Xposed框架之函数Hook学习

最新推荐文章于 2023-08-31 22:12:32 发布
最新推荐文章于 2023-08-31 22:12:32 发布
阅读量1.9w 收藏 13
点赞数 2
分类专栏: Android Hook学习 Android系统安全和逆向分析研究 文章标签: XposedHook androidHook javaHook XposedHook框架 Android破解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1084283172/article/details/46776479
版权

作者:Fly2015

Xposed是Android下Java层的开源Hook框架类似的有cydiasubstrate框架并且据说cydiasubstrate框架能实现Android的Java层和Native层的函数的Hook。学习Android的逆向也有一段时间了,记录一下学习Xposed框架的过程。

Xposed框架的学习网站: http://repo.xposed.info/

 

一、Xposed框架实现Hook的原理介绍

Zygote是 Android 的核心,每运行一个 app,Zygote 就会 fork 一个虚拟机实例来运行 app,Xposed Framework 深入到了 Android 核心机制中,通过改造 Zygote 来实现一些很牛逼的功能。Zygote 的启动配置在/init.rc 脚本中,由系统启动的时候开启此进程,对应的执行文件是/system/bin/app_process,这个文件完成类库加载及一些函数调用的工作。

当系统中安装了 Xposed Framework 之后,会对 app_process 进行扩展,也就是说,Xposed Framework 会拿自己实现的 app_process 覆盖掉 Android 原生提供的 app_process 文件,当系统启动的时候,就会加载由 Xposed Framework 替换过的进程文件,并且,XposedFramework 还定义了一个 jar 包,系统启动的时候,也会加载这个包:

/data/data/de.robv.android.xposed.installer/bin/XposedBridge.jar

 

二、Xposed框架运行的条件

1.RootedDevice / Emulator (已 root 的手机或者模拟器)

2.XposedInstaller (Xposed 安装程序下载)

3.HookingAndroid App (要被Hook的目标App)

 

XposedFramework 就是一个apk包也就是上面下载的Xposed安装程序,下载后用下面的命令安装到手机上或者模拟器:

adb install de.robv.android.xposed.installer_v32_de4f0d.apk

 

安装好之后,打开 Xposed ,下面是截图:



 Xposed安装以后的效果图:

                


三、Hook模块的实现

 

1.添加meta-data元素

一个Xposed 模块就是一个Android app,不需要实现 Activity,本例中的Hook模块叫com.xposeddemo, 下面是这个实例的 AndroidManifest.xml 文件,注意其中定义了三项 meta-data元素:

1).xposedmodule 
2).xposeddescription 载入Hook 模块之后显示的信息
3).xposedminversion 填写导入的jar包的版本号


2.添加XposedBridgeApi-54.jar包

其中 xposedminversion 是指 XposedBridge library的版本号信息,需要将 XposedBridge library 复制到 lib目录(注意是lib 目录不是 libs目录),如果没有lib目录,在工程目录下新建一个lib文件夹,将下载好的XposedBridgeApi-54.jar包放入其中,然后在工程里右键–Build Path–Add to Build Path.



XposedBridgeApi-54.jar包的下载地址:

http://dl-1.va.us.xda-developers.com/2/7/4/8/8/7/8/XposedBridgeApi-54.jar?key=lqjljy-2L4Sk3lItcQkWoQ&ts=1434529310

 

3.添加xposed_init文件

在assets目录下新建一个xposed_init文件。

内容为:包名+类名,如:com.xposeddemo.Module


4.在Hooking Android App中查找Hook的关键点

要被Hook的Android App就使用非虫大神的书中第4章用的crackme02.apk应用程序。


程序运行的界面如下:



对该apk进行反编译的代码截图:



注册码的校验函数:


通过对crackme02.apk反编译发现只要注册码验证函数checkSN返回值是true就表明注册码验证通过,我们的Hook点就是checkSN函数。

 

5.针对Hooking Android App的Hook关键点实现Hook模块

1).实现 IXposedHookLoadPackage接口

2).确定要Hook的Android App的包名

3).判断要Hook的包名

4).确定要Hook的AndroidApp的方法

5).具体实现Android App的函数Hook,调用XposedHelpers.findAndHookMethod(“包名+类名”, lpparam.classLoader, “要hook的函数名称”, 第一个参数类型, 第二个参数类型….., new XC_MethodHook() {

protectedvoidbeforeHookedMethod(MethodHookParam param) {

       //函数执行之前要做的操作

}

protectedvoidafterHookedMethod(MethodHookParam param) {

//函数执行之后要做的操作

}

});

 


将编写XposedHook需要的模块导入工程以后,在写代码的时候,会有提示:



XposedHook示例代码的实现:



确定了crackme02.apk的Hook点,我们可以确定要Hook函数所在的包为com.droider.crackme0201,要Hook函数所在的类为com.droider.crackme0201.MainActivity,要被Hook的函数为privateboolean checkSN(StringuserName, String sn)


见编写的XposedHook示例代码:

package com.xposeddemo;

import de.robv.android.xposed.IXposedHookLoadPackage;
import de.robv.android.xposed.XC_MethodHook;
import de.robv.android.xposed.XC_MethodHook.MethodHookParam;
import de.robv.android.xposed.XposedBridge;
import de.robv.android.xposed.XposedHelpers;
import de.robv.android.xposed.callbacks.XC_LoadPackage.LoadPackageParam;

public class Module implements IXposedHookLoadPackage {

	@Override
	public void handleLoadPackage(LoadPackageParam lpparam) throws Throwable {
		// 判断是否是要Hook的包名(被Hook函数所在的包为com.droider.crackme0201)
		if (lpparam.packageName.equals("com.droider.crackme0201")){
			XposedBridge.log("Loaded App:" + lpparam.packageName);
			
			//查找要Hook的函数
			XposedHelpers.findAndHookMethod(
					"com.droider.crackme0201.MainActivity", //被Hook函数所在的类com.droider.crackme0201.MainActivity
					lpparam.classLoader, 
					"checkSN",     //被Hook函数的名称checkSN
					String.class, //被Hook函数的第一个参数String
					String.class, //被Hook函数的第二个参数String
					new XC_MethodHook(){
						@Override
						protected void beforeHookedMethod(MethodHookParam param)
								throws Throwable {
							// Hook函数之前执行的代码
							
							//传入参数1
							XposedBridge.log("beforeHookedMethod userName:" + param.args[0]); 
							//传入参数2 
							XposedBridge.log("beforeHookedMethod sn:" + param.args[1]);
							//函数返回值
							XposedBridge.log("beforeHookedMethod result:" + param.getResult());
						}
						
						@Override
						protected void afterHookedMethod(MethodHookParam param)
								throws Throwable {
							// Hook函数之后执行的代码
							
							//通过对checkSN函数的分析发现,只要修改函数的返回值即可实现注册的破解
							param.setResult(true);	
							
							//传入参数1
							XposedBridge.log("afterHookedMethod userName:" + param.args[0]); 
							//传入参数2 
							XposedBridge.log("afterHookedMethod sn:" + param.args[1]);
							//函数返回值
							XposedBridge.log("afterHookedMethod result:" + param.getResult());
						}
					});
		}
	
	}
}

上面这一行代码指定了只有当com.droider.crackme0201 这个包加载的时候,才会触发一系列的 hook 行为,当这行为触发的时候,de.robv.android.xposed.XposedHelpers 类的 findAndHookMethod 方法就会被调用,并在适当的时候执行前置方法(beforeHookedMethod)和后置方法(afterHookedMethod),在本次的示例中只要修改checkSN函数的返回值即可实现注册的验证绕过。


在Xposed框架中安装刚才已经编写好的Hook模块XposedDemo如上图所示,然后重启手机或者模拟器,我们编写的XposedDemo模块在手机或者模拟器重启以后就会生效的,点击运行crackme02.apk应程序,按照输入要求输入随意的用户名和注册码该程序就会验证通过(如下图)。

由于在博客上的排版不好,已经将笔记整理成了文档,XposedHook示例代码修改一下就可以拿来使用。文档和示例代码的下载地址:http://download.csdn.net/detail/qq1084283172/8873927


参考的网址:

http://0nly3nd.sinaapp.com/?p=613

http://www.freebuf.com/articles/terminal/56453.html

 

2015.6.18


Fly20141201
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 12
    评论
专栏目录
android XPosed Hook登陆劫持源代码
11-21
简单实例 代码亲测有用 实现 IXposedHookLoadPackage接口 指定要 hook 的包名 判断当前加载的包是否是指定的包 指定要 hook 的方法名 实现beforeHookedMethod方法和afterHookedMethod方法(hook的具体功能)
安装xposed框架所需的zip文件
04-23
当安装好xposed框架后,还需要安装.zip包对其进行激活。然而由于网络环境问题,xposed框架软件总是无法成功从网站上下载相应的.zip包。在这里,整理了sdk21-sdk25(android5.0-android7.1)相对应的.zip包。 安装...
使用Xposed框架HOOK任意函数及API
热门推荐
郑梦佳的专栏
03-02 4万+
感谢作者 http://0nly3nd.sinaapp.com/?p=613  0×1 建立一个空的工程 0×2 AndroidManifest.xml         2.1 修改包名                                                 
Xposed Hook不到类报错以及XposedHook方法讲解
qq_42356008的博客
10-17 2962
介绍了Xposed hook不到类方法的解决方案,和Xposed的常用hook类的介绍
Xposed模块 -- Hook函数参数
weixin_41489908的博客
09-16 1109
安卓系统7.1搭建Xposed环境 安卓逆向 -- Xposed模块编写 安卓逆向 -- Jeb动态调试 一、根据以前的课程,我们通过抓包分析,知道了如下的关键函数 package com.dodonew.online.http;import android.text.TextUtils;import android.util.Log;import com.dodonew.online.util.DesSecurity;。。。。。。。。。。。。。。。。。。//省略导包public class
教大家用Xposed,findAndHookMethod方法修改第三方应用方法返回值
tian154731的博客
06-28 1万+
Xposed框架,功能强大,可以修改静态变量,修改方法返回值 现在我就教大家怎么利用Xposed框架,修改第三方应用方法返回值 一般我们都会用反编译软件,查找到想要模拟的方法。 例如:我要模拟的vivo应用商店,修改com.a.b.c类里面的a方法的返回值,该方法返回是的是String类型值。 public class XposedManager implements IXposedHookLoa...
整理Android XposedHook使用中的一些问题
wenrennaoda的专栏
02-14 7221
0x00 Xposed安装 网上有很多Xposed安装教程,下面给出我的nexus5真机中系统为Android4.4.4中的安装教程和资源: https://download.csdn.net/download/wenrennaoda/10733892 网上也有很多类似的教程和资源,这里不再赘述。 0x01 Xposed的配置与demo实现 作者rovo89提供了非常详细的使用方法及其原...
安卓逆向_22( 一 ) --- XposedAndroid Studio + Xposed 实现简单的 hook
墨鱼菜鸡
07-11 2022
From:使用渗透测试框架 Xposed 框架 hook 调试 Android APP:https://www.freebuf.com/articles/terminal/56453.html Xposed框架分析:https://blog.csdn.net/zjx839524906/article/details/81046844 xposted框...
安卓逆向——Xposed插件常用HOOK方法
含笑
08-23 8353
1. hook 普通静态方法 jadx 反编译分析查看代码,找到需要hook的类和方法 Xposed 插件的写法 // 判断 当前的 启动的模板程序是否是 需要hook的 应用,这里要知道 应用的报名 // 如果不判断指定 报名 启动 插件的话,打开所有的应用都会 启动插件,就会保存,其他的应用 不一定用这个指定方法 if(loadPackageParam.packageName.equals("com.qianyu.helloworld")) { ..
Xposed框架Hook Android应用的所有类方法打印Log日志
Fly20141201. 的专栏
07-07 2万+
本文博客地址:https://blog.csdn.net/QQ1084283172/article/details/80954759 在进行Android程序的逆向分析的时候,经常需要Android程序的静态分析和动态调试的结合,尤其是对一些加固后的Android类方法被调用的确认,需要Hook java类方法打印java类方法的调用堆栈。有幸在网上看到了这篇文章《XPosed暴力列举Pac...
(frida小记) 04 Hook类的所有方法及Hook动态加载的dex
akswyh的博客
04-09 3745
Hook类的所有方法 示例 //hook类的所有方法 function hooktest10(){ Java.perform(function(){ var md5Util=Java.use("com.alex.javahooktarget.HashUtil"); var methods=md5Util.class.getDeclaredMethods(); for(var j=0;j<methods.length;j++){
xposedhook的用法
最新发布
socketyc的博客
08-31 512
val gTestClass = lpparam.classLoader.loadClass(className)//加载这个特殊的类。val className = "$packageName.MainActivityKt"//包中的类文件【注意类名后面加上Kt】val packageName = "com.example.hooktarsget" // 包名。XposedHelpers.findAndHookMethod(clazz,//类。"test",//方法名。2.普通的类文件中的全局函数
Xposed框架的使用--简单入门
02-24
##Xposed框架的使用框架是一款开源框架,其功能是可以在不修改APK的情况下影响程序运行(修改系统)的框架服务,基于它可以制作出许多功能强大的模块,且在功能不冲突的情况下同时运作。Xposed就好比是模块化手机的...
XPosed框架,原XPosed派大星,目前可用的XP框架
06-11
能在线下载的XPosed框架,支持安卓8以下,ROOT后可一键在线安装。支持雷电模拟器、夜神模拟器、逍遥模拟器、部分云手机以及系统支持的手机。Xposed鸭是一款基于Xposed Installer的修改版软件,他弥补了原版XPosed...
xposed框架大全压缩包
09-19
xposed框架大全压缩包
Android进程的so注入--Poison(稳定注入版)
Fly20141201. 的专栏
12-26 2万+
Android进程的so注入已经是老技术了,网上能用的Android注入的工程也有很多,虽然分享代码的作者在测试的时候能注入成功,但是其他的同学使用这些代码的时候总是出现这样或者那样的问题。在Android逆向学习的这段时间里,我也陆续测试了几个作者给出的Android的注入的代码,但是总是效果不明显,今天就学习一下大牛boyliang分享的Android的so注入的代码框架Poison,作者bo
Android内核的编译和调试
Fly20141201. 的专栏
04-28 1万+
一、Android内核源码的选择 Android手机设备内核源码的调试需要外部硬件设备的支持,调试步骤比较麻烦。相对来说,Android模拟器内核源码的调试就比较简单了,这里以Android模拟器内核源码的调试为例。首先创建一个Android API 19(Android 4.4.x版本)的Android模拟器,然后运行该Android模拟器。在 ubuntu 14.04.5 系统或者 Win
360加固保的dex脱壳方法
Fly20141201. 的专栏
11-13 1万+
360整体加固classes.dex后的apk程序的特点,以超信1.1.4版本为例。360加固以后,会在apk的assets文件的路径下增加两个文件libjiagu.so和libjiagu_x86.so以及修改原apk的AndroidManifest.xml文件的application标签增加两个元素。 360加固脱壳需要完成两个任务,一个任务是过掉3
xposed hook重载函数
06-02
Xposed Hook 重载函数的一般步骤如下: 1. 找到要 Hook函数的方法签名,即函数名和参数类型。 2. 实现 Xposed 的 IXposedHookLoadPackage 接口,并重载其 handleLoadPackage 方法。 3. 在 handleLoadPackage ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值