利用cache特性檢測Android模擬器

wyzsk發表於2020-08-19
作者: leonnewton · 2016/03/01 15:16

Author:leonnewton

0x00 序


目前對Android模擬器的檢測,主要是從特定的系統值來進行區分的。例如,getDeviceId()、getLine1Number()這類函式,還有android.os.Build類記錄的一系列值等等。但是偶然發現有位老外提出了用cache來區分模擬器和真機的idea,但是這位老外可能當時比較懶,沒有具體的細節,寫了個簡單的PoC後把Evaluation空著了,也沒有實驗,所以並不知道這個方法是否真的有效。因此,本文就把檢測的整個方法從原理到實現完整地展現出來。

0x01 ARM和x86


由於現在大部分的Android手機都是ARM架構的,因此首先看一下ARM架構和x86架構在cache上的區別。兩者簡明的區別如下圖所示。

圖1:ARM和x86 cache區別

從圖中我們可以看出,在CPU和記憶體之間,可以存在幾級cache,這裡是L1和L2。cache的作用是加速,把指令快取起來,就不用到低速的記憶體中去取了。x86的cache都是連續的,但是ARM把L1 cache分成了平行的2塊,也就是I-Cache和D-Cache。這種將程式指令儲存和資料儲存分開的儲存器結構叫哈佛架構(Harvard architecture),而把程式指令儲存器和資料儲存器合併在一起的叫馮·諾伊曼結構(von Neumann architecture)。

那麼問題就來了,在指令和資料分開儲存的結構中,這兩個cache不是同步的,因此一個特定地址的資料值在一個cache中更新了,但是在另一個cache就沒有更新。比如往資料cache中寫了資料,指令cache中是不會寫入這個資料的。

而目前Android SDK提供的模擬器是基於QEMU的,QEMU是一個開源的模擬處理器的軟體,詳細可以看維基QEMU。所以模擬器是沒有分開的cache,模擬器只有一個整塊的cache。

於是就有了下面利用cache來檢測模擬器的思路。

0x02 思路


先看下思路的流程圖:

圖2:檢測思路

左邊的是真機上發生的情況,右邊是模擬器發生的情況,下面詳述一下操作和後果。

第一步:
執行一個地址上的指令,假設就是$address這個地址。那麼在真機上,指令會寫到I-Cache上,模擬器直接寫到cache上(因為模擬器就一個整塊的cache)。

第二步:
$address寫入一個新指令。注意,這就有區別了,真機上的新指令會寫入D-Cache,而在模擬器直接寫到cache上。

第三步:
執行$address的指令。那麼此時,在真機上,會從I-Cache讀指令,也就是會執行第一步的指令。模擬器直接從cache上讀指令,會執行第二步的新指令。

當然有可能發生在真機上的指令cache被洗掉了,但是實驗下來可能性還是比較小的。

0x03 show me the code


首先是設計一段程式碼,會向一個特定的地址重新寫一個指令。然後由於要重新回到原來的地址再執行一遍,因此可以用一個迴圈來實現。程式碼如下:

#!cpp
__asm __volatile (
1 "stmfd sp!,{r4-r8,lr}\n"
2 "mov r6,#0\n"  用來統計迴圈次數,debug用的
3 "mov r7,#0\n"  為r7賦初值
4 "mov r8,pc\n"  4、7行用來獲得覆蓋$address“新指令”的地址
5 "mov r4,#0\n"  為r4賦初值
6 "add r7,#1\n"  用來覆蓋$address的“新指令”
7 "ldr r5,[r8]\n" 
8 "code:\n"
9 "add r4,#1\n"  這就是$address,是對r4加1
10 "mov r8,pc\n"  10,11,12行的作用就是把第6行的指令寫到第9行
11 "sub r8,#12\n"
12 "str r5,[r8]\n"
13 "add r6,#1\n"   r6用來計數
14 "cmp r4,#10\n"  控制迴圈次數
15 "bge out\n"
16 "cmp r7,#10\n"   控制迴圈次數
17 "bge out\n"
18 "b code\n"      10次內的迴圈調回去
19 "out:\n"
20 "mov r0,r4\n"    把r4的值作為返回值
21 "ldmfd sp!,{r4-r8,pc}\n"
);

註釋已經解釋得比較清晰了。也就是說,r4如果是10,那麼就是執行的是舊指令,是在真機上。如果r4等於1,那就是執行了舊指令,是在模擬器上。

這裡會遇到一個問題,就是我們是沒有寫程式碼段的許可權的,解決方案是mmap一段可寫的,把編譯好的機器碼複製進去,再跳過去執行。

#!cpp
void (*call)(void);
#define PROT PROT_EXEC|PROT_WRITE|PROT_READ
#define FLAGS MAP_ANONYMOUS| MAP_FIXED |MAP_SHARED
char code[]=
"\xF0\x41\x2D\xE9\x00\x60\xA0\xE3\x00\x70\xA0\xE3\x0F\x80\xA0\xE1"
"\x00\x40\xA0\xE3\x01\x70\x87\xE2\x00\x50\x98\xE5\x01\x40\x84\xE2"
"\x0F\x80\xA0\xE1\x0C\x80\x48\xE2\x00\x50\x88\xE5\x01\x60\x86\xE2"
"\x0A\x00\x54\xE3\x02\x00\x00\xAA\x0A\x00\x57\xE3\x00\x00\x00\xAA"
"\xF5\xFF\xFF\xEA\x04\x00\xA0\xE1\xF0\x81\xBD\xE8";
void *exec = mmap((void*)0x10000000,(size_t)4096 ,PROT ,FLAGS,-1,(off_t)0);
memcpy(exec ,code,sizeof(code)+1);
call=(void*)0x10000000;
call();

申請了一段記憶體,然後把彙編程式碼的機器碼複製過去,接著跳到這塊記憶體執行。然後我們在後面取r4的值即可。

#!cpp
__asm __volatile (
"mov %0,r0\n"
:"=r"(a)
:
:
);

把r0,也就是r4的值放到a變數中。然後根據a的值返回不同的值就可以了。方便在應用裡判斷結果。

0x04 除錯


除錯的方法可以見鄭博士的文章安卓動態除錯七種武器之孔雀翎 – Ida Pro

整個除錯的過程是,把上一節的程式碼編譯成一個so共享庫,返回值是r0也就是r4的值(a變數),然後在應用中根據返回值來判斷在什麼環境中執行。

在進入10000000前下斷點,然後F7進去。

進入以後,在mov r0,r4的時候下斷,F9執行,這時候看到r4的值是10,這是在真機上測試的結果。可以看到原先add r4,#1 已經變成了add r7,#1,但是實際執行的還是add r4,#1。

在模擬器執行的結果如下,可以看到r4的值是1,r7是10,所以執行的是新指令,是在模擬器上:

0x05 測試


不知道在其他機器上是否可行,大家可以從https://github.com/leonnewton/cache_test下載進行測試。

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章