2017年初,在滴滴安全沙龙上,滴滴出行安全专家——付超红,针对App的攻与防进行了分享。会后大家对这个议题反响热烈,纷纷求详情求关注。现在,付超红详细整理了《Android代码入侵原理解析》,在滴滴安全应急响应中心的微信公众号开始连载。技术干货满满,敬请关注。
1.代码入侵原理
代码入侵,或者叫代码注入,指的是让目标应用/进程执行指定的代码。代码入侵,可以在应用进行运行过程中进行动态分析,也是对应用进行攻击的一种常见方式。我把代码入侵分为两种类型:静态和动态。静态代码入侵是直接修改相关代码,在应用启动和运行之前,指定代码就已经和应用代码关联起来。动态代码入侵是应用启动之后,控制应用运行进程,动态加载和运行指定代码。
2.静态代码入侵
静态代码入侵,有直接和间接的手段。
直接手段是修改应用本身代码。修改应用本身代码,在Android和iOS移动操作系统上,一般利用重打包的方式来完成。攻击者需要对应用安装包文件,完成解包、插入指定代码、重打包的三个步骤。现在用到的代码插桩技术和这个比较类似,只不过是代码注入的工作直接在编译过程中完成了。
间接手段是修改应用运行环境。关于应用运行环境,可以是修改和替换关键系统文件,如xposed通过修改应用启动的系统文件 /system/bin/app_process 实现代码注入。可以造出一套模拟的系统运行环境,如应用运行沙箱、应用双开器等。对于Android系统,可以自行修改系统编译rom。
3.动态代码入侵
这里以Android系统为例,说明动态代码入侵的整个过程(单指代码注入,不包括后续控制逻辑的实现)。动态代码入侵需要在应用进程运行过程中,控制进程加载和运行指定代码。控制应用进程,我们需要用到ptrace。ptrace是类unix系统中的一个系统调用,通过ptrace我们可以查看和修改进程的内部状态,能够修改目标进程中的寄存器和内存,实现目标进程的断点调试、监视和控制。常见的调试工具如:gdb, strace, ltrace等,这些调试工具都是依赖ptrace来工作的。
关于ptrace,可以参考维基百科的说明:https://en.wikipedia.org/wiki/Ptrace
long ptrace(int request, pid_t pid, void *addr, void *data);
pid: 目标进程
addr: 目标地址
data: 操作数据
request:
PTRACE_ATTACH
PTRACE_DETACH
PTRACE_CONT
PTRACE_GETREGS
PTRACE_SETREGS
PTRACE_POKETEXT
PTRACE_PEEKTEXT
ptrace的功能主要是以下:
1)进程挂载
2)进程脱离
3)进程运行
4)读寄存器
5)写寄存器
6)读内存
7)写内存
进程被挂载后处于跟踪状态(traced mode),这种状态下运行的进程收到任何signal信号都会停止运行。利用这个特性,可以很方便地对进程持续性的操作:查看、修改、确认、继续修改,直到满足要求为止。进程脱离挂载后,会继续以正常模式(untraced mode)运行。
3.1 动态代码注入的步骤
1)挂载进程
2)备份进程现场
3)代码注入
4)恢复现场
5)脱离挂载
其中,代码注入的过程相对复杂,因为代码注入过程和cpu架构强相关,需要先了解Android系统底层的ARM架构。
3.2 ARM架构简介
ARM处理器在用户模式和系统模式下有16个公共寄存器:r0~r15。
有特殊用途的通用寄存器(除了做通用寄存器,还有以下功能):
r0~r3: 函数调用时用来传递参数,最多4个参数,多于4个参数时使用堆栈传递多余的参数。其中,r0还用来存储函数返回值。
r13:堆栈指针寄存器sp。
r14:链接寄存器lr,一般用来表示程序的返回地址。
r15:程序计数器pc,当前指令地址。
状态寄存器cpsr:
N=1:负数或小于(negtive)
Z=1:等于零(zero)
C=1:有进位或借位扩展
V=1:有溢出
I=1:IRQ禁止interrupt
F=1:FIQ禁止fast
T=1/0:Thumb/ARM状态位
其中,T位需要注意。程序计数器pc(r15)末位为1时T位置1,否则T位置0。
代码动态注入过程中,前面的准备和后面的收尾工作比较简单,较复杂的是中间的代码注入。整体过程的基础代码如下:
3.3 代码注入过程
代码注入需要完成在目标进程内加载和运行指定代码。指定代码的一般形式是so文件。动态加载so需要使用到linker提供的相关方法。关于linker,请阅读《程序员的自我修养-链接、装载与库》。具体来说,代码注入过程分为三步,也就是三次函数调用:
1)dlopen加载so文件
2)dlsym获取so的入口函数地址
3)调用so入口函数
和正常调用函数相比,通过ptrace在目标进程中调用函数是完全不同的,是通过直接修改寄存器和内存数据来实现函数调用。具体来说,有几点需要注意:
1)获取函数地址
调用函数首先要知道函数地址。因为ASLR(地址空间格局随机化,Address Space Layout Randomization)的影响,父进程孵化子进程时,系统动态库的基地址会随机变化,具体表现为,相同的系统动态库在不同子进程中的内存地址是不同的。我们可以利用下面的简单公式来计算得到我们需要用到的相关函数在目标进程中的地址:address = base + offset
其中,base是函数实现所在动态库的基地址,offset是函数在动态库中的偏移地址。
在Linux系统中,可以通过/proc/<pid>/maps查看进程的虚拟地址空间(查看非当前进程需要root权限),包括进程的所有动态库的base。通过动态库文件名查询虚拟地址空间获取base。offset值是函数地址在动态库中的偏移,可以直接静态查看动态库文件获得函数偏移地址,也可以在其他应用运行时计算得出:offset = address – base。具体到代码注入,需要用到的函数dlopen和dlsym,其实现代码所在文件为 /system/bin/linker(为什么开发过程中使用dlopen、dlsym, 编译时链接的是文件libdl.so,运行时链接的却是另外一个文件 /system/bin/linker,这里不做详述)。
2)函数调用参数传递和返回值获取
对于ARM体系来说,函数调用遵循的是 ATPCS(ARM-Thumb Procedure Call Standard),ATPCS建议函数的形参不超过4个,如果形参个数少于或等于4,则形参由R0、R1、R2、R3四个寄存器进行传递;若形参个数大于4,大于4的部分必须通过堆栈进行传递。函数调用的返回值通过R0传递。
3) 内存分配/获取
像字符串类型这样的参数运行时需要占用内存。当然我们可以通过调用malloc来动态申请内存。但是,正如之前介绍的,通过ptrace进行函数调用的过程有些复杂。我们直接使用栈的内存空间更加方便。通过栈指针sp,我们将数据放到栈暂时不用的内存空间,也能省去释放内存空间的繁琐。
4)函数调用后重获控制权
代码注入需要多次函数调用,我们希望调用第一个函数之后,进程马上停下来,等待后续其他的函数调用。这里,我们需要使用到lr寄存器。通过设置lr为非法地址(一般设为0),可以使得函数返回时出错,触发非法指令的signal信号,进程停止。然后,我们可以重设进程状态,执行后面其他的函数调用。