zoukankan      html  css  js  c++  java
  • android应用程序fps meter[帧数显示]的分析 —— 浅谈root的风险 (1)

    fps meter是常用的检测帧率的软件,该软件需要root权限才能工作,一直比较好奇它一个apk是如何知道系统当前的帧率情况的,就针对此apk分析了一下其工作原理。

    Apk组成

    首先看一下apk的组成,apk文件就是一个压缩包,可以解压缩软件如winrar解压查看,也可以用[apktools]反编译apk,以供进一步分析。

     

    从运行结果和代码组织上的推测

    • java代码主要负责上层控制和显示。
    • bin0和lib0.so是一个真正获取fps的binary工作进程的代码
    • jni层的libnp_read.so,负责和工作进程桥接,通过pipe与工作进程通信,上报分析的数据给java层显示。

    Apk的静态分析

    Apk的包组成结构如上图。常规的dex/res/lib目录下的内容外,还要看一下res/raw和assets目录下是否有东西,这里通常是藏污纳垢的场所。fps meter这个apk中,在res/raw/下有bin0和lib0.so 两个文件。

    使用[dex2jar]反编译java代码,查看其中的信息。对于这个apk,可以看到它使用了[RootTools]的jar库,来实现通过su过的shell执行一些命令或binary程序。从dex文件的常量字符中可以看到,这个apk中使用的库是v2.2版本,该版本的源码可以在[https://code.google.com/p/roottools/source/checkout]下载到到,svn版本号是208。

    Java代码:

    接下来我们可以分析java代码。java代码都已经被加扰过了,不过如果你有足够的耐心并足够仔细,还是能从中读出很多内容。对java代码的分析,一般都是从activity/Application或service的onCreate方法入手(对外的接口不可能加扰,这些方法还是存在的),可以对照AndroidManifest.xml找到入口的Activity及Service,再查看相关信息

    在FPSMActivity的onCreate中,如下两句:

    t.a(this, 2131034112, "0", "744");
    t.a(this, 2131034113, "0.so", "744");

    这是混淆过的代码,不过从参数来分析,这是调用RootTools的installBinary()方法,可以直接对照RootTools的源码来看。这个方法的作用是将apk的res/raw下的bin0和lib0.so分别安装到/data/data/com.aatt.fpsm/files/下,分别命名为0和0.so。

    FPSMService的onStartCommand方法中,可以看到这个机制就是创建一个pipe:/data/data/com.aatt.fpsm/pipe,不停的从这个pipe中读取数据,显示在前端创建的的浮动window中。可以在adb shell中,

    busybox dumphex /data/data/com.aatt.fpsm/pipe
    

    验证帧率的值,刚好是从这个pipe中读入的。

    其他位置未看到特别有用的信息。

    JNI代码:

    Jni库libnp_reader的分析,主要是一些Java的native方法的实现,并没有看到特别异常的现象。

    $ arm-linux-androideabi-readelf -s libnp_read.so  
      
    Symbol table '.dynsym' contains 69 entries:  
       Num:    Value  Size Type    Bind   Vis      Ndx Name  
          0: 00000000     0 NOTYPE  LOCAL  DEFAULT  UND  
          1: 00000000     0 FUNC    GLOBAL DEFAULT  UND __cxa_finalize  
          2: 00000000     0 FUNC    GLOBAL DEFAULT  UND __cxa_atexit  
          3: 00000ed5    32 FUNC    GLOBAL DEFAULT    7 Java_com_aatt_fpsm_FPSMSe  
          4: 00000000     0 FUNC    GLOBAL DEFAULT  UND umask  
          5: 00000000     0 FUNC    GLOBAL DEFAULT  UND mknod  
          6: 000017c4     8 FUNC    WEAK   DEFAULT    7 __aeabi_unwind_cpp_pr1  
          7: 00000ef5    16 FUNC    GLOBAL DEFAULT    7 Java_com_aatt_fpsm_FPSMSe  
          8: 00000000     0 FUNC    GLOBAL DEFAULT  UND remove  
          9: 00000f05    40 FUNC    GLOBAL DEFAULT    7 Java_com_aatt_fpsm_FPSMSe  
         10: 00000000     0 FUNC    GLOBAL DEFAULT  UND read  
         11: 00004004     4 OBJECT  GLOBAL DEFAULT   16 fd  
         12: 00004008     4 OBJECT  GLOBAL DEFAULT   16 trash  
         13: 000017cc     8 FUNC    GLOBAL DEFAULT    7 __aeabi_unwind_cpp_pr0  
         14: 00000f2d    36 FUNC    GLOBAL DEFAULT    7 Java_com_aatt_fpsm_FPSMSe  
         15: 00000000     0 FUNC    GLOBAL DEFAULT  UND open  
         16: 00000f51    20 FUNC    GLOBAL DEFAULT    7 Java_com_aatt_fpsm_FPSMSe  
         17: 00000000     0 FUNC    GLOBAL DEFAULT  UND close  
         18: 00000f65    36 FUNC    GLOBAL DEFAULT    7 Java_com_aatt_fpsm_FPSMSe  
         19: 0000400c     4 OBJECT  GLOBAL DEFAULT   16 value  
         20: 00004004     0 NOTYPE  GLOBAL DEFAULT  ABS _edata  
         21: 00004004     0 NOTYPE  GLOBAL DEFAULT  ABS __bss_start  
         22: 00004010     0 NOTYPE  GLOBAL DEFAULT  ABS _end  
         23: 00000000     0 FUNC    WEAK   DEFAULT  UND __gnu_Unwind_Find_exidx  
         24: 00000000     0 FUNC    GLOBAL DEFAULT  UND abort  
         25: 00000000     0 FUNC    GLOBAL DEFAULT  UND memcpy  
         26: 000017bc     8 FUNC    WEAK   DEFAULT    7 __aeabi_unwind_cpp_pr2  
         27: 00001d88     0 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Restore_VFP_  
         28: 00001d78     0 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Restore_VFP  
         29: 00001d98     0 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Restore_VFP_  
         30: 00001da8     0 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Restore_WMMX  
         31: 00001e30     0 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Restore_WMMX  
         32: 00001d64    20 FUNC    GLOBAL DEFAULT    7 restore_core_regs  
         33: 0000134c    68 FUNC    GLOBAL DEFAULT    7 _Unwind_VRS_Get  
         34: 000013b8    68 FUNC    GLOBAL DEFAULT    7 _Unwind_VRS_Set  
         35: 00000000     0 NOTYPE  WEAK   DEFAULT  UND __cxa_begin_cleanup  
         36: 00000000     0 NOTYPE  WEAK   DEFAULT  UND __cxa_type_match  
         37: 00001f64   916 FUNC    GLOBAL DEFAULT    7 __gnu_unwind_execute  
         38: 00000000     0 NOTYPE  WEAK   DEFAULT  UND __cxa_call_unexpected  
         39: 000017d4   856 FUNC    GLOBAL DEFAULT    7 _Unwind_VRS_Pop  
         40: 00001d90     0 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Save_VFP_D  
         41: 00001d80     0 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Save_VFP  
         42: 00001da0     0 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Save_VFP_D_1  
         43: 00001dec     0 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Save_WMMXD  
         44: 00001e44     0 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Save_WMMXC  
         45: 00001b2c     8 FUNC    GLOBAL DEFAULT    7 _Unwind_GetCFA  
         46: 00001b34   164 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_RaiseExcepti  
         47: 00001bd8    28 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_ForcedUnwind  
         48: 00001bf4   108 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Resume  
         49: 00001c60    32 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Resume_or_Re  
         50: 00001c80     4 FUNC    GLOBAL DEFAULT    7 _Unwind_Complete  
         51: 00001c84    32 FUNC    GLOBAL DEFAULT    7 _Unwind_DeleteException  
         52: 00001ca4   192 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Backtrace  
         53: 00001d64    20 FUNC    GLOBAL DEFAULT    7 __restore_core_regs  
         54: 00001e58    36 FUNC    GLOBAL DEFAULT    7 ___Unwind_RaiseException  
         55: 00001e58    36 FUNC    GLOBAL DEFAULT    7 _Unwind_RaiseException  
         56: 00001e7c    36 FUNC    GLOBAL DEFAULT    7 ___Unwind_Resume  
         57: 00001e7c    36 FUNC    GLOBAL DEFAULT    7 _Unwind_Resume  
         58: 00001ea0    36 FUNC    GLOBAL DEFAULT    7 ___Unwind_Resume_or_Rethr  
         59: 00001ea0    36 FUNC    GLOBAL DEFAULT    7 _Unwind_Resume_or_Rethrow  
         60: 00001ec4    36 FUNC    GLOBAL DEFAULT    7 ___Unwind_ForcedUnwind  
         61: 00001ec4    36 FUNC    GLOBAL DEFAULT    7 _Unwind_ForcedUnwind  
         62: 00001ee8    36 FUNC    GLOBAL DEFAULT    7 ___Unwind_Backtrace  
         63: 00001ee8    36 FUNC    GLOBAL DEFAULT    7 _Unwind_Backtrace  
         64: 000022f8    64 FUNC    GLOBAL DEFAULT    7 __gnu_unwind_frame  
         65: 00002338    44 FUNC    GLOBAL DEFAULT    7 _Unwind_GetRegionStart  
         66: 00002364    56 FUNC    GLOBAL DEFAULT    7 _Unwind_GetLanguageSpecif  
         67: 0000239c     8 FUNC    GLOBAL DEFAULT    7 _Unwind_GetDataRelBase  
         68: 000023a4     8 FUNC    GLOBAL DEFAULT    7 _Unwind_GetTextRelBase 

    从elf信息可以见到,这个库主要是JNI的实现及将unwind实现包含在库中,unwind库一般是用作异常处理的,用它可以获取函数的调用栈信息。

    这里由于使用pipe,则怀疑这里需要跨进程通信;而此pipe的通信使用是apk私有的pipe,则推论此apk通过rootTool中提供的Shell类来运行su后的shell,su的作用是通过linux开的后门,允许用户程序通过setuid系统调用,更改用户id,达到root效果。su root后,执行一个native程序,native程序应该就是res/raw/下的bin0。初步怀疑pipe的写端是这个bin0,bin0的symbol信息:
     

    $ readelf.exe -s bin0
    
    Symbol table '.dynsym' contains 32 entries:
       Num:    Value  Size Type    Bind   Vis      Ndx Name
         0: 00000000     0 NOTYPE  LOCAL  DEFAULT  UND
         1: 00000000     0 FUNC    GLOBAL DEFAULT  UND __libc_init
         2: 00000000     0 FUNC    GLOBAL DEFAULT  UND __cxa_atexit
         3: 00000000     0 FUNC    GLOBAL DEFAULT  UND snprintf
         4: 00000000     0 FUNC    GLOBAL DEFAULT  UND fopen
         5: 00000000     0 FUNC    GLOBAL DEFAULT  UND fgets
         6: 00000000     0 FUNC    GLOBAL DEFAULT  UND strstr
         7: 00000000     0 FUNC    GLOBAL DEFAULT  UND strtok
         8: 00000000     0 FUNC    GLOBAL DEFAULT  UND strtoul
         9: 00000000     0 FUNC    GLOBAL DEFAULT  UND fclose
        10: 00000000     0 FUNC    GLOBAL DEFAULT  UND __stack_chk_fail
        11: 00000000     0 OBJECT  GLOBAL DEFAULT  UND __stack_chk_guard
        12: 00000000     0 FUNC    GLOBAL DEFAULT  UND memcpy
        13: 00000000     0 FUNC    GLOBAL DEFAULT  UND ptrace
        14: 00000000     0 FUNC    GLOBAL DEFAULT  UND waitpid
        15: 00000000     0 FUNC    GLOBAL DEFAULT  UND opendir
        16: 00000000     0 FUNC    GLOBAL DEFAULT  UND readdir
        17: 00000000     0 FUNC    GLOBAL DEFAULT  UND atoi
        18: 00000000     0 FUNC    GLOBAL DEFAULT  UND sprintf
        19: 00000000     0 FUNC    GLOBAL DEFAULT  UND strcmp
        20: 00000000     0 FUNC    GLOBAL DEFAULT  UND closedir
        21: 00000000     0 FUNC    GLOBAL DEFAULT  UND dlsym
        22: 00000000     0 FUNC    GLOBAL DEFAULT  UND strlen
        23: 0000c000     0 NOTYPE  GLOBAL DEFAULT  ABS _edata
        24: 0000c000     0 NOTYPE  GLOBAL DEFAULT  ABS __bss_start
        25: 0000c004     0 NOTYPE  GLOBAL DEFAULT  ABS _end
        26: 00000000     0 FUNC    WEAK   DEFAULT  UND __gnu_Unwind_Find_exidx
        27: 00000000     0 FUNC    GLOBAL DEFAULT  UND abort
        28: 00000000     0 FUNC    GLOBAL DEFAULT  UND raise
        29: 00000000     0 NOTYPE  WEAK   DEFAULT  UND __cxa_begin_cleanup
        30: 00000000     0 NOTYPE  WEAK   DEFAULT  UND __cxa_type_match
        31: 00000000     0 NOTYPE  WEAK   DEFAULT  UND __cxa_call_unexpected
    

    我们通过ps来看一下运行时的进程情况,并没有看到此bin0进程,看样子不像是常驻内存的,那么它太不可能是pipe的write端。

    从elf的symbol来看,此bin文件应该会使用dlsym和ptrace。使用ptrace的话,基本可以确定,这个bin文件会通过PTRACE_ATTACH到别的进程中,然后修改别的进程数据或代码,以达到自己的目的。ptrace的执行过程应该就是分析的关键,接下来需要从ptrace入手。

    小结

    这个fps meter没有按照android应用程序的开发规范,通过使用SDK和NDK开发java和jni代码实现,而是使用第三方库,通过su获取root权限,执行自己的可执行binary程序,apk自己实现的库或binary程序,以android资源的形式打包在apk中。这种运行方式,对用户安全及系统稳定来说,是一个危险的动作。

    本小结简单了解了此apk的内容,下节将详细介绍下apk资源包中bin文件通过ptrace感染android系统进程的过程。

  • 相关阅读:
    linux 多进程并发服务__关于子进程回收的方法
    Qt中图元对象的多重集成
    Qmake: Q_OBJECT
    Qt Creator 启动失败 可能的解决办法
    Oracle 系统改变号SCN详解
    rman之创建恢复目录笔记
    Oracle 生成和显示执行计划的方法
    系统数据文件备份与恢复及只读数据文件备份与恢复
    没有备份、只有归档日志,如何恢复数据文件?
    ORACLE UNDO REDO查看
  • 原文地址:https://www.cnblogs.com/jiangu66/p/3181750.html
Copyright © 2011-2022 走看看