ARM64汇编0C - inlinehook

2024-06-20 14:28
文章标签 汇编 arm64 inlinehook 0c

本文主要是介绍ARM64汇编0C - inlinehook,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

本文是ARM64汇编系列的完结篇,主要利用前面学过的知识做一个小实验

完整系列博客地址:https://www.lyldalek.top/article/arm

这里只讨论 ARM64 下的 inlinehook,做一个简单的demo,只是抛砖引玉,有兴趣了解更多细节的可以去查找资料,看开源项目。

ARM64 相比 ARM 的 inlinehook 要麻烦不少,因为有很多指令都没了,且无法直接访问 PC 寄存器。

ARM64处理器下是兼容ARM32指令集的,因此,ARM64处理器上可以运行ARM64,ARM32,Thumb-2(Thumb16+Thumb32)三套指令,但是这里我们只讨论 ARM64 模式。

流程图

inlinehook是实现对一个指定函数的hook,其大致流程如下图:

首先,需要替换目标函数的头部的指令,将pc的值修改为hook函数的地址,跳转过去执行。

对于被覆盖的指令,我们将其放入hook函数中执行,对应图中的红色部分,这里会遇到非常多的问题,有兴趣的自行查找资料。

hook函数执行完之后,需要将 pc 的值修改为覆盖指令的下一条指令地址,然后跳转过去执行。

在这些过程中,我们需要保证寄存器在执行hook函数前后的值是一样的,执行的覆盖指令也不能修改寄存器,除非先将寄存器的值储存起来。

方案设计

第一步——原程序插桩

设计思路是:首先插桩代码最基本的是要一个跳转功能。ARM64中PC不让直接读写,那我们怎么改变PC呢?通常程序跳转都有两类方法:相对寻址和直接寻址。

相对寻址是有距离限制的,由于我们的hook程序也是一个so,它的位置是不固定的,且目标so的位置也是不固定的,所以这两个so的距离也是不固定的,使用相对寻址很不明智。

直接寻址,ARM64中有BR X??可以直接把程序跳转到X??寄存器中存储的64位地址上。那么,这时候的方案就应该是:

LDR X0, [TARGET_ADDRESS] 
BR X0

但是,这样会破坏X0中原本的值,所以,我们需要储存一些 X0 的值:

STP X1, X0, [SP, #-0x10]
LDR X0, [TARGET_ADDRESS]
BR X0

上面的第一个指令就是把X1,X0保存到栈上,这里的X1当然是多余的,纯属是为了满足ARM64上栈要16字节对齐且没有PUSH指令可用的约束。

既然,我们改了栈,那么就需要平衡栈,所以,那最后跳转回原程序时,我们需要将栈的值修改回来:

STP X1, X0, [SP, #-0x10]
LDR X0, [TARGET_ADDRESS]     ; TARGET_ADDRESS 是一个动态值,编译后会需要更多的指令来实现
BR X0
LDR X0, [SP, -0x8]

这里,就与我们设想的流程稍微有点区别,我们需要等hook函数执行完之后,跳转到上面的最后一行指令执行,恢复 X0 寄存器的值。

这里有个需要注意的地方,就是我们的插桩指令至少有4条,占据了16字节,如果函数体很小的话,那么hook就会导致错误。所以这里是一个优化点。

第二步——hook程序

我们在这里需要先保存所有寄存器的值,保存了寄存器的值之后,就可以使用这些寄存器了,保存结构如下:

对应的指令如下:

sub     sp, sp, #0x20          ;sp = sp - 0x20,也就是指针向上移动2格mrs     x0, NZCV               ;将状态寄存器的值储存到 x0
str     x0, [sp, #0x10]        ;将x0(状态寄存器)的值储存到 sp + 0x10 处,也就是图中的 PSR
str     x30, [sp]              ;将x30的值储存到 sp 处,图中的X30 LR
add     x30, sp, #0x20         ;X30 = sp + 0x20
str     x30, [sp, #0x8]        ;将 sp + 0x20 的值储存到 sp + 0x8处,就是储存原来的 sp值,图中的origin_sp
ldr     x0, [sp, #0x18]        ;将 sp + 0x18 的值给 X0,让 X0 指向栈顶sub     sp, sp, #0xf0          ;分配空间储存 X0 - X29 寄存器
stp     X0, X1, [SP]
stp     X2, X3, [SP,#0x10]
stp     X4, X5, [SP,#0x20]
stp     X6, X7, [SP,#0x30]
stp     X8, X9, [SP,#0x40]
stp     X10, X11, [SP,#0x50]
stp     X12, X13, [SP,#0x60]
stp     X14, X15, [SP,#0x70]
stp     X16, X17, [SP,#0x80]
stp     X18, X19, [SP,#0x90]
stp     X20, X21, [SP,#0xa0]
stp     X22, X23, [SP,#0xb0]
stp     X24, X25, [SP,#0xc0]
stp     X26, X27, [SP,#0xd0]
stp     X28, X29, [SP,#0xe0]

由于没有了LDM/STM指令,我们向栈上存大量寄存器只能一对一对的来。

接下来,我们可以执行之前被覆盖的代码了,这里不演示,后面写一个demo具体来看。

然后就是恢复寄存器:

ldr     x0, [sp, #0x100]     ;将储存PSR的地址赋值给 X0
msr     NZCV, x0             ;恢复状态寄存器的值ldp     X0, X1, [SP]         ;恢复X0,X1 的值
ldp     X2, X3, [SP,#0x10]
ldp     X4, X5, [SP,#0x20]
ldp     X6, X7, [SP,#0x30]
ldp     X8, X9, [SP,#0x40]
ldp     X10, X11, [SP,#0x50]
ldp     X12, X13, [SP,#0x60]
ldp     X14, X15, [SP,#0x70]
ldp     X16, X17, [SP,#0x80]
ldp     X18, X19, [SP,#0x90]
ldp     X20, X21, [SP,#0xa0]
ldp     X22, X23, [SP,#0xb0]
ldp     X24, X25, [SP,#0xc0]
ldp     X26, X27, [SP,#0xd0]
ldp     X28, X29, [SP,#0xe0]
add     sp, sp, #0xf0         ;将 sp 的值指向X30 LR位置ldr     x30, [sp]             ;恢复 X30 寄存器
add     sp, sp, #0x20         ;将 sp 的值还原,origin_sp没用到

恢复寄存后,我们还需要再跳转到原函数继续执行,执行覆盖指令的最后一行:

ldr   x0, ret_addr
br    x0

这样,一个hook方案的框架就设计好了。

例子

我们尝试对libc.so 中的 fopen 函数进行 inlinehook。

#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <sys/mman.h>
#include <dlfcn.h>int main()
{void *handle = dlopen("libc.so", RTLD_NOW);void *hook_addr = dlsym(handle, "fopen");printf("hook_addr = %p\n", hook_addr);return 0;
}

使用,dlopen 与 dlsym 找到 fopen 函数的地址:

sailfish:/data/local/tmp # ./inlinehook                                      
hook_addr = 0x724f5433d4

运行编译后的程序,确认可以正确的获取到地址。如果是32位的so,这个地址可能是一个奇数,说明它是thumb模式。

接下来,我们编写hook函数,需要注意的是编译器对于一般的函数都会生成 prolog 和 epilog 代码,由于我们需要完全控制 hook 函数生成的汇编指令,所以需要使用裸函数,或者直接写汇编。

void __attribute__((naked)) hook_func()
{}

我们需要覆盖 fopen 函数的头部指令,需要就需要对 .text 段修改,由于 .text 是没有写权限的,所以需要使用 mprotect 函数来获取写权限。

mprotect((void *)((uint64_t)hook_addr & 0xfffffffffffff000), 0x1000, PROT_WRITE | PROT_EXEC | PROT_READ);

可以查看 /proc/pid/maps 文件,看看是否生效:

7454e64000-7454edc000 r-xp 00000000 103:12 946                           /system/lib64/libc.so
7454edc000-7454edd000 rwxp 00078000 103:12 946                           /system/lib64/libc.so
7454edd000-7454f2c000 r-xp 00079000 103:12 946                           /system/lib64/libc.so

可以看到,确实有一个段的权限变成了 rwx。

现在,可以开始覆盖指令了,但是蛋疼的地方出现了,在 ARM32 中,就非常的简单,只需要使用 LDR 就行:

LDR pc, [pc-4]
hook_func_addr

上面的这两条指令,第一条是将下一条指令内容赋值给PC,所以,第二条指令其实不是一个真实的指令,而是hook函数的地址,这样非常简单的实现了hook函数的跳转。

在ARM64中,我们无法操作pc寄存器,只能使用 B 指令来进行跳转:

LDR X0, [TARGET_ADDRESS]
BR X0
LDR X0, [SP, -0x8]

这里出现一个问题,TARGET_ADDRESS 是一个动态值,我们没办法在编译的时候确定。那该怎么办呢?需要采用一种特殊的写法:

STP X1, X0, [SP, #-0x10]   ;储存 x0,x1
LDR X0, 8                  ;将pc+8的地址处内容给x0
BR X0                      ;跳转到x0对应的地址
ADDR(64)                   ;目标地址
LDR X0, [SP, -0x8]         ;让x0指向栈顶

ADDR 是hook函数地址,将这个地址给X0,然后使用 BR X0 进行跳转。注意这个地址占据了8个字节,所以实际上相当于6条指令。

LDR X0, 8 这个需要特别解释一下,这个 ida 的 patch program 生成的偏移是相对于 so 的基址的,不是相对于 pc,想要生成相对于 pc 的指令,需要按下面的写法:

LDR X0, .+8

我看了一个开源项目,它是直接使用的 LDR X0, 8,不知道是不是汇编语言写法处理方式不一样。

在IDA中,生成这些指令的汇编代码,然后覆盖掉 fopen 的函数起始地址的6条指令:

// 指令是4字节的,使用 uint32,地址使用 unit64// STP X8, X0, [SP, #-0x60]  -> E8 03 3A A9
(*(uint32_t *)(hook_addr + 0)) = 0xA93A03E8;// LDR X0, 8 -> 40 00 00 58
(*(uint32_t *)(hook_addr + 4)) = 0x58000040;// BR X0  -> 00 00 1f d6
(*(uint32_t *)(hook_addr + 8)) = 0xd61f0000;// ADDR  -> 00 00 1f d6,这里要用64位
(*(uint64_t *)(hook_addr + 12)) = hook_func;// 被覆盖的指令操作了sp,所以需要合并计算sp的值(-0x60+0x50)
// LDR X0, [SP, #-0x10]  -> E0 03 5F F8
(*(uint32_t *)(hook_addr + 20)) = 0xF85F03E0;

这里有一些细节需要注意:

  1. 我们在 sp - 0x60 的位置写入了 X8 与 X0,这是因为我们覆盖的 fopen 指令它会操作sp,它的函数栈大小是 0x50,所以我就将X8 与 X0 放到了 fopen 操作不到的位置,避免覆盖的指令修改栈中的数据导致我们的储存的数据丢失。

  2. 存放 X8 是因为后面,我们生成跳转回来的指令时,gcc 使用到了 X8。

  3. 存放 X0 是因为我们跳转使用的是 X0 寄存器,所以需要储存,后面也要还原。

覆盖指令写好之后,我们就可以写 hook 函数了:

void __attribute__((naked)) hook_func()
{// 获取参数asm("ldr x0, [sp, #-0x58]");asm("str x0,%0":"=m"(x0));// 执行被覆盖的指令// .text:00000000000783D4 FF 43 01 D1                   SUB             SP, SP, #0x50           ; Alternative name is 'fopen'// .text:00000000000783D8 F7 0B 00 F9                   STR             X23, [SP,#0x10]// .text:00000000000783DC F6 57 02 A9                   STP             X22, X21, [SP,#0x20]// .text:00000000000783E0 F4 4F 03 A9                   STP             X20, X19, [SP,#0x30]// .text:00000000000783E4 FD 7B 04 A9                   STP             X29, X30, [SP,#0x40]// .text:00000000000783E8 FD 03 01 91                   ADD             X29, SP, #0x40asm("SUB             SP, SP, #0x50");asm("STR             X23, [SP,#0x10]");asm("STP             X22, X21, [SP,#0x20]");asm("STP             X20, X19, [SP,#0x30]");asm("STP             X29, X30, [SP,#0x40]");asm("ADD             X29, SP, #0x40");// 跳转到返回地址,这个语句生成的汇编,用到了 x8 寄存器asm("ldr x0, %0" ::"m"(hook_return_addr));// 还原 x8 寄存器的值asm("ldr x8, [sp, #-0x8]");asm("br x0");
}

hook 函数我写的比较简单,主要做了3件事:

  • 获取 X0 的值,因为X0是第一个参数,我们可以将 X0 赋值给一个全局变量,然后打印出来看是否hook成功

  • 执行被覆盖的指令,这个很简单,将 fopen 的前6条指令 copy 过来就行了

  • 执行完之后,要跳转回 fopen 继续执行,我们是先计算出了指令的地址,然后使用行内汇编来生成对应的指令

除了使用行内汇编,还可以直接使用汇编来实现,这个我也不太熟,简单介绍一下。

首先在汇编文件里面定义一个变量:

.global _shellcode_start_s

然后,将这个变量当成标号使用:

_shellcode_start_s:sub     sp, sp, #0x20

在别的C文件里面,使用 extern 就可以直接引用这变量了:

extern unsigned long _shellcode_start_s;oid *p_shellcode_start_s = &_shellcode_start_s;

这样,我们就拿到了hook函数的起始地址。有兴趣的可以看下 GitHub 的相关开源项目。

源码

#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <sys/mman.h>
#include <dlfcn.h>static uint64_t hook_return_addr;
static uint64_t x0, x1;void __attribute__((naked)) hook_func()
{// 获取参数asm("ldr x0, [sp, #-0x58]");asm("str x0,%0" : "=m"(x0));asm("str x1,%0" : "=m"(x1));// 执行被覆盖的指令// .text:00000000000783D4 FF 43 01 D1                   SUB             SP, SP, #0x50           ; Alternative name is 'fopen'// .text:00000000000783D8 F7 0B 00 F9                   STR             X23, [SP,#0x10]// .text:00000000000783DC F6 57 02 A9                   STP             X22, X21, [SP,#0x20]// .text:00000000000783E0 F4 4F 03 A9                   STP             X20, X19, [SP,#0x30]// .text:00000000000783E4 FD 7B 04 A9                   STP             X29, X30, [SP,#0x40]// .text:00000000000783E8 FD 03 01 91                   ADD             X29, SP, #0x40// .text:00000000000783EC 56 D0 3B D5                   MRS             X22, #3, c13, c0, #2// .text:00000000000783F0 C9 16 40 F9                   LDR             X9, [X22,#0x28]asm("SUB             SP, SP, #0x50");asm("STR             X23, [SP,#0x10]");asm("STP             X22, X21, [SP,#0x20]");asm("STP             X20, X19, [SP,#0x30]");asm("STP             X29, X30, [SP,#0x40]");asm("ADD             X29, SP, #0x40");// 跳转到返回地址,这个语句生成的汇编,用到了 x8 寄存器asm("ldr x0, %0" ::"m"(hook_return_addr));// 还原 x8 寄存器的值asm("ldr x8, [sp, #-0x8]");asm("br x0");
}int main()
{void *handle = dlopen("libc.so", RTLD_NOW);void *hook_addr = dlsym(handle, "fopen");if (hook_addr != NULL){hook_return_addr = hook_addr + 20;}else{return -1;}printf("hook_addr = %p\n", hook_addr);// 这里改变了 0x1000 这个范围的数据的属性mprotect((void *)((uint64_t)hook_addr & 0xfffffffffffff000), 0x1000, PROT_WRITE | PROT_EXEC | PROT_READ);// getchar();// 指令是4字节的,使用 uint32,地址使用 unit64// STP X8, X0, [SP, #-0x60]  -> E8 03 3A A9(*(uint32_t *)(hook_addr + 0)) = 0xA93A03E8;// LDR X0, 8 -> 40 00 00 58(*(uint32_t *)(hook_addr + 4)) = 0x58000040;// BR X0  -> 00 00 1f d6(*(uint32_t *)(hook_addr + 8)) = 0xd61f0000;// ADDR  -> 00 00 1f d6,这里要用64位(*(uint64_t *)(hook_addr + 12)) = hook_func;// 被覆盖的指令操作了sp,所以需要还原// LDR X0, [SP, #-0x10]  -> E0 03 5F F8(*(uint32_t *)(hook_addr + 20)) = 0xF85F03E0;printf("hook_func = %p\n", hook_func);getchar();FILE *fp = fopen("/data/local/tmp/android_server64", "rb");uint32_t data;fread(&data, 4, 1, fp);fclose(fp);printf("data = %p\n", data);printf("x0 = %s\n", x0);printf("x1 = %s\n", x1);return 0;
}

运行程序,输出:

sailfish:/data/local/tmp # ./inlinehook                         
hook_addr = 0x7c1015a3d4
hook_func = 0x5d3d3099d4data = 0x464c457f
x0 = /data/local/tmp/android_server64
x1 = rb

可以看到我们成功的hook了 fopen 函数:

  • data 是 so 文件的前4个字节,就是 .elf

  • x0 与 x1 是参数

这篇关于ARM64汇编0C - inlinehook的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1078393

相关文章

Java汇编源码如何查看环境搭建

《Java汇编源码如何查看环境搭建》:本文主要介绍如何在IntelliJIDEA开发环境中搭建字节码和汇编环境,以便更好地进行代码调优和JVM学习,首先,介绍了如何配置IntelliJIDEA以方... 目录一、简介二、在IDEA开发环境中搭建汇编环境2.1 在IDEA中搭建字节码查看环境2.1.1 搭建步

笔记整理—内核!启动!—kernel部分(2)从汇编阶段到start_kernel

kernel起始与ENTRY(stext),和uboot一样,都是从汇编阶段开始的,因为对于kernel而言,还没进行栈的维护,所以无法使用c语言。_HEAD定义了后面代码属于段名为.head .text的段。         内核起始部分代码被解压代码调用,前面关于uboot的文章中有提到过(eg:zImage)。uboot启动是无条件的,只要代码的位置对,上电就工作,kern

汇编:嵌入式软件架构学习资源

成为嵌入式软件架构设计师需要掌握多方面的知识,包括嵌入式系统、实时操作系统、硬件接口、软件设计模式等。 以下是一些推荐的博客和网站,可以帮助你深入学习嵌入式软件架构设计: ### 1. **Embedded.com**    - **网址**: [Embedded.com](https://www.embedded.com/)    - **简介**: 这是一个专注于嵌入式系统设计的专业网

GDB 查看汇编

查看汇编 x disassemble

C语言-程序环境 #预处理 #编译 #汇编 #链接 #执行环境

文章目录 前言 一、程序的环境翻译和执行环境 二、翻译环境 (一)、整体把握 (一)、编译 1、预处理(预编译) 2、编译 a、词法分析 b、语法分析 c、语义分析 d、符号汇总 3、汇编 (二)、链接 三、运行环境 总结​​​​​​​ 前言 路漫漫其修远兮,吾将上下而求索; PS:本文参考了《程序员的自我修养》,致敬大佬们! 一、程序的

Linux 技巧汇编

10个重要的Linux ps命令实战 显示所有当前进程 根据用户过滤进程 通过cpu和内存使用来过滤进程 通过进程名和PID过滤 根据线程来过滤进程 树形显示进程 显示安全信息 格式化输出root用户(真实的或有效的UID)创建的进程 使用PS实时监控进程状态 https://linux.cn/article-4743-1.html Python 云服务器应用 | Http

正点原子阿尔法ARM开发板-IMX6ULL(二)——介绍情况以及汇编

文章目录 一、裸机开发(21个)二、嵌入式Linux驱动例程三、汇编3.1 处理器内部数据传输指令3.2 存储器访问指令3.3 压栈和出栈指令3.4 跳转指令3.5 算术运算指令3.6 逻辑运算指令 一、裸机开发(21个) 二、嵌入式Linux驱动例程 三、汇编 我们在进行嵌入式 Linux 开发的时候是绝对要掌握基本的 ARM 汇编,因为 Cortex-A 芯片一

《Linux运维总结:基于X86_64+ARM64架构CPU使用docker-compose一键离线部署consul 1.18.1容器版分布式ACL集群》

总结:整理不易,如果对你有帮助,可否点赞关注一下? 更多详细内容请参考:《Linux运维篇:Linux系统运维指南》 一、部署背景 由于业务系统的特殊性,我们需要面向不通的客户安装我们的业务系统,而作为基础组件中的consul 针对不同的客户环境需要多次部署集群,作为一个运维工程师,提升工作效率也是工作中的重要一环。所以我觉得有必要针对 x86_64 + ARM64 CPU架构cons

GCC编程过程:预处理-编译-汇编-链接

 在Linux下进行C语言编程,必然要采用GNU GCC来编译C源代码生成可执行程序。 一、GCC快速入门 Gcc指令的一般格式为:Gcc [选项] 要编译的文件 [选项] [目标文件] 其中,目标文件可缺省,Gcc默认生成可执行的文件名为:编译文件.out 我们来看一下经典入门程序"Hello World!" # vi hello.c #include <stdlib.h> #

本地电脑交叉编译ffmpeg 到 windows on arm64

本地电脑交叉编译ffmpeg 到 windows on arm64 我这里有编译好的win on arm 的 ffmpeg : https://github.com/wmx-github/ffmpeg-wos-arm64-build 使用 llvm-mingw 工具链 https://github.com/mstorsjo/llvm-mingw/releases 前缀 aarch64-w64-