Android利用ptrace实现Hook API

以下内容选自《深入解析Android5.0系统》，京东，当当，亚马逊上有售。

Hook API的技术由来已久，在操作系统未能提供所需功能的情况下，利用HookAPI的手段来实现某种必需的功能也算是一种不得已的办法。

笔者了解Hook API技术最早是在十几年前，当时是在Windows平台下开发电子词典的光标取词功能。这项功能就是利用HookAPI的技术把系统的字符串输出函数替换成了电子词典中的函数，从而能得到屏幕上任何位置的字符串。无论是16位的Windows95还是32的WindwsNT都有办法向整个系统或特定的目标进程中“注入”DLL动态库，并替换掉其中的函数。

Linux平台中完成HookAPI的方法和Windows上不一样。Linux由于安全性更高，所以一般的方法难以达到目标，通常是采用ptrace函数来实现HookAPI的目的。但是调用ptrace函数需要root权限，所以开发的软件作用有限。这也是为什么HookAPI技术在Linux上并不流行。

Android上最早使用HookAPI技术的软件是“xx安全大师”，因为使用了这项“秘密武器”，所以完成了很多看起来不可思议的功能。当然现在国内市场上差不多所有的安全类软件都实现了类似的功能。和Linux下一样，使用这些功能的前提是获得root授权。

这些安全软件因为要截获系统的binder功能，所以多半是替换掉libc库的ioctl函数来达到监控binder调用的目的。下面我们也来学习如何用自己开发的动态库中的ioctl函数替换目标进程中的ioctl函数。

原理看起来并不复杂，但是实现起来却不是那么的简单，向目标进程中注入代码的步骤是：

1)       用ptrace函数attach上目标进程；

2)       让目标进程的执行流程跳转到mmap函数来分配一小段内存空间；

3)       把一段机器码拷贝到目标进程中刚分配的内存中去；

4)       最后让目标进程的执行流程跳转到注入的代码执行。

下面将详细的介绍具体的过程。

1.  attach目标进程

用ptrace函数attach上目标进程的代码如下：

ptrace(PTRACE_ATTACH, pid, NULL, 0 );

在继续操作前，需要先把目标进程的寄存器先保存起来，这样完成注入后，恢复目标进程的寄存器，目标进程就能不受影响继续执行了。

structpt_regs old_regs;

ptrace(PTRACE_GETREGS, pid, NULL, &old_regs);

2.  获取目标进程中函数地址

为了在目标进程中调用mmap函数，需要得到mmap函数在目标进程中的地址。由于函数地址相对于动态库的装载地址是固定不变的，所以本进程mmap函数的地址加上目标进程和本进程的动态库的装载地址的差值就等于目标进程的中mmap函数的地址。用公式表达如下：

目标进程函数地址=本进程函数地址 +（本进程libc库地址-目标进程lib库地址）

这样其实只要得到动态库的装载地址就能算出目标进程的mmap的地址。一种得到动态库装载地址的方法是分析Linux进程的/proc/pid/maps文件，这个文件包含了进程中所有mmap映射的地址。下面我们写一个获取动态库地址的函数，代码如下：

unsignedlong get_lib_address( pid_t pid, const char* library_name)

{

   char filename[256];

   if ( pid < 0 ) {     //得到当前进程模块地址时传入的pid参数为-1

      snprintf(filename, sizeof(filename),"/proc/self/maps");

   } else {

      snprintf(filename, sizeof(filename), "/proc/%d/maps", pid);

}

   FILE *fp = fopen( filename, "r" );

if ( fp != NULL ) {