前言

今天主要介紹的是通過(guò)內(nèi)核通訊的方式獲取設(shè)備網(wǎng)卡mac指紋陶冷，主要通過(guò)netlink的方式和內(nèi)核通訊去獲取mac網(wǎng)卡地址 。

這種方式可以直接繞過(guò)android的權(quán)限毯辅。

在不給app授權(quán)的時(shí)候也可以直接獲取到網(wǎng)卡信息埂伦。因?yàn)楹茈y進(jìn)行mock，所以很多大廠app也都是采用這種辦法去獲取思恐。

netlink簡(jiǎn)介：

Netlink是linux提供的用于內(nèi)核和用戶態(tài)進(jìn)程之間的通信方式沾谜。

• 但是注意雖然Netlink主要用于用戶空間和內(nèi)核空間的通信，但是也能用于用戶空間的兩個(gè)進(jìn)程通信胀莹。
• 只是進(jìn)程間通信有其他很多方式基跑，一般不用Netlink。除非需要用到Netlink的廣播特性時(shí)描焰。
• NetLink機(jī)制是一種特殊的socket涩僻，它是Linux特有的，由于傳送的消息是暫存在socket接收緩存中，并不為接受者立即處理逆日，所以netlink是一種異步通信機(jī)制嵌巷。系統(tǒng)調(diào)用和ioctl是同步通信機(jī)制。

一般來(lái)說(shuō)用戶空間和內(nèi)核空間的通信方式有三種：

proc

ioctl

Netlink

而前兩種都是單向的室抽，但是Netlink可以實(shí)現(xiàn)雙工通信搪哪。

Netlink協(xié)議基于BSD socket和AF_NETLINK地址簇(address family)。

使用32位的端口號(hào)尋址(以前稱(chēng)為PID)坪圾，每個(gè)Netlink協(xié)議(或稱(chēng)作總線晓折，man手冊(cè)中則稱(chēng)之為netlink family)，通常與一個(gè)或者一組內(nèi)核服務(wù)/組件相關(guān)聯(lián)兽泄，如NETLINK_ROUTE用于獲取和設(shè)置路由與鏈路信息漓概、NETLINK_KOBJECT_UEVENT用于內(nèi)核向用戶空間的udev進(jìn)程發(fā)送通知等。

netlink特點(diǎn)：

1,支持全雙工病梢、異步通信

2,用戶空間可以使用標(biāo)準(zhǔn)的BSD socket接口(但netlink并沒(méi)有屏蔽掉協(xié)議包的構(gòu)造與解析過(guò)程胃珍，推薦使用libnl等第三方庫(kù))

3,在內(nèi)核空間使用專(zhuān)用的內(nèi)核API接口

4,支持多播(因此支持“總線”式通信，可實(shí)現(xiàn)消息訂閱)

5,在內(nèi)核端可用于進(jìn)程上下文與中斷上下文

netlink特點(diǎn)：

1,支持全雙工蜓陌、異步通信

2,用戶空間可以使用標(biāo)準(zhǔn)的BSD socket接口(但netlink并沒(méi)有屏蔽掉協(xié)議包的構(gòu)造與解析過(guò)程觅彰，推薦使用libnl等第三方庫(kù))

3,在內(nèi)核空間使用專(zhuān)用的內(nèi)核API接口

4,支持多播(因此支持“總線”式通信，可實(shí)現(xiàn)消息訂閱)

5,在內(nèi)核端可用于進(jìn)程上下文與中斷上下文

如何通過(guò)netlink獲取網(wǎng)卡信息钮热？

android 是如何通過(guò)netlink獲取網(wǎng)卡地址的填抬？

不管是ip命令行還是Java的network接口，最終都是調(diào)用到ifaddrs.cpp -> getifaddrs

getifaddrs方法介紹

image

NetlinkConnection這個(gè)結(jié)構(gòu)體是一個(gè)netlink的封裝類(lèi)

重點(diǎn)看一下ReadResponses的實(shí)現(xiàn)過(guò)程

image

image

使用流程：

通過(guò)遍歷拿到我們需要的內(nèi)容隧期，輸出即可飒责。

image

SVC內(nèi)聯(lián)安全封裝：

在接受消息的時(shí)候android源碼是采用recv去接受的消息

通過(guò)循環(huán)的方式去判斷結(jié)束位置。

image

但是recv這種函數(shù)很容易被hook仆潮，inlinehook recv ,recvfrom ,recvmsg

在方法執(zhí)行完畢以后直接就可以處理參數(shù)二的返回值宏蛉。

在不直接使用系統(tǒng)提供的recv 以后，有兩種方式可以選擇鸵闪。

• 方法1：

直接調(diào)用syscall函數(shù)，通過(guò)syscall函數(shù)進(jìn)行切入到recv 暑诸。

這種方式可以更好的兼容32和64位蚌讼，但是可能被直接hook syscall這個(gè)函數(shù)入口 。

因?yàn)楹驮O(shè)備指紋相關(guān)的函數(shù)个榕，是重點(diǎn)函數(shù)篡石，側(cè)重安全。所以重點(diǎn)采用方法2

將syscall 匯編代碼嵌入到指定方法內(nèi)部西采。

• 方法2：我們直接把recv換成svc內(nèi)聯(lián)匯編代碼如下

相當(dāng)于自己實(shí)現(xiàn)syscall （代碼摘抄自libc syscall）

使用的話也很簡(jiǎn)單凰萨，導(dǎo)入函數(shù)頭就好。

image

32位：

image

64位：

image

將代碼替換成如下：

image

很不幸，報(bào)錯(cuò)了胖眷，安卓8內(nèi)核上使用了seccomop 過(guò)濾掉了svc 直接調(diào)用 recv

image

報(bào)錯(cuò)的原因一句話

seccomp prevented call to disallowed arm system call 291

secomp簡(jiǎn)介：

seccomp是Linux的一種安全機(jī)制武通，android 8.1以上使用了seccomp

主要功能是限制直接通過(guò)syscall去調(diào)用某些系統(tǒng)函數(shù)

seccomp的過(guò)濾模式有兩種(strict&filter)

第一種strict只支持如下四種,如果一旦使用了其他的syscall 則會(huì)收到SIGKILL信號(hào)

read()

write()

exit()

rt_sigreturn

通過(guò)下面方式進(jìn)行設(shè)置。

image

strict

image

filter（BPF）

Seccomp-bpf

bpf是一種過(guò)濾模式珊搀，只有在linux高版本會(huì)存在該功能

當(dāng)某進(jìn)程調(diào)用了svc 首先會(huì)進(jìn)入我們自己寫(xiě)的bpf規(guī)則

通過(guò)我們自己的寫(xiě)的規(guī)則冶忱，進(jìn)行判斷該函數(shù)是否被運(yùn)行調(diào)用。

常用的就是ptrace+seccomp去修改svc的參數(shù)內(nèi)容&返回值結(jié)果境析。

回到正文囚枪，不過(guò)還好，

在android底層 recv的實(shí)現(xiàn)是recvfom代碼如下

image

我們將svc調(diào)用號(hào)切換到recvform

image

程序完美運(yùn)行起來(lái)劳淆，網(wǎng)卡獲取成功链沼。

image