當(dāng)前位置：首頁 > 运维知识 > Android >内容正文

Android

【Android 逆向】Android 进程注入工具开发 ( 远程调用 | x86 架构的返回值获取 | arm 架构远程调用 )

發(fā)布時間：2025/6/17 Android 50 豆豆

生活随笔收集整理的這篇文章主要介紹了【Android 逆向】Android 进程注入工具开发 ( 远程调用 | x86 架构的返回值获取 | arm 架构远程调用 ) 小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

文章目錄

前言
一、x86 架構(gòu)的返回值獲取
二、ARM 架構(gòu)遠程調(diào)用

前言

在之前的博客

【Android 逆向】Android 進程注入工具開發(fā) ( 注入代碼分析 | 獲取遠程目標(biāo)進程中的 /system/lib/libc.so 動態(tài)庫中的 mmap 函數(shù)地址 )
【Android 逆向】Android 進程注入工具開發(fā) ( 注入代碼分析 | 遠程調(diào)用目標(biāo)進程中 libc.so 動態(tài)庫中的 mmap 函數(shù) 二 | 準(zhǔn)備參數(shù) | 遠程調(diào)用 mmap 函數(shù) )
【Android 逆向】Android 進程注入工具開發(fā) ( 注入代碼分析 | 遠程調(diào)用目標(biāo)進程中 libc.so 動態(tài)庫中的 mmap 函數(shù) 三 | 等待遠程函數(shù)執(zhí)行完畢 | 寄存器獲取返回值 )

中 , 介紹了調(diào)試進程遠程調(diào)用遠程進程的 libc.so 動態(tài)庫中的 mmap 函數(shù) , 本博客繼續(xù)對該遠程調(diào)用過程進行一些補充 ;

一、x86 架構(gòu)的返回值獲取

遠程調(diào)用返回值獲取 :

在 x86 架構(gòu)的 CPU 中 , 使用 EAX 寄存器記錄返回值 , 在 ARM 架構(gòu)的 CPU 中 , 使用 R0 寄存器記錄返回值 ;

遠程調(diào)用結(jié)束后 , 獲取寄存器數(shù)據(jù) , 并讀取 EAX 寄存器值 ;

如果遠程調(diào)用的函數(shù)的返回值為 void , 那么 EAX 寄存器存放的就是無意義的值 , 可能是上一個函數(shù)的返回值 , 可能是計算過程中的一個中間值 ;

二、ARM 架構(gòu)遠程調(diào)用

在 ARM 架構(gòu)的 CPU 中 , 遠程調(diào)用時 ,

使用 SP 寄存器存放棧內(nèi)存首地址 ,
使用 PC 指針指向函數(shù)地址 , 下一條指令開始執(zhí)行函數(shù)指令 ;

ARM 架構(gòu)中 , 棧指針存放在 R4 寄存器中 , 但是遠程調(diào)用時 , 需要使用 SP 寄存器存放棧指針 , 棧指針指向使用 mmap 分配的內(nèi)存中 , 該內(nèi)存中都是函數(shù)執(zhí)行需要的參數(shù) ;

R4 棧指針指向的棧內(nèi)存有原來函數(shù)執(zhí)行的數(shù)據(jù) , 參數(shù)或者函數(shù)執(zhí)行過程中的數(shù)據(jù) , 這個數(shù)據(jù)不能動 , 如果修改了該數(shù)據(jù) , 調(diào)試結(jié)束后 , 運行原來的程序 , 會造成不可預(yù)知的結(jié)果 , 或者崩潰 , 或者運行結(jié)果錯誤 ;

// // push remained params onto stack // if (i < num_params) {regs->ARM_sp -= (num_params - i) * sizeof(long);ptrace_writedata(pid, (void*)regs->ARM_sp, (uint8_t*)&params[i], (num_params - i) * sizeof(long));}

準(zhǔn)備好參數(shù)棧后 , 將 PC 寄存器指向函數(shù)的地址 ;

要判定是否是 thumb 模式 , 如果在該模式下 , 需要將 PC 指針最低位取反 ;

thumb 模式下 , 不能指向奇數(shù)地址 , 如果最低位是 1 , 則將其置位 0 ; 如果最低位為 1 , 執(zhí)行時會報總線錯誤 ;

thumb 模式下 , 需要將 CPSR 寄存器打開 , 設(shè)置 CPSR_T_MASK 標(biāo)志位 ;

regs->ARM_pc = addr;if (regs->ARM_pc & 1) {/* thumb */regs->ARM_pc &= (~1u);regs->ARM_cpsr |= CPSR_T_MASK;}else {/* arm */regs->ARM_cpsr &= ~CPSR_T_MASK;}

返回值設(shè)置為 0 ;

設(shè)置該返回值的作用是 , 為了使遠程進程崩潰 , 調(diào)試程序可以收回控制權(quán) ;

regs->ARM_lr = 0;

上述操作的寄存器值是在本地設(shè)置的 , 通過 ptrace_setregs 函數(shù) , 才能將寄存器值設(shè)置到遠程進程中 ;

寄存器設(shè)置完畢后 , 調(diào)用 ptrace_continue 函數(shù) , 恢復(fù) 遠程進程的運行 ;

if (ptrace_setregs(pid, regs) == -1|| ptrace_continue(pid) == -1) {printf("error\n");return -1;}

總結(jié)

以上是生活随笔為你收集整理的【Android 逆向】Android 进程注入工具开发 ( 远程调用 | x86 架构的返回值获取 | arm 架构远程调用 )的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。

上一篇：【错误记录】Android NDK 编译
下一篇：【Android 逆向】Android