Android Hacker’s Handbook駭客攻防聖經

前　言

資訊安全與大多數領域一樣，都是從家庭式手工作坊開始萌芽的。經過自主發展，這一領域已經跨越了業餘消遣式的初級階段，逐漸成為一個健全的產業。如今的資訊安全領域中，有頂著各種行政頭銜的大人物，也有從事一線研發工作的專家們，還有來自學術圈的「眼線」們。這也是一塊創新熱土，能夠讓數論、密碼學、自然語言處理、圖論、演算法、理論電腦科學等一系列看似冷僻的研究方向產生重大行業影響。對於這些令人神往的科學研究而言，資訊安全行業正在發展進化成為它們的創新試驗場，但與此同時，資訊安全（特別是「漏洞研究」）仍然受資訊技術領域整體發展的限制，並與資訊技術領域的熱點趨勢保持一致。

正如我們每個人從個人生活中強烈感受到的那樣，行動計算顯然是資訊技術領域近年來得到巨大發展的一個熱點方向。現在，各種行動裝置已經無時無刻不伴隨在我們的左右，我們花在行動裝置上的時間要比花在電腦上的時間多得多：辦公用的電腦在下班後就會被我們遺棄在辦公桌上，而家裡的電腦在我們早上急匆匆去上班時甚至沒有打開的機會，這種變化是前所未有的。與電腦不同的是，我們的行動裝置始終是保持開機的，而且連接著工作與家庭這兩個世界，因此也成為了壞人們眼中更具價值的攻擊目標。

我們決定寫這本書的主要原因是，目前行動安全研究領域的知識圖譜過於稀疏，僅有的參考資源和技術資料互相孤立，甚至是相互衝突的。雖然已經有了不少專注於Android 的優秀論文和其他出版物，但其中很大一部分所涵蓋的內容都非常狹窄，僅僅關注Android 安全的某個特定方向，或者只是在討論行動或嵌入式裝置的某個安全問題時，將Android 做為一個輔助例子予以提及。此外，Android 相關的已公開漏洞資訊非常稀缺，雖然現在已經有超過1000 個已公開的漏洞會影響到Android 裝置，但通過常見漏洞資訊管道報告的只有不到100 個。我們相信，本書所介紹的相關技術、概念、工具、技巧和案例，可以幫助你邁上改善Android 安全產業態勢的漫漫長路。

前　言

資訊安全與大多數領域一樣，都是從家庭式手工作坊開始萌芽的。經過自主發展，這一領域已經跨越了業餘消遣式的初級階段，逐漸成為一個健全的產業。如今的資訊安全領域中，有頂著各種行政頭銜的大人物，也有從事一線研發工作的專家們，還有來自學術圈的「眼線」們。這也是一塊創新熱土，能夠讓數論、密碼學、自然語言處理、圖論、演算法、理論電腦科學等一系列看似冷僻的研究方向產生重大行業影響。對於這些令人神往的科學研究而言，資訊安全行業正在發展進化成為它們的創新試驗場，但與此同時，資訊安全（特別是「漏洞研究」）仍然...

第1章　縱觀Android生態圈

1.1　瞭解Android的根源
　1.1.1　公司歷史
　1.1.2　版本歷史
　1.1.3　審視Android裝置家族
　1.1.4　開放原始碼
1.2　瞭解Android的利益相關者
　1.2.1　Google
　1.2.2　硬體廠商
　1.2.3　行動電信業者
　1.2.4　開發者
　1.2.5　使用者
1.3　理解生態圈的複雜性
　1.3.1　碎片化問題
　1.3.2　相容性
　1.3.3　更新問題
　1.3.4　安全性與開放性
　1.3.5　公開披露
1.4　小結

第2章　Android的安全設計與架構
2.1　理解Android系統架構
2.2　理解安全邊界和安全性原則執行
　2.2.1　Android沙盒
　2.2.2　Android權限
2.3　深入理解各個層次
　2.3.1　Android應用層
　2.3.2　Android框架層
　2.3.3　DalvikVM
　2.3.4　使用者空間原生程式碼層
　2.3.5　內核
2.4　複雜的安全性，複雜的漏洞利用
2.5　小結

第3章　root Android裝置
3.1　理解分區佈局
3.2　理解啟動過程
3.3　開機啟動程式的鎖定與解鎖
3.4　對未鎖定開機啟動程式的裝置進行root
3.5　對鎖定開機啟動程式的裝置進行root
　3.5.1　在已啟動系統中取得root權限
　3.5.2　NAND鎖、臨時性root與永久性root
　3.5.3　對軟解root進行永久化
3.6　歷史上的一些已知攻擊
　3.6.1　內核：Wunderbar/asroot
　3.6.2　恢復：Volez
　3.6.3　udev：Exploid
　3.6.4　adbd：RageAgainstTheCage
　3.6.5　Zygote：Zimperlich和Zysploit
　3.6.6　ashmem：KillingInTheNameOf和psneuter
　3.6.7　vold：GingerBreak
　3.6.8　PowerVR：levitator
　3.6.9　libsysutils：zergRush
　3.6.10　內核：mempodroid
　3.6.11　檔案權限和符號連結相關的攻擊
　3.6.12　adb恢復過程競爭條件漏洞
　3.6.13　Exynos4：exynos-abuse
　3.6.14　Diag：lit/diaggetroot
3.7　小結

第4章　應用安全性評估
4.1　普遍性安全問題
　4.1.1　應用權限問題
　4.1.2　敏感性資料的不安全傳輸
　4.1.3　不安全的資料儲存
　4.1.4　通過紀錄的資訊洩露
　4.1.5　不安全的IPC端點
4.2　案例分析：行動安全應用
　4.2.1　初步剖析
　4.2.2　靜態分析
　4.2.3　動態分析
　4.2.4　攻擊
4.3　案例分析：SIP客戶端
　4.3.1　瞭解Drozer
　4.3.2　發現漏洞
　4.3.3　snarfing
　4.3.4　注入
4.4　小結

第5章　理解Android的攻擊面
5.1　攻擊基礎術語
　5.1.1　攻擊向量
　5.1.2　攻擊面
5.2　對攻擊面進行分類
　5.2.1　攻擊面屬性
　5.2.2　分類決策
5.3　遠程攻擊面
　5.3.1　網路概念
　5.3.2　網路通訊協定堆疊
　5.3.3　暴露的網路服務
　5.3.4　行動技術
　5.3.5　客戶端攻擊面
　5.3.6　Google的基礎架構
5.4　物理相鄰
　5.4.1　無線通訊
　5.4.2　其他技術
5.5　本地攻擊面
　5.5.1　探索檔案系統
　5.5.2　找到其他的本機攻擊面
5.6　物理攻擊面
　5.6.1　拆解裝置
　5.6.2　USB
　5.6.3　其他物理攻擊面
5.7　協力廠商修改
5.8　小結

第6章　使用模糊測試來挖掘漏洞
6.1　模糊測試的背景
　6.1.1　選定目標
　6.1.2　建構畸形輸入
　6.1.3　處理輸入
　6.1.4　監控結果
6.2　Android上的模糊測試
6.3　對Broadcast Receiver進行模糊測試
　6.3.1　選定目標
　6.3.2　建立輸入
　6.3.3　傳遞輸入
　6.3.4　監控測試
6.4　對Android上的Chrome進行模糊測試
　6.4.1　選擇一種技術做為目標
　6.4.2　建立輸入
　6.4.3　處理輸入
　6.4.4　監控測試
6.5　對USB攻擊面進行模糊測試
　6.5.1　對USB進行模糊測試的挑戰
　6.5.2　選定目標模式
　6.5.3　建立輸入
　6.5.4　處理輸入
　6.5.5　監控測試
6.6　小結

第7章　偵錯與分析安全性漏洞
7.1　取得所有資訊
7.2　選擇一套工具鏈
7.3　偵錯當機Dump
　7.3.1　系統紀錄
　7.3.2　Tombstone
7.4　遠程偵錯
7.5　偵錯Dalvik程式碼
　7.5.1　偵錯範例應用程式
　7.5.2　顯示框架層原始程式碼
　7.5.3　偵錯現有程式碼
7.6　偵錯原生程式碼
　7.6.1　使用NDK進行偵錯
　7.6.2　使用Eclipse進行偵錯
　7.6.3　使用AOSP進行偵錯
　7.6.4　提升自動化程度
　7.6.5　使用符號進行偵錯
　7.6.6　偵錯非AOSP裝置
7.7　偵錯混合程式碼
7.8　其他偵錯技術
　7.8.1　偵錯陳述
　7.8.2　在裝置上進行偵錯
　7.8.3　動態二進位注入
7.9　漏洞分析
　7.9.1　明確問題根源
　7.9.2　判斷漏洞可利用性
7.10　小結

第8章　使用者態軟體的漏洞利用
8.1　記憶體破壞漏洞基礎
　8.1.1　堆疊緩衝區溢位
　8.1.2　堆積的漏洞利用
8.2　公開的漏洞利用
　8.2.1　GingerBreak
　8.2.2　zergRush
　8.2.3　Mempodroid
8.3　Android瀏覽器漏洞利用
　8.3.1　理解漏洞
　8.3.2　控制堆積
8.4　小結

第9章　ROP漏洞利用技術
9.1　歷史和動機
9.2　ARM架構下的ROP基礎
　9.2.1　ARM子函式呼叫
　9.2.2　將gadget組成ROP鏈
　9.2.3　識別潛在的gadget
9.3　案例分析：Android 4.0.1連結器
　9.3.1　遷移堆疊指標
　9.3.2　在新映射記憶體中執行任意程式碼
9.4　小結

第10章　攻擊內核
10.1　Android的Linux內核
10.2　內核擷取
　10.2.1　從原廠韌體中提取內核
　10.2.2　從裝置中提取內核
　10.2.3　從啟動鏡像中提取內核
　10.2.4　解壓縮內核
10.3　執行自訂內核程式碼
　10.3.1　取得原始程式碼
　10.3.2　建構編譯環境
　10.3.3　設定內核
　10.3.4　使用自定義內核模組
　10.3.5　編譯自定義內核
　10.3.6　製作啟動載入鏡像
　10.3.7　開機啟動載入自定義內核
10.4　偵錯內核
　10.4.1　取得內核當機報告
　10.4.2　理解Oops資訊
　10.4.3　使用KGDB進行Live偵錯
10.5　內核漏洞利用
　10.5.1　典型Android內核
　10.5.2　取得地址
　10.5.3　案例分析
10.6　小結

第11章　攻擊RIL無線介面層
11.1　RIL簡介
　11.1.1　RIL架構
　11.1.2　智慧型手機架構
　11.1.3　Android電話堆疊
　11.1.4　對電話堆疊的客製化
　11.1.5　RIL常駐程式
　11.1.6　用於vendor-ril的API
11.2　簡訊服務
　11.2.1　SMS簡訊的收發
　11.2.2　SMS簡訊格式
11.3　與數據機進行互動
　11.3.1　模擬數據機用於模糊測試
　11.3.2　在Android中對SMS進行模糊測試
11.4　小結

第12章　漏洞利用緩解技術
12.1　緩解技術的分類
12.2　程式碼簽署
12.3　強化堆積緩衝區
12.4　防止整數溢出
12.5　阻止資料執行
12.6　位址空間佈局隨機化
12.7　保護堆疊
12.8　保護格式化字串
12.9　唯讀重定位表
12.10　沙盒
12.11　增強原始程式碼
12.12　存取控制機制
12.13　保護內核
　12.13.1　指標和紀錄限制
　12.13.2　保護零地址頁
　12.13.3　唯讀的記憶體區域
12.14　其他強化措施
12.15　漏洞利用緩解技術總結
12.16　禁用緩解機制
　12.16.1　更改personality
　12.16.2　修改二進位檔案案
　12.16.3　調整內核
12.17　對抗緩解技術
　12.17.1　對抗堆疊保護
　12.17.2　對抗ASLR
　12.17.3　對抗資料執行保護
　12.17.4　對抗內核級保護機制
12.18　展望未來
　12.18.1　進行中的官方專案
　12.18.2　社區的內核強化工作
　12.18.3　一些預測
12.19　小結

第13章　硬體層的攻擊
13.1　裝置的硬體介面
　13.1.1　UART序列介面
　13.1.2　I2C、SPI和單匯流排界面
　13.1.3　JTAG
　13.1.4　尋找偵錯介面
13.2　識別組件
　13.2.1　取得規格說明書
　13.2.2　難以識別的組件
13.3　攔截、監聽和劫持資料
　13.3.1　USB
　13.3.2　I2C、SPI和UART序列埠
13.4　竊取機密和韌體
　13.4.1　無損地取得韌體
　13.4.2　有損地取得韌體
　13.4.3　拿到dump檔案後怎麼做
13.5　陷阱
　13.5.1　客製化的介面
　13.5.2　二進位私有資料格式
　13.5.3　熔斷偵錯介面
　13.5.4　晶片密碼
　13.5.5　bootloader密碼、熱鍵和啞終端
　13.5.6　已客製化的啟動載入過程
　13.5.7　未暴露的地址線
　13.5.8　防止逆向的環氧樹脂
　13.5.9　鏡像加密、混淆和反偵錯
13.6　小結

附錄A　工具
A.1　開發工具
　A.1.1　Android SDK
　A.1.2　Android NDK
　A.1.3　Eclipse
　A.1.4　ADT外掛套件
　A.1.5　ADT套裝軟體
　A.1.6　Android Studio
A.2　韌體擷取和刷機工具
　A.2.1　Binwalk
　A.2.2　fastboot
　A.2.3　Samsung
　A.2.4　NVIDIA
　A.2.5　LG
　A.2.6　HTC
　A.2.7　Motorola
A.3　Android原生工具
　A.3.1　BusyBox
　A.3.2　setpropex
　A.3.3　SQLite
　A.3.4　strace
A.4　Hook和程式碼改寫工具
　A.4.1　ADBI框架
　A.4.2　ldpreloadhook
　A.4.3　XPosed框架
　A.4.4　Cydia　Substrate
A.5　靜態分析工具
　A.5.1　Smali和Baksmali
　A.5.2　Androguard
　A.5.3　apktool
　A.5.4　dex2jar
　A.5.5　jad
　A.5.6　JD-GUI
　A.5.7　JEB
　A.5.8　Radare2
　A.5.9　IDA Pro和Hex-Rays Decompiler
A.6　應用程式測試工具
　A.6.1　Drozer（Mercury）框架
　A.6.2　iSEC Intent Sniffer和Intent Fuzzer
A.7　硬體安全工具
　A.7.1　Segger J-Link
　A.7.2　JTAGulator
　A.7.3　OpenOCD
　A.7.4　Saleae
　A.7.5　Bus Pirate
　A.7.6　GoodFET
A.7.7　Total Phase Beagle USB
A.7.8　Facedancer21
A.7.9　Total Phase Beagle I2C
A.7.10　Chip Quik
A.7.11　熱風槍
A.7.12　Xeltek SuperPro
A.7.13　IDA

附錄B　開放原始碼程式碼庫
B.1　Google
　B.1.1　AOSP
　B.1.2　Gerrit原始碼審查
B.2　SoC廠商
　B.2.1　AllWinner
　B.2.2　Intel
　B.2.3　Marvell
　B.2.4　MediaTek
　B.2.5　Nvidia
　B.2.6　Texas Instruments
　B.2.7　Qualcomm
　B.2.8　Samsung
B.3　OEM
　B.3.1　ASUS
　B.3.2　HTC
　B.3.3　LG
　B.3.4　Motorola
　B.3.5　Samsung
　B.3.6　Sony
B.4　上層程式碼來源
B.5　其他原始碼
　B.5.1　客製化韌體
　B.5.2　Linaro
　B.5.3　Replicant
　B.5.4　程式碼索引
　B.5.5　個人程式碼庫

第1章　縱觀Android生態圈

1.1　瞭解Android的根源
　1.1.1　公司歷史
　1.1.2　版本歷史
　1.1.3　審視Android裝置家族
　1.1.4　開放原始碼
1.2　瞭解Android的利益相關者
　1.2.1　Google
　1.2.2　硬體廠商
　1.2.3　行動電信業者
　1.2.4　開發者
　1.2.5　使用者
1.3　理解生態圈的複雜性
　1.3.1　碎片化問題
　1.3.2　相容性
　1.3.3　更新問題
　1.3.4　安全性與開放性
　1.3.5　公開披露
1.4　小結

第2章　Android的安全設計與架構
2.1　理解Android系統架構
2.2　理解安全邊界和安全性原則執行
　2....