全局符号表(GOT表)hook实际是通过解析SO文件,将待hook函数在got表的地址替换为自己函数的入口地址,这样目标进程每次调用待hook函数时,实际上是执行了我们自己的函数。
GOT表其实包含了导入表和导出表,导出表指将当前动态库的一些函数符号保留,供外部调用,导入表中的函数实际是在该动态库中调用外部的导出函数。
这里有几个关键点要说明一下:
(1) so文件的绝对路径和加载到内存中的基址是可以通过 /proc/[pid]/maps 获取到的。
(2) 修改导入表的函数地址的时候需要修改页的权限,增加写权限即可。
(3) 一般的导入表Hook是基于注入操作的,即把自己的代码注入到目标程序,本次实例重点讲述Hook的实现,注入代码采用上节所有代码inject.c。
导入表的hook有两种方法,以hook fopen函数为例。
方法一:
通过解析elf格式,找出静态的.got表的位置,并在内存中找到相应的.got表位置,这个时候内存中.got表保存着导入函数的地址,读取目标函数地址,与.got表每一项函数入口地址进行匹配,找到的话就直接替换新的函数地址,这样就完成了一次导入表的Hook操作了。
hook流程如下图所示:
图1 导入表Hook流程图
具体代码实现如下:
entry.c:
1 #include <unistd.h> 2 #include <stdio.h> 3 #include <stdlib.h> 4 #include <android/log.h> 5 #include <EGL/egl.h> 6 #include <GLES/gl.h> 7 #include <elf.h> 8 #include <fcntl.h> 9 #include <sys/mman.h> 10 11 #define LOG_TAG "INJECT" 12 #define LOGD(fmt, args...) __android_log_print(ANDROID_LOG_DEBUG, LOG_TAG, fmt, ##args) 13 14 //FILE *fopen(const char *filename, const char *modes) 15 FILE* (*old_fopen)(const char *filename, const char *modes); 16 FILE* new_fopen(const char *filename, const char *modes){ 17 LOGD("[+] New call fopen.\n"); 18 if(old_fopen == -1){ 19 LOGD("error.\n"); 20 } 21 return old_fopen(filename, modes); 22 } 23 24 void* get_module_base(pid_t pid, const char* module_name){ 25 FILE* fp; 26 long addr = 0; 27 char* pch; 28 char filename[32]; 29 char line[1024]; 30 31 // 格式化字符串得到 "/proc/pid/maps" 32 if(pid < 0){ 33 snprintf(filename, sizeof(filename), "/proc/self/maps"); 34 }else{ 35 snprintf(filename, sizeof(filename), "/proc/%d/maps", pid); 36 } 37 38 // 打开文件/proc/pid/maps,获取指定pid进程加载的内存模块信息 39 fp = fopen(filename, "r"); 40 if(fp != NULL){ 41 // 每次一行,读取文件 /proc/pid/maps中内容 42 while(fgets(line, sizeof(line), fp)){ 43 // 查找指定的so模块 44 if(strstr(line, module_name)){ 45 // 分割字符串 46 pch = strtok(line, "-"); 47 // 字符串转长整形 48 addr = strtoul(pch, NULL, 16); 49 50 // 特殊内存地址的处理 51 if(addr == 0x8000){ 52 addr = 0; 53 } 54 break; 55 } 56 } 57 } 58 fclose(fp); 59 return (void*)addr; 60 } 61 62 #define LIB_PATH "/data/app-lib/com.bbk.appstore-2/libvivosgmain.so" 63 int hook_fopen(){ 64 65 // 获取目标pid进程中"/data/app-lib/com.bbk.appstore-2/libvivosgmain.so"模块的加载地址 66 void* base_addr = get_module_base(getpid(), LIB_PATH); 67 LOGD("[+] libvivosgmain.so address = %p \n", base_addr); 68 69 // 保存被Hook的目标函数的原始调用地址 70 old_fopen = fopen; 71 LOGD("[+] Orig fopen = %p\n", old_fopen); 72 73 int fd; 74 // 打开内存模块文件"/data/app-lib/com.bbk.appstore-2/libvivosgmain.so" 75 fd = open(LIB_PATH, O_RDONLY); 76 if(-1 == fd){ 77 LOGD("error.\n"); 78 return -1; 79 } 80 81 // elf32文件的文件头结构体Elf32_Ehdr 82 Elf32_Ehdr ehdr; 83 // 读取elf32格式的文件"/data/app-lib/com.bbk.appstore-2/libvivosgmain.so"的文件头信息 84 read(fd, &ehdr, sizeof(Elf32_Ehdr)); 85 86 // elf32文件中节区表信息结构的文件偏移 87 unsigned long shdr_addr = ehdr.e_shoff; 88 // elf32文件中节区表信息结构的数量 89 int shnum = ehdr.e_shnum; 90 // elf32文件中每个节区表信息结构中的单个信息结构的大小(描述每个节区的信息的结构体的大小) 91 int shent_size = ehdr.e_shentsize; 92 93 // elf32文件节区表中每个节区的名称存放的节区名称字符串表,在节区表中的序号index 94 unsigned long stridx = ehdr.e_shstrndx; 95 96 // elf32文件中节区表的每个单元信息结构体(描述每个节区的信息的结构体) 97 Elf32_Shdr shdr; 98 // elf32文件中定位到存放每个节区名称的字符串表的信息结构体位置.shstrtab 99 lseek(fd, shdr_addr + stridx * shent_size, SEEK_SET); 100 // 读取elf32文件中的描述每个节区的信息的结构体(这里是保存elf32文件的每个节区的名称字符串的) 101 read(fd, &shdr, shent_size); 102 LOGD("[+] String table offset is %lu, size is %lu", shdr.sh_offset, shdr.sh_size); //41159, size is 254 103 104 // 为保存elf32文件的所有的节区的名称字符串申请内存空间 105 char * string_table = (char *)malloc(shdr.sh_size); 106 // 定位到具体存放elf32文件的所有的节区的名称字符串的文件偏移处 107 lseek(fd, shdr.sh_offset, SEEK_SET); 108 // 从elf32内存文件中读取所有的节区的名称字符串到申请的内存空间中 109 read(fd, string_table, shdr.sh_size); 110 111 // 重新设置elf32文件的文件偏移为节区信息结构的起始文件偏移处 112 lseek(fd, shdr_addr, SEEK_SET); 113 114 int i; 115 uint32_t out_addr = 0; 116 uint32_t out_size = 0; 117 uint32_t got_item = 0; 118 int32_t got_found = 0; 119 120 // 循环遍历elf32文件的节区表(描述每个节区的信息的结构体) 121 for(i = 0; i<shnum; i++){ 122 // 依次读取节区表中每个描述节区的信息的结构体 123 read(fd, &shdr, shent_size); 124 // 判断当前节区描述结构体描述的节区是否是SHT_PROGBITS类型 125 //类型为SHT_PROGBITS的.got节区包含全局偏移表 126 if(shdr.sh_type == SHT_PROGBITS){ 127 // 获取节区的名称字符串在保存所有节区的名称字符串段.shstrtab中的序号 128 int name_idx = shdr.sh_name; 129 130 // 判断节区的名称是否为".got.plt"或者".got" 131 if(strcmp(&(string_table[name_idx]), ".got.plt") == 0 132 || strcmp(&(string_table[name_idx]), ".got") == 0){ 133 // 获取节区".got"或者".got.plt"在内存中实际数据存放地址 134 out_addr = base_addr + shdr.sh_addr; 135 // 获取节区".got"或者".got.plt"的大小 136 out_size = shdr.sh_size; 137 LOGD("[+] out_addr = %lx, out_size = %lx\n", out_addr, out_size); 138 int j = 0; 139 // 遍历节区".got"或者".got.plt"获取保存的全局的函数调用地址 140 for(j = 0; j<out_size; j += 4){ 141 // 获取节区".got"或者".got.plt"中的单个函数的调用地址 142 got_item = *(uint32_t*)(out_addr + j); 143 // 判断节区".got"或者".got.plt"中函数调用地址是否是将要被Hook的目标函数地址 144 if(got_item == old_fopen){ 145 LOGD("[+] Found fopen in got.\n"); 146 got_found = 1; 147 // 获取当前内存分页的大小 148 uint32_t page_size = getpagesize(); 149 // 获取内存分页的起始地址(需要内存对齐) 150 uint32_t entry_page_start = (out_addr + j) & (~(page_size - 1)); 151 LOGD("[+] entry_page_start = %lx, page size = %lx\n", entry_page_start, page_size); 152 // 修改内存属性为可读可写可执行 153 if(mprotect((uint32_t*)entry_page_start, page_size, PROT_READ | PROT_WRITE | PROT_EXEC) == -1){ 154 LOGD("mprotect false.\n"); 155 return -1; 156 } 157 LOGD("[+] %s, old_fopen = %lx, new_fopen = %lx\n", "before hook function", got_item, new_fopen); 158 159 // Hook函数为我们自己定义的函数 160 got_item = new_fopen; 161 LOGD("[+] %s, old_fopen = %lx, new_fopen = %lx\n", "after hook function", got_item, new_fopen); 162 // 恢复内存属性为可读可执行 163 if(mprotect((uint32_t*)entry_page_start, page_size, PROT_READ | PROT_EXEC) == -1){ 164 LOGD("mprotect false.\n"); 165 return -1; 166 } 167 break; 168 // 此时,目标函数的调用地址已经被Hook了 169 }else if(got_item == new_fopen){ 170 LOGD("[+] Already hooked.\n"); 171 break; 172 } 173 } 174 // Hook目标函数成功,跳出循环 175 if(got_found) 176 break; 177 } 178 } 179 } 180 free(string_table); 181 close(fd); 182 } 183 184 int hook_entry(char* a){ 185 LOGD("[+] Start hooking.\n"); 186 hook_fopen(); 187 return 0; 188 }