Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Method Hooking в Android

Positive Development User Group
May 30, 2018
Technology
0
160

Method Hooking в Android

Доклад Александра Гузенко (Tinkoff) для PDUG-секции на PHDays 8.

Positive Development User Group

May 30, 2018
Tweet

More Decks by Positive Development User Group

See All by Positive Development User Group
JavaScript: анализируем динамику статикой
pdugslides
0
27
SAST, CWE, SEI CERT и другие умные слова из мира информационной безопасности
pdugslides
0
180
Уязвимости в процессе десериализации в .NET: прошлое, настоящее и будущее
pdugslides
0
32
Даром преподаватели время со мною тратили…
pdugslides
0
67
Как создать GDPR-compliant-продукт
pdugslides
0
49
Актуальные вопросы безопасности Android-приложений
pdugslides
1
100
Конвейер непрерывной проверки приложений на безопасность
pdugslides
0
35
Построение процесса безопасного программирования
pdugslides
1
73
Моделирование угроз: делаем вовремя вместе с командой разработки
pdugslides
0
56

Other Decks in Technology

See All in Technology
pandasはPolarsに性能面で追いつき追い越せるのか
vaaaaanquish
4
4.3k
20241031_AWS_生成AIハッカソン_GenMuck
tsumita
0
110
話題のGraphRAG、その可能性と課題を理解する
hide212131
4
1.4k
Shift-from-React-to-Vue
calm1205
3
1.2k
で、ValhallaのValue Classってどうなったの?
skrb
1
660
CAMERA-Suite: 広告文生成のための評価スイート / ai-camera-suite
cyberagentdevelopers
PRO
3
260
独自ツール開発でスタジオ撮影をDX!「VLS(Virtual LED Studio)」 / dx-studio-vls
cyberagentdevelopers
PRO
1
170
フルカイテン株式会社 採用資料
fullkaiten
0
36k
生成AIの強みと弱みを理解して、生成AIがもたらすパワーをプロダクトの価値へ繋げるために実践したこと / advance-ai-generating
cyberagentdevelopers
PRO
1
180
カメラを用いた店内計測におけるオプトインの仕組みの実現 / ai-optin-camera
cyberagentdevelopers
PRO
1
120
プロダクトチームへのSystem Risk Records導入・運用事例の紹介/Introduction and Case Studies on Implementing and Operating System Risk Records for Product Teams
taddy_919
1
160
Jr. Championsになって、強く連携しながらAWSをもっと使いたい!~AWSに対する期待と行動~
amixedcolor
0
180

Featured

See All Featured
The World Runs on Bad Software
bkeepers
PRO
65
11k
Being A Developer After 40
akosma
86
590k
Documentation Writing (for coders)
carmenintech
65
4.4k
Automating Front-end Workflow
addyosmani
1365
200k
What's in a price? How to price your products and services
michaelherold
243
12k
Imperfection Machines: The Place of Print at Facebook
scottboms
264
13k
Speed Design
sergeychernyshev
24
570
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
364
22k
The Cost Of JavaScript in 2023
addyosmani
45
6.6k
Embracing the Ebb and Flow
colly
84
4.4k

Transcript

  1. Заголовок ptsecurity.com Method Hooking в Android Android разработчик Tinkoff Гузенко

    Александр Сергеевич

  2. Заголовок HCE (Host-based Card Emulation) — технология для совершения бесконтактных

    платежей со смартфонов Android Предыстория

  3. Заголовок Перехват (англ. hooking) — технология, позволяющая изменить стандартное поведение

    тех или иных компонентов. Injector — программа-помощник, которая встраивает наш hooked код вместо оригинального Основные понятия

  4. Заголовок ➔ Прикрепляемся к процессу ➔ Ставим указатель на адрес

    нужной нам функции (захуканной) ➔ Выполняем функцию ➔ Сохраняем полученное значение ➔ Возвращаемся обратно, как будто вызвали обычную функцию Как работает method hooking

  5. Заголовок Original Hooked Метод Hooking

  6. Заголовок Original Hooked Метод Hooking

  7. Заголовок С++ Hooked Метод Hooking

  8. Заголовок С++ Hooked Метод Hooking jmp (место в памяти нашего

    hooked метода)

  9. Заголовок testprogram.exe: 5 + 5 = 10 testprogram.exe: 5 +

    5 = 10 testprogram.exe: 5 + 5 = 10 your program has been hacked! testprogram.exe: 5 + 5 = 1010 your program has been hacked! testprogram.exe: 5 + 5 = 1010 your program has been hacked! testprogram.exe: 5 + 5 = 1010 Метод Hooking

  10. Заголовок Метод Hooking

  11. Заголовок ➔ Используя malloc/calloc , копируем название нужной библиотеки в

    сторонний процесс. ➔ Загружаем нужную библиотеку, вызывая dlopen . ➔ Находим адрес нашей hooked функции с помощью dlsym. ➔ Вызываем нашу hooked функцию. ➔ Выгружаем загруженную библиотеку, используя функцию dlclose. Детальнее о Hooking

  12. Заголовок Трассиро́вка - процесс пошагового выполнения программы. Основные понятия

  13. Заголовок Функция Ptrace() #include <sys/ptrace.h> long ptrace(enum __ptrace_request request, pid_t

    pid, void *addr, void *data); Системная функция ptrace () предоставляет средство, с помощью которого один процесс («трассировщик») может наблюдать и контролировать выполнение другого процесса («трассировка»), а также проверять и изменять память и регистры трассировки. В основном, он используется для реализации отладки и трассировки системных вызовов. Метод Hooking

  14. Заголовок libc function address = libc start address + function

    offset Где: libc start address — константа (0xb7e22000 – например, для какого-то ‘заражённого’ бинарника) Отступ функции от начала библиотеки (ищется с помощью “readelf -s libc.so.fun_name | grep “) Если бы было всё просто

  15. Заголовок ASLR (англ. address space layout randomization — «рандомизация размещения

    адресного пространства») — технология, применяемая в операционных системах, при использовании которой случайным образом изменяется расположение в адресном пространстве процесса важных структур данных, а именно образов исполняемого файла, подгружаемых библиотек, кучи и стека. Address space layout randomization

  16. Заголовок Основные понятия

  17. Заголовок Покажите мне код

  18. Заголовок REMOTE_ADDRESS = REMOTE_BASE + (LOCAL_ADDRESS - LOCAL_BASE ) Injector

  19. Заголовок PC ( R15 ) – (англ. program counter) —

    регистр процессора, который указывает, какую команду нужно выполнять следующей. LR ( R14 ) – (англ. Link register) — регистр, хранящий адрес, куда будем возвращаться после выполнения функции R0-R3 — вспомогательные регистры. Сначала хранят первые 4 аргумента, после выполнения в R0 лежит значение выполнившейся функции. R13 – регистр, в котором хранится адрес на стек. Основные понятия

  20. Заголовок • Первые 4 аргумента кладутся в регистры R0-R3. •

    Если есть ещё какие-то – они кладутся в стек (R13) . • В регистр PC ( R15 ) кладётся указатель на функцию. • В регистр LR ( R14 ) кладётся адрес, куда нам вернуться. • Возвращаемое значение складывается в регистр R0. Конвенция ARM

  21. Заголовок • Используем PTRACE_GETREGS для сохранения текущих регистров. • Расставляем

    регистры в соответствии с конвенцией (R0 – R3, если мало – кладём в стек). • Ставим 0 в LR, чтобы мы смогли поймать SIGSEGV после вызова функции. • Кладём в PC адрес функции. • Обновляем регистры с помощью PTRACE_SETREGS. • Стартуем функцию с помощью PTRACE_CONT и ждём SIGSEGV (потому что 0 в LR). • Забираем и сохраняем данные из регистра R0. • Восстанавливаем оригинальные регистры. Как происходит инъекция

  22. Заголовок Покажите мне код

  23. Заголовок Покажите мне код

  24. Заголовок Покажите мне код

  25. Заголовок Демо Legend

  26. Заголовок Демо Xposed

  27. Заголовок 1. Не используйте рутованный девайс. 2. Думайте, какие приложения

    ставите. 3. Пользуйтесь разными flavors для дебага и релиза Способы защиты

  28. Заголовок • https://github.com/asLody/legend • https://github.com/antojoseph/frida-android-hooks • https://github.com/rk700/YAHFA • http://d3adend.org/blog/?p=589 •

    https://www.evilsocket.net/2015/05/01/dynamically-inject-a-shared-library-into- a-running-process-on-androidarm/ • https://shunix.com/shared-library-injection-in-android/ • https://github.com/evilsocket/arminject/ • https://en.wikipedia.org/wiki/Address_space_layout_randomization • https://www.youtube.com/watch?v=1S0aBV-Waeo • https://www.nccgroup.trust/us/about-us/newsroom-and- events/blog/2015/september/code-injection-on-android/ • http://resources.infosecinstitute.com/android-hacking-and-security-part-25- hooking-and-patching-android-apps-using-xposed-framework/#gref Ссылки

  29. Заголовок ptsecurity.com Спасибо! Спасибо!