1. 基本知识

由于Android系统使用的是Linux内核，在Linux上使用的很多攻防技术都能被应用到Android上，进程注入技术就是其中一种。（以下有关进程注入的描述大多针对Linux/Android环境）

进程注入技术也可以称为动态注入技术，是代码注入技术的一种。代码注入技术可分为静态注入和动态注入两种。静态注入针对可执行文件（如ELF或者PE格式的文件），通过修改文件内容实现代码注入。动态注入针对进程，通过修改寄存器、内存值等实现代码注入。

相对于静态注入，进程注入不需要不需要改动源文件，但是需要高权限才能够执行，例如在Android系统上，需要system或者root权限才能够进行进程注入操作。

进程注入一般情况下有以下几方面的目的： 

1) 增强目标进程的功能；

2) 修复目标进程缺陷；

3) 劫持目标进程函数；

4) 窃取目标进程数据；

5) 篡改目标进程数据。

而在调试程序时，可以有以下几方面的能力：

1) 查看和修改内存；

2) 查看和修改寄存器；

3) 跟踪和改变指令执行和跳转；

4) 查看线程调用堆栈；

通过对比可以看出，使用调试程序的方式，可以达到进程注入的所有目的。进程注入技术可以说是一种调试技术。

在Linux系统上，通过系统提供的ptrace()函数可以完成上面所述的调试功能。

Linux的man文档中有如下解释：

The ptrace() system call provides a means by which one process (the “tracer”) may observe and control the execution of another process (the “tracee”), and examine and change the tracee’s memory and registers.

ptrace()函数定义如下：

其中，request参数决定了要调用的功能，pid指定要操作的目标进程，addr指向目标进程的一个内存地址，data指向自身进程的一个内存地址。

常用的request参数如下：

使用PTRACE_PEEKTEXT或者PTRACE_POKETEXT参数时，每次只能读或者写一个word，而针对Android系统，由于大多数Android系统使用的32位arm处理器，在32位ARM架构的有关资料中可以看到：

即在32位ARM架构下，使用PTRACE_PEEKTEXT或者PTRACE_POKETEXT参数时一次只能读或写4字节。

2. 一般过程

下面，以Android系统上，在目标进程中执行一段自定义代码为例进行讲解。

由于在目标进程中执行自定义代码时，基本上需要对代码进行一定的修改才能正常执行，故自定义代码一般比较端，大多只完成加载动态库，执行动态库中的函数，恢复原始环境等少数几个功能，在动态库的函数中实现复杂的功能。一个示意性代码如下：

进程注入的一般过程如下：

　　大多数过程都是使用ptrace()函数实现，只是使用的request参数不同，对应关系如下：

　　使用mmap()函数申请一块内存也是通过ptrace()函数在目标进程调用mmap()函数来实现的。

其示意性动态展示如下，其中左半边是执行注入的进程，右半边是目标进程。

进入注入的动态过程演示如下：Android进程注入过程动态演示

3. 参考资料

[1] ptrace：http://man7.org/linux/man-pages/man2/ptrace.2.html

[2] ARM Teaching Material ：http://www.arm.com/zh/files/ppt/ARM_Teaching_Material.ppt

[3] 进击的Android注入术：http://blog.csdn.net/l173864930/article/details/38456313

[4] LibInject：http://bbs.pediy.com/showthread.php?t=141355

焦龙龙

2015.01.05