设为首页收藏一下又不会死!新人公告
切换到窄版

 找回密码
 立即注册→加入我们

QQ登录

只需一步,快速开始

搜索
热搜: 下载 VB C 实现 编写
技术宅的结界»论坛 计算机技术 其它交流 动态注入并执行android代码到进程
返回列表 发新帖
查看: 3419|回复: 0

动态注入并执行android代码到进程

[复制链接]
元始天尊
发表于 2016-6-3 16:07:47 | 显示全部楼层 |阅读模式

欢迎访问技术宅的结界,请注册或者登录吧。

您需要 登录 才可以下载或查看,没有账号?立即注册→加入我们

×
网上可以见到很多帖子是如何注入进程并钩取c层api的例子,而动态的让目标进程加载一个dex并执行这个dex却没看到

c层的注入很简单,可以参考adbi,ptrace进去修改当前指令指针寄存器,构造一个dlopen的指令并调用,类似于win上getcontext修改eip

java层稍复杂一些,加载dex->解析dex->查找目标类->调用函数,下面是测试用例,我们的目标是打log

  2. import android.util.Log;
  3. public class injectjava {
  4.     static void initialize(){
  5.         Log.i("INJECTJAVA","injectava called");
  6.     }
  7. }
复制代码


执行注入的代码:


  3. #define LOGI(...)  __android_log_print(ANDROID_LOG_ERROR, "INJECTJAVA", __VA_ARGS__)
  4. #define DEXNAME "/data/local/tmp/inject.dex"


  7. typedef void Object;
  8. typedef void ClassObject;
  9. typedef void Thread;
  10. typedef uint8_t u1;
  11. typedef uint32_t u4;
  12. struct JNIEnvExt
  13. {
  14.     const struct JNINativeInterface* funcTable;
  15.     const struct JNINativeInterface* baseFuncTable;
  16.     u4      envThreadId;
  17.     Thread* self;
  18. };

  20. typedef void DexOptHeader;
  21. typedef void DexStringId;
  22. typedef void DexTypeId;
  23. typedef void DexFieldId;
  24. typedef void DexMethodId;
  25. typedef void DexProtoId;
  26. typedef void DexLink;
  27. typedef void DexClassLookup;

  29. struct DexHeader
  30. {
  31.     u1  magic[8];           /* includes version number */
  32.     u4  checksum;           /* adler32 checksum */
  33.     u1  signature[20];       /* SHA-1 hash */
  34.     u4  fileSize;           /* length of entire file */
  35.     u4  headerSize;         /* offset to start of next section */
  36.     u4  endianTag;
  37.     u4  linkSize;
  38.     u4  linkOff;
  39.     u4  mapOff;
  40.     u4  stringIdsSize;
  41.     u4  stringIdsOff;
  42.     u4  typeIdsSize;
  43.     u4  typeIdsOff;
  44.     u4  protoIdsSize;
  45.     u4  protoIdsOff;
  46.     u4  fieldIdsSize;
  47.     u4  fieldIdsOff;
  48.     u4  methodIdsSize;
  49.     u4  methodIdsOff;
  50.     u4  classDefsSize;
  51.     u4  classDefsOff;
  52.     u4  dataSize;
  53.     u4  dataOff;
  54. };

  56. struct DexClassDef
  57. {
  58.     u4  classIdx;           /* index into typeIds for this class */
  59.     u4  accessFlags;
  60.     u4  superclassIdx;      /* index into typeIds for superclass */
  61.     u4  interfacesOff;      /* file offset to DexTypeList */
  62.     u4  sourceFileIdx;      /* index into stringIds for source file name */
  63.     u4  annotationsOff;     /* file offset to annotations_directory_item */
  64.     u4  classDataOff;       /* file offset to class_data_item */
  65.     u4  staticValuesOff;    /* file offset to DexEncodedArray */
  66. };

  68. struct DexFile
  69. {
  70.     DexOptHeader *pOptHeader;
  71.     DexHeader *pHeader;
  72.     DexStringId *pStringIds;
  73.     DexTypeId *pTypeIds;
  74.     DexFieldId *pFieldIds;
  75.     DexMethodId *pMethodIds;
  76.     DexProtoId *pProtoIds;
  77.     DexClassDef *pClassDefs;
  78.     DexLink *pLinkData;
  79.     DexClassLookup *pClassLookup;
  80. };

  82. struct DvmDex
  83. {
  84.     DexFile*            pDexFile;
  85. };

  87. int (*dvmDexFileOpenPartial)(const void* addr, int len, DvmDex** ppDvmDex)=0;
  88. int (*dexSwapAndVerify)(void* addr, int len)=0;
  89. JNIEnv* (*dvmGetJNIEnvForThread)()=0;
  90. Object* (*dvmDecodeIndirectRef)(JNIEnv* env, jobject jobj)=0;
  91. Object* (*dvmDecodeIndirectRef_)(Thread* self, jobject jobj)=0;
  92. ClassObject* (*dvmDefineClass)(DvmDex* pDvmDex, const char* descriptor, Object* classLoader)=0;
  93. DexClassLookup* (*dexCreateClassLookup)(DexFile* pDexFile)=0;

  95. void inject()
  96. {
  97.     /*
  98.      * C层hook
  99.      */



  103.     /*
  104.      * JAVA层hook
  105.      */
  106.     //获取关键函数指针

  108.     do
  109.     {
  110.         void* hdvm = dlopen("libdvm.so", RTLD_LAZY | RTLD_GLOBAL);
  111.         if(!hdvm)
  112.         {
  113.             LOGI("libdvm not exist!");
  114.             break;
  115.         }
  116.         dvmDexFileOpenPartial = (typeof(dvmDexFileOpenPartial))dlsym(hdvm, "dvmDexFileOpenPartial");
  117.         if(!dvmDexFileOpenPartial)
  118.         {
  119.             dvmDexFileOpenPartial = (typeof(dvmDexFileOpenPartial))dlsym(hdvm, "_Z21dvmDexFileOpenPartialPKviPP6DvmDex");
  120.             if(!dvmDexFileOpenPartial)
  121.                 LOGI("dvmDexFileOpenPartial not exist!");
  122.         }
  123.         dexSwapAndVerify = (typeof(dexSwapAndVerify))dlsym(hdvm, "dexSwapAndVerify");
  124.         if(!dexSwapAndVerify)
  125.         {
  126.             dexSwapAndVerify = (typeof(dexSwapAndVerify))dlsym(hdvm, "_Z16dexSwapAndVerifyPhi");
  127.             if(!dexSwapAndVerify)
  128.                 LOGI("dexSwapAndVerify not exist!");
  129.         }
  130.         dvmGetJNIEnvForThread = (typeof(dvmGetJNIEnvForThread))dlsym(hdvm, "dvmGetJNIEnvForThread");
  131.         if(!dvmGetJNIEnvForThread)
  132.         {
  133.             dvmGetJNIEnvForThread = (typeof(dvmGetJNIEnvForThread))dlsym(hdvm, "_Z21dvmGetJNIEnvForThreadv");
  134.             if(!dvmGetJNIEnvForThread)
  135.                 LOGI("dvmGetJNIEnvForThread not exist!");
  136.         }
  137.         dvmDecodeIndirectRef = (typeof(dvmDecodeIndirectRef))dlsym(hdvm, "dvmDecodeIndirectRef");
  138.         if(!dvmDecodeIndirectRef)
  139.         {
  140.             dvmDecodeIndirectRef = (typeof(dvmDecodeIndirectRef))dlsym(hdvm, "_Z20dvmDecodeIndirectRefP7_JNIEnvP8_jobject");
  141.             if(!dvmDecodeIndirectRef)
  142.             {
  143.                 dvmDecodeIndirectRef_ = (typeof(dvmDecodeIndirectRef_))dlsym(hdvm, "_Z20dvmDecodeIndirectRefP6ThreadP8_jobject");
  144.                 if(!dvmDecodeIndirectRef_)
  145.                     LOGI("dvmDecodeIndirectRef_ not exist!");
  146.             }
  147.         }

  149.         dvmDefineClass = (typeof(dvmDefineClass))dlsym(hdvm, "dvmDefineClass");
  150.         if(!dvmDefineClass)
  151.         {
  152.             dvmDefineClass = (typeof(dvmDefineClass))dlsym(hdvm, "_Z14dvmDefineClassP6DvmDexPKcP6Object");
  153.             if(!dvmDefineClass)
  154.                 LOGI("dvmDefineClass not exist!");
  155.         }

  157.         dexCreateClassLookup = (typeof(dexCreateClassLookup))dlsym(hdvm, "dexCreateClassLookup");
  158.         if(!dexCreateClassLookup)
  159.         {
  160.             dexCreateClassLookup = (typeof(dexCreateClassLookup))dlsym(hdvm, "_Z20dexCreateClassLookupP7DexFile");
  161.             if(!dexCreateClassLookup)
  162.                 LOGI("dexCreateClassLookup not exist!");
  163.         }

  165.         if(!dvmDexFileOpenPartial || !dexSwapAndVerify || !dvmGetJNIEnvForThread || !dvmDefineClass || !dexCreateClassLookup || (!dvmDecodeIndirectRef && !dvmDecodeIndirectRef_))
  166.             break;
  167.         LOGI("InitOk");


  170.         //读取dex以便动态加载
  171.         char* dexdata = 0;
  172.         int dexlen;
  173.         int dexfd = open(DEXNAME, O_RDONLY);
  174.         if(dexfd == -1)
  175.         {
  176.             LOGI("can't open inject.dex!");
  177.             break;
  178.         }

  180.         struct stat st = {0};
  181.         fstat(dexfd , &st);
  182.         if(st.st_size)
  183.         {
  184.             dexlen = st.st_size;
  185.             dexdata = (char*)malloc(st.st_size);
  186.             if(dexdata)
  187.                 read(dexfd, dexdata, st.st_size);
  188.         }

  190.         close(dexfd);

  192.         if(!dexdata)
  193.         {
  194.             LOGI("read inject.dex fail!");
  195.             break;
  196.         }

  198.         int result;
  199.         DvmDex* dvmDex = 0;
  200.         JNIEnv* env =0;
  201.         jclass java_lang_Class =0;
  202.         jmethodID java_lang_Class_forName =0;
  203.         jclass java_lang_ClassLoader =0;
  204.         jmethodID java_lang_ClassLoader_getSystemClassLoader =0;
  205.         jobject jSystemClassLoader =0;
  206.         Object* SystemClassLoader =0;
  207.         jstring com_injectjava_str =0;
  208.         jclass com_injectjava =0;
  209.         jmethodID com_injectjava_initialize =0;


  212.         DexFile* pDexFile = 0;
  213.         int csize,i;

  215.         dexSwapAndVerify(dexdata, dexlen);
  216.         result = dvmDexFileOpenPartial(dexdata, dexlen, &dvmDex);
  217.         if(result != 0)
  218.         {
  219.             LOGI("dvmDexFileOpenPartial fail!");
  220.             goto END1;
  221.         }

  223.         env = dvmGetJNIEnvForThread();
  224.         if(!env)
  225.         {
  226.             LOGI("dvmGetJNIEnvForThread fail!");
  227.             goto END1;
  228.         }

  230.         java_lang_Class = env->FindClass("java/lang/Class");
  231.         if(!java_lang_Class)
  232.         {
  233.             LOGI("java_lang_Class null!");
  234.             goto END1;
  235.         }
  236.         java_lang_Class_forName = env->GetStaticMethodID(java_lang_Class, "forName", "(Ljava/lang/String;ZLjava/lang/ClassLoader;)Ljava/lang/Class;");
  237.         if(!java_lang_Class_forName)
  238.         {
  239.             LOGI("java_lang_Class_forName null!");
  240.             goto END1;
  241.         }
  242.         java_lang_ClassLoader = env->FindClass("java/lang/ClassLoader");
  243.         if(!java_lang_ClassLoader)
  244.         {
  245.             LOGI("java_lang_ClassLoader null!");
  246.             goto END1;
  247.         }
  248.         java_lang_ClassLoader_getSystemClassLoader = env->GetStaticMethodID(java_lang_ClassLoader, "getSystemClassLoader", "()Ljava/lang/ClassLoader;");
  249.         if(!java_lang_ClassLoader_getSystemClassLoader)
  250.         {
  251.             LOGI("java_lang_ClassLoader_getSystemClassLoader null!");
  252.             goto END1;
  253.         }
  254.         jSystemClassLoader = env->CallStaticObjectMethod(java_lang_ClassLoader, java_lang_ClassLoader_getSystemClassLoader, "()Ljava/lang/ClassLoader;");
  255.         if(!jSystemClassLoader)
  256.         {
  257.             LOGI("jSystemClassLoader null!");
  258.             goto END1;
  259.         }


  262.         LOGI("InitOk1");

  264.         if(dvmDecodeIndirectRef)
  265.             SystemClassLoader = dvmDecodeIndirectRef(env, jSystemClassLoader);
  266.         else
  267.             SystemClassLoader = dvmDecodeIndirectRef_(((JNIEnvExt*)env)->self, jSystemClassLoader);

  269.         if(!SystemClassLoader)
  270.         {
  271.             LOGI("SystemClassLoader null!");
  272.             goto END1;
  273.         }

  275.         pDexFile = dvmDex->pDexFile;
  276.         pDexFile->pClassLookup = dexCreateClassLookup(dvmDex->pDexFile);
  277.         csize = pDexFile->pHeader->classDefsSize;
  278.         for(i=0;i<csize;i++)
  279.         {
  280.             pDexFile->pClassDefs[i].accessFlags | 0x10000;
  281.         }

  283.         dvmDefineClass(dvmDex, "Lcom/injectjava;", SystemClassLoader);
  284.         com_injectjava_str = env->NewStringUTF("com.injectjava");
  285.         if(!com_injectjava_str)
  286.         {
  287.             LOGI("com_injectjava null!");
  288.             goto END1;
  289.         }
  290.         com_injectjava = (jclass)env->CallStaticObjectMethod(java_lang_Class, java_lang_Class_forName, com_injectjava_str, true, jSystemClassLoader);
  291.         if(!com_injectjava)
  292.         {
  293.             LOGI("com_injectjava null!");
  294.             goto END1;
  295.         }
  296.         com_injectjava_initialize = env->GetStaticMethodID(com_injectjava, "initialize", "()V");
  297.         if(!com_injectjava_initialize)
  298.         {
  299.             LOGI("com_injectjava_initialize null!");
  300.             goto END1;
  301.         }
  302.         env->CallStaticVoidMethod(com_injectjava, com_injectjava_initialize);


  305.         LOGI("InitOk2");
  306.         END1:
  307.         free(dexdata);
  308.     }
  309.     while(false);
  310. }
复制代码


将要执行的dex放到/data/local/tmp/inject.dex即可
06-03 15:47:34.984 16197-16197/com.example.hellojni E/INJECTJAVA: InitOk
06-03 15:47:35.074 16197-16197/com.example.hellojni E/INJECTJAVA: InitOk1
06-03 15:54:08.304 16197-16197/com.example.hellojni I/INJECTJAVA: injectava called
android, 动态

相关帖子
回复

使用道具 举报

返回列表 发新帖

本版积分规则

QQ|Archiver|小黑屋|技术宅的结界 ( 滇ICP备16008837号 )|网站地图

GMT+8, 2024-11-21 20:28 , Processed in 0.035865 second(s), 25 queries , Gzip On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表