一种防止app inline hook自身的思路及其实现

前言

如何绕过？

1. 直接不再调用这些函数，只要没有调用过这些已经被hook的函数自然没有问题。
2. 在app完成inline hook后再通过修改相应的内存数据将其恢复为原本没有被inline hook过的状态，这样就能卸载掉这些inline hook。但是这种方法容易被app检测到相应内存段的修改。
3. 直接阻止app完成hook。

如何阻止app完成inline hook?

inline hook在hook之前需要修改相应内存段的权限，因为一般的可执行段都是不可写的，如果要对其进行inline hook,那必然要修改相应内存段的权限，而这就必然涉及系统调用__NR_mprotect，如果我们直接通过内核模块hook这个系统调用，使app在调用__NR_mprotect系统调用申请修改特定内存段权限时让其直接失败，那是不是就能直接阻止app完成inline hook。经过我的实验其实大部分加固厂商都没注意到这个点，所以绝大部分app都是能用这个思路的。基于此我简单写了个kpm内核模块。65dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6m8L8X3c8J5L8$3W2V1f1X3g2$3k6i4u0K6k6i4u0Q4x3X3c8f1k6i4y4@1i4K6u0r3e0X3!0t1L8$3!0C8k6i4t1`.