Frida-Sigaction-Seccomp实现对Android APP系统调用的拦截
[原创]基于seccomp+sigaction的Android通用svc hook方案
[原创]SVC的TraceHook沙箱的实现&无痕Hook实现思路
[原创]分享一个Android通用svc跟踪以及hook方案——Frida-Seccomp
直接将js注入即可实现对openat的监控,需要在logcat过滤native查看结果
在实战时根据自己需求修改CModule中的define,其中target_nr 是目标系统调用号。
在拦截到系统调用后会再次进行系统调用,防止再次被拦截,就需要一个寄存器来放一个标识符SECMAGIC ,避免反复调用crash。SECMAGIC_POS 即为对应系统调用所不需要的第一个寄存器,比如openat需要三个参数,那么SECMAGIC_POS 填3即可,因为寄存器从x0开始,args[3]即为第四个寄存器。
然后就是在sig_handler 中写劫持逻辑。如果想拦截更多的系统调用,就需要重写seccomp filter 。
除此之外调用栈等信息,可以参考[原创]分享一个Android通用svc跟踪以及hook方案——Frida-Seccomp 阿碧大佬的思路自己添加。
同理也可以实现对mincore的拦截
