So注入工具TsoInject开发文档
导语:
原理:
原理类似Windows 下的DLL 注入, 远程进程调用使用关键函数ptrace 函数实现, 具体实现步骤如下:
1. 远程进程调用mmap 函数 在对方进程申请一块内存
2. 在这块内存中写上 so 的路径
3.调用远程调用 dlopen 函数, dlopen就会调用so的所有void __attribute__((constructor)) 属性的函数
4.void __attribute__((constructor)) 属性的函数中实现我们的hook函数
5. hook 函数我们可以利用Cydia Substrat框架的MSFunctionHook函数量实现对某个函数进行Hook。
模块:
1.实现一个Linux下的ptrace注入器: Inject
2.实现一个android APP 注入工具的界面
3.实现一个注入目的进程的SO(通用版,专用版)
ptrace注入器
之所以我们的注入程序叫做ptrace注入器, 这是因为我们整个注入过程都在使用Linux的API --ptrace, ptrace是linux系统的一个编写调试器的api, 此api必须在root用户才能调用,所以此种注入方式只能在root用户下使用,这里需要利用ptrace读取和修改寄存器的值和读写内存,以完成类似windows的dll注入功能。 下面的关键函数,已有大神帮我们封装的好了。
Ptrace 注入器基本原理:
1. attach目标进程,保存寄存器环境, 关键函数:ptrace_attach , ptrace
2.远程进程调用 mmap在目标进程内申请一块内存, 关键函数:ptrace_call_wrapper
3. 把注入SO的路径写入上一步申请的地址空间, 关键函数:ptrace_writedata
4. 远程进程调用函数dlopen,注意获取dlopen函数地址在linker模块中获取
6. 恢复环境,detach 目标进程: 关键函数:ptrace_detach
就此一个Linux 下的ptrace注入器就完成了。注: 由于笔者的代码是在android模拟上运行的, 代码是交叉编译,不便于调试,所以基本靠printf 完成代码的调试,但是这样效率比较低, 笔者建议看官朋友,可以在Linux系统完成这个注入程序的开发,这样不会笔者遇到一些问题,难以调试。 另外上面代码很多函数已经进行过封装了。
另外:ptrace:还可以用于反调试ptrace (TRACEME)
实现hook目标进程的字节码SO 通用版
由于注入的SO不是由java 的System.loadlibary 加载的, 而是由目标程序调用dlopen,加载的, 所以我们的SO的JNI_OnLoad是没有机会被调用的,所以我们在SO的init_arry完成我们的HOOK 工作。所以我们需要一个 声明一个 void __attribute__((constructor)) enctry() 函数。
1.enctry() 函数的实现不能太耗时,否者dlopen会堵塞。所以我们最好启动一个线程来实现我们hook 功能。 实现如下
2.线程回调函数,Hook的实现,需要根据不同的指令集实现,和需要修改进程指令。实现起来比较复杂,为了简单, 我们使用Cydia Substrat框架的MSFunctionHook函数实现Hook。实现如下:
3. 里面的关键函数InitSubstrate实现如下:
注入工具的界面的实现
1. 按进程ID , 按包名注入
2. 在指定的目录下, 遍历so文件