android的got表HOOK實現(xiàn)代碼

更新時間：2021年08月14日 15:40:16 作者：小道安全

對于android的so文件的hook根據(jù)ELF文件特性分為：Got表hook、Sym表hook和inline hook等。今天通過本文給大家介紹android HOOK實現(xiàn)got表的實例代碼，需要的朋友參考下吧

概述

對于android的so文件的hook根據(jù)ELF文件特性分為：Got表hook、Sym表hook和inline hook等。
全局符號表(GOT表)hook，它是通過解析SO文件，將待hook函數(shù)在got表的地址替換為自己函數(shù)的入口地址，這樣目標進程每次調(diào)用待hook函數(shù)時，實際上是執(zhí)行了我們自己的函數(shù)。

Androd so注入和函數(shù)Hook(基于got表)的步驟：

1.ptrace附加目標pid進程;
2.在目標pid進程中，查找內(nèi)存空間（用于存放被注入的so文件的路徑和so中被調(diào)用的函數(shù)的名稱或者shellcode);
3.調(diào)用目標pid進程中的dlopen、dlsym等函數(shù)，用于加載so文件實現(xiàn)Android so的注入和函數(shù)的Hook;
4.釋放附加的目標pid進程和卸載注入的so文件。

具體代碼實現(xiàn)

以下以fopen函數(shù)進行g(shù)ot hook為例。

//獲取模塊地址功能實現(xiàn)
void* getModuleBase(pid_t pid, const char* module_name){
    FILE* fp;
    long address = 0;
    char* pch;
    char filename[32];
    char line[1024];

    // 格式化字符串得到 "/proc/pid/maps"
    if(pid < 0){
        snprintf(filename, sizeof(filename), "/proc/self/maps");
    }else{
        snprintf(filename, sizeof(filename), "/proc/%d/maps", pid);
    }

    // 打開文件/proc/pid/maps，獲取指定pid進程加載的內(nèi)存模塊信息
    fp = fopen(filename, "r");
    if(fp != NULL){
        // 每次一行，讀取文件 /proc/pid/maps中內(nèi)容
        while(fgets(line, sizeof(line), fp)){
            // 查找指定的so模塊
            if(strstr(line, module_name)){
                // 分割字符串
                pch = strtok(line, "-");
                // 字符串轉(zhuǎn)長整形
                address = strtoul(pch, NULL, 16);
               
                }
                break;
            }
        }
    }
    fclose(fp);
    return (void*)address;
}

//hook fopen進行實現(xiàn)
//(libxxxx.so文件是ELF32文件)
#define LIBPATH "/data/app-lib/com.xxxx/libxxxx.so"

int hookFopen(){

    // 獲取目標pid中"/data/app-lib/com.xxxx/libxxxx.so"模塊的加載地址
    void* base_addr = getModuleBase(getpid(), LIBPATH );
    // 保存Hook目標函數(shù)的原始調(diào)用地址
    old_fopen = fopen;
    int fd;
    // 用open打開內(nèi)存模塊文件"/data/app-lib/com.xxxx/libxxxx.so"
    fd = open(LIB_PATH, O_RDONLY);
    if(-1 == fd){
        return -1;
    }

     // elf32文件的文件頭結(jié)構(gòu)體Elf32_Ehdr
    Elf32_Ehdr ehdr;
    // 讀取elf32格式的文件"/data/app-lib/com.xxxx/libxxxx.so"的文件頭信息
    read(fd, &ehdr, sizeof(Elf32_Ehdr));

    // elf32文件中節(jié)區(qū)表信息結(jié)構(gòu)的文件偏移
    unsigned long shdr_addr = ehdr.e_shoff;
    // elf32文件中節(jié)區(qū)表信息結(jié)構(gòu)的數(shù)量
    int shnum = ehdr.e_shnum;
    // elf32文件中每個節(jié)區(qū)表信息結(jié)構(gòu)中的單個信息結(jié)構(gòu)的大?。枋雒總€節(jié)區(qū)的信息的結(jié)構(gòu)體的大?。?
    int shent_size = ehdr.e_shentsize;

    // elf32文件節(jié)區(qū)表中每個節(jié)區(qū)的名稱存放的節(jié)區(qū)名稱字符串表，在節(jié)區(qū)表中的序號index
    unsigned long stridx = ehdr.e_shstrndx;

    Elf32_Shdr shdr;
    lseek(fd, shdr_addr + stridx * shent_size, SEEK_SET);
    // 讀取elf32文件中的描述每個節(jié)區(qū)的信息的結(jié)構(gòu)體（這里是保存elf32文件的每個節(jié)區(qū)的名稱字符串的）
    read(fd, &shdr, shent_size);

    // 為保存elf32文件的所有的節(jié)區(qū)的名稱字符串申請內(nèi)存空間
    char * string_table = (char *)malloc(shdr.sh_size);
    // 定位到具體存放elf32文件的所有的節(jié)區(qū)的名稱字符串的文件偏移處
    lseek(fd, shdr.sh_offset, SEEK_SET);
    read(fd, string_table, shdr.sh_size);
    lseek(fd, shdr_addr, SEEK_SET);

    int i;
    uint32_t out_addr = 0;
    uint32_t out_size = 0;
    uint32_t got_item = 0;
    int32_t got_found = 0;

    // 循環(huán)遍歷elf32文件的節(jié)區(qū)表（描述每個節(jié)區(qū)的信息的結(jié)構(gòu)體）
    for(i = 0; i<shnum; i++){
        // 依次讀取節(jié)區(qū)表中每個描述節(jié)區(qū)的信息的結(jié)構(gòu)體
        read(fd, &shdr, shent_size);
        // 判斷當前節(jié)區(qū)描述結(jié)構(gòu)體描述的節(jié)區(qū)是否是SHT_PROGBITS類型
        //類型為SHT_PROGBITS的.got節(jié)區(qū)包含全局偏移表
        if(shdr.sh_type == SHT_PROGBITS){
            // 獲取節(jié)區(qū)的名稱字符串在保存所有節(jié)區(qū)的名稱字符串段.shstrtab中的序號
            int name_idx = shdr.sh_name;

            // 判斷節(jié)區(qū)的名稱是否為".got.plt"或者".got"
            if(strcmp(&(string_table[name_idx]), ".got.plt") == 0
                || strcmp(&(string_table[name_idx]), ".got") == 0){
                // 獲取節(jié)區(qū)".got"或者".got.plt"在內(nèi)存中實際數(shù)據(jù)存放地址
                out_addr = base_addr + shdr.sh_addr;
                // 獲取節(jié)區(qū)".got"或者".got.plt"的大小
                out_size = shdr.sh_size;

                int j = 0;
                // 遍歷節(jié)區(qū)".got"或者".got.plt"獲取保存的全局的函數(shù)調(diào)用地址
                for(j = 0; j<out_size; j += 4){
                    // 獲取節(jié)區(qū)".got"或者".got.plt"中的單個函數(shù)的調(diào)用地址
                    got_item = *(uint32_t*)(out_addr + j);
                    // 判斷節(jié)區(qū)".got"或者".got.plt"中函數(shù)調(diào)用地址是否是將要被Hook的目標函數(shù)地址
                    if(got_item == old_fopen){
                        got_found = 1;
                        // 獲取當前內(nèi)存分頁的大小
                        uint32_t page_size = getpagesize();
                        // 獲取內(nèi)存分頁的起始地址（需要內(nèi)存對齊）
                        uint32_t entry_page_start = (out_addr + j) & (~(page_size - 1));
                 
                        // 修改內(nèi)存屬性為可讀可寫可執(zhí)行
                        if(mprotect((uint32_t*)entry_page_start, page_size, PROT_READ | PROT_WRITE | PROT_EXEC) == -1){
                          
                            return -1;
                        }
                 
                        // Hook的函數(shù)，是我們自己定義的函數(shù)
                        got_item = new_fopen;
                    
                        // 進行恢復內(nèi)存屬性為可讀可執(zhí)行
                        if(mprotect((uint32_t*)entry_page_start, page_size, PROT_READ | PROT_EXEC) == -1){
                         
                            return -1;
                        }
                        break;
                    // 目標函數(shù)的調(diào)用地址已經(jīng)被Hook了
                    }else if(got_item == new_fopen){
                        break;
                    }
                }
                // 對目標函數(shù)HOOk成功，跳出循環(huán)
                if(got_found)
                    break;
            }
        }
    }
    free(string_table);
    close(fd);
}

到此這篇關(guān)于android的got表HOOK實現(xiàn)代碼的文章就介紹到這了,更多相關(guān)android HOOK實現(xiàn)got表內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: