背景手头有一台基于 Linux 的精简系统设备BusyBox提取并修改 system 分区后设备出现开机约 5 分钟自动重启的异常。经全面排查与多轮测试最终确认问题根源是内核层面的 system 分区完整性校验机制因此决定通过内核 Hook 方式修改并绕过该校验逻辑。第一步通过内核日志定位问题核心目的设备反复重启首要任务是定位触发重启的核心进程内核日志是最直接的排查入口记录重启前最后活动。实操步骤执行命令抓取内核实时日志优于 dmesg可捕捉重启前最后时刻信息adb shell cat /dev/kmsg持续观察日志输出重点关注重启前最后几行内容。关键发现重启前日志中反复出现两个内核线程名file_check_thread、monitor_thread二者均为文件完整性校验相关线程。结论重启原因内核级 system 分区完整性校验篡改后触发重启需从内核层面 Hook 绕过。第二步找到内核物理加载地址核心目的Hook 内核函数的前提是明确内核在物理内存中的加载位置ARM64 架构下内核加载地址固定。实操步骤通过/proc/iomem查看物理地址空间布局内核导出的硬件地址映射表执行命令adb shell cat /proc/iomem | grep -i system ram\|kernel输出结果解析80000000-9fffffff : System RAM 80080000-8098ffff : Kernel code 80b10000-80c1efff : Kernel data缩进表示包含关系Kernel code 是 System RAM 的子区域关键解读System RAM物理内存起始地址0x80000000由硬件决定Kernel code内核代码段物理地址范围Hook 目标所在区域Kernel data内核数据段物理地址范围。结论与原理内核物理加载地址 0x80080000符合 ARM64 Linux 内核固定加载公式内核物理加载地址 PHYS_OFFSET TEXT_OFFSET 0x80000000 0x80000 0x80080000参数含义值PHYS_OFFSETSystem RAM 物理起始地址由硬件决定0x80000000TEXT_OFFSETARM64 内核固定偏移512KB定义在内核 Image 头部0x80000第三步通过物理地址反查虚拟地址核心目的IDA Pro 反编译内核需使用虚拟地址作为基准地址base address需通过物理地址反查对应虚拟地址。核心工具选择精简系统BusyBox通常裁剪了/proc/kallsyms内核符号表但/proc/vmallocinfo几乎必存在——其记录了所有虚拟地址与物理地址的映射关系其中phys字段对应物理地址。实操步骤以第二步获取的物理地址0x80080000为过滤条件执行命令adb shell cat /proc/vmallocinfo | grep phys.*80080000输出结果解析0xffffff8008080000-0xffffff8008830000 8060928 0xffffff800899511c phys0x0000000080080000 vmap关键解读对应关系虚拟地址范围0xffffff8008080000 - 0xffffff8008830000IDA Pro 需使用的基准地址物理地址0x80080000与第二步 Kernel code 起始地址一致确认是内核代码段映射。结论IDA Pro 加载内核 Image 时base address 0xffffff8008080000。原理补充内核启动时会将自身代码段从物理地址通过 vmap 映射到虚拟地址空间/proc/vmallocinfo记录该映射关系通过物理地址 grep 可直接过滤出对应虚拟地址。第四步还原魔改 Boot 镜像问题现象将提取的 boot 镜像直接拖入 IDA Pro出现反编译报错——厂商对内核镜像进行了魔改头部格式非标准 ARM64 Image导致 IDA 无法识别。分析过程用 Hex 编辑器如 010 Editor / HxD打开 boot 镜像对比标准 ARM64 内核 Image 魔数magic标准 ARM64 Image 头部偏移 0x38 处为 magic 标识ARM\x64魔改镜像问题真正的 Image 头部前被嵌入一段私有数据导致 IDA 识别失败。经验判断删除0x0 ~ 0x9F0范围的 Hex 数据剩余内容即为标准内核 Image。实操步骤打开 Hex 编辑器加载魔改 boot 镜像选中0x000 ~ 0x9F0地址范围删除选中区域将修改后的文件另存为新文件。至此得到标准 ARM64 内核 Image可正常加载到 IDA Pro 进行反编译。第五步IDA Pro 反编译定位校验函数第一步加载内核 Image 到 IDA Pro将还原后的标准内核 Image 拖入 IDA Pro加载选项配置如下Processor typeARM Little-endian [ARM]Base address填入第三步获取的虚拟地址0xffffff8008080000。第二步搜索关键字符串定位校验函数按ShiftF12打开字符串窗口搜索第一步发现的关键线程名file_check_thread找到该字符串后按快捷键X查看交叉引用定位到引用该字符串的函数。关键发现与目标该交叉引用指向的函数即为 system 分区完整性校验核心逻辑——内核启动后由file_check_thread线程周期性调用检测到 system 分区被篡改后立即触发设备重启。Hook 目标修改该校验函数使其被调用时直接返回不执行任何校验逻辑。第六步编写内核模块实现 Hook核心思路仅需写入一条 RET 指令ARM64 函数调用约定中返回值通过 X0 寄存器传递。我们无需让校验函数“返回成功”只需让其不执行任何校验逻辑——将函数入口第一条指令改为 RET函数被调用时立即返回X0 保留调用前的值通常为 0对校验线程而言即视为“无异常”不触发重启。对比示意原始函数: Hook 后: ┌─────────────────┐ ┌─────────────────┐ │ STP X29, X30... │ │ RET │ ← 直接返回跳过所有校验逻辑 │ 校验逻辑... │ │ (dead code...) │ │ 发现异常→重启 │ │ │ │ RET │ │ │ └─────────────────┘ └─────────────────┘关键细节ARM64 RET 指令的固定机器码为0xC0, 0x03, 0x5F, 0xD64 字节。核心问题内核代码段只读保护内核 .text 段代码段的页表属性为只读 可执行直接通过 memcpy 写入 RET 指令会触发内存保护异常。因此写入前需先修改目标地址所在页的页表项属性临时改为可写。核心前提需先判断目标地址的映射粒度ARM64 多级页表不同粒度对应不同页表级别修改方式不同。前置知识ARM64 页表层级与映射粒度ARM64 使用多级页表管理虚拟地址→物理地址映射每级页表项entry的类型由 bit[1:0] 决定不同级别对应不同映射粒度1. 页表项类型bit[1:0]bit[1:0]类型含义0b01Block entry块映射到此为止修改该级页表0b11Table entry表描述符指向下一级继续遍历0b00Invalid无效地址未映射2. 各级页表映射粒度级别映射粒度说明PUD1GB block极少用于内核代码PMD2MB block内核 .text 段通常使用该级section mapping优化性能PTE4KB page多用于用户空间或特殊映射注意不可直接假设映射粒度需通过代码实际诊断。第一步诊断目标地址的页表级别编写诊断模块编写简单内核模块通过 insmod 加载后查看 dmesg 输出确认目标地址的映射级别需修改的页表级。static int __init diag_init(void) { // 目标地址后续定位到的校验函数虚拟地址示例值需替换 unsigned long addr 0xFFFFFF800841C020; // init_mm 地址内核全局页表后续定位示例值 struct mm_struct *mm (struct mm_struct *)0xFFFFFF8008B04ED8; pgd_t *pgdp pgd_offset(mm, addr); if (pgd_none(READ_ONCE(*pgdp))) { printk([hook] 0x%lx: PGD 无效未映射\n, addr); return 0; } pud_t *pudp pud_offset(pgdp, addr); if (pud_none(READ_ONCE(*pudp))) { printk([hook] 0x%lx: PUD 无效\n, addr); return 0; } if (pud_sect(*pudp)) { printk([hook] 0x%lx: PUD 级 block1GB 映射\n, addr); return 0; } pmd_t *pmdp pmd_offset(pudp, addr); if (pmd_none(READ_ONCE(*pmdp))) { printk([hook] 0x%lx: PMD 无效\n, addr); return 0; } if (pmd_sect(*pmdp)) { printk([hook] 0x%lx: PMD 级 block2MB section 映射← 改 PMD\n, addr); return 0; } pte_t *ptep pte_offset_kernel(pmdp, addr); if (pte_none(READ_ONCE(*ptep))) { printk([hook] 0x%lx: PTE 无效\n, addr); return 0; } printk([hook] 0x%lx: PTE 级4KB page 映射← 改 PTE\n, addr); return 0; } module_init(diag_init); MODULE_LICENSE(GPL);诊断结果查看加载诊断模块后执行命令查看输出adb shell dmesg | grep hook两种常见结果对应不同修改方式结果 A大多数内核[hook] 0xffffff800841c020: PMD 级 block2MB section 映射← 改 PMD结果 B少数内核[hook] 0xffffff800841c020: PTE 级4KB page 映射← 改 PTE第二步根据诊断结果编写 Hook 代码以 PMD 级为例核心逻辑遍历页表→修改页表属性解除只读→写入 RET 指令→完成 Hook。#include linux/init.h #include linux/module.h #include linux/mm.h #include linux/pgtable.h static int __init lkm_init(void) { // 1. 目标函数虚拟地址IDA 定位到的 file_check 校验函数入口需替换 unsigned long file_check_addr 0xFFFFFF800841C020; // 2. init_mm 地址内核全局页表结构体IDA 定位需替换 struct mm_struct *mm (struct mm_struct *)0xFFFFFF8008B04ED8; pgd_t *pgdp; pud_t *pudp; pmd_t *pmdp; // 阶段1逐级遍历页表找到目标地址的 PMD 页表项 pgdp pgd_offset(mm, file_check_addr); if (pgd_none(READ_ONCE(*pgdp))) return -EINVAL; pudp pud_offset(pgdp, file_check_addr); if (pud_none(READ_ONCE(*pudp))) return -EINVAL; pmdp pmd_offset(pudp, file_check_addr); if (pmd_none(READ_ONCE(*pmdp))) return -EINVAL; // 阶段2修改页表属性解除只读保护 pmd_t pmd_value READ_ONCE(*pmdp); pmd_value pmd_mkwrite(pmd_value); // 添加可写权限 set_pmd(pmdp, pmd_value); // 将修改后的值写回页表 __flush_tlb_kernel_pgtable(file_check_addr); // 刷新 TLB使权限修改生效 // 阶段3写入 RET 指令完成 Hook unsigned char retInstruction[] {0xC0, 0x03, 0x5F, 0xD6}; // ARM64 RET 机器码 memcpy((void *)file_check_addr, retInstruction, sizeof(retInstruction)); printk([hook] 校验函数 Hook 成功\n); return 0; } static void __exit lkm_exit(void) { // 可选卸载模块时恢复原指令需提前保存原指令内容 printk([hook] 模块卸载\n); } module_init(lkm_init); module_exit(lkm_exit); MODULE_LICENSE(GPL);关键地址说明必看代码中两个核心地址需根据实际情况替换获取方式如下地址含义获取方式0xFFFFFF800841C020校验函数file_check入口虚拟地址IDA Pro 中通过字符串“file_check_thread”交叉引用定位0xFFFFFF8008B04ED8init_mm内核全局页表结构体地址IDA Pro 中搜索“swapper”字符串交叉引用定位详见下方补充补充init_mm 地址定位方法精简系统无 kallsyms 时内核源码中存在固定引用逻辑所有 ARM64 内核通用可借助该逻辑定位 init_mm// arch/arm64/mm/fault.c具体行号需结合自身内核源码 mm init_mm ? swapper : userIDA Pro 操作步骤ShiftF12 打开字符串窗口搜索“swapper”按 X 查看交叉引用跳转到引用该字符串的函数反编译结果中会出现类似逻辑v4 unk_FFFFFF8008B04ED8; swapper swapper;其中unk_FFFFFF8008B04ED8即为 init_mm 的虚拟地址。第三步编译与加载 Hook 模块编译前提需获取对应设备的内核源码和编译工具链不同设备配置不同需适配自身内核版本。加载操作编译生成 .ko 模块后在设备重启前通过 adb 加载加载后立即生效adb shell insmod /path/to/hook.ko生效验证加载成功后校验函数被 RET 指令覆盖file_check_thread线程每次调用都会直接返回不再执行校验逻辑设备不会再因 system 分区篡改而重启。重要注意事项此方法仅适用于未开启内核保护机制的设备若内核启用以下保护会导致加载失败或 Hook 无效CONFIG_STRICT_MODULE_RWX模块读写执行权限限制模块签名校验CONFIG_MODULE_SIG_FORCE未签名模块无法 insmodSELinux 强制模式会阻止页表修改、模块加载等操作。