android应用程序fps meter[帧数显示]的分析 —— 浅谈root的风险 (1)

现在的位置: 首页 > 综合 > 正文

RSS

android应用程序fps meter[帧数显示]的分析 —— 浅谈root的风险 (1)

2013年03月21日 ⁄ 综合 ⁄ 共 6926字 ⁄ 字号小中大 ⁄ 评论关闭

文章目录

Java代码：
JNI代码：
小结

fps meter是常用的检测帧率的软件，该软件需要root权限才能工作，一直比较好奇它一个apk是如何知道系统当前的帧率情况的，就针对此apk分析了一下其工作原理。

Apk组成

首先看一下apk的组成，apk文件就是一个压缩包，可以解压缩软件如winrar解压查看，也可以用[apktools]反编译apk，以供进一步分析。

从运行结果和代码组织上的推测

java代码主要负责上层控制和显示。
bin0和lib0.so是一个真正获取fps的binary工作进程的代码
jni层的libnp_read.so，负责和工作进程桥接，通过pipe与工作进程通信，上报分析的数据给java层显示。

Apk的静态分析

Apk的包组成结构如上图。常规的dex/res/lib目录下的内容外，还要看一下res/raw和assets目录下是否有东西，这里通常是藏污纳垢的场所。fps meter这个apk中，在res/raw/下有bin0和lib0.so 两个文件。

使用[dex2jar]反编译java代码，查看其中的信息。对于这个apk，可以看到它使用了[RootTools]的jar库，来实现通过su过的shell执行一些命令或binary程序。从dex文件的常量字符中可以看到，这个apk中使用的库是v2.2版本，该版本的源码可以在[https://code.google.com/p/roottools/source/checkout]下载到到，svn版本号是208。

Java代码：

接下来我们可以分析java代码。java代码都已经被加扰过了，不过如果你有足够的耐心并足够仔细，还是能从中读出很多内容。对java代码的分析，一般都是从activity/Application或service的onCreate方法入手（对外的接口不可能加扰，这些方法还是存在的），可以对照AndroidManifest.xml找到入口的Activity及Service，再查看相关信息

在FPSMActivity的onCreate中，如下两句：

t.a(this, 2131034112, "0", "744");
t.a(this, 2131034113, "0.so", "744");

这是混淆过的代码，不过从参数来分析，这是调用RootTools的installBinary()方法，可以直接对照RootTools的源码来看。这个方法的作用是将apk的res/raw下的bin0和lib0.so分别安装到/data/data/com.aatt.fpsm/files/下，分别命名为0和0.so。

FPSMService的onStartCommand方法中，可以看到这个机制就是创建一个pipe：/data/data/com.aatt.fpsm/pipe，不停的从这个pipe中读取数据，显示在前端创建的的浮动window中。可以在adb shell中，

busybox dumphex /data/data/com.aatt.fpsm/pipe

验证帧率的值，刚好是从这个pipe中读入的。

其他位置未看到特别有用的信息。

JNI代码：

Jni库libnp_reader的分析，主要是一些Java的native方法的实现，并没有看到特别异常的现象。

$ arm-linux-androideabi-readelf -s libnp_read.so  
  
Symbol table '.dynsym' contains 69 entries:  
   Num:    Value  Size Type    Bind   Vis      Ndx Name  
      0: 00000000     0 NOTYPE  LOCAL  DEFAULT  UND  
      1: 00000000     0 FUNC    GLOBAL DEFAULT  UND __cxa_finalize  
      2: 00000000     0 FUNC    GLOBAL DEFAULT  UND __cxa_atexit  
      3: 00000ed5    32 FUNC    GLOBAL DEFAULT    7 Java_com_aatt_fpsm_FPSMSe  
      4: 00000000     0 FUNC    GLOBAL DEFAULT  UND umask  
      5: 00000000     0 FUNC    GLOBAL DEFAULT  UND mknod  
      6: 000017c4     8 FUNC    WEAK   DEFAULT    7 __aeabi_unwind_cpp_pr1  
      7: 00000ef5    16 FUNC    GLOBAL DEFAULT    7 Java_com_aatt_fpsm_FPSMSe  
      8: 00000000     0 FUNC    GLOBAL DEFAULT  UND remove  
      9: 00000f05    40 FUNC    GLOBAL DEFAULT    7 Java_com_aatt_fpsm_FPSMSe  
     10: 00000000     0 FUNC    GLOBAL DEFAULT  UND read  
     11: 00004004     4 OBJECT  GLOBAL DEFAULT   16 fd  
     12: 00004008     4 OBJECT  GLOBAL DEFAULT   16 trash  
     13: 000017cc     8 FUNC    GLOBAL DEFAULT    7 __aeabi_unwind_cpp_pr0  
     14: 00000f2d    36 FUNC    GLOBAL DEFAULT    7 Java_com_aatt_fpsm_FPSMSe  
     15: 00000000     0 FUNC    GLOBAL DEFAULT  UND open  
     16: 00000f51    20 FUNC    GLOBAL DEFAULT    7 Java_com_aatt_fpsm_FPSMSe  
     17: 00000000     0 FUNC    GLOBAL DEFAULT  UND close  
     18: 00000f65    36 FUNC    GLOBAL DEFAULT    7 Java_com_aatt_fpsm_FPSMSe  
     19: 0000400c     4 OBJECT  GLOBAL DEFAULT   16 value  
     20: 00004004     0 NOTYPE  GLOBAL DEFAULT  ABS _edata  
     21: 00004004     0 NOTYPE  GLOBAL DEFAULT  ABS __bss_start  
     22: 00004010     0 NOTYPE  GLOBAL DEFAULT  ABS _end  
     23: 00000000     0 FUNC    WEAK   DEFAULT  UND __gnu_Unwind_Find_exidx  
     24: 00000000     0 FUNC    GLOBAL DEFAULT  UND abort  
     25: 00000000     0 FUNC    GLOBAL DEFAULT  UND memcpy  
     26: 000017bc     8 FUNC    WEAK   DEFAULT    7 __aeabi_unwind_cpp_pr2  
     27: 00001d88     0 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Restore_VFP_  
     28: 00001d78     0 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Restore_VFP  
     29: 00001d98     0 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Restore_VFP_  
     30: 00001da8     0 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Restore_WMMX  
     31: 00001e30     0 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Restore_WMMX  
     32: 00001d64    20 FUNC    GLOBAL DEFAULT    7 restore_core_regs  
     33: 0000134c    68 FUNC    GLOBAL DEFAULT    7 _Unwind_VRS_Get  
     34: 000013b8    68 FUNC    GLOBAL DEFAULT    7 _Unwind_VRS_Set  
     35: 00000000     0 NOTYPE  WEAK   DEFAULT  UND __cxa_begin_cleanup  
     36: 00000000     0 NOTYPE  WEAK   DEFAULT  UND __cxa_type_match  
     37: 00001f64   916 FUNC    GLOBAL DEFAULT    7 __gnu_unwind_execute  
     38: 00000000     0 NOTYPE  WEAK   DEFAULT  UND __cxa_call_unexpected  
     39: 000017d4   856 FUNC    GLOBAL DEFAULT    7 _Unwind_VRS_Pop  
     40: 00001d90     0 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Save_VFP_D  
     41: 00001d80     0 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Save_VFP  
     42: 00001da0     0 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Save_VFP_D_1  
     43: 00001dec     0 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Save_WMMXD  
     44: 00001e44     0 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Save_WMMXC  
     45: 00001b2c     8 FUNC    GLOBAL DEFAULT    7 _Unwind_GetCFA  
     46: 00001b34   164 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_RaiseExcepti  
     47: 00001bd8    28 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_ForcedUnwind  
     48: 00001bf4   108 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Resume  
     49: 00001c60    32 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Resume_or_Re  
     50: 00001c80     4 FUNC    GLOBAL DEFAULT    7 _Unwind_Complete  
     51: 00001c84    32 FUNC    GLOBAL DEFAULT    7 _Unwind_DeleteException  
     52: 00001ca4   192 FUNC    GLOBAL DEFAULT    7 __gnu_Unwind_Backtrace  
     53: 00001d64    20 FUNC    GLOBAL DEFAULT    7 __restore_core_regs  
     54: 00001e58    36 FUNC    GLOBAL DEFAULT    7 ___Unwind_RaiseException  
     55: 00001e58    36 FUNC    GLOBAL DEFAULT    7 _Unwind_RaiseException  
     56: 00001e7c    36 FUNC    GLOBAL DEFAULT    7 ___Unwind_Resume  
     57: 00001e7c    36 FUNC    GLOBAL DEFAULT    7 _Unwind_Resume  
     58: 00001ea0    36 FUNC    GLOBAL DEFAULT    7 ___Unwind_Resume_or_Rethr  
     59: 00001ea0    36 FUNC    GLOBAL DEFAULT    7 _Unwind_Resume_or_Rethrow  
     60: 00001ec4    36 FUNC    GLOBAL DEFAULT    7 ___Unwind_ForcedUnwind  
     61: 00001ec4    36 FUNC    GLOBAL DEFAULT    7 _Unwind_ForcedUnwind  
     62: 00001ee8    36 FUNC    GLOBAL DEFAULT    7 ___Unwind_Backtrace  
     63: 00001ee8    36 FUNC    GLOBAL DEFAULT    7 _Unwind_Backtrace  
     64: 000022f8    64 FUNC    GLOBAL DEFAULT    7 __gnu_unwind_frame  
     65: 00002338    44 FUNC    GLOBAL DEFAULT    7 _Unwind_GetRegionStart  
     66: 00002364    56 FUNC    GLOBAL DEFAULT    7 _Unwind_GetLanguageSpecif  
     67: 0000239c     8 FUNC    GLOBAL DEFAULT    7 _Unwind_GetDataRelBase  
     68: 000023a4     8 FUNC    GLOBAL DEFAULT    7 _Unwind_GetTextRelBase

从elf信息可以见到，这个库主要是JNI的实现及将unwind实现包含在库中，unwind库一般是用作异常处理的，用它可以获取函数的调用栈信息。

这里由于使用pipe，则怀疑这里需要跨进程通信；而此pipe的通信使用是apk私有的pipe，则推论此apk通过rootTool中提供的Shell类来运行su后的shell，su的作用是通过linux开的后门，允许用户程序通过setuid系统调用，更改用户id，达到root效果。su root后，执行一个native程序，native程序应该就是res/raw/下的bin0。初步怀疑pipe的写端是这个bin0，bin0的symbol信息：

$ readelf.exe -s bin0

Symbol table '.dynsym' contains 32 entries:
   Num:    Value  Size Type    Bind   Vis      Ndx Name
     0: 00000000     0 NOTYPE  LOCAL  DEFAULT  UND
     1: 00000000     0 FUNC    GLOBAL DEFAULT  UND __libc_init
     2: 00000000     0 FUNC    GLOBAL DEFAULT  UND __cxa_atexit
     3: 00000000     0 FUNC    GLOBAL DEFAULT  UND snprintf
     4: 00000000     0 FUNC    GLOBAL DEFAULT  UND fopen
     5: 00000000     0 FUNC    GLOBAL DEFAULT  UND fgets
     6: 00000000     0 FUNC    GLOBAL DEFAULT  UND strstr
     7: 00000000     0 FUNC    GLOBAL DEFAULT  UND strtok
     8: 00000000     0 FUNC    GLOBAL DEFAULT  UND strtoul
     9: 00000000     0 FUNC    GLOBAL DEFAULT  UND fclose
    10: 00000000     0 FUNC    GLOBAL DEFAULT  UND __stack_chk_fail
    11: 00000000     0 OBJECT  GLOBAL DEFAULT  UND __stack_chk_guard
    12: 00000000     0 FUNC    GLOBAL DEFAULT  UND memcpy
    13: 00000000     0 FUNC    GLOBAL DEFAULT  UND ptrace
    14: 00000000     0 FUNC    GLOBAL DEFAULT  UND waitpid
    15: 00000000     0 FUNC    GLOBAL DEFAULT  UND opendir
    16: 00000000     0 FUNC    GLOBAL DEFAULT  UND readdir
    17: 00000000     0 FUNC    GLOBAL DEFAULT  UND atoi
    18: 00000000     0 FUNC    GLOBAL DEFAULT  UND sprintf
    19: 00000000     0 FUNC    GLOBAL DEFAULT  UND strcmp
    20: 00000000     0 FUNC    GLOBAL DEFAULT  UND closedir
    21: 00000000     0 FUNC    GLOBAL DEFAULT  UND dlsym
    22: 00000000     0 FUNC    GLOBAL DEFAULT  UND strlen
    23: 0000c000     0 NOTYPE  GLOBAL DEFAULT  ABS _edata
    24: 0000c000     0 NOTYPE  GLOBAL DEFAULT  ABS __bss_start
    25: 0000c004     0 NOTYPE  GLOBAL DEFAULT  ABS _end
    26: 00000000     0 FUNC    WEAK   DEFAULT  UND __gnu_Unwind_Find_exidx
    27: 00000000     0 FUNC    GLOBAL DEFAULT  UND abort
    28: 00000000     0 FUNC    GLOBAL DEFAULT  UND raise
    29: 00000000     0 NOTYPE  WEAK   DEFAULT  UND __cxa_begin_cleanup
    30: 00000000     0 NOTYPE  WEAK   DEFAULT  UND __cxa_type_match
    31: 00000000     0 NOTYPE  WEAK   DEFAULT  UND __cxa_call_unexpected

我们通过ps来看一下运行时的进程情况，并没有看到此bin0进程，看样子不像是常驻内存的，那么它太不可能是pipe的write端。

从elf的symbol来看，此bin文件应该会使用dlsym和ptrace。使用ptrace的话，基本可以确定，这个bin文件会通过PTRACE_ATTACH到别的进程中，然后修改别的进程数据或代码，以达到自己的目的。ptrace的执行过程应该就是分析的关键，接下来需要从ptrace入手。

小结

这个fps meter没有按照android应用程序的开发规范，通过使用SDK和NDK开发java和jni代码实现，而是使用第三方库，通过su获取root权限，执行自己的可执行binary程序，apk自己实现的库或binary程序，以android资源的形式打包在apk中。这种运行方式，对用户安全及系统稳定来说，是一个危险的动作。

本小结简单了解了此apk的内容，下节将详细介绍下apk资源包中bin文件通过ptrace感染android系统进程的过程。

【上篇】JQuery运用ajax注册用户实例(后台asp.net)
【下篇】.Net验证控件显示提示信息

作者: repro

该日志由 repro 于11年前发表在综合分类下，最后更新于 2013年03月21日.
转载请注明: android应用程序fps meter[帧数显示]的分析 —— 浅谈root的风险 (1) | 学步园 +复制链接

抱歉!评论已关闭.

学步园