【Abyss】Android 平臺應用級系統調用攔截框架

来源:https://www.cnblogs.com/iofomo/p/18419810
-Advertisement-
Play Games

Android平臺從上到下,無需ROOT/解鎖/刷機,應用級攔截框架的最後一環 —— SVC系統調用攔截。 ☞ Github ☜ 由於我們虛擬化產品的需求,需要支持在普通的Android手機運行。我們需要搭建覆蓋應用從上到下各層的應用級攔截框架,而Abyss作為系統SVC指令的調用攔截,是我們最底層 ...


Android平臺從上到下,無需ROOT/解鎖/刷機,應用級攔截框架的最後一環 —— SVC系統調用攔截。

☞ Github ☜ 

由於我們虛擬化產品的需求,需要支持在普通的Android手機運行。我們需要搭建覆蓋應用從上到下各層的應用級攔截框架,而Abyss作為系統SVC指令的調用攔截,是我們最底層的終極方案。

01. 說明

tracee:ptrace附加的進程,通常為目標應用進程。

tracer: 用來ptrace其他進程的進程,在該進程里處理系統調用。

本框架利用AndroidProvider組件啟動攔截處理的服務進程,進程啟動後創建獨立的一個線程迴圈處理所有攔截的系統調用回調。由於本工程只是演示方案的可行性並列印日誌,所以業務邏輯處理比較簡單,可以根據需要的自行擴展。

若要接入具體業務,可能需要改成多線程的方式進行處理,提升穩定性。不過我們實測多線切換也有一定損耗,性能提升有限,但確實穩定性有提升,防止某個處理耗時導致應用所有進程阻塞。

02. 處理流程

應用進程tracee被附加流程如下:

tracer過程如下:

說明: 使用fork()的目的是為了讓工作線程去附加。ptrace有嚴格的限制,只有執行附加attach的線程才有許可權操作對應tracee的寄存器。

03. 系統調用處理

03.01 忽略庫機制

由於業務的需要,為了提升性能,我們需要忽略某些庫中的系統調用,如:libc.so

find_libc_exec_maps()中找到libc.so可執行代碼在maps中的記憶體地址區間,需要處理的系統調用:

//enable_syscall_filtering()    
FilteredSysnum internal_sysnums[] = {
    { PR_ptrace,		FILTER_SYSEXIT },
    { PR_wait4,		FILTER_SYSEXIT },
    { PR_waitpid,		FILTER_SYSEXIT },
    { PR_execve,		FILTER_SYSEXIT },
    { PR_execveat,		FILTER_SYSEXIT },
    {PR_readlinkat,   FILTER_SYSEXIT}, //暫時沒有處理
};

set_seccomp_filters針對不同的arch,設置系統調用的ebpf。不同架構的ebpf語句會填充到一起,ebpf的組成偽代碼如下:

for (每一種架構) {
	start_arch_section;
	for (每一個當前架構下的系統調用)
    	add_trace_syscall;
   end_arch_section;
}
finalize_program_filter;

start_arch_section;// 架構相關處理的ebpf,包括libc篩選的語句
add_trace_syscall;// 增加匹配要處理系統調用的ebpf語句
end_arch_section;// 尾部的ebpf語句(語句含義:匹配到系統調用則返回)
finalize_program_filter;// 最後面的ebpf語句,殺死其他異常情況下的線程

最終,調用如下語句,設置ebpf

status = prctl(PR_SET_SECCOMP, SECCOMP_MODE_FILTER, &program);

03.02 PR_ptrace

因為一個tracee只能有一個tracer,所以需要處理該系統調用,在應用本身使用了ptrace的時候進行模擬。

系統調用進入前,將系統調用替換為PR_void,不做真正的ptrace,後續模擬。

退出系統調用後,針對ptrace的模擬。針對請求是PTRACE_ATTACHPTRACE_TRACEME等做各種不同的處理。同時也處理PTRACE_SYSCALLPTRACE_CONTPTRACE_SETOPTIONSPTRACE_GETEVENTMSG等各種ptrace操作。

ptrace有各種各樣的請求,完整的處理邏輯比較複雜(我們還在消化中)。

03.03 PR_wait4、PR_waitpid

配合PR_ptrace使用,如果當前的tracee不是一個tracer,則不處理直接透傳給系統。或者wait的第一個參數不為-1,則去集合里找看等待的這個線程是否存在並且是否是當前處理線程的tracee,如果不是,則不處理直接透傳給系統。

處理的邏輯如下:

系統調用進入前,將系統調用替換為PR_void,不實際傳給內核。

退出系統調用後,模擬tracerwait的處理邏輯。主要為基於當前處理的這個tracer(代碼里定義為ptracer),去遍歷它的tracee,看是否有事件需要被處理,如有,則填充好寄存器,喚醒當前正在被處理的這個tracer

03.04 PR_execve、PR_execveat

主要是在USE_LOADER_EXE開啟時,將native程式替換為使用一個固定的loader來載入程式。

03.05 攔截日誌

E INTERCEPT/SYS: vpid 2: got event 7057f
E INTERCEPT: vpid 2,secomp_enabled 0,
E INTERCEPT/SYS: (null) info: vpid 2: sysenter start: openat(0xffffff9c, 0xb4000073c72fcd60, 0x0, 0x0, 0xb4000073c72fcd88, 0xb4000073c72fcde8) = 0xffffff9c [0x7367d45e80, 0]
E INTERCEPT/SYS: vpid 2: open path:/system/fonts/NotoSansMalayalamUI-VF.ttf
E INTERCEPT/SYS: syscall_number:216
E INTERCEPT/SYS: vpid 2,openat: /system/fonts/NotoSansMalayalamUI-VF.ttf
E INTERCEPT/SYS: (null) info: vpid 2: sysenter end: openat(0xffffff9c, 0xb4000073c72fcd60, 0x0, 0x0, 0xb4000073c72fcd88, 0xb4000073c72fcde8) = 0xffffff9c [0x7367d45e80, 0]
E INTERCEPT/SYS: vpid 2: open path:/system/fonts/NotoSansMalayalamUI-VF.ttf
E INTERCEPT/SYS: (null) info: vpid 2: restarted using 7, signal 0, tracee pid 32222,app_pid 32162

E/INTERCEPT/SYS: (null) info: vpid 3: sysenter start: close(0x90, 0x0, 0x7492d0d088, 0x6, 0x73b7b82860, 0x73b7b82880) = 0x90 [0x73633faae0, 0]
E/INTERCEPT/SYS: syscall_number:41
E/INTERCEPT/SYSW: noting to do,sn:41
E/INTERCEPT/SYS: (null) info: vpid 3: sysenter end: close(0x90, 0x0, 0x7492d0d088, 0x6, 0x73b7b82860, 0x73b7b82880) = 0x90 [0x73633faae0, 0]
E/INTERCEPT/SYS: (null) info: vpid 3: restarted using 7, signal 0, tracee pid 32223,app_pid 32162
E/INTERCEPT/SYS: vpid 3: got event 7057f

04. 附

額外模塊:

由於本框架會在原應用中增加一個處理進程,並且會trace到應用進程中,因此在實際使用時,還需要對新增進程和trace痕跡進行隱藏,防止與應用檢測模塊衝突,支持完整的應用自身trace調用的模擬。

這是附加的應用對抗模塊,後面會作為單獨文章分享給大家。

參考項目:

https://github.com/proot-me/proot

https://github.com/termux/proot


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 近日,VLDB 2024(International Conference on Very Large Data Bases)在廣州隆重舉行,全球資料庫領域頂尖學者匯聚一堂,圍繞資料庫行業前沿議題展開探討,帶來一場跨越東西方、覆蓋產學研的交流盛宴。 ...
  • 如果靜態監聽中ORACLE_SID不註意大小寫的話,可能導致資料庫連接不上的問題。如下案例所示: $ sqlplus system/***@GPSUATSQL*Plus: Release 19.0.0.0.0 - Production on Wed Sep 18 15:48:37 2024Versi ...
  • 在使用Apache DolphinScheduler調度執行複雜的HiveSQL時,HQL包含多種海豚無法正確識別的符號,怎麼辦?本文提供了可行的思路和方法,供用戶參考。 一、目的 在Hive中完成複雜JSON,既有對象還有數組而且數組中包含數組的解析後,原本以為沒啥問題了,結果在DolphinSc ...
  • 本文為Apache SeaTunnel已經支持的SftpFile Source Connector使用文檔,旨在幫助讀者理解如何高效地使用SFTP文件源連接器,以便輕鬆地使用Apache SeaTunnel集成和管理您的SftpFil數據源。 SftpFile 是指通過 SFTP(Secure Fi ...
  • 雲上分散式SQL Server,你值得擁有 介紹Microsoft SQL Azure 是微軟的雲關係型資料庫,後端存儲又稱為雲 SQL Server(Cloud SQL Server)。它構建在 SQL Server 之上,通過分散式技術提升傳統關係型資料庫的可擴展性和容錯能力。 數據模型 (1) ...
  • 大家好,我是 Java陳序員。 今天,給大家介紹一款高顏值的基於 Flutter 開發的 Linux 伺服器工具箱。 關註微信公眾號:【Java陳序員】,獲取開源項目分享、AI副業分享、超200本經典電腦電子書籍等。 項目介紹 flutter_server_box —— 一款使用 Flutter ...
  • ​之前的文章《利用RTMP協議構建電腦與手機的直播Demo》介紹瞭如何使用RTMP Streamer實現完整的RTMP直播流程,另一篇文章《利用SRT協議構建手機APP的直播Demo》介紹瞭如何使用SRT Streamer實現完整的SRT直播流程,接下來介紹如何使用EasyPusher-Androi ...
  • ​EasyPusher是一款國產的RTSP直播錄製推流客戶端工具,它支持Windows、Linux、Android、iOS等操作系統。EasyPusher採用RTSP推流協議,其中安卓版EasyPusher的Github托管地址為https://github.com/EasyDarwin/EasyP ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...