前言

在之前的博客

【Android 逆向】Android 进程注入工具开发 ( 注入代码分析 | 获取远程目标进程中的 /system/lib/libc.so 动态库中的 mmap 函数地址 )
【Android 逆向】Android 进程注入工具开发 ( 注入代码分析 | 远程调用目标进程中 libc.so 动态库中的 mmap 函数二 | 准备参数 | 远程调用 mmap 函数 )
【Android 逆向】Android 进程注入工具开发 ( 注入代码分析 | 远程调用目标进程中 libc.so 动态库中的 mmap 函数三 | 等待远程函数执行完毕 | 寄存器获取返回值 )

中 , 介绍了调试进程远程调用远程进程的 libc.so 动态库中的 mmap 函数 , 本博客继续对该远程调用过程进行一些补充 ;

一、x86 架构的返回值获取

远程调用返回值获取 :

在 x86 架构的 CPU 中 , 使用 EAX 寄存器记录返回值 , 在 ARM 架构的 CPU 中 , 使用 R0 寄存器记录返回值 ;

远程调用结束后 , 获取寄存器数据 , 并读取 EAX 寄存器值 ;

如果远程调用的函数的返回值为 void , 那么 EAX 寄存器存放的就是无意义的值 , 可能是上一个函数的返回值 , 可能是计算过程中的一个中间值 ;

二、ARM 架构远程调用

在 ARM 架构的 CPU 中 , 远程调用时 ,

使用 SP 寄存器存放栈内存首地址 ,
使用 PC 指针指向函数地址 , 下一条指令开始执行函数指令 ;

ARM 架构中 , 栈指针存放在 R4 寄存器中 , 但是远程调用时 , 需要使用 SP 寄存器存放栈指针 , 栈指针指向使用 mmap 分配的内存中 , 该内存中都是函数执行需要的参数 ;

R4 栈指针指向的栈内存有原来函数执行的数据 , 参数或者函数执行过程中的数据 , 这个数据不能动 , 如果修改了该数据 , 调试结束后 , 运行原来的程序 , 会造成不可预知的结果 , 或者崩溃 , 或者运行结果错误 ;

 //  // push remained params onto stack  //  if (i < num_params) {regs->ARM_sp -= (num_params - i) * sizeof(long);ptrace_writedata(pid, (void*)regs->ARM_sp, (uint8_t*)&params[i], (num_params - i) * sizeof(long));}

准备好参数栈后 , 将 PC 寄存器指向函数的地址 ;

要判定是否是 thumb 模式 , 如果在该模式下 , 需要将 PC 指针最低位取反 ;

thumb 模式下 , 不能指向奇数地址 , 如果最低位是 1 , 则将其置位 0 ; 如果最低位为 1 , 执行时会报总线错误 ;

thumb 模式下 , 需要将 CPSR 寄存器打开 , 设置 CPSR_T_MASK 标志位 ;

 regs->ARM_pc = addr;if (regs->ARM_pc & 1) {/* thumb */regs->ARM_pc &= (~1u);regs->ARM_cpsr |= CPSR_T_MASK;}else {/* arm */regs->ARM_cpsr &= ~CPSR_T_MASK;}

返回值设置为 0 ;

设置该返回值的作用是 , 为了使远程进程崩溃 , 调试程序可以收回控制权 ;

 regs->ARM_lr = 0;

上述操作的寄存器值是在本地设置的 , 通过 ptrace_setregs 函数 , 才能将寄存器值设置到远程进程中 ;

寄存器设置完毕后 , 调用 ptrace_continue 函数 , 恢复远程进程的运行 ;

 if (ptrace_setregs(pid, regs) == -1|| ptrace_continue(pid) == -1) {printf("error\n");return -1;}

【Android 逆向】Android 进程注入工具开发 ( 远程调用 | x86 架构的返回值获取 | arm 架构远程调用 )相关推荐

【Android 逆向】Android 进程注入工具开发 ( 总结 | 源码编译 | 逆向环境搭建使用 | 使用进程注入工具进行逆向操作 ) ★★★
文章目录一.Android 进程注入工具开发系列博客二.Android 进程注入工具源码下载编译三.逆向环境搭建四.使用注入工具进行逆向操作 1.获取远程进程号 2.注入工具准备 3.注入动 ...
【Android 逆向】Android 进程注入工具开发 ( 注入代码分析 | 注入工具收尾操作 | 关闭注入的动态库 | 恢复寄存器 | 脱离远程调试附着 )
文章目录一.dlclose 函数简介二.关闭注入的 libbridge.so 动态库三.恢复寄存器四.脱离远程调试附着一.dlclose 函数简介 dlclose 函数的作用是卸载一个指 ...
【Android 逆向】Android 进程注入工具开发 ( 注入代码分析 | 获取注入的 libbridge.so 动态库中的 load 函数地址并通过远程调用执行该函数 )
文章目录一.dlsym 函数简介二.获取目标进程 linker 中的 dlsym 函数地址三.远程调用目标进程 linker 中的 dlsym 函数获取注入的 libbridge.so ...
【Android 逆向】Android 进程注入工具开发 ( 注入代码分析 | 获取 linker 中的 dlopen 函数地址并通过远程调用执行该函数 )
文章目录一.dlopen 函数简介二.获取目标进程 linker 中的 dlopen 函数地址三.远程调用目标进程 linker 中的 dlopen 函数一.dlopen 函数简介 dlo ...
【Android 逆向】Android 进程注入工具开发 ( 注入代码分析 | 远程调用目标进程中 libc.so 动态库中的 mmap 函数三 | 等待远程函数执行完毕 | 寄存器获取返回值 )
文章目录前言一.等待远程进程 mmap 函数执行完毕二.从寄存器中获取进程返回值三.博客资源前言前置博客 : [Android 逆向]Android 进程注入工具开发 ( 注入代码分析 | ...
【Android 逆向】Android 进程注入工具开发 ( 注入代码分析 | 远程调用目标进程中 libc.so 动态库中的 mmap 函数二 | 准备参数 | 远程调用 mmap 函数 )
文章目录一.准备 mmap 函数的参数二.mmap 函数远程调用一.准备 mmap 函数的参数上一篇博客 [Android 逆向]Android 进程注入工具开发 ( 注入代码分析 | 远程调 ...
【Android 逆向】Android 进程注入工具开发 ( 远程调用总结 | 远程调用注意事项 )
文章目录一.远程调用总结二.远程调用注意事项一.远程调用总结在之前的博客 [Android 逆向]Android 进程注入工具开发 ( 调试进程中寄存器的作用 | 通过 EIP 寄存器控制程序 ...
【Android 逆向】Android 进程注入工具开发 ( SO 进程注入环境及 root 权限获取 | 进程注入时序分析 )
文章目录一.SO 进程注入环境及 root 权限获取二.进程注入时序分析一.SO 进程注入环境及 root 权限获取 SO 注入的前提必须有 root 权限 , 有了 root 权限后 , 才能 ...
【Android 逆向】Android 进程注入工具开发 ( 注入代码分析 | 调试进程 ATTACH 附着目标进程 | 读取目标函数寄存器值并存档 )
文章目录一.调试进程 ATTACH 附着目标进程二.读取目标函数寄存器值并存档 1.主要操作流程 2.ptrace 函数 PTRACE_GETREGS 读取寄存器值一.调试进程 ATTACH 附 ...

【Android 逆向】Android 进程注入工具开发 ( 远程调用 | x86 架构的返回值获取 | arm 架构远程调用 )

文章目录

前言

一、x86 架构的返回值获取

二、ARM 架构远程调用

【Android 逆向】Android 进程注入工具开发 ( 远程调用 | x86 架构的返回值获取 | arm 架构远程调用 )相关推荐

最新文章

热门文章