分享一个Android 通用svc 跟踪以及hook 方案——Frida-Seccomp
本文由 简悦
SimpRead 转码, 原文地址 bbs.pediy.com
[ 原创] 分享一个Android 通用svc 跟踪以及hook 方案——Frida-Seccomp
一个Android 通用svc 跟踪以及hook 方案——Frida-Seccomp
效果:
对openat 进行跟踪
对recvfrom 进行跟踪
在这里感谢珍惜大佬介绍的
什么是seccomp
如何和frida 结合
基本原理
这是一个bpf规则:
struct sock_filter filter[] = {
BPF_STMT(BPF_LD + BPF_W + BPF_ABS,
(offsetof(struct seccomp_data, nr))),
BPF_JUMP(BPF_JMP + BPF_JEQ + BPF_K, nr, 0, 1),
BPF_STMT(BPF_RET + BPF_K, SECCOMP_RET_TRAP),
BPF_STMT(BPF_RET + BPF_K, SECCOMP_RET_ALLOW),
};
如何脚本化安装seccomp 规则呢
这里使用
const cm = new CModule(`
#include void hello(void) {
printf("Hello World from CModule\\n");
}
`);
const hello = new NativeFunction(cm.hello, 'void', []);
hello();
如何捕获异常
使用
// 异常处理
Process.setExceptionHandler(function (details) {
const current_off = details.context.pc - 4;
// 判断是否是seccomp导致的异常 读取opcode 010000d4 == svc 0
if (details.message == "system error" && details.type == "system" && hex(ptr(current_off).readByteArray(4)) == "010000d4") {
// 上锁避免多线程问题
lock(syscall_thread_ptr)
// 获取x8寄存器中的调用号
const nr = details.context.x8.toString(10);
let loginfo = "\n=================="
loginfo += `\nSVC[${syscalls[nr][1]}|${nr}] ==> PC:${addrToString(current_off)} P${Process.id}-T${Process.getCurrentThreadId()}`
// 构造线程syscall调用参数
const args = Memory.alloc(7 * 8)
args.writePointer(details.context.x8)
let args_reg_arr = {}
for (let index = 0; index < 6; index++) {
eval(`args.add(8 * (index + 1)).writePointer(details.context.x${index})`)
eval(`args_reg_arr["arg${index}"] = details.context.x${index}`)
}
// 获取手动堆栈信息
loginfo += "\n" + stacktrace(ptr(current_off), details.context.fp, details.context.sp).map(addrToString).join('\n')
// 打印传参
loginfo += "\nargs = " + JSON.stringify(args_reg_arr)
// 调用线程syscall 赋值x0寄存器
details.context.x0 = call_task(syscall_thread_ptr, args, 0)
loginfo += "\nret = " + details.context.x0.toString()
// 打印信息
call_thread_log(loginfo)
// 解锁
unlock(syscall_thread_ptr)
return true;
}
return false;
})
还有什么坑
1.syscall 调用resume
问题描述
根据
如何解决
可以注意到上面 “死锁” 部分描述,那我们在主线程被约束前,提前创建一个线程,这个线程就是不被约束的,同时受到线程池启发,我们让这个
2. 堆栈回溯
问题描述
直接使用
如何解决
手动实现堆栈回溯,原理是
function stacktrace(pc, fp, sp) {
let n = 0, stack_arr = [], fp_c = fp;
stack_arr[n++] = pc;
const mem_region = call_thread_read_maps(sp);
while (n < MAX_STACK_TRACE_DEPTH) {
if (parseInt(fp_c.toString()) < parseInt(sp.toString()) || fp_c < mem_region.start || fp_c > mem_region.end) {
break
}
let next_fp = fp_c.readPointer()
let lr = fp_c.add(8).readPointer()
fp_c = next_fp
stack_arr[n++] = lr
}
return stack_arr;
}
3.「Process.findModuleByAddress」 「Process.enumerateModules」类的API 导致崩溃或找不到Module 信息
问题描述
疑似同坑
如何解决
在
4.write 调用约束下调用Frida 的API 「send」崩溃
问题描述
同坑
如何解决
直接改用
还可以实现什么
在调用线程
GITHUB
求
https://github.com/Abbbbbi/Frida-Seccomp
如何使用
pip3 install frida
python3 multi_frida_seccomp.py
同时也自动保存到了「包名
