'2018/07 글 목록

ARM의 코드 실행 모드는 x86과는 다르게 2 or 4바이트씩 처리하는 thumb모드, 4바이트씩 처리하는 arm모드, 두 종류로 나뉩니다.

안드로이드에서 동작하는 대부분의 프로그램(executable)들은 arm과 thumb이 결합된 모드로 컴파일 되어 있습니다.

한 프로그램 내에서 함수에 따라 모드가 달라질 수 있습니다.

아래의 예시 그림은 동일한 파일임에도 각각 다른 모드로 컴파일 되었음을 보여줍니다

THUMB MODE

ARM MODE

x86 후킹과 달리 ARM 후킹은 코드 재배치를 고려해야 하는 경우가 많습니다.

그 이유는 x86은 점프에 필요한 바이트가 단지 5바이트이고, 함수의 프롤로그가 아래와 유사한 경우가 많습니다.

8B FF MOV EDI, EDI

55 PUSH EBP

88 EC MOV EBP, ESP

위의 5바이트는 매우 단순하며, 점프 주소에 복사되어 실행되어도 아무런 문제가 없습니다.

반면, THUMB모드 후킹의 경우는 8바이트가 필요하며(명령어 4바이트, 점프 주소 4바이트), 함수의 프롤로그가 아래와 유사한 경우가 많습니다. (arm 모드 후킹은 추후 다루겠습니다.)

F0 B5 PUSH { R4-R7, LR }

위의 2바이트는 점프 주소에 복사되어 실행되어도 문제없어 보이지만, 이어지는 6바이트가 실행될 때 crash가 야기될 수 있습니다.

아래와 같은 함수가 있다고 가정합니다.

F0 B5 PUSH { R4-R7, LR}

1F 1C MOVS R7, R3

A8 23 MOVS R3, #168

78 4C LDR R4, [PC, #480]

... 후략

7, 8바이트에서 PC + 480 의 값을 참조합니다. 만약 해당 코드가 점프 주소에 그대로 복사되어 실행된다면 엉뚱한 값을 참조하게 되어 결국 의도하지 않은 지점에서 crash가 발생하게 될 것입니다.

이해를 돕기 위한 그림을 첨부합니다.

이러한 문제들이 발생할 수 있는 가능성이 있기 때문에, 코드 재배치를 해주어야 합니다.

재배치가 고려되어야 할 코드들은 아래와 같습니다.

THUMB16	THUMB32	ARM
B <label>	심심할때 작성..	심심할때 작성..
BX PC
ADD <Rdn>, PC
MOV Rd, PC
ADR Rd, <label>
LDR Rt, <label>
CB{N}Z <Rn>, <label>

오리지널 코드 4번째 줄에 LDR이 보이므로, 코드 재배치를 해야 합니다.

우선 특정 주소에서 값을 가져와서 r4에 저장할 코드의 일반적인 형태는 다음과 같습니다.

00 4C ldr r4, [PC] <-- 0xdeadbeef를 취함

01 E0 B PC, #2 <-- 값을 취했으므로 다음 코드를 실행 (B PC, #2)

ef be ad de <-- 원래의 함수에서 의도된 값

0xdeadbeef는 아래와 같은 수식으로 취할 수 있습니다.

value = (unsigned int*) (Align(pc) + (앞 1바이트 * 2));

구체적으로 풀어보면,

0x78 0x4c에서 0x78만 취한다음, *2를 합니다. (=480) 그 다음 pc를 4바이트 단위로 align합니다.

align 예시)

PC	PC align
0x87F0	0x87F0
0x87F2	0x87F0
0x87F4	0x87F4
0x87F6	0x87F4
0x87F8	0x87F8

0x87F2: ldr r4, [pc, #480] 일 경우, pc는 0x87F4가 됩니다.

0x87F4(align 하였음) + 480(0x1e0) = 0x89d4 를 살펴보면..

0x89D4: C4 FA FF FF 가 보이네요.

0xFFFFFAC4를 취하면 됩니다. (위의 그림 참조)

아래와 같이 재배치를 할 수 있습니다. 재배치가 필요 없는 코드는 그대로 복사하면 됩니다. (malloc 후에 재배치)

0x789e0001: f0 b5 push {r4, r5, r6, r7, lr}

0x789e0003: 1f 1c adds r7, r3, #0

0x789e0005: a8 23 movs r3, #168

0x789e0007: 00 4c ldr r4, [pc, #0] ; (0x789e0008)

0x789e0009: 01 e0 b.n 0x789e000e

0x789e000b: c4 fa ff ff

그런데 뭔가 이상하군요. 0x789e0007 를 보시면 pc + 0x0라인 지점이 영 좋지 않은 곳을 가리켜서 crash가 발생합니다. 의도한대로라면 0x789e000b을 가리켜야 하는데 말이죠.

이는 2바이트씩 align이 되어 발생한 문제입니다. 이를 해결하려면 thumb16 코드(4바이트 코드는 thumb32라 합니다.) 중간중간에 nop를 삽입시켜주면 됩니다.

0x78dfc001: f0 b5 push {r4, r5, r6, r7, lr}

0x78dfc003: 00 bf nop

0x78dfc005: 1f 1c adds r7, r3, #0

0x78dfc007: 00 bf nop

0x78dfc009: a8 23 movs r3, #168 ; 0xa8

0x78dfc00b: 00 bf nop

0x78dfc00d: 00 4c ldr r4, [pc, #0] ; (0x78dfc010) // (thumb모드이므로 해석된 주소에서 +1씩 더해서 계산해야 합니다.)

0x78dfc00f: 01 e0 b.n 0x78dfc014

0x78dfc011: c4 fa ff ff

이제 잘 동작합니다. GOOD!

[TIP]

gdb 사용시 align을 맞추기 위해 아래 명령어를 실행해 주세요. 한 바이트씩 밀리는 것을 방지하여 줍니다.

(gdb) set arm fallback-mode thumb

특정 주소를 보는 방법은 dias /r 0xStart 0xEnd

'Android Linux' 카테고리의 다른 글

jni(arm64-v8a) NOX 개발 환경 구축하기 (0)	2021.02.05
gdb 7.11 (arm 32bit) (0)	2020.10.15
classes.dex memory dump (0)	2018.07.19
안드로이드 후킹, 메모리 변조 : dalvik 바이트코드 변조 (0)	2018.07.04
안드로이드 후킹, 메모리 변조 : frida framework를 활용한 dex 함수 후킹 (0)	2018.07.01

메모리 및 파일에 프로세스에 매핑 된 classes.dex를 저장하는 방법입니다.

저장 중에 ptrace가 실패할 경우 0xdeadbeef 가 저장됩니다.

#include <stdio.h>
#include <stdlib.h>
#include <sys/mman.h>
#include <dirent.h>
#include <stdbool.h>
#include <fcntl.h>
#include <errno.h>
#include <sys/ptrace.h>

#define APK_NAME "codetronik.rootchecker"

pid_t GetPid(const char* process_name) 
{

DIR* dir = opendir("/proc");
	if (dir == NULL)
	{
		return -1;
	}
	struct dirent* entry;
	while ((entry = readdir(dir)) != NULL) 
	{
		int pid = atoi(entry->d_name);
	
		if (pid == 0)
		{
			continue;
		}
		char path[128];
		snprintf(path, 128, "/proc/%d/cmdline", pid);
		FILE *fp = fopen(path, "r");
		char temp_name[128];
		if (fp == NULL)
		{
			continue;	
		}
		fgets(temp_name, 128, fp);
		fclose(fp);
		if (0 == strcmp(process_name, temp_name))
		{
			return pid;
		}
		
		
	}
	return -1;
}

int main(int argc, char **argv)
{		
	long success;
	FILE *maps = NULL;
	int fd = 0;
	unsigned char* pDexMem = NULL;
	
	
	pid_t pid = GetPid(APK_NAME);
	if (-1 == pid)
	{
		printf("no process\n");
		goto EXIT_ERROR;
	}	
		
	char buf_line[512];
	size_t memSize = 0;
	size_t imageStartAddr =  0;
	size_t imageEndAddr = 0;

char pidPath[128];
	sprintf(pidPath, "/proc/%d/maps", pid);
	maps = fopen(pidPath, "r");		
	bool first = true;
	while (fgets(buf_line, 512, maps))
	{
		if (strstr(buf_line, "classes.dex") && strstr(buf_line, APK_NAME))
		{	
			size_t temp1 = 0;
			size_t temp2 = 0;
			
			sscanf(buf_line, "%zx-%zx", &temp1, &temp2);
			printf("%s",buf_line);

if (first == true)
			{
				imageStartAddr = temp1;
				first = false;
			}
			if (temp2 > imageEndAddr)
			{
				imageEndAddr = temp2;
			}		
		} 
	}
	printf("start %zx end %zx\n", imageStartAddr, imageEndAddr);
	if (0 == imageStartAddr || 0 == imageEndAddr)
	{
		printf("cannot find classes.dex\n");
		goto EXIT_ERROR;
	}
	fclose(maps);
	maps = NULL;

memSize = imageEndAddr - imageStartAddr;
	pDexMem = malloc(memSize);
	
		
	fd = open("memory", O_WRONLY | O_TRUNC | O_CREAT, 0777);
	if (-1 == fd)
	{
		printf("cannot create file.\n");
		goto EXIT_ERROR;
	}

success = ptrace(PTRACE_ATTACH, pid, NULL, NULL);
	if (-1 == success)
	{
		printf("process attach error\n");
		goto EXIT_ERROR;
	}

int i;
	for (i = 0; imageStartAddr + i < imageEndAddr; i = i + sizeof(long))
	{	
		long data;
		data = ptrace(PTRACE_PEEKDATA, pid, (void *)imageStartAddr + i, NULL);
		if (-1 == data)
		{		
			data = 0xdeadbeef;
			printf("peekdata error! address : %zx (%d)\n", imageStartAddr+i, errno);		
		}
		
		// write to local var
		memcpy(pDexMem + i, &data, sizeof(long));		
	
		ssize_t written = write(fd, &data, sizeof(long));
		if (-1 == written)
		{
			printf("writing error!\n");
			goto EXIT_ERROR;
		}

}

ptrace(PTRACE_DETACH, pid, NULL, NULL);

goto EXIT;
EXIT_ERROR:
EXIT:
	if (fd)
	{
		close(fd);
	}
	if (maps)
	{
		fclose(maps);
	}
	if (pDexMem)
	{
		free(pDexMem);
	}
	
	return 0;
}

'Android Linux' 카테고리의 다른 글

gdb 7.11 (arm 32bit) (0)	2020.10.15
안드로이드 후킹, 메모리 변조 : 코드 후킹과 재배치(relocation) (0)	2018.07.23
안드로이드 후킹, 메모리 변조 : dalvik 바이트코드 변조 (0)	2018.07.04
안드로이드 후킹, 메모리 변조 : frida framework를 활용한 dex 함수 후킹 (0)	2018.07.01
[KERNEL MODULE] linux kernel 4.6 이상에서 file hash 구하기 (0)	2017.11.27

본 포스팅에서는 dalvik 바이트코드를 메모리에서 변조하는 방법을 다룹니다.

필자의 테스트 환경

- galaxy S5

- Android 4.4.2

- Snapdragon 805 (32bit)

"안드로이드 후킹, 메모리 변조 : frida framework를 활용한 dex 함수 후킹" 포스트에서 사용한 apk를 그대로 사용합니다.

우선, ida로 classes.dex를 연 다음 check_file 함수를 찾습니다. su 파일 경로를 인자로 전달받아, 파일이 존재하면 true를 리턴하는 함수입니다.

이 함수를 무조건 false를 리턴하게 하면 되겠지요.

CODE:00132C60                   private boolean codetronik.rootchecker.RootChecker.check_file(
CODE:00132C60                         java.lang.String su_path)
CODE:00132C60                   this = v3                               # CODE XREF: RootChecker_check_su_files@L+5A↓p
CODE:00132C60                   su_path = v4
CODE:00132C60                                   .line 40
CODE:00132C60 0012                              const/4                         v0, 0
CODE:00132C62                   .local name:'result' type:'Z'
CODE:00132C62                   result = v0
CODE:00132C62                                   .line 41
CODE:00132C62 0122 0856                         new-instance                    v1, <t: File>
CODE:00132C66 2070 42D9 0041                    invoke-direct                   {v1, su_path}, <void File.<init>(ref) imp. @ _def_File__init_@VL>
CODE:00132C6C                   .local name:'su' type:'Ljava/io/File;'
CODE:00132C6C                   su = v1
CODE:00132C6C                                   .line 42
CODE:00132C6C 0138 0014                         if-eqz                          su, locret
CODE:00132C70 106E 42DF 0001                    invoke-virtual                  {su}, <boolean File.exists() imp. @ _def_File_exists@Z>
CODE:00132C76 020A                              move-result                     v2
CODE:00132C78 0238 000E                         if-eqz                          v2, locret
CODE:00132C7C 106E 42E6 0001                    invoke-virtual                  {su}, <boolean File.isFile() imp. @ _def_File_isFile@Z>
CODE:00132C82 020A                              move-result                     v2
CODE:00132C84 0238 0008                         if-eqz                          v2, locret
CODE:00132C88                                   .line 44
CODE:00132C88 1012                              const/4                         result, 1
CODE:00132C8A                                   .line 45
CODE:00132C8A 021A 2779                         const-string                    v2, aCodetroniklog # "codetronikLog"
CODE:00132C8E 2071 3CCC 0042                    invoke-static                   {v2, su_path}, <int Log.d(ref, ref) imp. @ _def_Log_d@ILL>
CODE:00132C94
CODE:00132C94                   locret:                                 # CODE XREF: RootChecker_check_file@ZL+C↑j
CODE:00132C94                                                           # RootChecker_check_file@ZL+18↑j ...
CODE:00132C94                                   .line 47
CODE:00132C94 000F                              return                          v0

현재 바이트 파싱이 big endian으로 되어있기 때문에 바이트를 뒤집어서 보셔야 합니다.

각 바이트들이 무엇을 의미하는지는 http://pallergabor.uw.hu/androidblog/dalvik_opcodes.html 에 자세하게 설명되어 있습니다.

함수의 마지막 줄을 보면 v0을 리턴하게 됩니다. 참고로 0이 true이고 1이 false입니다.

v0이 0또는 1로 설정되어 리턴하는 것을 보실 수 있습니다.

첫 줄을 보면, hex 0x12는 4비트를 변수에 설정하는 opcode입니다.

보통 0x12 0xXY 형태로 사용합니다.

X는 설정할 값이고, Y는 변수입니다.

Y=0이면 v0, Y=1이면 v1, Y=2이면 v2 이런 식입니다.

우리는 v0 값을 false로 설정할 것이므로, 0x12 0x10 으로 메모리를 변조하면 됩니다.

0x12 0x10 수행 후, 0x00 0x0F 를 통해 리턴을 하게 하면 무조건 false를 리턴하게 되겠지요.

이제, classes.dex 메모리를 ptrace를 통해 변조하면 됩니다.

classes.dex 파일에서는 check_file 함수의 offset이 0x132C60이었는데, 메모리에 매핑될 때는 앞에 부가적인 데이터들이 삽입됩니다. (0x28 바이트 고정)

이 데이터들을 건너뛰면, 해당 함수의 offset은 "dex" signature offset으로부터 0x132C60에 위치하게 됩니다.

76958000-769fe000 r--p 00000000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
769fe000-769ff000 r--p 000a6000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
769ff000-76a5e000 r--p 000a7000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a5e000-76a5f000 r--p 00106000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a5f000-76a60000 r--p 00107000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a60000-76a62000 r--p 00108000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a62000-76a69000 r--p 0010a000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a69000-76a6a000 r--p 00111000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a6a000-76a71000 r--p 00112000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a71000-76a72000 r--p 00119000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a72000-76a73000 r--p 0011a000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a73000-76a74000 r--p 0011b000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a74000-76a75000 r--p 0011c000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a75000-76a78000 r--p 0011d000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a78000-76a7d000 r--p 00120000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a7d000-76a7e000 r--p 00125000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a7e000-76a84000 r--p 00126000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a84000-76a85000 r--p 0012c000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a85000-76b90000 r--p 0012d000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex

아래 그림은 0x76958000 를 덤프한 그림입니다. (메모리 덤프 방법은 http://codetronik.tistory.com/118 참조하세요.

아래 코드와 같이 dex 메모리를 변조할 수 있습니다.

ptrace에서 메모리를 read/write할 때, 사이즈 단위가 long이므로 (테스트한 단말기 환경에서는 4바이트), 아래의 PtraceWrite와 같은 패치 코드를 나눠서 write할 수 있는 함수를 작성해야 합니다.

정상적으로 패치가 되면 아래 화면처럼 null이 나타납니다.

'Android Linux' 카테고리의 다른 글

안드로이드 후킹, 메모리 변조 : 코드 후킹과 재배치(relocation) (0)	2018.07.23
classes.dex memory dump (0)	2018.07.19
안드로이드 후킹, 메모리 변조 : frida framework를 활용한 dex 함수 후킹 (0)	2018.07.01
[KERNEL MODULE] linux kernel 4.6 이상에서 file hash 구하기 (0)	2017.11.27
시스템 콜(syscall) 함수 직접 호출하기 (0)	2017.11.01

본 포스팅에서는 FRIDA 프레임워크를 통한 후킹 방법을 설명합니다.

FRIDA를 설치하기 위해선 반드시 ROOT 권한이 필요합니다. 각자 환경에 맞는 루팅을 진행해주시면 됩니다.

필자의 테스트 환경

- galaxy S5

- Android 4.4.2

- Snapdragon 805 (32bit)

설치 준비물은 아래와 같습니다.

- Python 3.7

- frida-server-xx.y.zz-android-arm.xz (https://github.com/frida/frida/releases 에서 각자 환경에 맞는 최신 자료를 다운로드)

(갤럭시탭A 2017은 14.2.13버전 적합)

1. 단말기에 설치

adb shell 접속 후, /system의 read-only 권한을 쓰기 권한으로 변경하여야 합니다.

모든 권한은 항상 ROOT입니다.

mount -o rw,remount /system

(에러 발생 시 mount -o rw,remount / )

/system/priv-app 에 xz파일 압축 해제

mount -o ro,remount /system

단말기를 재부팅한 후에 서버를 구동합니다.

/system/priv-app/frida-server &

(remote 시 /frida-server -l(엘) 아이피 &

2. 윈도우에 설치

파이선 설치는 가능하면 d:\python와 같은 짧은 경로로 설치합니다.

설치가 끝나면 아래 명령어를 실행합니다.

c:\>pip install frida

c:\> pip install frida-tools // frida.exe를 설치해주며(필수), 최신버전 frida도 함께 설치해줌

(특징 버전 설치: pip install frida==14.2.13)

설치가 정상적으로 되었다면 frida-ps -U 로 안드로이드 내의 프로세스가 보이는지 확인합니다.

(remote 시 frida-ps -H 아이피)

이제 모든 준비가 끝났습니다. 이제부터 실전 예제를 통해 후킹 방법을 설명합니다.

제가 준비한 예제는 다음과 같습니다. apk를 단말기에 설치합니다.

- 루팅 감지

소스 : https://github.com/codetronik/RootChecker

codetronik.rootchecker.apk

다운로드

후킹에 앞서, dex 디컴파일러로 dex의 구조를 파악해봅니다.

무료 디컴파일러 중에선 jadx가 유용합니다.

jadx로 열어보면 위와 같은 소스코드가 보입니다. frida로 하나씩 후킹해보도록 하겠습니다.

후킹 소스의 기본 틀은 아래와 같습니다.

import frida, sys jscode= """ Java.perform(function() { }); """ try: process = frida.get_usb_device().attach("codetronik.rootchecker") script = process.create_script(jscode) script.load() sys.stdin.read() except Exception as e: print(e)

후킹 코드들은 Java.perform(function(){ 후킹 코드 }); 와 같은 형태로 작성하면 됩니다.

execute_su() 함수는 su가 실행이 되면 true를 리턴합니다. 아래 코드로 우회할 수 있습니다.

단말기에서 앱을 실행 후, 후킹 소스를 실행하여 실행결과를 비교해보면 화면의 check execute su : YES에서 NO로 바뀐 것을 확인해볼 수 있습니다.

check_su_files() 함수는 su 파일이 존재하면 해당 경로를 리턴하고, 없으면 null을 리턴합니다. 마찬가지로 return null을 하면 간단히 우회할 수 있으나 임의의 경로를 인자로 넘기는 방법도 있습니다.

후킹할 함수에 인자가 있는 경우, 적절하게 overload를 해주시면 됩니다.

Byte[]	[B
String	java.lang.String
int	int

팁: 소스에서 Java.perform(function( ~~ ){}); 이외는 삭제하고, 아래와 같이 실행하면 frida가 앱을 실행하면서 후킹을 합니다.

앱 띄우면서 중단없이 후킹

frida -H 아이피 -f 앱이름 -l 소스파일명 --no-paus (원격)

frida -U -f 앱이름 -l 소스파일명 --no-paus (usb)

있던 프로세스에 attach

frida -H 아이피 앱이름 -l 소스파일명 --no-paus

android 11에서 spawn시 Error: VM::AttachCurrentThread failed: -1가 발생할 경우 쉘에서 아래 커맨드를 입력

setprop persist.device_config.runtime_native.usap_pool_enabled false

'Android Linux' 카테고리의 다른 글

classes.dex memory dump (0)	2018.07.19
안드로이드 후킹, 메모리 변조 : dalvik 바이트코드 변조 (0)	2018.07.04
[KERNEL MODULE] linux kernel 4.6 이상에서 file hash 구하기 (0)	2017.11.27
시스템 콜(syscall) 함수 직접 호출하기 (0)	2017.11.01
kdress x86 빌드 (0)	2017.10.17

Codetronik

2018/07

안드로이드 후킹, 메모리 변조 : 코드 후킹과 재배치(relocation)

'Android Linux' 카테고리의 다른 글

classes.dex memory dump

'Android Linux' 카테고리의 다른 글

안드로이드 후킹, 메모리 변조 : dalvik 바이트코드 변조

'Android Linux' 카테고리의 다른 글

안드로이드 후킹, 메모리 변조 : frida framework를 활용한 dex 함수 후킹

'Android Linux' 카테고리의 다른 글

+ Recent posts

티스토리툴바