以看一下函数hook_inline_make的具体实现了注意这里的change_addr_writable函数无论传入false还是true对应地址都会添加上执行属性。由于处理器采用流水线跟多级缓存，在更改代码后我们需要手动刷新cache，即函数cacheflush(第三个参数无意义)。4、thumb指令集实现由于thumb指令集的功能受到限制，虽然思路上跟arm指令集一致，但在实现上需要用更多条指令，下面是我自己想的一种实现方式，欢迎交流。需要注意的是由于每条thumb指令为16bit，所以32位的跳转地址需要占用两条指令的空间，而且跳转时会污染r0寄存器所以要对其进行保护。我在实现程序时将shellcode编译为了ar