Xposed框架是一款可以在不修改APK的情况下影响程序运行(修改系统)的框架服务,可谓喜欢捣鼓的人的必备神器。而且使用上也极为简单,下面我就来看看如何在Android Studio上开发xposed模块。
环境设置就不再赘述了,需要以下前提准备工作。
电脑端 | 手机端 |
---|---|
Android studio | root |
Android sdk | 安装了xposed installer |
XposedBridgeApi jar包 | 已安装并激活xposed框架 |
一、创建xposed模块
1、新建Android工程
其实就是一路next,选择Empty Activity,创建工程完成后等待gradle加载完毕。
2、导入XposedBridgeApi jar包
导入完成后,修改下app/build.gradle中的依赖声明。将XposedBridgeApi的依赖由implementation改成provided。改完后记得sync一下gradle。
dependencies {
implementation fileTree(include: ['*.jar'], dir: 'libs')
implementation 'com.android.support:appcompat-v7:26.1.0'
implementation 'com.android.support.constraint:constraint-layout:1.0.2'
testImplementation 'junit:junit:4.12'
androidTestImplementation 'com.android.support.test:runner:1.0.1'
androidTestImplementation 'com.android.support.test.espresso:espresso-core:3.0.1'
provided files('lib/XposedBridgeApi-54.jar')
}
3、修改AndroidManifest
xposedmodule: 表示这是一个xposed模块
xposeddescription: 描述该模块的用途,可以引用string.xml中的字符串
xposedminversion:要求支持的Xposed Framework最低版本
4、模块实现
创建一个或者几个类,并实现IXposedHookLoadPackage,IXposedHookZygoteInit或者其他IXposedMod的子接口。
package de.robv.android.xposed.mods.tutorial;
import de.robv.android.xposed.IXposedHookLoadPackage;
import de.robv.android.xposed.XposedBridge;
import de.robv.android.xposed.callbacks.XC_LoadPackage.LoadPackageParam;
import android.util.Log;
public class TestDemo implements IXposedHookLoadPackage {
public void handleLoadPackage(final LoadPackageParam lpparam) throws Throwable {
XposedBridge.log("Loaded app: " + lpparam.packageName);
Log.d("YOUR_TAG", "Loaded app: " + lpparam.packageName )
}
}
XposedBridge.log会将日志输出到logcat,并写入日志文件
也可以用 android.util.Log输出到logcat。
5、声明xposed入口
我们需要新建一个assets文件夹,并创建文件xposed_init,在里面填上xposed模块的入口.
这里我们声明自己的类“com.johnhao.testdemo.TestDemo”
到这里,这个简单的模块就算开发完了。虽然没有界面,没有任何实际的功能,但这也是一个确确实实的xposed模块。可以被安装到设备上,也可以被xposed installer检测到。
二、实践技巧
前面只是简单的搭出了框子,并没有任何实际功能,接下来我们往里添加一些内容。
技巧1:检测模块是否启动
如果你使用过xposed插件,那么一定有概率碰上模块未启动的情况,即便是你已经勾选激活该模块。那么有没有什么方法来分辨模块是否真的启动了呢?当然有,而且很简单。原理就是:
在MainActivity实现一个boolean方法,然后用xposed hook自己Activity里的函数。能hook成功,自然代表模块成功启动了,反之亦然。
// MainActivity
@Override
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_main);
if (!isModuleActive()){
Toast.makeText(this, "模块未启动", LENGTH_LONG).show();
}
else {
Toast.makeText(this, "模块已启动", LENGTH_LONG).show();
}
}
private boolean isModuleActive(){
return false;
}
hook自己
@Override
public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable {
// Xposed模块自检测
if (loadPackageParam.packageName.equals("your.package.name")){
XposedHelpers.findAndHookMethod("your.package.name.MainActivity", loadPackageParam.classLoader, "isModuleActive", XC_MethodReplacement.returnConstant(true));
}
}
这样,如果模块成功激活,就会在启动app的时候弹一个模块已启动的toast,如果没有启动则会弹模块未启动的toast。
技巧2:hook带壳应用
随着人们安全意识越来越高,很多应用开发者都选择给应用加壳来保护自己。从最开始简单的dex加密到现在的onCreate函数虚拟化技术,逆向的难度也越来越高。如何脱壳和修复onCreate函数不是本文的所要讲的内容。
这里以去年某款答题app为例子讲解,我们期望获得答题的题目和选项。
拿到app反编译,明显发现使用了某厂商的加密技术。第一步是脱壳,然后拿到smali后开始分析(这里我们不去修复onCreate方法)。
我们通过socket中的关键词showQuestion字段,最终在Lcom/chongdingdahui/app/socket/MessageManager$7类里面发现了处理数据的代码。
找到了关键的方法,接下来便是如何hook带壳的应用。如果直接hook的话,会发现找不到目标class,所以我们这里可以采用四哥的方法。
// 应用被加壳,采用这种方式加载类
try {
XposedHelpers.findAndHookMethod(Application.class, "attach", Context.class, new XC_MethodHook() {
@Override
protected void afterHookedMethod(MethodHookParam param) throws Throwable {
context = (Context) param.args[0];
ClassLoader loader = context.getClassLoader();
// 获取题目和答案
try {
Class clazz = loader.loadClass("com.chongdingdahui.app.socket.MessageManager$7");
if (clazz != null){
XposedHelpers.findAndHookMethod(clazz, "call", Object[].class, new XC_MethodHook() {
@Override
protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
super.beforeHookedMethod(param);
Object[] obj = (Object[]) param.args[0];
String content = obj[0].toString();
Log.d(TAG, content);
question = Util.getQuestion(content);
answers = Util.getAnswer(content);
}
});
}
}catch (Exception e){
Log.e(TAG, "socket.MessageManager$7 clazz not found" + Log.getStackTraceString(e));
}
这样就能得到题目和答案了。因为目前答题类应用早已规范化了,所以展示的代码仅供方法参考,并不能实际应用,但原理都是一样的。
感兴趣的话可以在我的微信公众号回复xposed,获取以上样例的源码。看到这儿,伙伴们有没有get到新技能呢?