Android逆向工程里常用到的工具除了的dex2jar,jd-gui, Apktool之外还有一个Xposed。
这个工具是一个在不修改APK的情况下,影响其运行过程的服务框架。可以根据自己的需求编写模块,让模块控制目标应用的运行。
因为本人也是新手,对于Xposed用法还有很多的不熟悉,所以只对其hook技术进行简单的介绍,并让hook技术应用到以后的逆向分析工程中。
至于什么是hook,不了解的话就先去百度一下,这里基于菜鸟有限的经验,我只能说是一种函数拦截技术~
首先,下载Xposed框架,我这里就不提供下载了,然后手机必须得先root,不然是无法安装Xposed框架的,毕竟hook技术已经是个系统级的过程,所以你懂的~
这只是一个框架而已,并没有什么功能,为了实现个人需求,我们还需要自己编写模块,让这个框架去加载你的模块。
举个栗子,你要去知道手机某个应用包中的某个类中的某个方法中的某个参数,那么你的模块就要指明那个包,哪个类,哪个方法,当系统重启时加载目标应用包时,加载了你的模块的Xposed框架会识别到,接下来,如果你指明的应用中的某一方法被系统执行了,那么Xposed也会识别到,然后让你的模块去Hook(顾名思义,就是就是钩子,陷阱的意思;也可以说是拦截)这个方法,并可以利用模块的接口让方法的参数和返回结果暴露出来。
在本次的博客中,只是结合例子简单的介绍Xposed的hook,实际上Xposed的功能貌似不止于此~
框架弄好了,接下来就可以根据需求编写模块了,不过,再此之前先明确一下需求,我们可以用一个简单的登录系统APP进行测试。
先贴个简单的代码出来先:
public class LoginActivity extends Activity { private final String ACCOUNT="samuel"; private final String PASSWORD="123456"; private EditText etAccount, etPassword; private Button btnLogin; @Override protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.activity_login); etAccount=(EditText)findViewById(R.id.et_account); etPassword=(EditText)findViewById(R.id.et_password); btnLogin=(Button)findViewById(R.id.btn_login); btnLogin.setOnClickListener(new View.OnClickListener() { @Override public void onClick(View v) { if (isOK(etAccount.getText().toString(), etPassword.getText().toString())) { Toast.makeText(LoginActivity.this, "登录成功", Toast.LENGTH_SHORT).show(); } else { Toast.makeText(LoginActivity.this, "登录失败", Toast.LENGTH_SHORT).show(); } } }); } private boolean isOK(String account, String password){ return account.equals(ACCOUNT) && password.equals(PASSWORD); }
那么,重点就来了,我们就可以利用Xposed的模块hook到isOK(String, String)这个函数,并拦截到账号和密码,甚至可以修改账号和密码!!!
So,需求明确了,那么我们就可以针对性编写模块了。
编写模块步骤:
1、先新建一个Android Project,这个工程不需要界面,所以在工程创建导向时不需要添加MainActivity和layout_main.xml,就一个Empty工程即可;
2、在空工程的java文件夹中新建一个类,该类就是一个模块类,这里命名为“Module”,接下来就要配置一下AndaroidManfest.xml和添加xposed_init文件,如下图;
3、配置AndroidManifest.xml,其中的meta-data内容要照搬,反正我之前没照搬说明上的demo,结果出错了,所以那三个meta-data最好是照着写。
<manifest xmlns:android="http://schemas.android.com/apk/res/android" package="com.samuelzhan.xposehook"> <application android:allowBackup="true" android:label="@string/app_name" android:icon="@mipmap/ic_launcher" android:theme="@style/AppTheme"> <meta-data android:name="xposedmodule" android:value="true"/> <meta-data android:name="xposeddescription" android:value="Hook Test!"/> <meta-data android:name="xposedminversion" android:value="54"/> </application> </manifest>
4、导入一个XposedBridgeApi.jar包,如上图,并Add AS Library。这里注意,需要在build.gradle里的dependencies将compile改为provided,不然会报错。听说是系统里已有该jar包内容,再次打包进去会冲突,所以改为provided,不要管那条红色波浪线,无碍~
5、编写模块类Module:
public class Module implements IXposedHookLoadPackage { @Override public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable { if (loadPackageParam.packageName.equals("com.samuelzhan.logintest")) { XposedHelpers.findAndHookMethod("com.samuelzhan.logintest.LoginActivity", loadPackageParam.classLoader, "isOK", String.class, String.class, new XC_MethodHook() { @Override protected void beforeHookedMethod(MethodHookParam param) throws Throwable { } @Override protected void afterHookedMethod(MethodHookParam param) throws Throwable { } }); } } }说明:
Module继承了IXposedHookLoadPackage接口,当系统加载应用包的时候回回调 handleLoadPackage;
XposedHelpers的静态方法 findAndHookMethod就是hook函数的的方法,其参数对应为 类名+loadPackageParam.classLoader(照写)+方法名+参数类型(根据所hook方法的参数的类型,即有多少个写多少个,加上.class)+XC_MethodHook回调接口;
这里的第一个参数类名必须要有包名前缀,即“packageName+className”,还有一点,如果代码被混淆过,即使你明知道代码中要hook的类名和方法名,但都不一定能用,必须以smali中的名字为准,比如:isOk()混淆之后在smali中的函数名为a,那么hook的时候就必须写a,而不是isOK,第一个参数类名同理!
参数里有一个监听类XC_MethodHook,该类在hook前后回调,通过回调方法的MethodHookParam可以拦截到函数参数。
Xposed除了hook目标应用的函数之外,还可以hook某些类的构造方法,对应的方法为XposedHelpers.findAndHookConstructor()。
至此,一个模块基本已完成,接下来将其打包 Build->Generate Signed APK...生成一个APK,并安装在手机上。因为没有MainActivity,所以安装后不会弹出任何界面,但若果此时手机已安装了Xposed,那么Xposed会在消息栏弹一个消息,通知你“模块已更新”,此时可以选择Xposed菜单中的 “框架”->"软重启",重启手机(软重启不会断电,相当于电脑的重启,比硬重启要快)。
到这里,已经可以hook函数了。
现在,试着去拦截isOK(String, String)函数中的账号密码,先在回调函数中添加日记打印代码将其账号密码参数暴露出来,顺便把返回结果也显示一下:
new XC_MethodHook() { @Override protected void beforeHookedMethod(MethodHookParam param) throws Throwable { XposedBridge.log("账号:"+(String)param.args[0]+" 密码:"+(String)param.args[1]); Log.d("zz","账号:"+(String)param.args[0]+" 密码:"+(String)param.args[1]); } @Override protected void afterHookedMethod(MethodHookParam param) throws Throwable { Log.d("zz", param.getResult().toString()); } });我在beforeHookedMethod中写了两种方法日志,第一个是XposedBridge的静态log,这个日志会显示在Xposed的日志选项里,个人不喜欢这种方法,因为每次运行你要hook的程序,又必须切换页面到Xposed查看日志,太麻烦了,但它有个优点,相比Android中的Log.d(), 它能显示抛出的异常,而Android Log不可以。第二个Android Log就不用说了,这里我两种都用了。
编写完后,我们重新打包这个模块,并安装到手机上,然后让手机软重启,每次更新安装模块都必须得重启才生效。
好,重启后,我们运行一下目标应用,输入账号密码~
然后看看Android Studio中的Logcat和 Xposed中的日志选项:
可以看到,两者都可以看到拦截到的密码账号。因为正确的账号密码为samuel 123456,这里只是随便输入zzz aaa,所以返回的结果是false,当然也在回调函数afterHookedMethod中可以捕获得到,这里显示false,说明登陆验证失败。
除了能读取参数之外,hook技术还可以修改函数参数。
比如,接下来我修改模块,让其无论输入什么,我都实现登陆,那我先在hook中把账号密码修改成samuel 123456,也就是说,通过hook技术,我怎样输入都能成功登陆。
new XC_MethodHook() { @Override protected void beforeHookedMethod(MethodHookParam param) throws Throwable { //修改参数 param.args[0]="samuel"; param.args[1]="123456"; } @Override protected void afterHookedMethod(MethodHookParam param) throws Throwable { Log.d("zz", param.getResult().toString()); } });
不错,显示登陆成功,说明修改参数成功。
其实Xposed貌似还有其他更强大的功能,这里只用了冰山一角进行逆向分析而已~