Android逆向之旅---Native层的Hook神器Cydia Substrate使用详解

然后我们安装hook工程apk，会出现这个提示：

点击，进入框架界面，点击重启即可。然后我们查看系统界面颜色以及返回的imei值：

查看颜色的确变成骚气的粉色了，再看看imei值的修改：

imei值也成功的hook成功了。到这里我们就用Substrate框架hook了Java层功能。当然这些功能Xposed也是可以做到的哦。

四、Hook Native层功能

那么下面继续来看如何hook native层的功能，也是本文的重点哦。

第一步：创建一个Native工程

这里用Eclipse操作，简单便捷，有很多人问我为什么不用AS，我想说在我心中Eclipse最好用，AS真心好丑，不想用而已。

第二步：导入Substrate的native功能包

上图可以看到，需要导入一个substrate.h头文件，和两个so功能包。native层应用都是这么干的，提供一个头文件告诉你api，具体实现在so包中。

第三步：寻找hook的函数名

这里网上没有好的hook代码，这里我们为了更好的查看这个工具的牛逼之处，弄一个比较实际的案例就是hook系统加载dex的函数，这样我们就可以获取到每个应用的dex文件了，这种方式对于早期加固是一个比较好的脱壳方案。在之前介绍脱壳我们会使用IDA在指定函数处下个断点，那么我们这里如果要hook的话，就需要找到这个加载dex的函数名称，这里一定要记的是导出的函数名，首先我们导出设备的libdvm.so文件：system/lib/libdvm.so

然后使用IDA打开，寻找加载dex函数：

切换到Exports视图页面，然后搜索dexFileParse函数，点进去：

看到了，我们 需要得到的是EXPORT的函数名，需要hook的是他，这个一定要注意，不然hook没效果的。找到函数之后还得获悉函数的参数类型和返回类型，这个也好办，因为我们有 android源码，所以直接在源码中找这个函数参数说明已经返回值说明即可。因为Native层hook的其实是函数指针的替换，所以如果想hook原来的函数，必须新建一个和原来一样的函数功能，然后传递函数指针即可。这个函数的参数和返回值定义如下：

DexFile dexFileParse(const unsigned __int8 , unsigned int, int);

参数含义非常简单，第一个参数表示dex文件的起始地址，第二个参数是dex文件的长度，有这两个参数我们就可以写入文件了。这里我们需要获取DexFile类型，这个直接在Android源码目录下找到这个头文件DexFile.h即可。然后导入工程中。这样我们就找到了需要hook的函数已经说明了，下面就开始编写hook代码了。

第四步：编写hook代码

在编写hook代码之前，我们需要考虑这几件事：

**第一件事：**我们hook之后的dex存在哪？怎么存？我们这里直接通过当前的pid值获取进程名，然后将其凭借作为dex的文件名，这样每个进程的dex文件就不会冲突了。这里要理解一点：**一个进程对应一个DVM，加载一个dex文件。所以这里hook其实就是注入每个进程，在每个进程中在hook每个函数功能。

第二件事：**需要过滤系统进程，并不是所有的进程都是我们想要hook的，而且这些进程未必有dex文件，比如鼻祖进程zygote，而这些进程过滤规则，需要我们自己打印看结果。然后构造。

下面开始写代码了，首先定义我们想要hook的so文件：

MSConfig(MSFilterLibrary, “/system/lib/libdvm.so”);

主要是第二个参数，是需要hook的so路径。然后在入口处开始hook代码：

这里首先找到so中需要hook函数符号，然后直接调用MSHookFunction传入符号，新函数地址，旧函数地址即可。这里可以看到在C中指针是多么强大，实现了函数的回调机制，而且非常方便。然后继续来看新定义的hook函数功能：

这里先获取当前进程名称，然后构造dex文件名，保存dex文件，最后一定要记得返回原始的函数，不能影响正常的流程。这里还要记得过滤规则，不要对每个进程都进行操作，并不是每个进程都是有效的。而这些过滤规则是根据自己打印进程名来自行添加即可。

第五步：编写MK文件

上面代码已经编写完成了，下面来编写编译脚本吧，主要注意编译之后的文件名一定要有cy结尾，不然是hook失败的，然后就是需要导入substrate的so库文件：

第六步：安装并运行

和之前一样，运行之后，需要重启设备，然后先看看native层的log信息：

然后再去目录中查看保存的dex文件信息：

dex文件都保存成功了，这样会发现如果对于早期的加壳，可以采用这种方式进行脱壳操作的。也不需要用IDA进行调试dump出dex文件了。

五、说明

关于native层hook就介绍完了，这里还是需要说明几点：

**第一点：**hook之前需要分析so获取需要hook的函数名称，参数返回值定义，这个和hook Java层一样，必须先找到突破点才能进行下一步。

**第二点：**hook可能会有一些错误，因为是native层比java层错误信息难发现，所以最好是在某些地方加一些日志观察结果。

如果在使用过程中发现hook失败，注意检查这几个条件：

第一个：xml中是否配置了权限和入口

第二个：编译脚本MK中的后缀名是否为cy

项目下载地址：https://github.com/fourbrother/CydiaSubstrateHook

六、总结

关于CydiaSubstrate框架就介绍到这里了，后面会分析如何hook游戏的so文件来进行破解工作，有了这个框架再也不怕hook难了，native层代码也可以一览无余了。
二个：编译脚本MK中的后缀名是否为cy

项目下载地址：https://github.com/fourbrother/CydiaSubstrateHook

六、总结

关于CydiaSubstrate框架就介绍到这里了，后面会分析如何hook游戏的so文件来进行破解工作，有了这个框架再也不怕hook难了，native层代码也可以一览无余了。