Android中免root的hook框架Legend原理解析

原创 2017年07月10日 08:41:25

一、前言

Android中hook框架已经非常多了,最优秀的当属Xposed和Substrate了,这两个框架我在之前的文章都详细介绍过了,不了解的同学,可以转战这里:http://www.wjdiankong.cn;但是这两个框架用于破解逆向是非常有用的,可惜他们最大的局限性就是需要root权限,这个几乎现阶段可能阻碍了很多产品的商业化,毕竟国内人的安全意识越来越高了。所以这里就需要借助一个免root的hook框架了。而对于免root的框架最大的好处就在于无需root权限,但是弊端就是只能hook自身,对于系统其它app无能无力,就有人好奇了,只能hook自己有个卵用,的确是没什么用,但是也并非一点用都没有。


二、免root的hook功能用途

关于Android中的Hook机制,我在之前已经说得非常详细了,大致就两个方式:

第一个方式:root权限,直接hook系统,可以干掉所有app。

第二种方式:免root权限,但是只能hook自身。

对于免root权限只能hook自身,并非一点用都没有,比如我之前介绍到的自动破解签名校验工具kstools,就是借助这个原理实现,不了解原理的同学可以看这里:Android中自动破解签名校验工具kstools,我们在破解逆向app的时候,需要反编译,二次打包,那么这时候其实我们想针对于这个app做点手脚,就可以借助这个技术,比如现在想改一个app,使得他获取系统的imei值是随机的,有这种需求的,有的游戏有的功能会用设备的imei值做唯一处理,随机imei值的话就可以跳过这个功能了。那么这时候我们可以反编译这游戏,在游戏入口处加上hook代码,即hook游戏自身的imei值即可,这就是需求,只需要hook这一款游戏即可。这样无需在用xposed来编写外挂了。游戏二次打包即可使用了。


三、以往hook框架原理分析

那么其实免root进行hook功能在之前我已经介绍过了一款阿里的开源框架Dexposed了,不过这个框架已经废弃了,取而代之的是AndFix,原理很简单在native层把Java层的方法强制改成native类型,然后在将方法的native标志指向自定义的native函数即可。这样原来的方法就会走到自定义的native函数中,这个框架是非常优秀的AOP框架,可惜兼容性问题不能继续维护了。取而代之的是AndFix,关于它的原理就更简单了,他没有了AOP功能,直接将原始方法和自定义的新方法信息进行对换,这样原来方法执行的逻辑就是新的方法了。这个框架主要用于热修复,所以没必要需要AOP功能了。而今天介绍的这款框架原理也是类似,只不过觉得比较好的是,他把大部分的功能都放到了Java层,这样的兼容性就非常好了,而且自身的兼容也很优秀。


四、Legend框架原理分析

下面就来介绍一下他的原理,代码量不是很多,框架下载地址可以去github上:https://github.com/asLody/legend,下载下来直接运行就ok了,我们继续来分析它的代码吧:


进入这个方法查看:


到这里我们会发现,他是编译传入进来的class类,然后编译他所有用到了Hook注解的方法,获取其需要hook的方法信息,具体样式为:类名::方法名@参数1#参数2#...

然后解析完了注解获取方法签名信息之后,开始调用hookMethod进行hook操作:


这里看到,每个hook方法必须是static类型的,然后会区分是art还是dalvik的,分别处理,这里直接分析dalvik方法,后面的代码是有一个缓存池,用于缓存每次替换完之后的原始方法信息,为了后面会调用原始方法功能。下面继续来看dalvik方法的hook代码:


这里首先会获取原始方法和hook新方法对应的dalivk的数据结构信息,这个就是框架的核心点了,关于dalivk对应的方法结构体信息大致如下:

  • accessFlags: 各个不同标志位表示此方法的多个属性,其中标志位0x00000100表明此方法是native的
  • registersSize: 该方法总共用到的寄存器个数,包含输入参数所用到的寄存器,还有方法内部另外使用到的寄存器,在调用方法时会为其申请栈内存
  • outsSize: 该方法调用其他方法时使用到的寄存器个数,注意:只有此方法为非native方法时,此值才有效.
  • insSize: 该方法输入参数用到的寄存器个数(registersSize包含此值)
  • insns: 若方法类型为1,这里指向实际的字节码首地址;若方法类型为2,这里指向实际的JNI函数首地址;若方法类型为3,这里为null
  • jniArgInfo: 当方法类型为2时有效,记录了一些预先计算好的信息(具体信息格式与实际CPU架构有关,但总是包含返回值类型),从而不需要在调用的时候再通过方法的参数和返回值实时计算了,提高了JNI调用的速度。如果第一位为1(即0x80000000),则Dalvik虚拟机会忽略后面的所有信息,强制在调用时实时计算
  • nativeFunc: 若方法类型为1,此值无效;若方法类型为2,这里指向dvmCallJNIMethod;若方法类型为3,这里指向实际的处理函数(DalvikBridgeFunc类型)
还记得最后一个参数吗?当初介绍Dexposed框架就是利用这个参数进行操作的,他对应的就是一个方法的native函数,对于AndFix框架,其实也就是直接替换方法的这些结构体信息即可。

替换新旧方法的结构体信息,做到移花积木的功能:

然后就把替换之后额数据写入到内存中,而这里我们要注意的是,操作内存,Java实在不靠谱的,所以这里需要将工作移动到native层做,操作内存数据,指针是万能的,所以就跑到C++中干了:

这里看到,其实不是写入内存,而是对内存数据的一个替换,直接利用指针方便快捷。

五、案例用法

那么到这里,其实我们就大致分析完了这个框架的功能,关于art类型的可以自行分析代码,原理都是一样的,这里的hook机制非常简洁,直接构造出新旧方法对应的虚拟机数据结构,然后替换信息,会写到内存中即可。和阿里的AndFix框架原理几乎一样。分析完了原理之后,接下来才是正事,演示一个案例,这里主要介绍两个案例,首先来看看如何hook系统的imei值:

这里需要用到注解,形式如:类名::方法名,因为这里没有参数信息,所以忽略,然后在定义一个新的hook方法,每个hook方法第一个参数必须是hook方法所属的类类型,这里直接返回imei值为110,然后在获取imei值看看效果:

看到了,hook成功了,操作就是这么简单。

下面再来看一个例子,就是hook应用中所有的webview加载的url值,这个也是这次我要分析这个框架的原因,因为项目需要,想拦截应用所有webview加载的url值:

这里看到了,我们一般用WebView加载url都会走shouldOverrideUrlLoading方法,所以直接hook这个方法即可,看到这里的注解类型也好理解:类名::方法名@参数1#参数2...,这里还有一个重要的知识就是调用callSuper方法可以调用原来的方法,这样我们只做了一层拦截,不要破坏原始方法的执行流程,而这里可以调用原始方法其实就是利用之前提到的原始方法缓存池功能即可实现,这里可以看出有AOP的意思了。运行看一下效果:

这里会把每个页面加载请求的url进行拦截了,这就是我项目想要的功能。

因为上面分析了框架的原理,大部分功能都是在Java层做的,这样很大程度上能够做到兼容,因为这样,我也想尝试利用这个框架来操作项目,毕竟也算是一种尝试。

注意:
1、框架可以选择不使用注解的方式进行hook,直接使用api方式,具体用法参见github上说明。
2、hook的时机最好要早,一般在程序的入口处即可。

六、总结

最后还是想说这个框架本身来说并不是很复杂,但是思想还是很重要,记住这种hook思想对应用开发还是逆向都有很大的帮助,相信未来我们还是有需求需要用到这个优秀的框架。敬请期待!


更多内容:点击这里

关注微信公众号,最新技术干货实时推送

编码美丽技术圈
微信扫一扫进入我的"技术圈"世界

扫一扫加小编微信
添加时请注明:“编码美丽”非常感谢!

版权声明:本文为博主原创文章,未经博主允许不得转载。 举报

相关文章推荐

Android中利用AXMLEditor工具不进行反编译就篡改apk文件

在上一篇文章,我们已经介绍了如何修改arsc文件,直接利用AXMLEditor工具进行二进制文件修改,可以实现对属性和标签的增删改。这样我们就不需要在反编译apk文件,然后修改xml在回编译了。而本文...

Apk脱壳圣战之---如何脱掉“梆梆加固”的保护壳

现如今Android用户的安全意识不是很强,又有一些恶意开发者利用应用的名字吸引眼球,包装一个恶意锁机收费的应用,在用户被骗的安装应用之后,立马手机锁机,需要付费方可解锁。这样的恶意软件是非常让人痛恨...

我是如何成为一名python大咖的?

人生苦短,都说必须python,那么我分享下我是如何从小白成为Python资深开发者的吧。2014年我大学刚毕业..

Android系统篇之----免root实现Hook系统服务拦截方法

技术概念来源:[ 360开源插件框架,项目地址:https://github.com/DroidPluginTeam/DroidPlugin ] 一、Binder机制回顾 在之...

Android中解决破解签名验证之后导致的登录授权失效问题

之前已经介绍了一款自动爆破应用签名工具kstools,不了解的同学还可以去看这篇文章:Android中自动爆破应用签名工具kstools;有了这个工具,就不用在担心签名校验了,不过在发布工具之后,很多...

Android系统篇之----免root实现Hook系统服务拦截方法

在之前一篇文章中介绍了Android中的Binder机制和系统远程服务调用机制,本文将继续借助上一篇的内容来实现Hook系统服务拦截指定方法的逻辑,了解了上一篇文章之后,知道系统的服务其实都是一个远程...

android ART hook

原文地址:http://www.cnblogs.com/lanrenxinxin/p/5207174.html 0x00 前言 之前一直都是在Dalvik 虚拟机上在折腾,从Android 4.4...

全能HOOK框架 JNI NATIVE JAVA ART DALVIK

OneHook 目前比较流行的几个安卓HOOK方案,都有功能上的欠缺,有的不支持art模式,有的不支持jni层,有的不支持侵入HOOK。 所以OneHook诞生了! 这是一个同时支持...

Android主流HOOK框架介绍与应用--游戏破解游戏外挂的必杀技

使用HOOK方案主要是在分析的时候会经常用到,虽然二次打包重新修改代码也可以做到,但是一方面效率低,另一方面如果APP有校验的逻辑就需要进一步绕过,总体还是比较费时费力。所以,通过动态HOOK的方式可...
  • asmcvc
  • asmcvc
  • 2017-02-13 13:56
  • 3346

信用卡评分模型(R语言)

信用卡评分 2016年1月10日 一、数据准备 1、 问题的准备 •            目标:要完成一个评分卡,通过预测某人在未来两年内将会经历财务危机的可能性来提高信用评分的...

彻底理解宽带信号在频域分解为窄带信号

1.    ISM方法 ISM(incoherent signal method)方法,即非相干信号子空间方法是最早出现的宽带DOA方法,该方法将宽带信号在频域内分解成J 个窄带分量,然后再每个子带上...
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)