[原创]SO Hook技术汇总-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]SO Hook技术汇总

发表于: 2015-1-3 22:14 90090

[原创]SO Hook技术汇总

ThomasKing 活跃值

2015-1-3 22:14

90090

查看主题内容

收藏・253

免费・3

支持

最新回复 (106) ◀ 1 2 3 4 5 ▶
fallsnows 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	fallsnows 51 楼感谢楼主的汇总。hook简直是android开发必备的技术，至少得了解原理，无奈国内资料太少。 2015-1-12 16:14 0
月凉如水雪币： 13 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	月凉如水 52 楼收藏一份,感谢 2015-1-12 18:27 0
keilin 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 38 粉丝 0 关注私信	keilin 54 楼谢谢分享, 你们的编译环境是弄的, 我在ubuntu14 的ndk环境下. 编译通不过? 2015-1-15 17:09 0
zseven 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	zseven 56 楼学习一下！ 2015-1-16 10:58 0
凄夜孤狼雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	凄夜孤狼 57 楼 mark一下…… 2015-1-16 12:11 0
enghuimmm 雪币： 20 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 40 粉丝 1 关注私信	enghuimmm 58 楼用楼主的 inline hook , 发现 hook 此函数运行不正常,以下是函数开头几行汇编 .text:000317E0 PUSH.W {R4-R11,LR} .text:000317E4 VPUSH {D8-D9} .text:000317E8 VMOV S16, R2 .text:000317EC SUB SP, SP, #0x4C .text:000317EE LDR R5, =(_GLOBAL_OFFSET_TABLE_ - 0x317FA) .text:000317F0 MOV R4, R0 2015-2-25 10:35 0
ThomasKing 雪币： 370 活跃值： (1190) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 193 关注私信	ThomasKing 6 59 楼多谢反馈！由于涉及指令众多，之前实现时只对个人认为比较常见的指令进行了处理，并未将T模式特殊的vpush vmov等指令处理，陆续加上。就其出错原因是：这段Thumb汇编第三条指令为vmov指令占4个字节，替换时只替换了前2字节，将指令识别成了2条，故出错 2015-2-25 11:11 0
enghuimmm 雪币： 20 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 40 粉丝 1 关注私信	enghuimmm 60 楼多谢楼主指点! 2015-2-25 12:02 0
zylyy 雪币： 144 活跃值： (718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 356 粉丝 3 关注私信	zylyy 61 楼 mark 2015-2-25 12:07 0
enghuimmm 雪币： 20 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 40 粉丝 1 关注私信	enghuimmm 62 楼楼主,有几个地方不明白,望解答! 指令替换怎么做的? 是用 shell code还是直接用二进制编码, 如果是二进制编码,怎么把汇编翻译成二进制码? 如果是用 shell code 那么是编译成 arm 模式呢还是 thumb 模式? 据我理解, 如果被hook的函数是 thumb ,用来替换的指令应该也是thumb,但是跳到的地址应该是 arm,这个该怎么做呢? 另外是什么指令是不是判断指令的第 25~28位? 来决定是否是相对PC的指令?这个参考 arm 32bit 手册吗? 2015-2-25 14:49 0
ThomasKing 雪币： 370 活跃值： (1190) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 193 关注私信	ThomasKing 6 63 楼指令替换使用指令二进制实现。指令分为A 和 T/2模式，分情况处理。模式切换有相应指令，参看手册即可 2015-2-25 17:40 0
enghuimmm 雪币： 20 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 40 粉丝 1 关注私信	enghuimmm 64 楼楼主又有问题了,我在自身lib中进行如下调用,发现hook不成功,是哪里用错了吗? HookStruct HookPara; strncpy(HookPara.SOName, "libndktest.so", strlen("libndktest.so")); strncpy(HookPara.FunctionName, "strlen", strlen("strlen")); HookPara.NewFunc = (void *)my_strlen; PTK_HookImportFunction HookImportFunction = (PTK_HookImportFunction) dlsym(handle, "TK_HookImportFunction"); int ret = HookImportFunction(&HookPara); 2015-2-27 14:31 0
ThomasKing 雪币： 370 活跃值： (1190) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 193 关注私信	ThomasKing 6 65 楼额，我试了，没什么问题。你再试试，还是没解决的话，你直接私信我吧。 2015-2-27 22:25 0
enghuimmm 雪币： 20 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 40 粉丝 1 关注私信	enghuimmm 66 楼问题解决了,另外期待楼主支持V指令的版本. 2015-3-13 20:38 0
JessieWang 雪币： 28 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 38 粉丝 0 关注私信	JessieWang 67 楼感谢好文！请教楼主个问题：我做inline hook的时候，有时候需要插入自定义代码。PE的情况下，通过新加区段可以轻松把自己的代码插入。但是ELF我用类似的方法做，却无法成功。很多ELF的.text段并无空间。学习了ELF个时候可以知道，仅增加section似乎是不够的，因为无法被loader加载到内存。但是尝试增加segment，连so都无法正常加载了。请教楼主，怎么增加代码段以便插入代码呢？ 2015-3-14 21:43 0
enimey 雪币： 228 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 22 粉丝 1 关注私信	enimey 68 楼导出表hook不太清楚，比如有一个第三方的SO中的导出函数A，那么要注入哪个进程空间并对其st_value进行修改？才能达到hook住所有对函数A的调用？ 2015-3-18 19:22 0
BSCake 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	BSCake 69 楼学习啦！ 2015-3-21 10:20 0
空空飞飞雪币： 2841 活跃值： (1125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 111 粉丝 4 关注私信	空空飞飞 70 楼顶顶顶顶 2015-3-21 21:51 0
sylyw 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	sylyw 71 楼学习学习。。。。。感谢分享！ 2015-3-27 17:32 0
enghuimmm 雪币： 20 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 40 粉丝 1 关注私信	enghuimmm 72 楼楼主帮我看下,用你的动态库 inline hook 这个函数执行不正常,貌似指令没有跳回来,是不是有相对寻址?另外能看出这是arm还是thumb指令不? .text:002025AC STMFD SP!, {R11,LR} .text:002025B0 ADD R11, SP, #4 .text:002025B4 SUB SP, SP, #0x18 .text:002025B8 STR R0, [R11,#var_10] .text:002025BC STR R1, [R11,#var_14] .text:002025C0 STR R2, [R11,#var_18] 2015-3-29 22:27 0
ThomasKing 雪币： 370 活跃值： (1190) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 193 关注私信	ThomasKing 6 73 楼 ARM指令，只需替换前三条指令。 HOOK应该没什么问题，你动态调试下SO看看是哪里的问题。还存在问题的话，你直接私信我吧。 2015-3-30 12:43 0
abbear 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	abbear 74 楼谢谢分享。 2015-3-30 13:01 0
空空飞飞雪币： 2841 活跃值： (1125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 111 粉丝 4 关注私信	空空飞飞 75 楼默默的赞下 2015-3-30 13:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ThomasKing

发帖

205

回帖

310

RANK

关注

私信

他的文章

来自高纬的对抗 - 逆向TinyTool自制 8910
[原创]CVE-2015-8966/AndroidID-31435731 10115
[原创]记一次混淆算法逆向分析 13285
[原创]InlineHook更新 15868
[原创]JNINativeInterfaceHook & trace 25605

关于我们

联系我们

企业服务

看雪公众号

最新回复 (106) ◀ 1 2 3 4 5 ▶
fallsnows 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	fallsnows 51 楼感谢楼主的汇总。hook简直是android开发必备的技术，至少得了解原理，无奈国内资料太少。 2015-1-12 16:14 0
月凉如水雪币： 13 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	月凉如水 52 楼收藏一份,感谢 2015-1-12 18:27 0
keilin 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 38 粉丝 0 关注私信	keilin 54 楼谢谢分享, 你们的编译环境是弄的, 我在ubuntu14 的ndk环境下. 编译通不过? 2015-1-15 17:09 0
zseven 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	zseven 56 楼学习一下！ 2015-1-16 10:58 0
凄夜孤狼雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	凄夜孤狼 57 楼 mark一下…… 2015-1-16 12:11 0
enghuimmm 雪币： 20 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 40 粉丝 1 关注私信	enghuimmm 58 楼用楼主的 inline hook , 发现 hook 此函数运行不正常,以下是函数开头几行汇编 .text:000317E0 PUSH.W {R4-R11,LR} .text:000317E4 VPUSH {D8-D9} .text:000317E8 VMOV S16, R2 .text:000317EC SUB SP, SP, #0x4C .text:000317EE LDR R5, =(_GLOBAL_OFFSET_TABLE_ - 0x317FA) .text:000317F0 MOV R4, R0 2015-2-25 10:35 0
ThomasKing 雪币： 370 活跃值： (1190) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 193 关注私信	ThomasKing 6 59 楼多谢反馈！由于涉及指令众多，之前实现时只对个人认为比较常见的指令进行了处理，并未将T模式特殊的vpush vmov等指令处理，陆续加上。就其出错原因是：这段Thumb汇编第三条指令为vmov指令占4个字节，替换时只替换了前2字节，将指令识别成了2条，故出错 2015-2-25 11:11 0
enghuimmm 雪币： 20 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 40 粉丝 1 关注私信	enghuimmm 60 楼多谢楼主指点! 2015-2-25 12:02 0
zylyy 雪币： 144 活跃值： (718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 356 粉丝 3 关注私信	zylyy 61 楼 mark 2015-2-25 12:07 0
enghuimmm 雪币： 20 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 40 粉丝 1 关注私信	enghuimmm 62 楼楼主,有几个地方不明白,望解答! 指令替换怎么做的? 是用 shell code还是直接用二进制编码, 如果是二进制编码,怎么把汇编翻译成二进制码? 如果是用 shell code 那么是编译成 arm 模式呢还是 thumb 模式? 据我理解, 如果被hook的函数是 thumb ,用来替换的指令应该也是thumb,但是跳到的地址应该是 arm,这个该怎么做呢? 另外是什么指令是不是判断指令的第 25~28位? 来决定是否是相对PC的指令?这个参考 arm 32bit 手册吗? 2015-2-25 14:49 0
ThomasKing 雪币： 370 活跃值： (1190) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 193 关注私信	ThomasKing 6 63 楼指令替换使用指令二进制实现。指令分为A 和 T/2模式，分情况处理。模式切换有相应指令，参看手册即可 2015-2-25 17:40 0
enghuimmm 雪币： 20 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 40 粉丝 1 关注私信	enghuimmm 64 楼楼主又有问题了,我在自身lib中进行如下调用,发现hook不成功,是哪里用错了吗? HookStruct HookPara; strncpy(HookPara.SOName, "libndktest.so", strlen("libndktest.so")); strncpy(HookPara.FunctionName, "strlen", strlen("strlen")); HookPara.NewFunc = (void *)my_strlen; PTK_HookImportFunction HookImportFunction = (PTK_HookImportFunction) dlsym(handle, "TK_HookImportFunction"); int ret = HookImportFunction(&HookPara); 2015-2-27 14:31 0
ThomasKing 雪币： 370 活跃值： (1190) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 193 关注私信	ThomasKing 6 65 楼额，我试了，没什么问题。你再试试，还是没解决的话，你直接私信我吧。 2015-2-27 22:25 0
enghuimmm 雪币： 20 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 40 粉丝 1 关注私信	enghuimmm 66 楼问题解决了,另外期待楼主支持V指令的版本. 2015-3-13 20:38 0
JessieWang 雪币： 28 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 38 粉丝 0 关注私信	JessieWang 67 楼感谢好文！请教楼主个问题：我做inline hook的时候，有时候需要插入自定义代码。PE的情况下，通过新加区段可以轻松把自己的代码插入。但是ELF我用类似的方法做，却无法成功。很多ELF的.text段并无空间。学习了ELF个时候可以知道，仅增加section似乎是不够的，因为无法被loader加载到内存。但是尝试增加segment，连so都无法正常加载了。请教楼主，怎么增加代码段以便插入代码呢？ 2015-3-14 21:43 0
enimey 雪币： 228 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 22 粉丝 1 关注私信	enimey 68 楼导出表hook不太清楚，比如有一个第三方的SO中的导出函数A，那么要注入哪个进程空间并对其st_value进行修改？才能达到hook住所有对函数A的调用？ 2015-3-18 19:22 0
BSCake 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	BSCake 69 楼学习啦！ 2015-3-21 10:20 0
空空飞飞雪币： 2841 活跃值： (1125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 111 粉丝 4 关注私信	空空飞飞 70 楼顶顶顶顶 2015-3-21 21:51 0
sylyw 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	sylyw 71 楼学习学习。。。。。感谢分享！ 2015-3-27 17:32 0
enghuimmm 雪币： 20 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 40 粉丝 1 关注私信	enghuimmm 72 楼楼主帮我看下,用你的动态库 inline hook 这个函数执行不正常,貌似指令没有跳回来,是不是有相对寻址?另外能看出这是arm还是thumb指令不? .text:002025AC STMFD SP!, {R11,LR} .text:002025B0 ADD R11, SP, #4 .text:002025B4 SUB SP, SP, #0x18 .text:002025B8 STR R0, [R11,#var_10] .text:002025BC STR R1, [R11,#var_14] .text:002025C0 STR R2, [R11,#var_18] 2015-3-29 22:27 0
ThomasKing 雪币： 370 活跃值： (1190) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 193 关注私信	ThomasKing 6 73 楼 ARM指令，只需替换前三条指令。 HOOK应该没什么问题，你动态调试下SO看看是哪里的问题。还存在问题的话，你直接私信我吧。 2015-3-30 12:43 0
abbear 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	abbear 74 楼谢谢分享。 2015-3-30 13:01 0
空空飞飞雪币： 2841 活跃值： (1125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 111 粉丝 4 关注私信	空空飞飞 75 楼默默的赞下 2015-3-30 13:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复