1. 基本知识
由于Android系统使用的是Linux内核,在Linux上使用的很多攻防技术都能被应用到Android上,进程注入技术就是其中一种。(以下有关进程注入的描述大多针对Linux/Android环境)
进程注入技术也可以称为动态注入技术,是代码注入技术的一种。代码注入技术可分为静态注入和动态注入两种。静态注入针对可执行文件(如ELF或者PE格式的文件),通过修改文件内容实现代码注入。动态注入针对进程,通过修改寄存器、内存值等实现代码注入。
相对于静态注入,进程注入不需要不需要改动源文件,但是需要高权限才能够执行,例如在Android系统上,需要system或者root权限才能够进行进程注入操作。
进程注入一般情况下有以下几方面的目的:
1) 增强目标进程的功能;
2) 修复目标进程缺陷;
3) 劫持目标进程函数;
4) 窃取目标进程数据;
5) 篡改目标进程数据。
而在调试程序时,可以有以下几方面的能力:
1) 查看和修改内存;
2) 查看和修改寄存器;
3) 跟踪和改变指令执行和跳转;
4) 查看线程调用堆栈;
通过对比可以看出,使用调试程序的方式,可以达到进程注入的所有目的。进程注入技术可以说是一种调试技术。
在Linux系统上,通过系统提供的ptrace()函数可以完成上面所述的调试功能。
Linux的man文档中有如下解释:
The ptrace() system call provides a means by which one process (the “tracer”) may observe and control the execution of another process (the “tracee”), and examine and change the tracee’s memory and registers.
ptrace()函数定义如下:
其中,request参数决定了要调用的功能,pid指定要操作的目标进程,addr指向目标进程的一个内存地址,data指向自身进程的一个内存地址。
常用的request参数如下:
使用PTRACE_PEEKTEXT或者PTRACE_POKETEXT参数时,每次只能读或者写一个word,而针对Android系统,由于大多数Android系统使用的32位arm处理器,在32位ARM架构的有关资料中可以看到:
即在32位ARM架构下,使用PTRACE_PEEKTEXT或者PTRACE_POKETEXT参数时一次只能读或写4字节。
2. 一般过程
下面,以Android系统上,在目标进程中执行一段自定义代码为例进行讲解。
由于在目标进程中执行自定义代码时,基本上需要对代码进行一定的修改才能正常执行,故自定义代码一般比较端,大多只完成加载动态库,执行动态库中的函数,恢复原始环境等少数几个功能,在动态库的函数中实现复杂的功能。一个示意性代码如下:
进程注入的一般过程如下:
大多数过程都是使用ptrace()函数实现,只是使用的request参数不同,对应关系如下:
使用mmap()函数申请一块内存也是通过ptrace()函数在目标进程调用mmap()函数来实现的。
其示意性动态展示如下,其中左半边是执行注入的进程,右半边是目标进程。
进入注入的动态过程演示如下:Android进程注入过程动态演示
3. 参考资料
[1] ptrace:http://man7.org/linux/man-pages/man2/ptrace.2.html
[2] ARM Teaching Material :http://www.arm.com/zh/files/ppt/ARM_Teaching_Material.ppt
[3] 进击的Android注入术:http://blog.csdn.net/l173864930/article/details/38456313
[4] LibInject:http://bbs.pediy.com/showthread.php?t=141355
焦龙龙
2015.01.05
原创文章,作者:admin,如若转载,请注明出处:https://www.isclab.org.cn/2015/01/05/android%e8%bf%9b%e7%a8%8b%e6%b3%a8%e5%85%a5/
