版权归作者所有,如有转发,请注明文章出处:https://cyrus-studio.github.io/blog/
什么是系统调用 (syscall)
系统调用是操作系统提供给应用程序的一组接口,允许用户空间程序与内核进行交互。
在 Android(基于 Linux 内核)中,系统调用由 软中断 实现,通常通过 svc 指令(在 ARM 架构中)触发。系统调用会将 CPU 从用户模式切换到内核模式,使得程序可以执行更高权限的操作。
Android 使用的 C 库是 Bionic,它是为移动设备优化的轻量级 C 库。对应的模块为 libc.so。
Bionic 提供了对系统调用的封装。大多数标准库函数(如 printf、malloc、pthread_create)都通过 Bionic 实现,底层调用了相应的系统调用。
在 NDK 目录中可以找到相关的系统调用号定义头文件。例如
<NDK_PATH>\27.1.12297006\toolchains\llvm\prebuilt\windows-x86_64\sysroot\usr\include\asm-generic\unistd.h
搜索 bionic 模块 可以找到不同CPU架构下的 syscall 实现
在 http://androidxref.com/9.0.0_r3/xref/bionic/libc/arch-arm/syscalls/ 可以找到 Android 中所有系统调用的汇编代码文件
syscall 在 Android 上的应用场景
系统工具和调试:如 strace、lsof 等工具,通过 syscall 获取系统状态。
安全与反调试:某些安全检测和反调试技术会直接使用 syscall 绕过标准的 libc 函数,以防止被 hook。
嵌入式开发:在一些嵌入式系统中,开发者需要直接控制硬件,这时通常会使用 syscall。
如何在 Android 中使用 syscall
假设我们希望通过 syscall 直接读取文件内容,编写 native 方法代码如下
// 引入必要的头文件
#include <jni.h>
#include <string>
#include <fcntl.h> // 文件控制定义(如 O_RDONLY)
#include <unistd.h> // 系统调用号(如 __NR_openat)
#include <sys/syscall.h> // 系统调用函数
#include <android/log.h>
#define LOG_TAG "syscall-lib.cpp"
// 定义 Android 日志宏,用于输出信息级别日志
#define LOGI(...) __android_log_print(ANDROID_LOG_INFO, LOG_TAG, __VA_ARGS__)
// 使用 extern "C" 告诉编译器按照 C 语言的方式来编译和链接这个函数
extern "C"
JNIEXPORT jstring JNICALL
Java_com_cyrus_example_syscall_SyscallActivity_readFileWithSyscall(JNIEnv *env, jobject,
jstring path) {
// 将 Java 字符串 (jstring) 转换为 C 字符串 (const char *)
const char *filePath = env->GetStringUTFChars(path, nullptr);
// 使用 syscall 系统调用打开文件
// __NR_openat 是 openat() 系统调用的调用号
// AT_FDCWD 表示使用当前工作目录
// O_RDONLY 表示以只读方式打开文件
int fd = syscall(__NR_openat, AT_FDCWD, filePath, O_RDONLY);
// 如果文件打开失败,返回错误信息
if (fd < 0) {
// 释放通过 GetStringUTFChars 分配的资源
env->ReleaseStringUTFChars(path, filePath);
return env->NewStringUTF("Failed to open file");
}
// 定义一个缓冲区,用于存储文件内容
char buffer[1024];
// 使用 syscall 系统调用读取文件内容
// __NR_read 是 read() 系统调用的调用号
// 读取的内容存储到 buffer 中,最多读取 sizeof(buffer) - 1 字节
ssize_t bytesRead = syscall(__NR_read, fd, buffer, sizeof(buffer) - 1);
// 如果读取失败,返回错误信息
if (bytesRead < 0) {
// 关闭文件描述符
syscall(__NR_close, fd);
// 释放通过 GetStringUTFChars 分配的资源
env->ReleaseStringUTFChars(path, filePath);
return env->NewStringUTF("Failed to read file");
}
// 使用 syscall 系统调用关闭文件
syscall(__NR_close, fd);
// 释放通过 GetStringUTFChars 分配的资源
env->ReleaseStringUTFChars(path, filePath);
// 确保缓冲区以 '\0' 结尾(C 字符串需要以 '\0' 作为结束符)
buffer[bytesRead] = '\0';
// 输出读取到的文件内容到控制台
printf("File content: %s\n", buffer);
// 将读取到的文件内容转换为 Java 字符串 (jstring) 并返回
return env->NewStringUTF(buffer);
}
代码中用到的系统调用号 __NR_openat 对应的的 openat 方法签名如下
int openat(int dirfd, const char *pathname, int flags, ... /* mode_t mode */ );
具体可参考 Linux 手册:https://man7.org/linux/man-pages/man2/open.2.html
调用 native 方法读取文件并显示文件内容
package com.cyrus.example.syscall
import android.os.Bundle
import android.widget.Button
import android.widget.Toast
import androidx.appcompat.app.AppCompatActivity
import com.cyrus.example.R
class SyscallActivity : AppCompatActivity() {
// 加载 native 库
init {
System.loadLibrary("syscall-lib")
}
external fun readFileWithSyscall(path: String): String
override fun onCreate(savedInstanceState: Bundle?) {
super.onCreate(savedInstanceState)
setContentView(R.layout.activity_syscall)
findViewById<Button>(R.id.button_syscall).setOnClickListener {
// 指定文件路径
val filePath = "/data/local/tmp/test.txt"
// 调用 native 方法读取文件内容
val fileContent = readFileWithSyscall(filePath)
// 显示 Toast
Toast.makeText(this, fileContent, Toast.LENGTH_SHORT).show()
}
}
}
配置 CMakeLists.txt
cmake_minimum_required(VERSION 3.4.1)
find_library( # Sets the name of the path variable.
log-lib
# Specifies the NDK library that you want CMake to locate.
log)
add_library( # 设置库的名称
syscall-lib
# 设置库的类型
SHARED
# 设置源文件路径
syscall-lib.cpp)
target_link_libraries( # 将 log 库链接到目标库
syscall-lib
${log-lib})
进入 adb shell,创建文件 test.txt,并输入内容为 hello syscall
adb shell
wayne:/ # cd /data/local/tmp/
wayne:/data/local/tmp # echo "hello syscall" > test.txt
调用测试
内联汇编实现 syscall
直接内联汇编实现 syscall 调用可以让你跳过标准库的封装层,隐藏 syscall 调用,防 hook 增加逆向难度。
1. 找到 syscall 的汇编代码
把 Bionic 模块对应的 libc.so 拉取到本地
// 32 位库
adb pull /system/lib/libc.so
// 64 位库
adb pull /system/lib64/libc.so
// 或
adb pull /apex/com.android.runtime/lib64/bionic/libc.so
用 IDA 打开 libc.so,在 Functions 窗口搜索 syscall
得到 syscall 的汇编代码如下
MOV R12, SP // R12 = SP (保存栈指针)
PUSH {R4-R7} // 保存 R4-R7 到栈
MOV R7, R0 // R7 = 系统调用号
MOV R0, R1 // R0 = 第一个参数
MOV R1, R2 // R1 = 第二个参数
MOV R2, R3 // R2 = 第三个参数
LDM R12, {R3-R6} // R3-R6 = 额外参数 (从栈中加载)
SVC 0 // 触发系统调用
POP {R4-R7} // 恢复 R4-R7
CMN R0, #0x1000 // 检查返回值 (是否小于 0)
BXLS LR // 成功则返回调用地址
由于我们内联汇编 syscall 需要和原来的汇编保持一致,不需要编译器自动生成的函数入口代码和退出代码,所有需要用到 “裸函数”(naked function)。
2. 裸函数(naked function)
在 C 和 C++ 编程中,attribute((naked)) 是 GCC(GNU Compiler Collection)和 Clang 编译器提供的一个属性,用于定义一个 “裸函数”(naked function)。
裸函数是一种特殊的函数,它允许你直接控制函数的汇编指令,而不会自动为你生成函数的入口代码(如保存寄存器、调整栈指针)和退出代码(恢复寄存器、恢复栈指针)。
attribute((naked)) 提供了一种方式,让开发者完全掌控函数的汇编指令布局,而不受编译器默认生成的代码影响。它适合在对性能要求极高或者需要直接操作硬件的情况下使用,例如系统调用、中断处理程序和上下文切换函数。
基本语法
__attribute__((naked)) void myFunction() {
// 手动编写汇编指令
}
3. 编写内联汇编代码
__attribute__((naked)) long raw_syscall(long __number, ...) {
__asm__ __volatile__(
"MOV R12, SP\n"
"PUSH {R4-R7}\n"
"MOV R7, R0\n"
"MOV R0, R1\n"
"MOV R1, R2\n"
"MOV R2, R3\n"
"LDM R12, {R3-R6}\n"
"SVC 0\n"
"POP {R4-R7}\n"
"mov pc, lr");
}
4. 读取文件内容并返回 kotlin 层调用
// 读取文件内容
std::string read_file(const char *filePath) {
char buffer[1024] = {0};
// 调用 raw_syscall 打开文件
int fd = raw_syscall(SYS_openat, 0, filePath, O_RDONLY, 0);
if (fd < 0) {
return "Failed to open file";
}
// 调用 raw_syscall 读取文件
ssize_t bytesRead = raw_syscall(SYS_read, fd, buffer, sizeof(buffer) - 1);
if (bytesRead < 0) {
raw_syscall(SYS_close, fd);
return "Failed to read file";
}
// 关闭文件
raw_syscall(SYS_close, fd);
// 输出读取到的文件内容到控制台
LOGI("File content: %s\n", buffer);
return std::string(buffer);
}
extern "C"
JNIEXPORT jstring JNICALL
Java_com_cyrus_example_syscall_SyscallActivity_readFileWithAssemblySyscall(JNIEnv *env, jobject,
jstring path) {
// 将 Java 字符串 (jstring) 转换为 C 字符串 (const char *)
const char *filePath = env->GetStringUTFChars(path, nullptr);
std::string file_content = read_file(filePath);
// 释放通过 GetStringUTFChars 分配的资源
env->ReleaseStringUTFChars(path, filePath);
return env->NewStringUTF(file_content.c_str());
}
CMakeLists.txt 加载汇编文件
按上面的方法找到 ARM64 和 AMR 的 syscall 的汇编代码。
在 cpp 目录 创建 syscall64.s (ARM64)汇编代码文件,定义 raw_syscall 汇编函数
.text // 表示接下来的代码段是可执行代码段
.global raw_syscall // 将 `raw_syscall` 设为全局符号,使其可以被其他文件引用
.type raw_syscall, @function // 指定 `raw_syscall` 是一个函数
raw_syscall:
// 将第一个参数 (系统调用号) 传递给 X8 寄存器
MOV X8, X0 // X8 = X0, 系统调用号存储在 X8 中
// 将其余的参数从 X1-X6 依次向前移动一位 (为系统调用准备参数)
MOV X0, X1 // X0 = X1, 系统调用的第一个参数
MOV X1, X2 // X1 = X2, 系统调用的第二个参数
MOV X2, X3 // X2 = X3, 系统调用的第三个参数
MOV X3, X4 // X3 = X4, 系统调用的第四个参数
MOV X4, X5 // X4 = X5, 系统调用的第五个参数
MOV X5, X6 // X5 = X6, 系统调用的第六个参数
// 使用 SVC 指令触发系统调用 (Supervisor Call)
SVC 0 // 发起系统调用,中断进入内核态执行
RET // 返回
在 cpp 目录 创建 syscall32.s (ARM)汇编代码文件,定义 raw_syscall 汇编函数
.text
.global raw_syscall
.type raw_syscall,%function
raw_syscall:
MOV R12, SP
STMFD SP!, {R4-R7}
MOV R7, R0
MOV R0, R1
MOV R1, R2
MOV R2, R3
LDMIA R12, {R3-R6}
SVC 0
LDMFD SP!, {R4-R7}
mov pc, lr
在 C++ 代码文件中添加 raw_syscall 函数声明
extern "C" long raw_syscall(long __number, ...);
配置 CMakeLists.txt
# 启用 C 和汇编语言的支持
enable_language(C ASM)
# 根据系统处理器架构选择不同的汇编文件
if (CMAKE_SYSTEM_PROCESSOR MATCHES "aarch") # 检查当前系统是否为 AArch64 (ARM 64-bit) 架构
# 为 `syscall64.s` 设置编译标志
# `-x assembler-with-cpp` 表示使用 C 预处理器来编译汇编文件
set_source_files_properties(syscall64.s PROPERTIES COMPILE_FLAGS "-x assembler-with-cpp")
# 添加一个共享库 (Shared Library)
add_library(
syscall-lib # 设置库的名称为 `syscall-lib`
SHARED # 指定库的类型为共享库
syscall64.s # 添加 ARM64 汇编源文件
syscall-lib.cpp # 添加 C++ 源文件
)
# 如果系统处理器架构为 ARM (ARM 32-bit)
elseif (CMAKE_SYSTEM_PROCESSOR MATCHES "arm")
# 为 `syscall32.s` 设置编译标志
# `-x assembler-with-cpp` 表示使用 C 预处理器来编译汇编文件
set_source_files_properties(syscall32.s PROPERTIES COMPILE_FLAGS "-x assembler-with-cpp")
# 添加一个共享库 (Shared Library)
add_library(
syscall-lib # 设置库的名称为 `syscall-lib`
SHARED # 指定库的类型为共享库
syscall32.s # 添加 ARM 32 位汇编源文件
syscall-lib.cpp # 添加 C++ 源文件
)
endif ()
调用 raw_syscall
// 读取文件内容
std::string read_file(const char *filePath) {
char buffer[1024] = {0};
// 调用 raw_syscall 打开文件
int fd = raw_syscall(SYS_openat, 0, filePath, O_RDONLY, 0);
if (fd < 0) {
return "Failed to open file";
}
// 调用 raw_syscall 读取文件
ssize_t bytesRead = raw_syscall(SYS_read, fd, buffer, sizeof(buffer) - 1);
if (bytesRead < 0) {
raw_syscall(SYS_close, fd);
return "Failed to read file";
}
// 关闭文件
raw_syscall(SYS_close, fd);
// 输出读取到的文件内容到控制台
LOGI("File content: %s\n", buffer);
return std::string(buffer);
}
extern "C"
JNIEXPORT jstring JNICALL
Java_com_cyrus_example_syscall_SyscallActivity_readFileWithAssemblySyscall(JNIEnv *env, jobject,
jstring path) {
// 将 Java 字符串 (jstring) 转换为 C 字符串 (const char *)
const char *filePath = env->GetStringUTFChars(path, nullptr);
std::string file_content = read_file(filePath);
// 释放通过 GetStringUTFChars 分配的资源
env->ReleaseStringUTFChars(path, filePath);
return env->NewStringUTF(file_content.c_str());
}
最后,运行测试
源码
完整源码地址:https://github.com/CYRUS-STUDIO/AndroidExample
![[NewStarCTF 2023 公开赛道]逃1](https://i-blog.csdnimg.cn/direct/7bffe70a7a4e465eab57393e31743312.png)
