- 将dobby,xdl,keystone,capstone,lief 等库看成插件库,实现他们的lua绑定
- 通过注入的方式(ptrace / /proc/mem)的方式进行指定pid的注入
- socket通信实现工具和宿主机的通信[ 这里的宿主机可以是安卓自己或者是windows/linux... ],当前为了测试方便,不跨平台,就在当前命令行交互 ( 其实也想使用到更上层好用的protobuf的做调用封装的,但是没空写,记录一下想法,先把大体功能跑起来后续再说怎么改把... )
- 交互目前使用命令行repl命令行补全的方式交互(使用replxx做命令行补全的交互),后续可以考虑客户端的实现(python或者是其他语言编写的交互作为前端)
当前用的是lua绑定,后面也可以考虑使用JavaScript虚拟机,后续可以考虑使用到protobuf之类的协议库方便上层语言的封装调用
- 两个启动方式 [ 注入 / 仅启动(调试测试用) ]
- 绑定库
- keystone(ks)| capstone(cs、dis)
- BIND_BREAKPOINT (b)
- linker (somain, wait, disp_soinfo_link, disp_link_map_head, get_soinfo, show_soinfo, show_symtab, find_soinfo)
- process (getpid, getppid, getgid, geteuid, getuid, getpagesize, getcwd, now)
- signal (raise, cont)
- xdl (info, iteratePhdr, addressInfo, xdl_open, xdl_close, xdl_sym, xdl_dsym)
- others(demangleName、findsyms、syms)
- ......
- 功能封装
- linker wait (断点下在call_constructors,等待so加载,获取基础soinfo信息)
- ...
- 封装 nativehook 前后端 ( Dobby, frida-gum, xhook, bhook )
- 封装 javahook 前后端( pine, YAHFA ) 、 加入测试性功能Java断点 REF:doc JVMTI | REF:frida jvmti.js | REF:android jvmti.h
Lua 绑定使用到 LuaBridge / LuaBridge3 后者更香 文档
- V8 还得是google优选
- QuickJS 经典的极简虚拟机,但是不支持lambda
- Duktape 体验也不错,多了一个inline repl,但是依旧不支持lambda
- jerryscript 编译了一个windows版本的好像还挺中规中矩的
- ChakraCore 来自微软的ERROR: Unsupported target processor: aarch64 (-.-!)
- UnityResolve 只是简单测试过安卓平台,单文件实现很简洁很香
- IL2CPP_Resolver 还没测试
- BNM-Android
- AndKittyInjector 最完备的实现
- AndroidPtraceInject 注释非常清晰
- TinyInjector ...
- linjector-rs injection using /proc/mem
- NullTrace-Injector
- 后续也可以绑定进去lua虚拟机,主打一个手动实现jdb在安卓上的调试器功能
- 至于怎么开启jdwp线程参考 这里 jdwp.ts#L243
- 安卓本地端创建一个socket服务器,远端windows/linux使用python或者再编译一个命令行程序用来与安卓通信
使用的话还是很常规的操作
push uinjector to /data/local/tmp
adb shell monkey -p com.xxx.xxx -c android.intent.category.LAUNCHER 1 -> start app
adb shell pidof com.xxx.xxx -> get pid
setenforce 0
./data/local/tmp/uinjector ${pid}
然后就是远端操作了, 这里由于还有没客户端代码,所以展示socket的链接测试就用nc, 端口用的是8024
nc 127.0.0.1 8024
然后界面没有提示,但是是一个阻塞的socket,可以当作lua shell使用, 参考下图可见已经成功注入了该应用
这里参考代码中xdl的绑定
或者是这样考虑,不管用什么方式注入 注入以后调用init函数创建一个socket用来操作后续启动方式 nc去测试,主要就是发送一个最基本的hello信息 然后就是初始化后续的 启动方式
- 在Android上运行lua引擎,并通过socket传输字符与主机通信
- 主机运行js引擎,提前约定好rpc常用的方法
Build说明:
1.error: invalid argument '-std=c17' not allowed with 'C++'
改一改 xdl 中的 target_compile_features 和 target_compile_options 为 PRIVATE
2.LIEF中的头文件定义和NDK中有些有冲突,看着爆红的注释掉就是了 (头文件引入的宏定义有点冲突)
3.KittyTrace.hpp 在arm32 build的时候需要把
#if defined(__arm__)
#define kREG_ARGS_NUM 4
#define sp ARM_sp
#define pc ARM_pc
#define r0 ARM_r0
#define lr ARM_lr
#define cpsr ARM_cpsr
#endif
放在 KittyTrace.cpp 中
4.推荐使用ndk版本 25.1.8937393