Codetronik

https://android.googlesource.com/toolchain/llvm_android/+/master/README.md 참조하였음.

How to build in linux (or WSL for windows) 

윈도우를 위한 빌드 환경이 없으므로 wsl을 설치한다.

1. install curl & repo & python3

$ sudo apt install python3
$ sudo apt install python-is-python3
$ sudo apt install curl
$ curl https://storage.googleapis.com/git-repo-downloads/repo > repo
$ chmod 755 repo
$ cp repo ~

2. download and extract android-ndk-r25b-linux.zip

3. repo and build it

(If you want to build for windows, --no-build=linux is required.)

$ repo init -u https://android.googlesource.com/platform/manifest -b llvm-toolchain
$ cp android-ndk-r25b/toolchains/llvm/prebuilt/linux-x86_64/manifest_8490178.xml .repo/manifests
$ repo init -m manifest_8490178.xml
$ repo sync -c
$ python toolchain/llvm_android/build.py --no-build=linux

Apply to Visual Studio

1. cd C:\Microsoft\AndroidNDK

2. rename the directory on android-ndk-rXXX to android-ndk-rXXX_org

3. download & extract android-ndk-r25b-windows.zip and rename the directory android-ndk-r25b to android-ndk-rXXX

Swift에서 Objective C 호출

설정 : Build Settings -> Swift Compiler - General -> Objective-C Bridging Header 에서 헤더 설정 (보통 mm 파일 생성 시 자동 생성 됨)

// MyProject-Bridging-Header.h
#include "MyObjectiveC.h"

// MyObjectiveC.h
@interface MyObjectiveC : NSObject
-(void)Hello
@end

// MyObjectiveC.mm
@import "MyObjectiveC.h"

@implementation MyObjectiveC
-(void)Hello
{
	// do something
}

// MySwift.swift
class Test
{
	func hello()
	{
		MyObjectiveC().Hello()
	}
}

Objective C에서 Swift 호출

설정 : Build Settings -> Packaging -> Defines Module : Yes ( -Swift.h가 자동 생성됨)

// MyObjectiveC.mm
#import "MyProject-Swift.h"

void Test()
{
	[[MySwift shared] Hello];
}


// MySwift.swift
#import Foundation

@objc class MySwift : NSObject {
	@objc static let shared = MySwift()
    @objc func Hello()
    {
    	print("hello world");
    }
}

Objective C에서 C++ 호출

// Test.hpp
#pragma once

class Test
{
public:
    Test();
    void Hello();
}

void CStyle();


// Test.cpp
Test::Test()
{
}
void Test::Hello()
{
	printf("hello");
}
void CStyle()
{
	printf("C");
}

// MyObjectiveC.mm
#import "Test.hpp"

@implementation MyObjectiveC

-(void)start
{
	CStyle();
	Test test;
	test.Hello();
}

C++에서 Objective C호출

// MyCpp.cpp
#include "MyObjectiveC.h"
void func()
{
	Hello();
}

// MyObjectiveC.h
#pragma once

void Hello();

// MyObjectiveC.mm

void Hello()
{
	// do something..
}

1. Manager 생성

package com.rncli;

import com.facebook.react.ReactPackage;
import com.facebook.react.bridge.JavaScriptModule;
import com.facebook.react.bridge.NativeModule;
import com.facebook.react.bridge.ReactApplicationContext;
import com.facebook.react.uimanager.ViewManager;

import java.util.ArrayList;
import java.util.Collections;
import java.util.List;

public class Manager implements ReactPackage {

    @Override
    public List<ViewManager> createViewManagers(ReactApplicationContext reactContext) {
        return Collections.emptyList();
    }

    @Override
    public List<NativeModule> createNativeModules(
            ReactApplicationContext reactContext) {
        List<NativeModule> modules = new ArrayList<>();

        modules.add(new Module(reactContext));

        return modules;
    }


    // Backward compatibility
    public List<Class<? extends JavaScriptModule>> createJSModules() {
        return new ArrayList<>();
    }
}

2. Module 생성

package com.rncli;

import android.widget.Toast;

import com.facebook.react.bridge.NativeModule;
import com.facebook.react.bridge.ReactApplicationContext;
import com.facebook.react.bridge.ReactContext;
import com.facebook.react.bridge.ReactContextBaseJavaModule;
import com.facebook.react.bridge.ReactMethod;

import java.util.Map;
import java.util.HashMap;

import android.util.Log;

public class Module extends ReactContextBaseJavaModule {
    private static ReactApplicationContext reactContext;

    private static final String DURATION_SHORT_KEY = "SHORT";
    private static final String DURATION_LONG_KEY = "LONG";

    Module(ReactApplicationContext context) {
        super(context);
        reactContext = context;
    }


    @Override
    public String getName() {
        return "module";
    }

    @ReactMethod
    public void hello() {
       // your code
    }
    
    @ReactMethod(isBlockingSynchronousMethod = true)
    public String hi() {
       // your code
    }

}

3. MainApplication 수정

        @Override
        protected List<ReactPackage> getPackages() {
          @SuppressWarnings("UnnecessaryLocalVariable")
          List<ReactPackage> packages = new PackageList(this).getPackages();
          packages.add(new Manager()); // 추가

          return packages;
        }

4. App.js에서 호출

import { NativeModules } from 'react-native';

NativeModules.module.hello();
var r = NativeModules.module.hi();

일반적으로 release 앱 권한에서는 fork & open /proc/child_pid/maps 시 권한이 없어서 "No such file or directory" 에러가 발생한다.

이를 해결하기 위해 아래와 같이 코딩한다.

prctl(PR_SET_DUMPABLE, 1, 0, 0, 0); // enable
.. fork() 수행
.. open("/proc/child_pid/maps", ) 수행
.. ptrace() 수행
prctl(PR_SET_DUMPABLE, 0, 0, 0, 0); // disable

https://android.googlesource.com/platform/frameworks/base/+/master/core/jni/com_android_internal_os_Zygote.cpp 의 EnableDebugger()를 참조하였음

또한,  EnableDebugger()을 앱에 인젝션 하면 앱 디버깅 시 manifest를 수정하지 않아도 될 것 같다. (참고 : https://codetronik.tistory.com/165?category=1096665) 

1. 리패키징 혹은 개발 과정에서 아래 코드를 추가

// build.gradle에 추가
buildTypes {
	release {
		debuggable true
	}
    
// AndroidManifest.xml에 추가
<application
	android:debuggable="true"     
	tools:ignore="HardcodedDebugMode">

2. adb forward tcp:23946 tcp:23946

3. adb push c:\ida\dbgsrv\android_server64 /data/local/tmp

4. 안드로이드에서 /android_server64 &

5. IDA->Debugger->Attach->Remote ARM Linux/Android debugger

6. Hostname 127.0.0.1 Port 23946

7. Run!

8. 앱 선택 후 attach 되면 F9

9. got SIGCHLD signal 창이 뜨면 F9클릭 후 Yes 클릭

	var access = Module.findExportByName(null, "access");
	Interceptor.attach(access, {
		onEnter: function(args) {			
			console.log("path : " + Memory.readUtf8String(args[0]));
		}
	});

해결 방법

https://store.rg-adguard.net

9P3395VX91NR  입력

Microsoft.UI.Xaml.2.6 appx 다운로드

deallocate시 문자열 길이 단위는 0x10이며, 문자열 길이가 0x10이하면 _Count 에는 1이 들어가고, _Deallocate를 호출하면서 0x10 * 1하여 0x10 사이즈로 deallocate를 하게 된다.

예시)  string abc = "this is";

_Ptr은 이중 포인터이며, &abc의 주소를 담고 있다.

길이가 0x10을 초과하는 경우 param에 블록단위(0x10의 배수)가 들어간다.

예시) string abc = "live a live is not fun"; // 22바이트

긴 사이즈에서 짧은 사이즈로 리사이즈 하는 경우, 최초에 할당한 길이로 deallocate가 한 번만 수행된다.

string abc = "live a live is not fun";
abc = "papa";

vc++에서는 문자열의 길이를 deallocate의 인자로 확인할 수 없으므로, deallocate 재정의를 통한 memory wipe는 수행할 수 없다.

namespace secure
{
    template <class T> class allocator : public std::allocator<T>
    {
    public:

        template<class U> struct rebind { typedef allocator<U> other; };
        allocator() throw() {}
        allocator(const allocator&) throw() {}
        template <class U> allocator(const allocator<U>&) throw() {}

        void deallocate(T* const p, size_t _Count)
        {            
            memset((void*)p, 0, _Count); // _Count가 문자열 길이를 뜻하는 것이 아니다                    
            std::allocator<T>::deallocate(p, _Count);
        }
    };

    typedef std::basic_string<char, std::char_traits<char>, allocator<char> > string;
}

분석 환경 : Galaxy Tab S6 Lite / Kernel 4.14.272 (https://github.com/LineageOS/android_kernel_samsung_gta4xl  Lineage OS 18.1 branch)

/drivers/soc/samsung/exynos-el3_mon.c

삼성 단말기에만 존재하는 커널 코드 보호 기능.

defconfig에서 CONFIG_EXYNOS_KERNEL_PROTECTION=n 으로 설정하면 빌드에 포함되지 않는다. 

실제로 코드 섹션이 변조 되는지는 확인 안해봤음

#ifdef CONFIG_EXYNOS_KERNEL_PROTECTION
static int __init exynos_protect_kernel_text(void)
{
	int ret = 0;
	unsigned long ktext_start_va = 0;
	unsigned long ktext_start_pa = 0;
	unsigned long ktext_end_va = 0;
	unsigned long ktext_end_pa = 0;

	/* Get virtual addresses of kernel text */
	ktext_start_va = (unsigned long)_text;	
	ktext_end_va = (unsigned long)_etext;

	/* Translate VA to PA */
	ktext_start_pa = (unsigned long)__pa_symbol(_text);
	ktext_end_pa = (unsigned long)__pa_symbol(_etext);

	/* Request to protect kernel text area */
	ret = exynos_smc(SMC_CMD_PROTECT_KERNEL_TEXT,
			ktext_start_pa,
			ktext_end_pa,
			0);
            
	return ret;	

	pr_info("%s: Success to set Kernel code as read-only\n", __func__);

	return 0;
}
core_initcall(exynos_protect_kernel_text);
#endif

/init/main.c

커널 init 시 실행되며, rodata 메모리 영역 보호 기능인 mark_rodata_ro()를 호출한다. 

rodata_enabled 변수는 mmu.c / module.c에서 사용하고 있으므로 false로 수정하면 변조하는데 있어서 좀 더 편해진다.

#if defined(CONFIG_STRICT_KERNEL_RWX) || defined(CONFIG_STRICT_MODULE_RWX)
bool rodata_enabled __ro_after_init = true;
static int __init set_debug_rodata(char *str)
{
	return strtobool(str, &rodata_enabled);
}
__setup("rodata=", set_debug_rodata);
#endif

#ifdef CONFIG_STRICT_KERNEL_RWX
static void mark_readonly(void)
{
	if (rodata_enabled) {
		/*
		 * load_module() results in W+X mappings, which are cleaned up
		 * with call_rcu_sched().  Let's make sure that queued work is
		 * flushed so that we don't hit false positives looking for
		 * insecure pages which are W+X.
		 */
		rcu_barrier_sched();
		mark_rodata_ro();
		rodata_test();
	} else
		pr_info("Kernel memory protection disabled.\n");
}
#else
static inline void mark_readonly(void)
{
	pr_warn("This architecture does not have kernel memory protection.\n");
}
#endif

/arch/arm64/mm/mmu.c

__start_rodata ~ __init_begin 메모리 구간을 read-only(PAGE_KENRL_RO) 속성으로 변경한다.

PAGE_KERNEL 로 변경하면 쓰기가 가능해진다.

void mark_rodata_ro(void)
{
	unsigned long section_size;

	/*
	 * mark .rodata as read only. Use __init_begin rather than __end_rodata
	 * to cover NOTES and EXCEPTION_TABLE.
	 */
	section_size = (unsigned long)__init_begin - (unsigned long)__start_rodata;
	update_mapping_prot(__pa_symbol(__start_rodata), (unsigned long)__start_rodata,
			    section_size, PAGE_KERNEL_RO);

	debug_checkwx();
}

void __init mark_linear_text_alias_ro(void)
{
	/*
	 * Remove the write permissions from the linear alias of .text/.rodata
	 */
	update_mapping_prot(__pa_symbol(_text), (unsigned long)lm_alias(_text),
			    (unsigned long)__init_begin - (unsigned long)_text,
			    PAGE_KERNEL_RO);
}

rodata 영역 기본 속성은 RW이므로, mark_rodata_ro() 의 update_mapping_prot()을 제거하면 lkm(Loadable kernel module)에서 rodata 영역의 변조가 가능해진다.

unsigned long *start_addr = (unsigned long*)kallsyms_lookup_name("__start_rodata");
*start_addr = 0x1;

unsigned long *sys_call_table = (unsigned long*)kallsyms_lookup_name("sys_call_table");
sys_call_table[__NR_openat] = hook_open;

main.c에서 호출하는 rcu_barrier_sched() 가 어떤 역할을 하는지 확인하지 않았으므로, rodata_enabled 변수를  false 로 변경하는게 깔끔해보인다.

참고 : 많은 인터넷 예제 소스들에서 rodata의 속성 변경을 위해 사용하는 update_mapping_prod() 는 mmu.c의 static 함수이므로 호출이 불가능하다. (로그를 넣고 확인해 본 결과 호출되지 않았음)

void (*update_mapping_prot)(phys_addr_t phys, unsigned long virt, phys_addr_t size, pgprot_t prot);
// 주소는 정상적으로 얻어옴
update_mapping_prot = (void *)kallsyms_lookup_name("update_mapping_prot"); 
unsigned long *start_addr = (unsigned long*)kallsyms_lookup_name("__start_rodata");
// 아래 코드는 실행되지 않으므로, 메모리 속성 변경이 안되어 fault 발생
update_mapping_prot(__pa_symbol(start_addr) , (unsigned long)start_addr, 0x1000, PAGE_KERNEL);
*start_addr = 0x1;

위와 같이 커널을 수정하지 않아도, 메모리 속성 변조 함수인 set_memory_rw()를 직접 구현하면 우회가 가능하다.

우선, 커널 소스의 set_memory_rw 구현 부분을 보자.

/arch/arm64/mm/pageattr.c

struct page_change_data {
	pgprot_t set_mask;
	pgprot_t clear_mask;
};

static int change_page_range(pte_t *ptep, pgtable_t token, unsigned long addr,
			void *data)
{
	struct page_change_data *cdata = data;
	pte_t pte = *ptep;

	pte = clear_pte_bit(pte, cdata->clear_mask);
	pte = set_pte_bit(pte, cdata->set_mask);

	set_pte(ptep, pte);
	return 0;
}

/*
 * This function assumes that the range is mapped with PAGE_SIZE pages.
 */
static int __change_memory_common(unsigned long start, unsigned long size,
				pgprot_t set_mask, pgprot_t clear_mask)
{
	struct page_change_data data;
	int ret;

	data.set_mask = set_mask;
	data.clear_mask = clear_mask;

	ret = apply_to_page_range(&init_mm, start, size, change_page_range,
					&data);

	flush_tlb_kernel_range(start, start + size);
	return ret;
}

static int change_memory_common(unsigned long addr, int numpages,
				pgprot_t set_mask, pgprot_t clear_mask)
{
	unsigned long start = addr;
	unsigned long size = PAGE_SIZE*numpages;
	unsigned long end = start + size;
	struct vm_struct *area;

	if (!PAGE_ALIGNED(addr)) {
		start &= PAGE_MASK;
		end = start + size;
		WARN_ON_ONCE(1);
	}

	/*
	 * Kernel VA mappings are always live, and splitting live section
	 * mappings into page mappings may cause TLB conflicts. This means
	 * we have to ensure that changing the permission bits of the range
	 * we are operating on does not result in such splitting.
	 *
	 * Let's restrict ourselves to mappings created by vmalloc (or vmap).
	 * Those are guaranteed to consist entirely of page mappings, and
	 * splitting is never needed.
	 *
	 * So check whether the [addr, addr + size) interval is entirely
	 * covered by precisely one VM area that has the VM_ALLOC flag set.
	 */
	area = find_vm_area((void *)addr);
	if (!area ||
	    end > (unsigned long)area->addr + area->size ||
	    !(area->flags & VM_ALLOC))
		return -EINVAL;

	if (!numpages)
		return 0;

	return __change_memory_common(start, size, set_mask, clear_mask);
}

int set_memory_ro(unsigned long addr, int numpages)
{
	return change_memory_common(addr, numpages,
					__pgprot(PTE_RDONLY),
					__pgprot(PTE_WRITE));
}

int set_memory_rw(unsigned long addr, int numpages)
{
	return change_memory_common(addr, numpages,
					__pgprot(PTE_WRITE),
					__pgprot(PTE_RDONLY));
}

change_memory_common 함수를 보면 find_vm_area를 체크하는 루틴이 보이는데, syscall 테이블의 경우 vm영역이 아니므로 에러가 리턴된다.

체크 루틴을 제거하고 빌드하면 lkm에서 직접 set_memory_rw을 호출할 수 있지만, 위의 코드는 lkm에서도 구현 가능하므로 find_vm_area 체크 루틴만 제거하고 아래와 같이 코드를 간결하게 작성할 수 있다.

struct mm_struct *init_mm_ptr;

struct page_change_data {
    pgprot_t set_mask;
    pgprot_t clear_mask;
};

static int change_page_range(pte_t *ptep, pgtable_t token, unsigned long addr,	void *data)
{
    struct page_change_data *cdata = data;
    pte_t pte = READ_ONCE(*ptep);
    pte = clear_pte_bit(pte, cdata->clear_mask);
    pte = set_pte_bit(pte, cdata->set_mask);
    set_pte(ptep, pte);

    return 0;
}

void set_memory_rw(unsigned long addr, int size)
{
   	struct page_change_data data;
	unsigned long start_addr_align = addr & PAGE_MASK;
	unsigned long end_addr_align = PAGE_ALIGN(addr + size);
	
	int page_size = end_addr_align - start_addr_align;
	data.set_mask = __pgprot(PTE_WRITE);
	data.clear_mask = __pgprot(PTE_RDONLY);
	
	apply_to_page_range(init_mm_ptr, start_addr_align, page_size, change_page_range, &data);
	flush_tlb_kernel_range(start_addr_align, start_addr_align + page_size);
}

void do_it(void)
{
	init_mm_ptr = (struct mm_struct *)kallsyms_lookup_name("init_mm");
	set_memory_rw((unsigned long)sys_call_table, 0x4000);
}

원문 : https://wiki.lineageos.org/devices/gta4xlwifi/install

롬을 빌드하거나 https://download.lineageos.org/gta4xlwifi에서 두 개 다운로드

이미 oem언락 된 상태라면 1~3 과정은 생략

1. adb 디버그 허용, oem 언락 허용(빌드버전 연타하면 나옴)

2. 파워 off 후 볼륨 상 + 볼륨 하(One UI 3.0이상,보통 안드로이드11버전)를 동시에 누르면서, 1초후에 usb를 연결한다. (연결되어있는 상태면 안되고 타이밍 맞게 연결해줘야됨) 잠시 후 다운로드 모드로 진입하게 된다.

볼륨상을 길게 눌러 부트로더 언락을 진행한다.

3. 초기화 완료되면 다시 빌드버전 연타한 후 oem이 언락되어 있는지 확인

4. https://androidfilehost.com/?w=files&flid=304516 heimdall 다운로드

5. 2번처럼 한 후에 언락이 아닌 볼륨 업을 한번만 누른 후 다운로드 모드로 진입. 이후 Zadig를 실행 (https://github.com/pbatard/libwdi/releases)

Options->List All Devices 클릭

반드시 다운로드 모두 진입 후 실행해야 목록에 Samsung USB Composite Device or Gadget Serial이 보임

보이는 것중에 하나 선택하고 Replace Driver를 클릭

만약 Gadget Serial이 두 개 보인다면 둘다 해보는 수 밖에 없음

6. cmd 실행

heimdall print-pit

장치가 재부팅 되는지 확인

7. usb 연결 상태에서 다운로드 모드 진입 후(5번 참고) cmd 실행

heimdall flash --RECOVERY lineage-18.1-20220413-recovery-gta4xlwifi.img --no-reboot

8.  볼륨 다운 + 파워를 8~10초간 누르고 있다가 손 뗌

9. 재부팅 되면 usb연결 후 볼륨 업 + 파워로 리커버리 모드 진입  

(녹스 워런티 깨졌다고 경고 창 뜨면 그 상태에서 볼륨 업 + 파워 길게 눌러주면 됨)

10. Factory Reset -> 3개 전부 실행

11. 메인 메뉴로 이동 후 Apply update-> apply from adb 선택 후 cmd 실행

adb sideload lineage-18.1-20220413-nightly-gta4xlwifi-signed.zip

adb sideload open_gapps-arm64-11.0-pico-20220215.zip (https://opengapps.org/ 에서 다운로드)

adb sidelaod Magisk-v21.4.zip (https://github.com/topjohnwu/Magisk/releases/download/v21.4/Magisk-v21.4.zip 다른 버전 받으면 안돼서 고생 좀 할것임)

adb shell에서만 su가 필요하다면, Magisk를 설치하지 말고 개발자 옵션에서 "디버깅 시 루트 권한 사용" 체크 후 adb root -> adb shell로 접속

12. 재부팅