资讯专栏INFORMATION COLUMN

TaintDroid剖析之IPC级污点传播

baishancloud / 3282人阅读

摘要:前言在前三篇文章中我们详细分析了对栈帧的修改,以及它是如何在修改之后的栈帧中实现变量级污点跟踪方法级跟踪。总结的污点跟踪粒度是变量粒度的,因此大大提高了污点传播的精准度。下一步继续分析下级污点传播。

前言

在前三篇文章中我们详细分析了TaintDroid对DVM栈帧的修改,以及它是如何在修改之后的栈帧中实现DVM变量级污点跟踪、Native方法级跟踪。本篇文章我们来分析下IPC级污点传播。

TaintDroid深入剖析系列目录:

TaintDroid深入剖析之启动篇

TaintDroid剖析之DVM变量级污点跟踪(下篇)

TaintDroid剖析之Native方法级污点跟踪分析

具体实现

这里我以情景为上下进行跟进,每个情景会涉及多个源文件,它们之间的逻辑是互相完整和独立的。

Java层Taint的传播是通过类Taint(libcore/dalvik/src/main/java/dalvik/Taint.java)实现的。

情景——IPC传递 代码:

frameworks/base/cmds/servicemanager/binder.c

frameworks/native/libs/binder/Parcel.h

frameworks/native/libs/binder/Parcel.cpp

framework/base/core/java/android/os/Parcel.java

framework/base/core/jni/android_os_Parcel.cpp

分析:

为了实现IPC的污点跟踪,taintdroid给每个Parcel多带带维护了一个taint_info的结构体,其定义在Parcel.h,如下所示:

struct taint_in_parcel
{
uint32_t pos; //污点始址
uint32_t len; //污点长度
uint32_t taint; //污点标记
};
struct taint_info
{
uint32_t mTaintSize; // 当前污点项长度
uint32_t mCurPos; // 当前项索引
uint32_t mCurAllocatedSize; // 当前可用项长度
struct taint_in_parcel * parcelArray; //污点项数组
void* mOwnerCookie; //作用未知
};

然后提供了两个方法对这个结构进行操作,分别是Parcel::updateTaint和Parcel::getTaint。

updateTaint的功能是动态添加污点到当前Parcel,其实现如下:

而getTaint的功能是根据指定的范围获取对应的tag值(因为Parcel的数据是线性存储的),其实现如下所示:

为了可以方便上层接口调用,在android_os_Parcel.cpp通过JNI对上层提供了接口。

再来看一下Parcel.java层污点传递的具体实现,我从四个函数分析,其他的逻辑是类似的。

Parcel.marshall是把Parcel序列化为byte[],其实现如下

通过getTaint获取当前Parcel的污点集合tag,再通过Taint.addTainByteArray把tag传递给序列化后的data对象。

Parcel.unmarshall的作用跟Parcel.marshall是相反的,通过byte[]还原Parcel对象,其实现如下:

先通过Taint.getTainByArray拿到data的tag,然后再同步到还原后的Parcel对象。

Parcel.writeInt是往Parcel中写入一个32位的整型,其实现如下:

先获取被写入的val的tag,然后再通过调用updateTaint把污点数据同步到当前Parcel对象。

Parcel.readInt是执行与Parcel.writeInt相反的动作,从Parcel中读出一个32倍整形,其实现如下所示:

依据当前的pos和len,getTaint返回对应的tag,然后再通过Tain.addTainInt同步到最终结果val2。

总结:

TaintDroid的IPC污点跟踪粒度是变量粒度的,因此大大提高了污点传播的精准度。下一步继续分析下File & Memory & Socket 级污点传播。

作者:简行、走位@阿里聚安全,更多Android安全类技术文章,请访问阿里聚安全博客

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/65038.html

相关文章

  • TaintDroid 剖析 DVM 变量污点跟踪(下篇)

    摘要:回顾在上一章节中我们详细分析了对方法参数和方法变量的变量级污点跟踪机制,现在我们将继续分析对类的静态域实例域以及数组的污点跟踪。充分理解这一点,对我们后续分析复杂污点传播逻辑很有帮助。对数组对象的修改在成员之后添加成员。 1 回顾 在上一章节中我们详细分析了TaintDroid对DVM方法参数和方法变量的变量级污点跟踪机制,现在我们将继续分析TaintDroid对类的静态域、实例域以及...

    JeOam 评论0 收藏0
  • 浅入浅出FlowDroid(一): 简介&基本使用

    摘要:后文将围绕做一些介绍。尽管如此,的使用对新手而言仍然充满了困难。本系列文章基本为个人见解,难免有错误与误解,如有客观错误欢迎提出。 前言 说到Android的污点分析框架,网上的搜索结果大多指向静态的FlowDroid与动态的TaintDroid。尽管由于加固、混淆等技术使得针对Android的静态分析越来越困难,但静态分析的无先验分析能力无法被动态分析取代,使得静态分析仍有发挥空间。...

    wqj97 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<