首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. Android安全
    3. 发新帖
[原创]全能HOOK框架 JNI NATIVE JAVA ART DALVIK
发表于: 2017-5-13 12:48 40021

[原创]全能HOOK框架 JNI NATIVE JAVA ART DALVIK

ckis 活跃值
2017-5-13 12:48
40021

OneHook

目前比较流行的几个安卓HOOK方案,都有功能上的欠缺,有的不支持art模式,有的不支持jni层,有的不支持侵入HOOK。

所以OneHook诞生了!

这是一个同时支持ART和Dalvik两种模式,理论上支持安卓4.0.3以上所有版本,同时支持JAVA和NATIVE层,使用全局注入技术的侵入式HOOK框架。

本框架不需要额外的安装,可以静态编译到自己的APP中。



首先感谢看雪论坛中很多大牛提供的技术资料,没有你们的分享,就没有目前的这个OneHook的诞生。

感谢ele7enxxh提供的Android Inline Hook模块

项目地址:0b7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6W2L8r3f1%4k6h3&6^5P5r3S2Q4x3V1k6m8L8X3c8J5L8$3W2V1i4K6u0V1d9h3&6D9K9h3&6W2i4K6u0V1d9r3!0G2K9H3`.`.

项目博客: 545K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3g2D9k6e0N6W2L8Y4S2^5K9q4)9J5k6h3y4G2L8g2)9J5c8V1q4F1k6s2u0G2K9h3c8Q4x3X3c8m8M7X3#2Q4x3X3c8u0L8X3I4A6L8X3g2Q4x3X3c8t1L8$3!0C8i4K6u0W2K9s2c8E0L8l9`.`.

讨论帖: http://bbs.pediy.com/thread-205741.htm

感谢asLody提供的Legend模块

项目地址:d4cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6S2M7$3I4G2k6s2W2Q4x3V1k6D9k6h3N6W2L8X3b7`.

还感谢其他贡献知识的同学们。


功能实现:

0x01

首先考虑如何进入系统,如何在合适的位置和时间启动我的模块。之前做WIN32的时候就有人说过,如果在WINDOWS启动前前运行我的代码,那么我无所不能。理论上,这句话是成立的。

所以在安卓系统,我也需要找一个相对足够早的位置来启动我的模块,这个位置我没有选择init进程,而是libc.so。

为什么?

因为安卓的底层是LINUX构建的,LINUX的底层就是C语言,而libc.so就是C语言的具体实现库,在这个位置上插入代码显然是合适的。而且在libc.so中去执行我们的代码,就不需要去考虑如何注入模块,因为安卓的所有进程都会主动加载libc.so。这是一个一举两得的方案,首先解决了启动代码,其次解决了注入问题。

原理/过程:

so文件的初始化工作 是在init_array段中定义的

.init_array段的起始位置为:0X000683C0

初始化时 会按照顺序去执行初始化函数

_ZL14....

_ZL30....

_ZL29....

_ZL31....

那么如果把_ZL14__libc_preinitv的指针重定向到一个物理地址,使之dlopen我们自己的so,就可以实现我们想要的功能。

修改init_array的段的第一个指针 _ZL14__libc_preinitv ---> 0x55D24

指向位置的机器码

机器码对应的C语言代码

这样就可以顺利的在每个进程中加载libckis.so文件

关于如何修改libc.so文件使之加载自定义库文件的方法 可以参考我的另外一篇文章

http://bbs.pediy.com/thread-213043.htm

需要注意的是

1 在不同安卓版本中,libc.so是不一样的。

2 自定义的代码位置不一定必须在.text段中,在很多情况下.text段没有足够的空间让你去插入代码,我的解决方案是把这段代码放在.rodata段,如果放在rodata段,在运算地址偏移时,需要+0x10000

3 libc.so修改后需要妥善的push到手机的/system/lib目录下,要注意权限问题,否则手机会死机



0x02

现在我们已经进入了安卓的Native层,在这里,我们可以做很多事情,比如HOOK fopen来控制底层文件的访问 也可以HOOK __system_property_get来修改ro属性 等等....

文档可以参考 4fdK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6W2L8r3f1%4k6h3&6^5P5r3S2Q4x3V1k6m8L8X3c8J5L8$3W2V1i4K6u0V1d9h3&6D9K9h3&6W2i4K6u0V1d9r3!0G2K9H3`.`.

附一个简单的例子

那么,我们现在已经可以完整的实现Native/JNI层的HOOK了。

在adb shell下 输入getprop ro.serialno 会得到返回值 AABBCC 如图:


[培训]科锐逆向工程师培训第53期2025年7月8日开班!

收藏
免费 1
支持
分享
最新回复 (50)
huluxia
雪    币: 1836
活跃值: (2538)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
支持支持
2017-5-13 13:08
0
不追浮云的人
雪    币: 133
活跃值: (233)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
学习了,修改系统库  elf  文件,  需要  root  手机了吧,  thanks  分享
2017-5-13 17:26
0
currwin
雪    币: 275
活跃值: (320)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
4
不错了,不知道支持的api有多少
2017-5-13 19:43
0
MaYil
雪    币: 7795
活跃值: (5212)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
感谢  分享
2017-5-13 22:19
0
茅山小僧
雪    币: 1359
活跃值: (2430)
能力值: ( LV5,RANK:75 )
在线值:
发帖
回帖
粉丝
私信
6
不错,感谢分享。
2017-5-14 00:03
0
sea看
雪    币: 32
活跃值: (48)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
mark
2017-5-14 00:50
0
pinggle
雪    币: 111
活跃值: (264)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
OneHook源码不开放的?
2017-5-15 10:38
0
ArcherJohn
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
肯定不是无偿
2017-5-16 00:25
0
gugubupt
雪    币: 93
活跃值: (136)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
mark
2017-5-16 10:07
0
ckis
雪    币: 241
活跃值: (236)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
11

全局HOOK方案理论上是支持7.0的
但目前JAVA层的HOOK框架使用了Legend方案  其支持的最高版本是6.0.1
所以后期可能会考虑使用阿里的AndFix  热补丁方案用来支持7.0


所以目前框架还在开发完善中,还需要做大量的工作来完善。

2017-5-16 14:01
0
U大师
雪    币: 267
活跃值: (318)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
ckis 全局HOOK方案理论上是支持7.0的但目前JAVA层的HOOK框架使用了Legend方案  其支持的最高版本是6.0.1所以后期可能会考虑使用阿里的AndFix ...
想问下,legend对非系统级api的hook效果如何,即对应用自身的类下方法hook
2017-5-17 02:13
0
clovers
雪    币: 240
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
期待啊  ,都找不到5.0后  都找不到好的hook框架了
2017-5-17 08:56
0
netsniffer
雪    币: 53
活跃值: (321)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
14
赞一个
2017-5-17 11:12
0
ckis
雪    币: 241
活跃值: (236)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
15
我对legend框架不是很熟悉  只是使用了其中JAVA  HOOK的模块  具体最终版是否会使用该模块还没有确定
2017-5-22 23:11
0
ojlong
雪    币: 192
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
adbi  和ddi  hook只支持DALVIK,不支持art的啊,hook支持art是怎么解决的了
2017-5-23 14:45
0
ckis
雪    币: 241
活跃值: (236)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
17
ojlong adbi 和ddi hook只支持DALVIK,不支持art的啊,hook支持art是怎么解决的了
legend框架支持art
2017-5-25 11:00
0
smartdon
雪    币: 3549
活跃值: (951)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
18
期待源码
2017-5-25 11:48
0
fonely
雪    币: 227
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
19
厉害,不过7.0以上还是问题
2017-5-25 12:19
0
wooyunking
雪    币: 1039
活跃值: (1825)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
20
看qq号就知道是豪
2017-5-25 13:52
0
百度Hello
雪    币: 9
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
21
问下各位,0x02中的程序已经编译好生成libhook.a,下一步该如何操作才可以在adb  shell下  输入getprop  ro.serialno  会得到返回值  AABBCC?   
2017-5-26 17:10
0
bluth
雪    币: 7
活跃值: (268)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
22
mark      楼主是讲了下原理吧      没有开源只好自己实现了
2017-5-27 09:27
0
猪头虾
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
23
楼主,具体怎么push  libc.so文件的,我用的push命令,手机死机了
2017-6-7 15:08
0
ckis
雪    币: 241
活跃值: (236)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
24

其实已经有几个朋友按照我提供的方法实现了libc.so的修改  并成功加载了自己的so
证明这套方案是可行的
另外  大家关心的开源问题  暂时不考虑了  虽然理论上是可以实现的  但是距离可以使用的版本  要做的工作太多  而且最近工作也比较忙
剩下的工作大家自己实现吧 

2017-6-20 17:50
0
王叔叔
雪    币: 2202
活跃值: (1555)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
25
2  自定义的代码位置不一定必须在.text段中,在很多情况下.text段没有足够的空间让你去插入代码,我的解决方案是把这段代码放在.rodata段,如果放在rodata段,在运算地址偏移时,需要+0x10000

lz,这什么意思?asmAddr  +  0x10000?
2017-7-21 00:46
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回