揭秘：黑客如何通过手机追踪到一个人？
　　&前一段时间在新闻上看到有个男的被女网友纠缠，换手机都甩不掉，改密码也没用，有可能吗?&　　其实这篇新闻小编当时也看过，其实里面疑点重重，新闻报道的也不全面，信息太少，所以这里面有很多不确定的因素。单纯的从技术角度来讲，刨除对方是不是因为脑洞太大而产生的被迫害妄想症，或者是这个人是他身边的人他老婆，再或者是这个人在炒作等等原因。单纯的从技术的角度来说，这个是存在可行性的。　　新闻中提出这位受害者一直被影随了六年，说句实话，这位女网友也是挺无聊的，持续六年的APT(高级持续性威胁)，而且对象还是一位普通人，手机时代都从塞班走向苹果安卓系统了，也是厉害的不得了，自身技术提升也是蛮厉害的。咳咳，不吐槽了，先聊正事。　　那么下面就开始聊正事了，有没有可能在你更换手机，改密码，还会被对方继续跟踪破解密码并且得知你手机的一些操作情况?这个是有可能的，但是这个需要很多前提的。如果对方是一位真正的hacker，其实如果做出这种事情的话应该称为骇客了，且不管是什么称呼了。对方可以通过掌握常用手机APP的0day exploit，也就是代码执行漏洞就可以入侵使用的手机设备。例如前一段时间安卓libstagefright媒体库漏洞，黑客可以通过发送一段有特殊格式的视频到用户的手机，差不多就能获取用户手机的控制权。　　而文中所述，更换手机号，更换密码，更换手机后还会继续被追踪到，那么不排除是不是对方使用了蠕虫病毒对手机以及电脑等其他设备进行感染。当新换手机后，通过电脑继续对新的手机进行交叉感染，一旦手机被感染，那么一切都不是问题了。再就是通过了解到受害者的活动信息，在受害者周围建立伪基站，并诱导受害者进行连接，通过伪造界面等等方式，继续将病毒渗入用户手机内部。　　而第二种方式则是通过第一次注入病毒后利用一些常用的文件的漏洞(exploit)，并对其重要文件植入一段代码(shellcode)，使其被追踪者再次更换手机，手机号之后点开这个文件继续被植入病毒。　　其中有很大可能是受害者使用的是一些老版的系统或者是过期的应用，通过得到这些过期的手机系统，应用的exploit，直接绕过杀毒软件，继续对手机注入病毒，从而控制手机。　　最后，假如这个攻击者是真实存在的，并且耗费无数精力，对一个普通人进行这种持续性高频的APT，而且还不是获利，小编不得不吐槽一句，真够无聊的。哪怕你去骇的人是一个帅的突破天际的人，小编也无话可说。但是新闻本身信息不全，存在的种种漏洞都让小编在怀疑这个新闻的真实性。小编能做到的也就是给大家科普一下是否能够做到长时间的通过病毒入侵对个人的监控。相关阅读:不考虑iPhone，你愿意花多少钱买国产智能手机?三大运营商推行流量不清零满月引发网友吐槽盘点华而不实的手机技术：关节触控成鸡肋&
手机论坛帖子排行
最新资讯离线随时看
聊天吐槽赢奖品SQL注入工具(Havij)1.151绿色免费版下载_东坡手机下载
所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表
所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击．特别推荐：
大家还下载了这些：新人求教，求用安卓手机注入的教程【switch破解吧】_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0可签7级以上的吧50个
本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：25,377贴子：
新人求教，求用安卓手机注入的教程
新人求教，求用安卓手机注入的教程
go switch开关工厂供货,请联系邮箱北京康拉德-中欧工贸新桥梁,专业做欧美原装进口机电设备
先装这个APP
自己去看精品贴
精品帖不是有吗，新人进吧先去精品帖看完一圈就再问问题
就这么简单，然后插上ns，自动完成注入
贴吧热议榜
使用签名档&&
保存至快速回贴生命不息，奋斗不止，万事起于忽微，量变引起质变
Android 反编译初探 应用是如何被注入广告的
本文由我的微信公众号：鸿洋（hongyangAndroid）原创首发。
转载请标明出处：
最近和朋友聊天，发现一些灰色产业链通过批量反编译市场上的apk，然后进行注入广告，再重新打包上渠道。
我想大家都不希望自己家的产品或者自己的app那么容易被“占据”，但是想要自身能够防御，首先要知道对方的手段。所以本篇博客的目的不是教大家如何破解别人的app，而是让大家提升安全防御意识，对我们的应用做一些必要的防护，让自己的app不会那么容易被“占领”。
因为是初探，也不需要掌握太多的技术，主要是各种工具的使用了~~
几个重要的工具，注意使用最新版本。
相信就是为了学习，大家或多或少都使用过上述几个工具了:
apktools主要用户反编译和打包；
JD-GUI 主要用于对.class文件展示为源码（比如jar文件）
dex2jar 主要用于将dex文件转化为jar文件
如果没有的话，自行下载，尽可能的下载最新版本。
题目是注入广告，那么我们选择一类广告注入，大多数app都有闪屏广告，那么我们就模拟：反编译一个apk，加入我们的闪屏广告页，然后重新打包。
首先需要准备一个apk，我们随便写一个简单的demo。
package com.zhy.
import android.support.v7.app.AppCompatA
import android.os.B
public class MainActivity extends AppCompatActivity {
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_main);
app的样子是这样的，凑合截个图，据说没图不利于阅读。
然后点击run，拿debug的apk就可以，当然不嫌麻烦可以自己签名拿个混淆的apk，也可以随便下载一个小众的app。
1.反编译一个app
./apktool d app.apk
其中res目录为资源目录，smali目录下可以认为是源码目录，不过都是对应的smali文件。
如果你对smali的语法比较清晰，可以直接在代码中添加逻辑。
我们这里就算了，不过我们这里可以打开res目录，找到activity_main的布局文件，然后修改里面的字符串为：This is hacked app!，这里自己玩。
对了，我们要注入闪屏广告。
思考下，闪屏广告我们可以用Activity来呈现，那么我有个思路是这样的步骤：
编写闪屏广告页的Activity
修改AndroidManifest.xml中的入口Activity为我们闪屏页Activity
闪屏页面中，3s后跳转到原有的入口Activity
那就搞定了。
好像有什么不对的地方，我们这里的源码都是smali格式的，那么闪屏页的Activity我只会java呀，这怎么转化，有什么大力出奇迹的工具么？
恩，还真有。
工具就是Android Studio，开个玩笑，虽然我们不会，但是我们知道smali文件可以反编译生成，那么我们可以查看反编译apk的包名，然后我们新建一个app，在相同的包名下编写一个闪屏页Activity，然后打包成apk。把这个apk再反编译，提取出闪屏页对应的Smali文件，粘贴到被反编译apk的目录不就好了么。
2. 新建项目（为了Smali文件）
内容如下：
package com.zhy.
public class HackAdActivity extends AppCompatActivity {
private Handler mHandler = new Handler(Looper.getMainLooper());
private Runnable mCallback = new Runnable() {
public void run() {
Intent intent = new Intent();
intent.setComponent(new ComponentName("com.zhy.decompile",
"com.zhy.decompile.MainActivity"));
startActivity(intent);
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
mHandler.postDelayed(mCallback, 3000);
protected void onDestroy() {
super.onDestroy();
mHandler.removeCallbacks(mCallback);
注意包名一定要和原包名一致&先不要使用到布局文件，后面会说~~
然后提取出apk，重新进行上面的操作，取到Smali文件。
注意我们的编写方式包含内部类，两个一起copy到反编译app的目录。
然后打开AndroidManifest.xml修改入口Activity…
可以看到入口Activity改为我们新建的Activity了，原来的入口Activity切换为普通Activity了。
到这里，我们的文件就修改完毕了。
然后我们重新打包，与其打包之后的apk，还可以安装，安装后启动首先是闪屏广告页，然后才是原来的页面。
那接下来就是打包了~~
./apktool b apk1127 -o app1127_new.apk
./apktool b apk1127 -o app1127_new.apk
I: Using Apktool 2.2.0
I: Checking whether sources has changed...
I: Smaling smali folder into classes.dex...
W: Unknown file type, ignoring: apk1127/smali/.DS_Store
W: Unknown file type, ignoring: apk1127/smali/com/.DS_Store
W: Unknown file type, ignoring: apk1127/smali/com/zhy/.DS_Store
I: Checking whether resources has changed...
I: Building resources...
I: Building apk file...
I: Copying unknown files/dir...
ok，打包成功后，可以看到一个新的app1127_new.apk。
这个apk现在是无法安装的，安装后出现下图结果：
主要是因为没有签名。
那么接下来就开始签名吧~
签名的话，我们需要一个签名文件，我们一起来新生成下。
keytool -genkey -alias zhy.keystore -keyalg RSA -validity 20000 -keystore zhy.keystore
然后按照提示往下输入即可。
当然如果你嫌命令太难记，你也可以利用Android Studio进行可视化生成一个：
点击Build：
选择create New，然后在弹出面板填写就行了，你肯定会填。
有了keystore之后呢，我们可以利用新生成的keystore来签名我们刚才hack的apk。
jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1
-keystore zhy.keystore
-storepass 123456
app1127_new.apk
zhy.keystore
记得上述代码弄成一行去执行：
上面的options其实并不多，文件路径，密码，别名呀什么的，应该可以看明白，有兴趣可以详细的搜索下相关文件。
签名完成之后一般就可以安装了，不过我们一般还会做一个对齐操作。
zipalign 4 app1127_new.apk app1127_new_align.apk
此刻运行：
原本只有一个页面，可以看到现在被我们注入了一个I am ad的页面。
当然了，如果你是一路模拟过来的，因为前面说了，先不要使用资源，所以你应该能看出页面的跳转，但是并Ad页面并没有布局文件。
下面我们来说使用布局文件。
四、使用布局文件
HackAdActivity中添加一行：
setContentView(R.layout.ad)
还是刚才的活，重新反编译copy Smali文件，并且把ad这个layout复制到想要注入的app的反编译后的文件夹中。
然后是不是打包就好了呢？
当然不是，如果是，刚才就直接说好了。我们在写代码的时候，都知道会生成一个R.layout.ad，那么这个值，在原本的app里面肯定是没有的（不考虑重名情况）。
所以，我们需要手动加入进去：
打开R$layout.smali文件：
我们在最后添加一个ad的资源id:
.field public static final ad:I = 0x7f04002e
然后保存退出。
别急着打包…
这里定义完了，我们的HackAdActivity.smali中还需要修改呢。
你别说smali文件里面我看不懂怎么改？
改个id还是可以的。
找到setContentView前一行，是不是还蛮容易定位的。
改完之后，重新打包、签名、对齐就ok了~~
如果你使用了更多的资源，记得基本都要处理。
那么到这里就完成了反编译一个apk，然后往里面注入一个新的Activity并且可以自定义这个布局文件，至于这个Activity能看什么事大家肯定都明白。
但是，但是，我们的目的并不是让大家去反编译人家的apk，而是知道我们的apk能够被别人这么玩。
所以要思考的是：
如何预防这种行为呢？
欢迎留言说说如何预防？
未完待续…
欢迎关注我的微博：
微信公众号：hongyangAndroid
（欢迎关注，不要错过每一篇干货，支持投稿）
扫码向博主提问
量变引起质变
擅长领域：
没有更多推荐了，[原创]发个Android平台上的注入代码
rt,其实本质上就是linux下面的library注入
只不过处理器是arm的，需要额外处理一些东西
不少代码是从网上或xx直接借鉴的，谢谢这些代码的作者
整体流程分3步
1.在目标进程中分配内存，用来写shellcode和参数
2.往目标进程中写入shellcode, shellcode会调用dlopen来载入我们的library
3.运行目标进程中的shellcode
当然注入是需要root权限的，模拟器上可以直接用，但是真机的话，先exploit吧
上传的附件：
（3.91kb，4381次下载）
支付方式：
最新回复 (56)
好贴啊，支持
好技术！验证一下。
实现了注入，楼主有没有研究过如何hook系统API啊？
好贴啊，支持
请问楼主怎样编译？
花了2天时间找都不知道怎样编译 。。。。
收藏了,支持古河
怎么用呢？????
对比着LBE早起代码看，差不多原样抄过来的，虽说代码能编译成功并运行，同时也发现些疑问，期待各位高手解惑
疑问一: 为何要加0x3C00？否则注入进程后出行Segment fault 错误。
& && & mmap分配到内存映射，为什么不用返回的地址直接做代码基址，而必须加上 0x3C00，尝试过改为其他值比如0x100或者0x4偶尔成功，但出错几率99%以上
// 设置远程代码存储空间地址
remote_code_ptr = map_base+[COLOR="Red"][B]0x3C00[/B][/COLOR]; // + 0x3C00
LBE无论早期版本还是最新版本，也都是固定要加上0x3C00这个偏移，不知为何？
应该与ARM指令对其无关吧？
疑问二:为何要加 0x20?&&经测试这个在严谨计算偏移后，完全没必要，删除了不会影响程序功能和运行。
dlopen_param1_ptr = local_code_ptr + code_length + [COLOR="Red"][B]0x20[/B][/COLOR];
疑问三：get_module_base 有不太准确的地方，是小问题但会影响程序运行。
void* get_module_base( pid_t pid, const char* module_name )
// ... ...
snprintf( filename, sizeof(filename), "/proc/self/maps", [B][COLOR="Red"]pid[/COLOR][/B] ); // pid是多余的吧！
pch = [COLOR="Blue"][B]strtok( line, "-" ); [/B][/COLOR]// 此处完全没有必要调用API切分字符串，直接改为[COLOR="DarkRed"] [B]line[8]=0[/B];[/COLOR] 更合适
if ( [B][COLOR="Blue"]strstr[/COLOR][/B]( line, module_name ) ) // 这么比对模块名，在有近似名是可能会找错对象
// ... ...
疑问四: shellcode.s中为什么不用相对偏移，避免导出有些符号并去运行时修正这些地址，应该有优化的余地？
上传的附件：
（20.47kb，42次下载）
我觉得0x3c00之前是为了给后续调用预留栈空间，之后给插入代码用
楼上的ida是哪个版本，能转换ARM汇编到c code，能给个下载地址么？
https://bitbucket.org/mikukon/android-test/overview
里面包括了makefile及libso文件。
确实是这样的~~
多谢大神们的共享啦
有没有不需要Root就能够注入的办法?
有没有编译成功呢 要用什么编译呢
utils/Log.h: No such file or directory
可以参考参考这个，有makefile的 https://bitbucket.org/tewilove/injectso
if ( ptrace_attach( target_pid ) == -1 )
& & & & & & & & return EXIT_SUCCESS;
为什么返回成功呢？
通过最近再次学习ARM方面的内容，已经明白了上面几个疑问
答疑问一：加0x3C00，是因为把前3c00空间做为栈使用，其实在.s文件中保护好寄存器，自己提供栈空间是有没有必要的，由于sp始终指向栈顶，不可能会覆盖进程中正在使用的数据，至于出现栈空间不够的可能性也极小。通过栈空间直接注入代码，可避免远进程的内存申请。regs.ARM_sp=(long)remote_code
答疑问二:为何要加 0x20?，是因为ARM数据要求4字节对齐，加20没必要，只要保证数据是对齐即可。所有的数据都有修正为4字节对齐，可以用宏实现
疑问三：get_module_base 函数完全没必要，系统调用层的地址各个进程都一样，无需重新计算偏移，可直接使用
疑问四: shellcode.s中数据部分，可移至.BSS段减少代码文件尺寸
.bss.global _inject_data_s_inject_data_s: .space 1024*4导出的符号放在与代码发在一个段就是为了使用相对偏移，如果代码在.text,数据在.data反而需要重新修正指针,LDR也得用伪指令，将数据和代码外装在.DATA,不影响代码编译，已经是最优的选择。
注入成功的效果图
上传的附件：
（57.22kb，58次下载）
学习了，感谢HSQ的深入分析。
先留个脚印
一切正常，就是没有调用so里面的函数，肿么破？
谁能写个详细的用法么？感激不尽
可能是因为你不是在Android源码环境下编译，需要手动建立LOG的宏定义，解决方法可以参考这个博客：http://qgjie456.blog.163.com/blog/static//
这个不是早就有么？
我以前有一个更好的实现版本。
留名关注！！！！
请教用法，谁能写个详细的用法么？感激不尽
D:\android-ndk-r9\samples\hello-jni&ndk-build
Gdbserver& && &: [arm-linux-androideabi-4.6] libs/armeabi/gdbserver
Gdbsetup& && & : libs/armeabi/gdb.setup
"Compile thumb : hello-jni &= hello-jni.c
jni/hello-jni.c: In function 'get_module_base':
jni/hello-jni.c:263 warning: too many arguments for format [-Wformat-extra-ar
"Compile thumb : hello-jni &= shellcode.s
SharedLibrary&&: libhello-jni.so
怎么没人啊，，什么原因呢&&[-Wformat-extra-args]
弱弱的问下，你的代码里，remote_code_ptr = map_base + 0x3C00;是什么用意？不是很明白，谢谢
楼主，请问ioctl里怎么拦截servicemanger啊
int hooked_ioctl(int fd, int cmd, void *data)
& & LOGI("[+] ioctl is invoked ...");
& & // do something here
& & return (*orig_ioctl)(fd, cmd, data);
希望不吝赐教，谢谢
HSQ 大大 我最近 再看 古河的libinject 但是我注入的时候 老是出现 segment default&&我怀疑古河的代码 有错 或者是 取少通用性&&我看你已经运行成功了 ，所以 能不能麻烦你 能给我发一份 你的代码 我想看一下 谢谢您！
学习了来了
学习啦！感谢
求 获取注入进程里某个SO库某个导出函数的方法
有一个疑问，在ptrace_call函数里对返回地址寄存器regs-&ARM_lr = 0;为什么函数执行后不会出错呢？
当然注入是需要root权限的，模拟器上可以直接用，但是真机的话，先exploit吧
请问楼主&&真机exploit是什么意思阿? 还有为什么我编译出来 在Genymotion 和谷歌的虚拟机中都崩溃了呢?
为什么下载不了？
下载的只是.php文件
有带注释的吗？
古河您支持安卓的软件定做吗？有个难度非常大的，搞不定，想请您帮着分析 我Q
好帖，支持
发给和我一样的小白：
http://blog.csdn.net/myarrow/article/details/9630377这个有比较详细的解释
19楼有解答。
[QUOTE=1239641]D:\android-ndk-r9\samples\hello-jni&ndk-build
Gdbserver& && &: [arm-linux-androideabi-4.6] libs/armeabi/gdbserver
Gdbsetup& && & : libs/armeabi/gdb....[/QUOTE]
warning如果不影响正常运行的话，暂时可以先不管。
后排留名，感谢大大的分享，认真学习了
mark 一下，以后用得着
有一个重大疑问请教大家
inject_remote_process函数中，有这么一段：
&&remote_code_ptr = map_base + 0x3C00;
这里大家都说了，是为了给栈预留空间，但是在最后面的部分：
&&regs.ARM_sp = (long)remote_code_
&&regs.ARM_pc = (long)remote_code_
ARM_sp怎么能和pc相同呢？不是应该指向map_base吗？这样才能达到大家说的栈空间的目的啊
好帖，多谢分享
win 7 x64 用ndk编译貌似有错误。你们啥系统```
1.请先关注公众号。
2.点击菜单"更多"。
3.选择获取下载码。