关闭

Android中免Root实现Hook的Dexposed框架实现原理解析以及如何实现应用的热修复

11012人阅读 评论(3) 收藏 举报
分类:

一、前言

今天我们来看一下阿里的一个开源框架Dexposed,关于这个框架网上已经有很多解析了,但是都是讲解原理,而且讲的不是很清楚,这里因为工作中的需要就研究了一下,所以这里就先讲解一下这个框架的原理,然后在通过一个例子来看看他如何使用,最后在用它来实现应用的热修复问题。


二、知识点准备

首先在讲解这个框架的时候,我们先来了解几个知识点:

1、关于之前的Xposed框架

我们在很早就知道了这个框架,本来想整理一下顺便说一下这个框架的,但是这个框架网上说的很多,而且也很详细,所以就不做太多的解析了,这里就大致说一下他的中心思想和核心原理。

通过进行设备root之后,替换/system/bin/app_process程序控制zygote进程,使得app_process在启动过程中会加载XposedBridge.jar这个jar包,从而完成对Zygote进程及其创建的Dalvik虚拟机的劫持。

那么这里就引出了一个问题,为什么要替换app_process程序呢?

关于app_process程序网上也有很多讲解了,他其实是一个程序,存放在system/bin目录下的,他的作用就是启动一个程序,比如我们熟知的zygote进程,还有所有app启动,app_process只要找到需要运行程序的main函数也就是入口函数,然后执行,他不仅能执行C/C++程序,也可以执行Java程序,其实在之前我们遇到过一个情况,就是想在Android中运行一个Java程序的jar,其实那个就是用的app_process命令启动的。运行的命令也很简单:

app_process [java-options] cmd-dir start-class-name [options]

我们可以查看他的源码app_main.cpp


从app_process的main函数(在app_main.cpp里面)可以看出,app_process有两种启动方式:一种是init.rc里面的这种方式,这种方式将会以zygote模式启动com.android.internal.os.ZygoteInit,并将进程名称改为zygote;另外一种是以非zygote模拟启动com.android.internal.os.RuntimeInit,并调用它的main方法,main的最后会执行finishInit,finishInit是一个native方法,这个方法会调用app_process的onStarted方法,在onStarted里面将会调用真正要执行的class:


在这里不想介绍的太多,因为后面会说到Android的一个应用的启动过程的时候,再详细解析。这里我们知道一个点就是Android中的所有程序都是通过app_process命令启动,而且app_process命令还可以启动任何Java程序,比如我们用到的am命令,这个命令Java源码和shell源码位于:Android源码目录\frameworks\base\cmds\

我们可以查看他的java源码内部实现:


指定有一个入口函数main

然后再看看他shell源码:


看到了这里首先设置CLASSPATH变量,就是am.jar的路径,然后开始执行命令,命令中需要指定具体的类名。

这里我们也学会了如何在Android中执行一个jar文件啦。


那么从上面我们分析了app_process命令的作用,那么我们就知道了为什么Xposed框架需要替换app_process命令了:

首先在Android系统中,应用程序进程都是由Zygote进程孵化出来的,而Zygote进程是由Init进程启动的。Zygote进程在启动时会创建一个Dalvik虚拟机实例,每当它孵化一个新的应用程序进程时,都会将这个Dalvik虚拟机实例复制到新的应用程序进程里面去,从而使得每一个应用程序进程都有一个独立的Dalvik虚拟机实例。这也是Xposed选择替换app_process的原因。
Zygote进程在启动的过程中,除了会创建一个Dalvik虚拟机实例之外,还会将Java运行时库加载到进程中来,以及注册一些Android核心类的JNI方法来前面创建的Dalvik虚拟机实例中去。注意,一个应用程序进程被Zygote进程孵化出来的时候,不仅会获得Zygote进程中的Dalvik虚拟机实例拷贝,还会与Zygote一起共享Java运行时库。这也就是可以将XposedBridge这个jar包加载到每一个Android应用程序中的原因。XposedBridge有一个私有的Native(JNI)方法hookMethodNative,这个方法也在app_process中使用。这个函数提供一个方法对象利用Java的Reflection机制来对内置方法覆写。

看到了吧,这就是Xposed框架选择app_proess作为入口的一个原因,因为这个入口有两个好处:

1》、一旦修改了,就可以修改了所有的app

2》、这里的时机是最早的,可以加载所有的东西

上面就简单的分析了一下Xposed框架的实现原理,这个是我们需要了解的第一个知识点。


2、修改非native方法为native方法

第二我们需要了解的知识点是,如何将Android中一个非native方法改成native的,并且可以将这个native方法指定成特定执行的函数。

关于这个知识点,我在之前的一篇文章:Android中通过进程注入技术修改系统返回的Mac地址

这篇文章就很详细的讲解了我们如何修改系统的获取Mac地址的方法,原理很简单:

将系统的获取Mac地址的方法getMacAddress改成native的,然后指定nativeFunc为dvmResolveNativeMethod这个函数,这个函数是dvm提供的。其中dvmResolveNativeMethod调用了dvmLookupInternalNativeMethod和lookupSharedLibMethod来查找jni中注册的native函数。 dalvik最后将执行得到的java native函数.

通过上面的代码片段,我们了解到要对一个java函数进行hook需要步骤有
[1] 把修改method的属性修改成native
[2] 修改method的registersSize、insSize、nativeFunc、computeJniArgInfo
[3] RegisterNatives注册目标method的native函数

然后我们将系统获取Mac地址的方法getMacAddress和我们自己的一个函数做一次注册:

{"android/net/wifi/WifiInfo","getMacAddress","()Ljava/lang/String;",(void*)test}

那么这里的test函数就是我们自己想要做事的函数,可以返回任意值啦~~


这个知识点很重要,也是我们今天说的核心知识点


三、原理分析

分析完了上面的两个知识点,下面我们就来正式看看Dexposed框架的原理了,首先我们通过一张图来了解一下:


看到了吧,其实不是很复杂,主要分为Java层和Native层的,

第一、首先我们来分析一下Java层的DexposedBridge.java类

1、hookMethodNative方法:


这个方法是一个native类型的。

参数说明:

1)需要hook的方法对象

2)需要hook的方法所属的类

3)方法的slot值,关于这个slot的含义就是方法中局部变量存储的最小单位,一个Slot可以存放一个32位以内的数据类型.在Java程序编译为Class文件时,在方法的Code属性的max_locals数据项中确定了该方法所需要分配局部变量表的最大容量.

4)额外附加信息,比如我们需要hook方法的回调的对象,hook方法的返回类型,参数类型等信息,下面看到hookMethodNative方法的调用地方。



2、invokeSuperNative和invokeOriginalMethodNative方法


这两个方法也是native的,而且这两个方法比较好理解,就是执行需要hook方法的父类方法和原方法,因为我们在hook住一个方法的时候,肯定需要决定是否要调用父类方法还是原来的方法。


3、handleHookedMethod方法


这个方法是整个Dexposed框架Java层最核心的一个方法,这个方法就是用来替换我们需要hook的那个方法,具体如何替换的等下面说到native层再说。然后这个方法中做了三件事:

1、执行需要hook之前的所有回调方法beforeMethod

2、执行被hook的原生方法

3、执行需要hook之后的所有回调方法afterMethod


这个方法就是我们偷龙转凤的上层核心方法,同时在这里我们可以看到Dexposed框架还有一个好处就是AOP编程,关于AOP的概念就是面向切面编程,能够在我们需要拦截或者hook的一个方法之前或者之后能做些什么,JavaWeb中的Spring框架的一个核心就是AOP编程。


第二、上面分析完了DexposedBridge.java核心类,下面来看一下native层的实现 dexposed.cpp

1、initNative函数


这个初始化函数,主要获取我们在DexposedBridge.java中的一些方法对应的Method对象,后面会用到。

这个方法在JNI_OnLoad这个函数中调用的,我们知道这个函数是当so文件加载的时候就会被调用的。所以一般在这里做初始化操作。在这个方法中还做了哪些事呢?


还有dexposedInfo函数:


这个函数主要获取设备的一些信息,其实他对应的上层Java类就是SystemProperty.java类。

还有就是一个dexposedOnVmCreated函数:


这个函数干了两件事,一件事是获取需要hook的类对象,还有就是执行注册jni函数:

register_com_taobao_android_dexposed_DexposedBridge


这里注册了DexposedBridge.java中的hookMethodNative方法


2、com_taobao_android_dexposed_DexposedBridge_hookMethodNative函数


这个函数做了两件事:

1)、构造出DexposedHookInfo信息:


DexposedHookInfo的结构体信息定义在dexposed.h头文件中。就是需要hook的方法的信息

2)、将需要hook的方法改成native的,然后指定他的nativeFunc为dexposedCallHandler函数


3、dexposedCallHandler函数


这个方法首先获取我们刚刚构造的DexposedHookInfo信息


然后执行dexposedHandleHookedMethod方法


这个方法在initNative中初始化了,就是Java层中DexposedBridge.java中国的handleHookedMethod方法。


好了到这里我们就分析完了native层的代码,下面来总结一下:

1、首先在JNI_OnLoad函数中做了三件事:

1)获取设备信息dexposedInfo

2)注册JNI方法(com_taobao_android_dexposed_DexposedBridge_hookMethodNative)

3)初始化信息(获取Java层DexposedBridge中方法的Method对象)

2、然后在com_taobao_android_dexposed_DexposedBridge_hookMethodNative函数中主要做了两件事:

1)把Java层传递的信息构造成DexposedInfo信息

2)设置hook方法为native,并且指定nativeFunc函数

3、最后在执行第二步中的nativeFunc函数dexposedCallHandler函数中主要做了两件事:

1)获取刚刚构造的DexposedInfo信息

2)调用Java层DexposedBridge.java中的handleHookedMethod方法

所以我们在整个过程中可以看到,先通过JNI注册,从Java世界转到Native世界,然后在native世界中主要修改被hook方法的一些信息,然后在通过反射调用handleHookedMethod回到Java世界。


四、案例分析

1、Hook系统的方法

上面讲解完了Dexposed框架的实现原理,下面就通过例子来看看他的功能,这里我们选择Hook系统的Log类:


这里直接调用DexposedBridge.findAndHookMethod方法来实现的,注意这里做了一个设备的判断,如果是5.0+的话就hook程序本身的showLog方法,如果不是就hook系统的Log中的d方法。

最后一个参数可以看到,是一个回调,就是让我们来操作执行hook方法之前和之后的一些操作,这里在afterHookedMethod方法中将日志消息显示在屏幕中的TextView了,我们运行看一下效果:



这里我们可以成功的hook掉系统的方法。


那么分析到这里,需要总结一下:

1》、Xposed框架是需要root的,他的功能很全,能够hook掉系统方法,同时也可以hook掉其他应用的一些方法。

2》、Dexposed框架是不需要root的,但是他只能hook掉在自己的应用进程中的一些方法,其他应用进程是没办法hook的

所以我们可以对比一下这两个框架各有好处。一般做游戏外挂啥的,Dexposed是做不到的,而Xposed是可以做到的。


2、实现热修复功能

那么分析到这里我们还没有结束,还有我们今天一个重要的知识点,就是如何使用Dexposed框架实现应用热修复,所谓热修复,就是在应用发布之后,在某个模块出现问题,可以在线修复,不需要从新发版。这个之前其实弄过这快,用动态加载技术既可以做到,可以将每个模块做成动态加载的,然后如果哪个模块有问题的话,就在线更新修复之后的模块(一般是dex或者jar的形式),那么既然我们介绍了Dexposed框架,而且知道他能hook掉自己应用进程的方法,那么有一个思路,就是我们可以在线提供一个具备一定协议的模块,然后在这个模块中我们调用DexposedBridge的一些方法,然后hook掉我们应用中出现问题的模块方法,从而达到热修复功能。具体可以看下面一张图:


下面我们来通过一个例子看看,修复应用中一个展示对话框的功能:

首先看一下热修复工程PatchExample

就一个类,修复对话框类:


这个类也够简单吧,但是需要注意的是,每个修复类必须遵从IPatch协议接口。

下面我们编译这个修复包,然后将其copy到需要修复应用的cache目录下:

adb push PatchDemo.apk /sdcard/Android/data/com.taobao.dexposed/cache/

为什么是这个目录呢,下面来分析一下宿主应用中的热修复代码:


看到了吧,这里就这么调用就可以啦,真正我们在使用的时候,应该是从网上下载apk,然后保存到本地进行load操作的。

不过这里我们先不运行,我们先来看看Patch的源码:


这里有一个核心的方法,就是loadAllCallbacks方法:


这里使用了DexFile类,得到apk中的dex文件中所有的类,然后判断哪些类实现了IPatch协议。


最后在调用协议遵从的handlePatch方法。实现热修复功能。

好了分析完了代码之后,下面我们来运行程序看看:


不过我们在修复的过程中遇到了这个错误,其实这个错误我在之前介绍过讲解动态加载那篇文章中说到过,就是我们宿主工程中有了IPatch类的定义,动态修复模块中也引用了这个IPatch类,所以导致相同类被加载了两次的错误。这里我们需要修改的就是修复模块中不要引用宿主模块中已经有的jar,那么这里就有一个问题了,怎么才能编译出一个不包含指定jar的apk包呢?这个在Eclipse中我是没找到好的办法的,最后是ant脚本进行操作的,就是只要保证工程编译通过,同时不要将指定的jar包包含到apk中。具体如何使用ant脚本打包出一个apk,不了解的同学可以参看:如何使用Ant脚本编译出apk包 这里就不在做太多的介绍了。

我们修复了之后的apk,然后运行:


看到了吧,这里就修复成功啦~~


项目下载:http://download.csdn.net/detail/jiangwei0910410003/9513513


五、技术概要

好了到这里我们就讲解完了Dexposed这个框架,已经如何使用这个框架来实现应用的热修复功能。下面来总结一下知识点:

1、Dexposed框架是免root实现hook的,但是他也有局限性就是只能hook本应用中的一些方法。

2、Dexposed框架hook方法的原理,就是首先修改需要hook的方法为native方法,然后在设置nativeFunc值为我们需要处理的函数

  然后这个函数在用反射机制调用上层的Java代码即可

3、Dexposed框架实现热修复,是基于hook技术,每个需要修复的模块都需要遵循一个协议,然后采用hook技术,去hook掉需要

修复的方法,实现替换功能。

总结Dexposed框架其实就一句话:

找到比较好的时机(JNI_OnLoad),修改hook方法,然后挂钩上层Java代码,实现偷龙转凤的功能


六、总结

这里就介绍完了Dexposed框架的一些知识,在实际项目中我们还会遇到一些问题,但是这篇文章只是讲解了这个框架的实现原理,

在实际的使用过程中还是会遇到一些问题的,到时候在进行处理即可。


《Android应用安全防护和逆向分析》

点击立即购买:京东  天猫

更多内容:点击这里

关注微信公众号,最新Android技术实时推送


2
0
查看评论

Android热补丁技术—dexposed原理简析(阿里Hao)

阿里资深工程师分析Android热补丁技术—dexposed原理,其为手机淘宝采用方案,涉及到dalvik虚拟机和android的等核心技术。
  • yueqian_scut
  • yueqian_scut
  • 2016-03-20 21:58
  • 4271

Alibaba-Dexposed框架在线热补丁修复的使用

前两篇已经介绍了alibaba的AndFix热修复: Alibaba-AndFix Bug热修复框架的使用 Alibaba-AndFix Bug热修复框架原理及源码解析 DexPosed是Alibaba的另一个框架,都可以在线热修复bug,只不过DexPosed也可以实现其他的功能。 介绍 ...
  • qxs965266509
  • qxs965266509
  • 2015-11-13 18:04
  • 5872

alibaba dexposed初步解析

alibaba新出了一个非侵入的aop库,感觉不错,那么楼主这次就来学习一下这个库的具体应用,原理以及可以达到的效果。 这里先给出对应的github工程传送门:https://github.com/alibaba/dexposed 1.首先来讲讲,dexposed的具体用法怎么用,怎么引入到...
  • sp6645597
  • sp6645597
  • 2015-08-06 01:53
  • 14234

Dexposed框架详解

  • 2016-05-08 13:00
  • 554KB
  • 下载

简单集成Dexposed开源框架

dexposed框架是阿里无线事业部贡献的一个开源项目,详细了解请移步:http://www.aplesson.com/?p=925,里面有对dexposed的详细讲解,以及截至目前所支持的Android版本介绍。我了解这个项目主要是为了实现热修复功能,虽然其他地方也有使用讲解,但是对于我这种不太聪...
  • zhengbin_mei
  • zhengbin_mei
  • 2016-02-19 17:48
  • 2091

Dexposed源码分析

Dexposed源码分析     Dexposed框架可以用来实现热补丁功能和AOP编程功能,在AOP编程功能的基础上我们可是实现事件自动埋点、程序性能监控和日志记录等等功能。整个Dexposed框架中最为重要的功能点是实现Java方法的hook,可以说Ja...
  • CodeHerder
  • CodeHerder
  • 2016-05-21 14:27
  • 1451

Dexposed热更新-偷偷改掉你的bug

新技术真是层次不穷,八月份阿里做了件深的猿心的一件小事:dexposed 开源了。来看看 dexposed 是个啥? What is it? 相信 Android 开发猿猿们都有过这个烦恼: Android 客户端应用上线以后,难免会出现一些 bug ,特别是有些 bug 可能就只需要修改部...
  • huangjijie123456
  • huangjijie123456
  • 2015-10-21 23:37
  • 907

Alibaba-Dexposed Bug框架原理及源码解析

Alibaba的AndFix热修复: Alibaba-AndFix Bug热修复框架的使用 Alibaba-AndFix Bug热修复框架原理及源码解析上一篇中已经介绍了Alibaba-Dexposed框架在线热补丁修复的使用 ,这篇主要是了解框架的原理和源码解析。 原理: 在Dalvi...
  • qxs965266509
  • qxs965266509
  • 2015-11-30 18:52
  • 5394

Android中免root的hook框架Legend原理解析

Android中hook框架已经非常多了,最优秀的当属Xposed和Substrate了,这两个框架我在之前的文章都详细介绍过了,不了解的同学,可以转战这里:http://www.wjdiankong.cn;但是这两个框架用于破解逆向是非常有用的,可惜他们最大的局限性就是需要root权限,这个几乎现...
  • jiangwei0910410003
  • jiangwei0910410003
  • 2017-07-10 08:41
  • 7390

无需Root也能Hook?——Depoxsed框架演示

之前我们介绍过rovo89在Githu上的Xposed框架,我们也介绍了如何使用Xposed框架进行登录劫持,和广告注入。但是,之后很多朋友都在问我,这个Xposed框架使用起来很确实很好用。可是就是有一个巨大的缺点,就是需要Root权限。很多设备都没有Root权限,有没有一个不需要Root权限的H...
  • yzzst
  • yzzst
  • 2015-08-26 11:11
  • 7533
    《Android应用安全防护和逆向分析》正式开售
    《Android应用安全防护和逆向分析》

    360创始人周鸿祎、CSDN创始人蒋涛、看雪创始人段钢联袂推荐

    零基础学习移动安全逆向,手把手带你进入安全逆向领域!安全不息,逆向不止!让别人的应用都成为我们手中的炮灰!

    读者技术交流QQ群:682646223



    购买地址: 京东 天猫
    技术分享微信公众号
    扫一扫关注

    关注公众号留言可咨询问题和技术交流,推送最新技术文章!
    酱爆短视频
    酱爆短视频



    全球首款短视频聚合应用「酱爆视频」正式发布上线

    别人等车干着急,我在酱爆看视频

    想你说想,为你所做!

    不负众望,就在酱爆!

    点击查看详情
    微信扫一扫加入安全逆向圈

    友情链接
    个人资料
    • 访问:5684477次
    • 积分:32274
    • 等级:
    • 排名:第170名
    • 原创:306篇
    • 转载:0篇
    • 译文:0篇
    • 评论:1668条
    博客专栏
    文章分类