android代码入侵原理解析.docxVIP

1.代码入侵原理代码入侵，或者叫代码注入，指的是让目标应用/进程执行指定的代码。代码入侵，可以在应用进行运行过程中进行动态分析，也是对应用进行攻击的一种常见方式。我把代码入侵分为两种类型：静态和动态。静态代码入侵是直接修改相关代码，在应用启动和运行之前，指定代码就已经和应用代码关联起来。动态代码入侵是应用启动之后，控制应用运行进程，动态加载和运行指定代码。2.静态代码入侵静态代码入侵，有直接和间接的手段。直接手段是修改应用本身代码。修改应用本身代码，在Android和iOS移动操作系统上，一般利用重打包的方式来完成。攻击者需要对应用安装包文件，完成解包、插入指定代码、重打包的三个步骤。现在用到的代码插桩技术和这个比较类似，只不过是代码注入的工作直接在编译过程中完成了。间接手段是修改应用运行环境。关于应用运行环境，可以是修改和替换关键系统文件，如xposed通过修改应用启动的系统文件 /system/bin/app_process 实现代码注入。可以造出一套模拟的系统运行环境，如应用运行沙箱、应用双开器等。对于Android系统，可以自行修改系统编译rom。3.动态代码入侵这里以Android系统为例，说明动态代码入侵的整个过程（单指代码注入，不包括后续控制逻辑的实现）。动态代码入侵需要在应用进程运行过程中，控制进程加载和运行指定代码。控制应用进程，我们需要用到ptrace。ptrace是类unix系统中的一个系统调用，通过ptrace我们可以查看和修改进程的内部状态，能够修改目标进程中的寄存器和内存，实现目标进程的断点调试、监视和控制。常见的调试工具如：gdb, strace, ltrace等，这些调试工具都是依赖ptrace来工作的。关于ptrace，可以参考维基百科的说明：/wiki/Ptracelongptrace(int request, pid_tpid, void *addr, void *data);pid:?? 目标进程addr:? 目标地址data: ?操作数据request：PTRACE_ATTACHPTRACE_DETACHPTRACE_CONTPTRACE_GETREGSPTRACE_SETREGSPTRACE_POKETEXTPTRACE_PEEKTEXTptrace的功能主要是以下：1）进程挂载2）进程脱离3）进程运行4）读寄存器5）写寄存器6）读内存7）写内存进程被挂载后处于跟踪状态（traced mode），这种状态下运行的进程收到任何signal信号都会停止运行。利用这个特性，可以很方便地对进程持续性的操作：查看、修改、确认、继续修改，直到满足要求为止。进程脱离挂载后，会继续以正常模式（untraced mode）运行。3.1 动态代码注入的步骤1）挂载进程2）备份进程现场3）代码注入4）恢复现场5）脱离挂载其中，代码注入的过程相对复杂，因为代码注入过程和cpu架构强相关，需要先了解Android系统底层的ARM架构。3.2 ARM架构简介ARM处理器在用户模式和系统模式下有16个公共寄存器：r0~r15。有特殊用途的通用寄存器（除了做通用寄存器，还有以下功能）：r0~r3: 函数调用时用来传递参数，最多4个参数，多于4个参数时使用堆栈传递多余的参数。其中，r0还用来存储函数返回值。r13：堆栈指针寄存器sp。r14：链接寄存器lr，一般用来表示程序的返回地址。r15：程序计数器pc，当前指令地址。状态寄存器cpsr：N=1：负数或小于（negtive）Z=1：等于零（zero）C=1：有进位或借位扩展V=1：有溢出I=1：IRQ禁止interruptF=1：FIQ禁止fastT=1/0：Thumb/ARM状态位其中，T位需要注意。程序计数器pc(r15)末位为1时T位置1，否则T位置0。代码动态注入过程中，前面的准备和后面的收尾工作比较简单，较复杂的是中间的代码注入。整体过程的基础代码如下：3.3 代码注入过程代码注入需要完成在目标进程内加载和运行指定代码。指定代码的一般形式是so文件。动态加载so需要使用到linker提供的相关方法。关于linker，请阅读《程序员的自我修养-链接、装载与库》。具体来说，代码注入过程分为三步，也就是三次函数调用：1）dlopen加载so文件2）dlsym获取so的入口函数地址3）调用so入口函数和正常调用函数相比，通过ptrace在目标进程中调用函数是完全不同的，是通过直接修改寄存器和内存数据来实现函数调用。具体来说，有几点需要注意：1）获取函数地址调用函数首先要知道函数地址。因为ASLR（地址空间格局随机化，Address Space Layout Randomization）的影响，父进程孵化子进程时，系统动态库的基地址会随机变化，具体表现为，相同的系