一、ARM 架构下的插桩拦截

ARM 架构下的跳转指令 : 下面的二进制数都是十六进制数 ; $32$ 位指令 ;

04 F0 1F E5 00 00 00 00 , B target ;

B 指令是无条件跳转指令 , 04 F0 1F E5 是对应的机器码 ;

在 【Android 逆向】函数拦截 ( 修改内存页属性 | x86 架构插桩拦截 ) 一、修改内存页属性 基础上 , 先修改内存页属性 , 取得修改内存的权限 ;

然后开始进行函数拦截 ;

首先 , 拼装 ARM 架构下的无条件跳转指令 ;

	/* B 无条件跳转指令 */
	unsigned char code[] = { 0x04,0xF0,0x1F,0xE5,0x00,0x00,0x00,0x00 };

  

 

  
1
  
2
 

然后 , 设置跳转指令的绝对地址 ; 注意这里与 x86 的跳转指令不同 , x86 设置的跳转地址是相对地址 , arm 的跳转地址是绝对地址 ;

	/* arm 的跳转是绝对地址跳转 , 传入 pStub 函数指针即可 */
	*(unsigned*)(code + 4) = (unsigned)pStub;

  

 

  
1
  
2
 

最后 , 将 arm 跳转指令二进制机器码拷贝到函数开始位置 ;

	/* 将机器码复制到函数开始位置 */
	memcpy(pFunc, code, sizeof(code));

  

 

  
1
  
2
 

二、完整代码示例

下面是 插桩函数拦截 的代码 , 兼容 x86 与 arm 架构 ;

注意 : 写完之后推荐刷新 CPU 高速缓存 , 调用 cache_flush 系统调用函数 ;

/*
 * unsigned char* pFunc
 * unsigned char* pStub
 * 上述两个参数分别是两个函数指针
 * 
 * 注意 : 写完之后要刷新 CPU 高速缓存 , 调用 cache_flush 系统调用函数
 */
int write_code(unsigned char* pFunc, unsigned char* pStub) {
	/* 获取 pFunc 函数入口 , 先获取该函数所在内存页地址 */
	void* pBase = (void*)(0xFFFFF000 & (int)pFunc);
	/* 修改整个内存页属性 , 修改为 可读 | 可写 | 可执行 , 
	 * 避免因为内存访问权限问题导致操作失败
	 * mprotect 函数只能对整个页内存的属性进行修改 
	 * 每个 内存页 大小都是 4KB 
	 */
	int ret = mprotect(pBase, 0x1000, PROT_WRITE | PROT_READ | PROT_EXEC);
	/* 修改内存页属性失败的情况 */
	if (ret == -1) {
		perror("mprotect:");
		return -1;
	}
#if defined(__i386__) // arm 情况处理
	/* E9 是 JMP 无条件跳转指令 , 后面 4 字节是跳转的地址 */
	unsigned char code[] = { 0xE9,0,0,0,0 };
	/* 计算 pStub 函数跳转地址 , 目标函数 pStub 地址 - 当前函数 pFunc 地址 - 5 
	 * 跳转指令 跳转的是 偏移量 , 不是绝对地址值
	 */
	*(unsigned*)(code + 1) = pStub - pFunc - 5;
	/* 将跳转代码拷贝到 pFunc 地址处 , 这是 pFunc 函数的入口地址 */
	memcpy(pFunc, code, sizeof(code));
#else // arm 情况处理
	/* B 无条件跳转指令 */
	unsigned char code[] = { 0x04,0xF0,0x1F,0xE5,0x00,0x00,0x00,0x00 };
	/* arm 的跳转是绝对地址跳转 , 传入 pStub 函数指针即可 */
	*(unsigned*)(code + 4) = (unsigned)pStub;
	/* 将机器码复制到函数开始位置 */
	memcpy(pFunc, code, sizeof(code));
#endif
	return 0;
}

/* C/C++ 中的 hook 函数方式 */
void hook_func(uint8_t* pApi, uint8_t* pUser, uint8_t* pStub, size_t size)
{
	unsigned char code[64] = { 0 };
	memcpy(code, pApi, size);
	write_code(pApi, pUser);
	write_code(size + pStub, size + pApi);
	memcpy(pStub, code, size);
}

  

 

  
1
  
2
  
3
  
4
  
5
  
6
  
7
  
8
  
9
  
10
  
11
  
12
  
13
  
14
  
15
  
16
  
17
  
18
  
19
  
20
  
21
  
22
  
23
  
24
  
25
  
26
  
27
  
28
  
29
  
30
  
31
  
32
  
33
  
34
  
35
  
36
  
37
  
38
  
39
  
40
  
41
  
42
  
43
  
44
  
45
  
46
  
47
  
48
  
49
  
50
 

文章来源: hanshuliang.blog.csdn.net，作者：韩曙亮，版权归原作者所有，如需转载，请联系作者。

原文链接：hanshuliang.blog.csdn.net/article/details/121238325