Android安全:Hook技术
一、Hook技术
1.Hook英文翻译为“钩子”,而钩子就是在事件传送到终点前截获并监控事件的传输,像个钩子钩上事件一样,并且能够在钩上事件时,处理一些自己特定的事件;
2.Hook使它能够将自己的代码“融入”被勾住(Hook)的进程中,成为目标进程的一部分;
3.在Andorid沙箱机制下,Hook是我们能通过一个程序改变其他程序某些行为得以实现;
二、Hook分类
1.根据Android开发模式,Native模式(C/C++)和Java模式(Java)区分,在Android平台上
Java层级的Hook;
Native层级的Hook;
2.根Hook对象与Hook后处理事件方式不同,Hook还分为:
消息Hook;
API Hook;
3.针对Hook的不同进程上来说,还可以分为:
全局Hook;
单个进程Hook;
三、Hook原理
Hook技术本质是函数调用,由于处于Linux用户状态,每个进程有自己独立的进程控件,所以必须先注入所要Hook的进程空间,修改其内存中进程代码,替换过程表的符号地址,通过ptrace函数附加进程,向远程进程注入so库,从而达到监控以及远程进程关键函数挂钩;
四、Hook工作流程
1.Android相关内核函数:
ptrace函数:跟踪一个目标进程,结束跟踪一个目标进程,获取内存字节,像内存写入地址;
dlopen函数:以指定模式打开指定的动态链接库文件;
mmap函数:分配一段临时的内存来完成代码的存放;
2.向目标进程注入代码总结后的步骤分为以下几步:
用ptrace函数attch上目标进程;
发现装载共享库so函数;
装载指定的.so;
让目标进程的执行流程跳转到注入的代码执行;
使用ptrace函数的detach释放目标集成;
五、常用Hook工具-Xposed框架
1.Xposed框架是一款可以在不修改APK的情况下影响程序运行(修改系统)的框架服务;
2.通过替换/system/bin/app_process程序控制zygote进程,使app_process在启动过程中加载XposedBridge.jar这个jar包,从而完成对Zygote进程及其创建的Dalvik虚拟机的劫持;
六、Xposed框架安装
1.从官方网站(http://repo.xposed.info/module/de.robv.android.xposed.installer),下载de.robv.android.xposed.installer_v33_36570c.apk,安装本地服务XposedInstaller;
2.安装进入到XposedInstaller应用程序,“框架”模块出现“未激活”提示;
3.点击“框架”,进入到需要激活框架的界面,我们点击“安装/更新”就能完成框架的激活了,因为安装时会需要Root权限(下载相关工具如“Root精灵”),安装后会启动Xposed的app_process,所以安装过程会存在设备多次重启(安装过程如下图);
正在安装(下载):
获取Root权限(授权Root权限提示,并确定):
安装完成(安装完成提示重启):
安装成功(框架模块激活提示消失,即安装成功):
七、Xposed框架模块安装
1.Xposed框架内置了下载功能,我们只需要在下载模块点击之后,进行浏览、下载、搜索即可;
2.默认按照时间排序,你可以点击放大镜图标,进行搜索如(XuiMod,一款专门用于状态栏和置顶电池模块);
搜索XuiMod模块:
3.点击搜索到的模块,可以查看到该模块的描述信息,版本信息。在版本信息模块下进行模块的下载安装;
XuiMod描述信息:
XuiMod版本信息,点击下载相关模块:
下载完成,点击“安装”进行安装:
安装完成后,进入“模块”,激活下载安装的模块,重启生效:
重启后,长按XuiMod进入到模块运行界面,进行相关的操作,重启生效(如下图,手机顶部打开电源充电,居中,充电动画功能):
八、Xposed自定义模块开发
上个段落,我们讲解下如何下载、安装和使用Xposed模块。那么我们如何根据自己的需求,自己开发一个Xposed模块,下面我们就介绍下相关流程:
1.下载XposedBridgeApi-.jar(http://forum.xda-developers.com/xposed/xposed-api-changelog-developer-news-t2714067)文件,用户提供Hook相关的API,如下:
3.创建一个InputDemo项目(该项目使用输入框提示用户输入信息,点击按钮获取用户的信息并做相关的逻辑),用于模拟Hook目标,通过Xposed获取用户输入信息(关键代码和运行如下);
8.重新启动手机,在XposedInstaller中日志模块,查看在InputDemo中使用XposedBridge.log输出的日志;
提示1:查看日志模块,如果报错如下图:
处理1:第一,检查XposedBridgeApi-54.jar是否防在新建的lib目录下;第二,估计Xposed作者在其框架内部也使用了BridgeApi,使用Provided依赖避免重复引用;
1.Hook英文翻译为“钩子”,而钩子就是在事件传送到终点前截获并监控事件的传输,像个钩子钩上事件一样,并且能够在钩上事件时,处理一些自己特定的事件;
2.Hook使它能够将自己的代码“融入”被勾住(Hook)的进程中,成为目标进程的一部分;
3.在Andorid沙箱机制下,Hook是我们能通过一个程序改变其他程序某些行为得以实现;
二、Hook分类
1.根据Android开发模式,Native模式(C/C++)和Java模式(Java)区分,在Android平台上
Java层级的Hook;
Native层级的Hook;
2.根Hook对象与Hook后处理事件方式不同,Hook还分为:
消息Hook;
API Hook;
3.针对Hook的不同进程上来说,还可以分为:
全局Hook;
单个进程Hook;
三、Hook原理
Hook技术本质是函数调用,由于处于Linux用户状态,每个进程有自己独立的进程控件,所以必须先注入所要Hook的进程空间,修改其内存中进程代码,替换过程表的符号地址,通过ptrace函数附加进程,向远程进程注入so库,从而达到监控以及远程进程关键函数挂钩;
四、Hook工作流程
1.Android相关内核函数:
ptrace函数:跟踪一个目标进程,结束跟踪一个目标进程,获取内存字节,像内存写入地址;
dlopen函数:以指定模式打开指定的动态链接库文件;
mmap函数:分配一段临时的内存来完成代码的存放;
2.向目标进程注入代码总结后的步骤分为以下几步:
用ptrace函数attch上目标进程;
发现装载共享库so函数;
装载指定的.so;
让目标进程的执行流程跳转到注入的代码执行;
使用ptrace函数的detach释放目标集成;
五、常用Hook工具-Xposed框架
1.Xposed框架是一款可以在不修改APK的情况下影响程序运行(修改系统)的框架服务;
2.通过替换/system/bin/app_process程序控制zygote进程,使app_process在启动过程中加载XposedBridge.jar这个jar包,从而完成对Zygote进程及其创建的Dalvik虚拟机的劫持;
六、Xposed框架安装
1.从官方网站(http://repo.xposed.info/module/de.robv.android.xposed.installer),下载de.robv.android.xposed.installer_v33_36570c.apk,安装本地服务XposedInstaller;
2.安装进入到XposedInstaller应用程序,“框架”模块出现“未激活”提示;
3.点击“框架”,进入到需要激活框架的界面,我们点击“安装/更新”就能完成框架的激活了,因为安装时会需要Root权限(下载相关工具如“Root精灵”),安装后会启动Xposed的app_process,所以安装过程会存在设备多次重启(安装过程如下图);
正在安装(下载):
获取Root权限(授权Root权限提示,并确定):
安装完成(安装完成提示重启):
安装成功(框架模块激活提示消失,即安装成功):
七、Xposed框架模块安装
1.Xposed框架内置了下载功能,我们只需要在下载模块点击之后,进行浏览、下载、搜索即可;
2.默认按照时间排序,你可以点击放大镜图标,进行搜索如(XuiMod,一款专门用于状态栏和置顶电池模块);
搜索XuiMod模块:
3.点击搜索到的模块,可以查看到该模块的描述信息,版本信息。在版本信息模块下进行模块的下载安装;
XuiMod描述信息:
XuiMod版本信息,点击下载相关模块:
下载完成,点击“安装”进行安装:
安装完成后,进入“模块”,激活下载安装的模块,重启生效:
重启后,长按XuiMod进入到模块运行界面,进行相关的操作,重启生效(如下图,手机顶部打开电源充电,居中,充电动画功能):
八、Xposed自定义模块开发
上个段落,我们讲解下如何下载、安装和使用Xposed模块。那么我们如何根据自己的需求,自己开发一个Xposed模块,下面我们就介绍下相关流程:
1.下载XposedBridgeApi-
/**
*包装加载时的回调
*/
public void handleLoadPackage(final LoadPackageParam lpparam)
/**
*Xposed提供的Hook方法
*@param className 待Hook的Class
*@param classLoader ClassLoader
*@param methodName 待Hook的Method
*@param paramterTypesAndClassback hook回调
*/
Unhook findAndHookMethod(String className,ClassLoader classLoader,String methodName,Object... parameterTypesAndCallback) 3.创建一个InputDemo项目(该项目使用输入框提示用户输入信息,点击按钮获取用户的信息并做相关的逻辑),用于模拟Hook目标,通过Xposed获取用户输入信息(关键代码和运行如下);
OK.setOnClickListener(new View.OnClickListener() {
@Override
public void onClick(View v) {
String inPut = Input.getText() + "";
//获取用户输入,并验证是否输入正确
if (isInputOK(inPut)) {
Toast.makeText(MainActivity.this, "Input Success", Toast.LENGTH_SHORT).show();
} else {
Toast.makeText(MainActivity.this, "Input Faild", Toast.LENGTH_SHORT).show();
}
}
});
… …
private boolean isInputOK(String inPut) {
if ("123456".equals(inPut)) {
return true;
} else {
return false;
}
}
… …
public class Main implements IXposedHookLoadPackage {
@Override
public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable {
if (!loadPackageParam.packageName.equals("com.example.pengchengxiang.inputdemo")) {
return;
}
XposedBridge.log("Loaded app:" + loadPackageParam.packageName);
//Hook MainActivity类的isInputOK方法,并将该方法的参数输出至Xposed工具中
findAndHookMethod("com.example.pengchengxiang.inputdemo.MainActivity", loadPackageParam.classLoader, "isInputOK", String.class, new XC_MethodHook() {
@Override
protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
XposedBridge.log("hook start");
XposedBridge.log("param1:" + param.args[0]);
}
@Override
protected void afterHookedMethod(MethodHookParam param) throws Throwable {
XposedBridge.log("hook end");
XposedBridge.log("param1:" + param.args[0]);
}
});
}
} 注意:在实际应用过程中,你Hook的方法参数可能是目标程序自定义的类,非Android SDK提供,如"com.example.pengchengxiang.inputdemo.Test"。这里我们可以使用方法XposedHelpers.findClass来获取参数类型的class对象,如下:
XposedHelpers.findAndHookMethod("com.example.pengchengxiang.inputdemo.MainActivity", loadPackageParam.classLoader, "isInputOK", String.class,
XposedHelpers.findClass("com.example.pengchengxiang.inputdemo.Test", loadPackageParam.classLoader), new XC_MethodHook() {...}com.example.pengchengxiang.hookdemo.Main8.重新启动手机,在XposedInstaller中日志模块,查看在InputDemo中使用XposedBridge.log输出的日志;
提示1:查看日志模块,如果报错如下图:
处理1:第一,检查XposedBridgeApi-54.jar是否防在新建的lib目录下;第二,估计Xposed作者在其框架内部也使用了BridgeApi,使用Provided依赖避免重复引用;
新技术,新未来!欢迎大家关注
“1024工场”微信服务号
,时刻关注我们的最新的技术讯息!
(甭客气!尽情的扫描或者长按!)