【Android 逆向】Android 进程注入工具开发 ( 远程进程注入动态库文件操作 | 注入动态库 加载 业务动态库 | 业务动态库启动 | pthread_create 线程开发 )
文章目录
- 前言
- 一、加载 libnattive.so 动态库
- 二、 libnattive.so 动态库启动
- 三、 pthread_create 线程开发
- 四、 线程执行函数
前言
libbridge.so 动态库是 注入工具 使用 ptrace 函数强行向远程进程 注入的 动态库 , 这种方法侵入性极大 , 会破坏远程进程的运行环境 , 因此该动态库越简洁越好 ;
注入动态库 就执行一个操作 , 就是加载 包含真正的逆向业务逻辑的 libnattive.so 动态库 , 然后启动该动态库即可 , 执行完毕后 , 马上在远程进程中销毁注入的 libbridge.so 动态库 ;
一、加载 libnattive.so 动态库
通过 注入工具 , 将 libbridge.so 注入到远程进程 后 , 远程进程中 , 会 为 libbridge.so 动态库分配一块内存 , 并将其运行起来 ;
libbridge.so 动态库的主要操作是 加载 libnattive.so 动态库 , 并执行该动态库的 invoke 方法 ;
libbridge.so 动态库对应的 bridge.c 源码如下 :
#include <unistd.h>
#include <jni.h>
#include <dlfcn.h>#include <android/log.h>
#define LOG_TAG "DongNao"
#define LOGD(...) ((void)__android_log_print(ANDROID_LOG_DEBUG, LOG_TAG, __VA_ARGS__))
#define LOGI(...) ((void)__android_log_print(ANDROID_LOG_INFO, LOG_TAG, __VA_ARGS__))
#define LOGW(...) ((void)__android_log_print(ANDROID_LOG_WARN, LOG_TAG, __VA_ARGS__))
#define LOGE(...) ((void)__android_log_print(ANDROID_LOG_ERROR, LOG_TAG, __VA_ARGS__))/* 主要任务是加载 /data/system/debug/libnative.so 动态库 , 加载完成后调用动态库的 invoke 方法 */
int load() {LOGW("%s(%d):%s\n", __FILE__, __LINE__, __FUNCTION__);void* handle = dlopen("/data/system/debug/libnative.so", RTLD_GLOBAL);LOGW("%s(%d):%s handle=%p\n", __FILE__, __LINE__, __FUNCTION__, handle);/* 获取启动函数 invoke 的地址 */void* invoke = dlsym(handle, "invoke");LOGW("%s(%d):%s invoke=%p\n", __FILE__, __LINE__, __FUNCTION__, invoke);/* 调用 invoke 启动函数 */((void(*)())invoke)();return 0;
}
二、 libnattive.so 动态库启动
在 libnattive.so 动态库中 , 不能长时间维持 , 因为 注入工具 还要 获取到远程进程的控制权 , 退出 ptrace 函数调试状态 , detach 解除注入工具对远程进行的附着操作 , 之后 令远程进程正常运行 , 才能开始针对远程进行的调试 ;
因此在 libnattive.so 动态库的 invoke 方法中 , 不能执行循环操作 , 该方法最好能立即返回 ;
在 libnattive.so 动态库的 invoke 方法中 , 开启了一个线程 , 该线程不断地进行循环 , 并且每次循环都获取一次 调试工具 发送过来的指令 , 根据执行执行相应操作 , 如修改内存 , 查找内存等操作 ;
/* 开启了一个线程 , 立刻返回 , 返回后注入工具会获得远程进程控制权 */void invoke(/*const char* args*/){LOGW("native::invoke called!\n");/* 开启线程执行后续操作 */pthread_t tid_t;int ret = pthread_create(&tid_t, NULL, (pthread_func)thread_entry, NULL/*(void*)args*/);if (ret != 0) {LOGW("thread create failed!\n");return;}}
在 Linux C 中 , 启动线程很简单 , 准备一个线程函数 , 然后调用 pthread_create 系统接口 , 即可启动一个线程 , 线程中执行 线程函数 ;
三、 pthread_create 线程开发
关于 Linux C 中线程开发 , 参考 【Android NDK 开发】JNI 线程 ( JNI 线程创建 | 线程执行函数 | 非 JNI 方法获取 JNIEnv 与 Java 对象 | 线程获取 JNIEnv | 全局变量设置 ) 博客 ;
线程创建方法函数原型 :
int pthread_create(pthread_t *tidp, const pthread_attr_t *attr, (void*)(*start_rtn)(void*), void *arg)`;
pthread_create 方法的 4 个参数 ;
- 参数 1 ( pthread_t *tidp ) : 线程标识符指针 , 该指针指向线程标识符 ;
- 参数 2 ( const pthread_attr_t *attr ) : 线程属性指针 ;
- 参数 3 ( (void*)(*start_rtn)(void*) ) : 线程运行函数指针 , start_rtn 是一个函数指针 , 其参数和返回值类型是 void* 类型 ;
- 参数 4 ( void *arg ) : 参数 3 中的线程运行函数的参数 ;
pthread_create 方法返回值说明 :
- 线程创建成功 , 返回 0 ;
- 线程创建失败 , 返回 错误代码 ;
四、 线程执行函数
下面是线程中执行的线程函数 , 该函数中进行了无限循环 , 每隔 333 毫秒循环一次 ;
调试工具 将指令写出到 /data/system/debug/command.json 文件中 , 线程函数每次循环读取该文件 , 查询是否有新的指令到达 , 如果有新的指令 , 则执行该指令 , 如果没有 , 则执行下一次循环 ;
该线程函数开启后 , 基本 无法终止 , 也没有必要终止 ;
void* thread_entry(const char*args) {const size_t nsize = 64 * 1024;char* data = new char[nsize];LOGW("native start!\n");while (true) {usleep(1000 * 333);//333ms检测一次文件//FILE* pFile = fopen(args, "r");FILE* pFile = fopen("/data/system/debug/command.json", "r");if (pFile != NULL) {memset(data, 0, nsize);fread(data, nsize, 1, pFile);fclose(pFile);try {deal_command(data);}catch (std::exception& e) {LOGW("execute command error!%s\n", e.what());}}else {LOGW("read failed!\n");}}delete[]data;}
【Android 逆向】Android 进程注入工具开发 ( 远程进程注入动态库文件操作 | 注入动态库 加载 业务动态库 | 业务动态库启动 | pthread_create 线程开发 )相关推荐
- Android逆向反编译之工具介绍
傻瓜式操作图形化工具 Smali2JavaUI smali2java是一个将smali代码反编译成java代码的工具.什么是smali?smali是将Android字节码用可阅读的字符串形式表现出来的 ...
- 【FastDev4Android框架开发】RecyclerView完全解析之下拉刷新与上拉加载SwipeRefreshLayout(三十一)...
转载请标明出处: http://blog.csdn.net/developer_jiangqq/article/details/49992269 本文出自:[江清清的博客] (一).前言: [好消息] ...
- linux 交叉编译工具中没有libc和liblog库文件,NDK无法找到动态链接库;动态链接库找不到依赖的gcc库;JNI中无法找到要注册的类;and so on...
这是一篇头一次做NDK开发,记录了踩坑,杂乱无章的错误记录,仅供参考. 待解决Android运行NDK程序无法加载库,无法找到库,缺失库文件,找不到c库,导致我的Android NDK程序直接崩溃退出 ...
- Fresco图片加载框架的介绍,相关开源库以及工具类的封装
Fresco图片加载框架的介绍,相关开源库以及工具类的封装 本文已授权微信公众号:鸿洋(hongyangAndroid)在微信公众号平台原创首发. 简介 Fresco 是Facebook开源的安卓上的 ...
- 【Android 逆向】Android 进程注入工具开发 ( 远程进程 注入动态库 文件操作 | Android 进程读取文件所需的权限 | fopen 打开文件标志位 | 验证文件权限 )
文章目录 前言 一.Android 进程读取文件所需的权限 二.fopen 打开文件标志位 三.验证文件权限 前言 一.Android 进程读取文件所需的权限 通过 注入工具 , 将 libbridg ...
- 3. Android逆向-基于Frida的工具Objection
文章目录 Objection安装使用 安装 使用 Ubuntu 连接测试 Windows 问题 Objection安装使用 在开始熟悉Frida时,接触的示例是需要frida-server在一个roo ...
- Android逆向工程之dx工具jar2dex失败,使用d8
遇到问题 在使用apktool做apk逆向工程时,我们一般都需要将apk反编译为smail,然后将要加入其中的SDK也编译成smail,然后将二者合并起来之后打包成一个新的apk,其中将SDK的jar ...
- 【Android 逆向】类加载器 ClassLoader ( 使用 DexClassLoader 动态加载字节码文件 | 拷贝 DEX 文件到内置存储 | 加载并执行 DEX 字节码文件 )
文章目录 一.拷贝 Assets 目录下的 classes.dex 字节码文件到内置存储区 二.加载 DEX 文件并执行其中的方法 三.MainActivity 及执行结果 四.博客资源 一.拷贝 A ...
- Android图片加载框架最全解析(一),app开发入门教程
首先,调用Glide.with()方法用于创建一个加载图片的实例.with()方法可以接收Context.Activity或者Fragment类型的参数.也就是说我们选择的范围非常广,不管是在Acti ...
最新文章
- winform父窗体实现多个子窗体只能显示一个
- 摩托罗拉SE4500 德州仪器TI Omap37xx/AM3715/DM3730/AM3530 wince6.0/Windows Mobile 6.5平台 二维软解调试记录及相关解释
- 转动风车java_java实现-图的相关操作
- MongoDB的基本shell操作(三)
- vs 2017 无法安装任何 nuget package,提示“库没有注册。。。”
- 动手动脑第二波方法的重载
- 使用Thumbnailator处理gif图片时遇到java.lang.ArrayIndexOutOfBoundsException: 4096异常处理
- Linux下的网络协议分析工具-tcpdump快速入门手册
- Ubuntu Java环境配置
- 一款云迁移产品的成长史
- Linux-Input入门-一次愉快的源码分析
- matlab 图片生成mif文件,使用MATLAB一鍵制作mif文件
- phpmywind最新版sql注入以及后台目录遍历和文件读取
- Kaggle比赛—预测 DNA、RNA 和蛋白质测量如何在单细胞中共同变化
- ubuntu系统 有线网络无法通过网页认证上网
- sudo修改文件夹名字_linux
- Unicode详解 真干货! 一文带你手撕Unicode
- PostgreSQL 14 pageinspect新增gist索引支持
- Event loop/浏览器的事件循环机制
- SAP 配置应收应付重分类