20145307陈俊达_安卓逆向分析_Xposed的hook技术研究

20145307陈俊达_安卓逆向分析_Xposed的hook技术研究

引言

其实这份我早就想写了,xposed这个东西我在安卓SDK 4.4.4的时候就在玩了,root后安装架构,起初是为了实现一些屌丝功能,比如自动抢红包,微信阻止撤回,语音可转发等效果,现在步入了SDK 6.0时代,安上了黑域还有绿色守护真的省电,尤其你在装谷歌全家桶的时候,那个是真的费电啊!这篇文章,我想写一点xposed的工作原理。在不修改APK的情况下,影响其运行过程的服务框架。可以根据自己的需求编写模块,让模块控制目标应用的运行。

start

首先环境介绍 oneplus 3 手机 安卓6.0 root后安装xposed架构

好了好了开始!

你先下载好架构是没什么用的,之后需要人为的去编写模块去加载重启运行才行。那好,我们想要知道手机里某个app的某个类的某个方法中的某个函数,就要去指明他的包,这样在架构加载重启后才能去识别这个参数去hook,之后在ide的控制台下就能看见输入或者输出的参数的相关信息了,并去修改。

举一个例子,上篇博客中出现的登录app中.java文件中出现的isOK(字符,字符)这个函数是检查的帐号和密码,那我们如果能hook到这个函数,那这个登录系统就是很不稳了。那我们现在就可以针对他来进行模块的编写了。

public class LoginActivity extends Activity {  
  
    private final String ACCOUNT="jclemo";  
    private final String PASSWORD="123456";  
    private EditText etAccount, etPassword;  
    private Button btnLogin;  
  
    @Override  
    protected void onCreate(Bundle savedInstanceState) {  
        super.onCreate(savedInstanceState);  
        setContentView(R.layout.activity_login);  
  
        etAccount=(EditText)findViewById(R.id.et_account);  
  
        etPassword=(EditText)findViewById(R.id.et_password);  
  
        btnLogin=(Button)findViewById(R.id.btn_login);  
  
        btnLogin.setOnClickListener(new View.OnClickListener() {  
            @Override  
            public void onClick(View v) {  
                if (isOK(etAccount.getText().toString(), etPassword.getText().toString())) {  
                    Toast.makeText(LoginActivity.this, "登录成功", Toast.LENGTH_SHORT).show();  
                } else {  
                    Toast.makeText(LoginActivity.this, "登录失败", Toast.LENGTH_SHORT).show();  
                }  
  
            }  
        });  
  
    }  
  
    private boolean isOK(String account, String password){  
        return account.equals(ACCOUNT) && password.equals(PASSWORD);  
    }  

打开安卓IDE,新建一个项目,模块不需要界面,所以我们选择no activity就好,不要添加layout.xml

在空项目的java文件夹中新建一个类,命名用Module就好

接下来配置安卓manifest.xml

在main文件下创建一个assets文件夹,在里面创建一个普通文件,命名为xposed_init,然后打开输入包的名字和你的类的包名

新建一个文件夹,命名为jar,然后将XposedBridgeApi.jar包放进去,我在网上下载的是54版本,之后右键add lib,加入到我们程序需要的库里面。

编写模块类Module.java

20145307陈俊达_安卓逆向分析_Xposed的hook技术研究_第1张图片

以下为全部代码

.xml

  
  
      
  
          
  
          
  
          
      
  
  

java的Module模块类

public class Module implements IXposedHookLoadPackage {  
  
    @Override  
    public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable {  
        if (loadPackageParam.packageName.equals("com.example.logintest")) {  
  
            XposedHelpers.findAndHookMethod("com.example.logintest.LoginActivity",  
                    loadPackageParam.classLoader,  
                    "isOK",  
                    String.class,  
                    String.class,  
                    new XC_MethodHook() {  
                        @Override  
                        protected void beforeHookedMethod(MethodHookParam param) throws Throwable {  
  
                        }  
  
                        @Override  
                        protected void afterHookedMethod(MethodHookParam param) throws Throwable {  
                        }  
                    });  
  
        }  
    }  
  
} 

20145307陈俊达_安卓逆向分析_Xposed的hook技术研究_第2张图片

这里我们可以看到,Module继承了IXposedHookLoadPackage接口,当系统加载应用包的时候回回调 handleLoadPackage;XposedHelpers的静态方法 findAndHookMethod就是hook函数的的方法,其参数对应为类名+loadPackageParam.classLoader+方法名+参数类型+XC_MethodHook回调接口

这里的第一个参数类名必须要有包名前缀,即“packageName+className”

参数里有一个监听类XC_MethodHook,该类在hook前后回调,通过回调方法的MethodHookParam可以拦截到函数参数。Xposed除了hook目标应用的函数之外,还可以hook某些类的构造方法,对应的方法为XposedHelpers.findAndHookConstructor()。

接下来就签名打包生成apk文件吧,安装到手机上,然后提示有新的xposed模块更新,直接授权加上重启手机就好,热重启很快的。

20145307陈俊达_安卓逆向分析_Xposed的hook技术研究_第3张图片

重启后我们就可以hook那个isOK函数了,用以下来记录获取登录的密码

new XC_MethodHook() {  
    @Override  
    protected void beforeHookedMethod(MethodHookParam param) throws Throwable {  
        XposedBridge.log("账号:"+(String)param.args[0]+"   密码:"+(String)param.args[1]);  
        Log.d("xxx","账号:"+(String)param.args[0]+"   密码:"+(String)param.args[1]);  
    }  
  
    @Override  
    protected void afterHookedMethod(MethodHookParam param) throws Throwable {  
        Log.d("zz", param.getResult().toString());  
    }  
});

手机连接到ide后登录,我们在IDE的控制台上能够看到帐号和密码

当然也可修改

new XC_MethodHook() {  
    @Override  
    protected void beforeHookedMethod(MethodHookParam param) throws Throwable {  
        //修改参数  
        param.args[0]="jclemo";  
        param.args[1]="123456";  
    }  
  
    @Override  
    protected void afterHookedMethod(MethodHookParam param) throws Throwable {  
        Log.d("zz", param.getResult().toString());  
    }  
});

20145307陈俊达_安卓逆向分析_Xposed的hook技术研究_第4张图片

让他的id永远为jclemo,密码永远为123456。之后重新打包,发送到安卓手机上!

总结

这个实验只是xposed研究很小很小的一个方面,还有很多深入的内容需要去研究,下次实验本来打算做的是cydia研究,因为他在苹果越狱上有很大的贡献,想要在安卓平台上也进行一次实验,但是很尴尬的一点就是,这个平台只支持到4.4.4平台,而我的手机最低需要6.0,无法安装4.4.4的cydia,因此无法继续运行,所以改成安卓apk的签名研究!

你可能感兴趣的:(20145307陈俊达_安卓逆向分析_Xposed的hook技术研究)