Xposed之开发Hook插件

最新推荐文章于 2024-05-21 11:37:30 发布
置顶 最新推荐文章于 2024-05-21 11:37:30 发布
阅读量8.6k 收藏 8
点赞数 7
分类专栏: 移动安全 注入 移动安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JBlock/article/details/84202240
版权

题记:

Xposed作为一个著名的Hook框架,早已经在移动安全行业家喻户晓。今天写这篇文章主要也是想下手玩玩这个框架,至于框架的安装,虽然也会碰见很多问题,但是今天暂不附上教程,因为最近精力有限,等有时间我会附上安装教程,以及遇见的问题解决方法!

知识前导:

Hook技术

  • Hook英文翻译为“钩子”,而钩子就是在事件传送到终点前截获并监控事件的传输,像个钩子钩上事件一样,并且能够在钩上事件时,处理一些自己特定的事件;

  • Hook使它能够将自己的代码“融入”被勾住(Hook)的进程中,成为目标进程的一部分;

  • 在Andorid沙箱机制下,Hook是我们能通过一个程序改变其他程序某些行为得以实现;

Hook分类

  1. 根据Android开发模式,Native模式(C/C++)和Java模式(Java)区分,在Android平台上

    Java层级的Hook;

    Native层级的Hook;

  2. 根Hook对象与Hook后处理事件方式不同,Hook还分为:

    消息Hook;

    API Hook;

  3. 针对Hook的不同进程上来说,还可以分为:

    全局Hook;

    单个进程Hook;

Hook原理

Hook技术本质是函数调用,由于处于Linux用户状态,每个进程有自己独立的进程控件,所以必须先注入所要Hook的进程空间,修改其内存中进程代码,替换过程表的符号地址,通过ptrace函数附加进程,向远程进程注入so库,从而达到监控以及远程进程关键函数挂钩;

Hook工作流程

  1. Android相关内核函数:

    ptrace函数:跟踪一个目标进程,结束跟踪一个目标进程,获取内存字节,像内存写入地址;

    dlopen函数:以指定模式打开指定的动态链接库文件;

    mmap函数:分配一段临时的内存来完成代码的存放;

  2. 向目标进程注入代码总结后的步骤分为以下几步:

    1. 用ptrace函数attch上目标进程;

    2. 发现装载共享库so函数;

    3. 装载指定的.so;

    4.让目标进程的执行流程跳转到注入的代码执行;

    5. 使用ptrace函数的detach释放目标集成;

Xposed原理分析

 Xposed框架的原理是修改系统文件,替换了/system/bin/app_process可执行文件,在启动Zygote时加载额外的jar文件(/data/data/de.robv.android.xposed.installer/bin/XposedBridge.jar),并执行一些初始化操作(执行XposedBridge的main方法)。然后我们就可以在这个Zygote上下文中进行某些hook操作。

在Android中,zygote是整个系统创建新进程的核心进程。zygote进程在内部会先启动Dalvik虚拟机,继而加载一些必要的系统资源和系统类,最后进入一种监听状态。

在之后的运作中,当其他系统模块(比如AMS)希望创建新进程时,只需向zygote进程发出请求,zygote进程监听到该请求后,会相应地fork出新的进程,于是这个新进程在初生之时,就先天具有了自己的Dalvik虚拟机以及系统资源。

zygote进程是由init进程启动起来,由init.rc 脚本中关于zygote的描述可知:zygote对应的可执行文件就是/system/bin/app_process,也就是说系统启动时会执行到这个可执行文件的main()函数里。

知识小记

Xposed 提供了几个接口类供xposed模块继承,不同的接口类对应不同的hook时机 IXposedHookZygoteInit zygote 初始化前就执行挂钩,即loadModule执行时就挂钩了 IXposedHookLoadPackage apk包加载的时候执行挂钩,先将挂钩函数保存起来,等加载apk函数执行后触发callback (这里的callback是xposed框架自己挂钩的函数),再执行模块注册的挂钩函数 IXposedHookInitPackageResources apk资源实例化时执行挂钩,同上。

正文

Xposed的技术实现是通过系统进程Hook技术,所以必须要有root权限才行。一般通过刷机来实现,这里我找了个兼容模拟器的Xposed来操作。这里我通过三个简单的Hook插件开发,来介绍下Xposed插件开发的基本方法。当然我会附上完整源码来供大家学习研究。接下来,让我们开启上帝模式!

Hook装载的apk程序包名

新建一个入口类并继承并实现IXposedHookLoadPackage接口

如下操作,我们新建了一个Hook的类,并实现IXposedHookLoadPackage接口中的handleLoadPackage方法,然后对当前装载的apk程序包名进行打印。

package com.example.test;
​
import de.robv.android.xposed.IXposedHookLoadPackage;
import de.robv.android.xposed.XposedBridge;
import de.robv.android.xposed.callbacks.XC_LoadPackage;
/** * Created by Ethan on 2018/11/18. */
public class  Hook implements IXposedHookLoadPackage
{
    @Override
    public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable {
        // 打印装载的apk程序包名
        XposedBridge.log("Launch app: " + loadPackageParam.packageName);
        XposedBridge.log("Hook已经成功了");
    }}

这是一个最简单的一个Xposed插件,实现的功能就是对当前安卓虚拟机装载的apk程序的报名进行Hook,并且打印出来。

Hook效果:

按钮劫持Hook

首先自己写一个粗糙的apk,实现的功能就是点击界面的按钮,就会弹出消息你未被劫持的消息!具体完整代码如下:

MainActivity:

package com.example.ceshi;
import android.support.v7.app.AppCompatActivity;
import android.os.Bundle;
import android.view.View;
import android.widget.Button;
import android.widget.Toast;
​
public class MainActivity extends AppCompatActivity {
    private Button button;
​
    public void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
​
        button = (Button) findViewById(R.id.button);
​
        button.setOnClickListener(new View.OnClickListener() {
            public void onClick(View v) {
                Toast.makeText(MainActivity.this, toastMessage(), Toast.LENGTH_SHORT).show();
            }
        });
    }
​
    public String toastMessage() {
        return "我未被劫持";
    }
}

activity_main.xml:

<?xml version="1.0" encoding="utf-8"?>
<android.support.constraint.ConstraintLayout
    xmlns:android="http://schemas.android.com/apk/res/android"
    xmlns:tools="http://schemas.android.com/tools"
    xmlns:app="http://schemas.android.com/apk/res-auto"
    android:layout_width="match_parent"
    android:layout_height="match_parent"
    tools:context="com.example.ceshi.MainActivity">
​
    <Button
        android:id="@+id/button"
        android:layout_width="wrap_content"
        android:layout_height="wrap_content"
        android:text="Button" />
​
</android.support.constraint.ConstraintLayout>

实现功能如图

接下来我们要对这个apk的按钮的方法进行Hook,并且修改方法。

package com.example.xposed;
import de.robv.android.xposed.IXposedHookLoadPackage;
import de.robv.android.xposed.XC_MethodHook;
import de.robv.android.xposed.XposedHelpers;
import de.robv.android.xposed.callbacks.XC_LoadPackage;
​
public class HookToast implements IXposedHookLoadPackage {
​
//Module继承了IXposedHookLoadPackage接口,当系统加载应用包的时候回回调 handleLoadPackage;
    public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable {
        //过滤包名,定位要Hook的包名
        if (loadPackageParam.packageName.equals("com.example.ceshi")) {
​
            //定位要Hook的具体的类名
            Class clazz = loadPackageParam.classLoader.loadClass("com.example.ceshi.MainActivity");
            //Hook的方法为toastMessage,XposedHelpers的静态方法 findAndHookMethod就是hook函数的的方法,其参数对应为   类名+loadPackageParam.classLoader(照写)+方法名+参数类型(根据所hook方法的参数的类型,即有多少个写多少个,加上.class)+XC_MethodHook回调接口;
            XposedHelpers.findAndHookMethod(clazz, "toastMessage", new XC_MethodHook() {
                protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                    super.beforeHookedMethod(param);
                }
​
                protected void afterHookedMethod(XC_MethodHook.MethodHookParam param) throws Throwable {
                    //param.setResult("你已被劫持")将返回的结果设置成了你已被劫持
                    param.setResult("你已被劫持");
                }
            });
        }
    }
}

 

经过以上操作,当apk执行时会调用我们的Hook类,然后执行就会对apk对应的进程方法进行修改,达到Hook的效果。

Hook后效果如图:

 

登陆劫持

上面进行的按钮劫持的效果也许还不够明显或者说是有趣。大家可能跟我一样喜欢登陆劫持密码这样的操作,首先我们还是自己写一个简单的登陆程序。

MainActivity:

package com.example.xposedtest;
​
import android.support.v7.app.AppCompatActivity;
import android.os.Bundle;
import android.view.View;
import android.widget.Button;
import android.widget.EditText;
import android.widget.Toast;
​
public class MainActivity extends AppCompatActivity {
    EditText Name;   //定义Plain Test控件第一个输入框的名字
    EditText Pass;   //定义Plain Test控件第二个输入框的名字
​
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
        Name = (EditText) findViewById(R.id.TEXT_NAME); //通过findViewById找到输入框控件对应的id并给它起一个名字
        Pass = (EditText) findViewById(R.id.TEST_PASS);//通过findViewById找到输入框控件对应的id并给它起一个名字
        Button Login = (Button) findViewById(R.id.BTN_Login);//通过findViewById找到按钮控件对应的id并给它起一个名字
        Login.setOnClickListener(new View.OnClickListener() {  //监听有没有点击按钮控件 如果点击了就会执行onClick函数
            @Override
            public void onClick(View view) {
                check(Name.getText().toString().trim(),Pass.getText().toString().trim()); //调用check函数
            }
        });
    }
    public void check(String name,String pass)   //自定义函数check 这里用来检查用户名和密码是否是cck和1234
    {
        if(name.equals("cck")&&pass.equals("1234"))
        {
            Toast.makeText(MainActivity.this,"登录成功", Toast.LENGTH_SHORT).show();//弹框
        }
        else
            Toast.makeText(MainActivity.this,"登录失败", Toast.LENGTH_SHORT).show();//弹框
    }
}

activity_main.xml:

<?xml version="1.0" encoding="utf-8"?>
<RelativeLayout xmlns:android="http://schemas.android.com/apk/res/android"
xmlns:tools="http://schemas.android.com/tools"
android:layout_width="match_parent"
android:layout_height="match_parent"
    tools:context="com.example.xposedtest.MainActivity">
​
    <TextView
        android:text="用户名:"
        android:layout_width="wrap_content"
        android:layout_height="wrap_content"
        android:layout_alignParentTop="true"
        android:layout_alignParentLeft="true"
        android:layout_alignParentStart="true"
        android:layout_marginLeft="63dp"
        android:layout_marginStart="63dp"
        android:layout_marginTop="77dp"
        android:id="@+id/textView"/>
​
    <TextView
        android:text="密码:"
        android:layout_width="wrap_content"
        android:layout_height="wrap_content"
        android:layout_marginTop="77dp"
        android:id="@+id/textView2"
        android:layout_below="@+id/textView"
        android:layout_alignLeft="@+id/textView"
        android:layout_alignStart="@+id/textView"/>
​
    <EditText
        android:layout_width="wrap_content"
        android:layout_height="wrap_content"
        android:inputType="textPersonName"
        android:ems="10"
        android:layout_alignBottom="@+id/textView"
        android:layout_toRightOf="@+id/textView"
        android:layout_toEndOf="@+id/textView"
        android:id="@+id/TEXT_NAME"/>
​
    <EditText
        android:layout_width="wrap_content"
        android:layout_height="wrap_content"
        android:inputType="textPassword"
        android:ems="10"
        android:layout_alignBottom="@+id/textView2"
        android:layout_toRightOf="@+id/textView2"
        android:layout_toEndOf="@+id/textView2"
        android:id="@+id/TEST_PASS"/>
​
    <Button
        android:text="登录"
        android:layout_width="wrap_content"
        android:layout_height="wrap_content"
        android:layout_below="@+id/TEST_PASS"
        android:layout_toRightOf="@+id/textView"
        android:layout_toEndOf="@+id/textView"
        android:layout_marginLeft="13dp"
        android:layout_marginStart="13dp"
        android:layout_marginTop="130dp"
        android:id="@+id/BTN_Login"/>
​
</RelativeLayout>

实现效果如图:

只有当我们输入正确的用户名cck和密码1234时才会弹出登陆成功的消息。

这里的我们要Hook的效果为不管输入什么,都会显示登陆成功,实现的手段就是Hook对应的方法,并对相应的参数进行修改,还是使用上面的回调方法来实现

package com.example.xposeddeluhook;
​
import de.robv.android.xposed.IXposedHookLoadPackage;
import de.robv.android.xposed.XC_MethodHook;
​
​
import de.robv.android.xposed.XposedBridge;
import de.robv.android.xposed.callbacks.XC_LoadPackage;
​
import static de.robv.android.xposed.XposedHelpers.findAndHookMethod;
public class Hookdenglu implements IXposedHookLoadPackage {
​
    /**
     * 包加载时候的回调
     */
    public void handleLoadPackage(final XC_LoadPackage.LoadPackageParam lpparam) throws Throwable {
​
        // 将包名不是 com.example.xposedtest 的应用剔除掉,可以减少管理的类
        if (!lpparam.packageName.equals("com.example.xposedtest"))
            return;
        XposedBridge.log("Loaded app: " + lpparam.packageName);
​
        //第一个参数是className,表示被注入的方法所在的类
        //第二个参数是类加载器,照抄就行
        //第三个参数是被注入的方法名
        //第四五个参数是第三个参数的两个形参的类型
        //最后一个参数是匿名内部类
        findAndHookMethod("com.example.xposedtest.MainActivity", lpparam.classLoader, "check", String.class,
                String.class, new XC_MethodHook() {
​
            /**
             * 该方法在check方法调用之前被调用,我们输出一些日志,并且捕获参数的值。
             * 最后两行的目的是改变参数的值。也就是说无论参数是什么值,都会被替换为name为cck,pass为1234
             * @param param
             * @throws Throwable
             */
                    protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                        XposedBridge.log("开始劫持了~");
                        XposedBridge.log("参数1 = " + param.args[0]);
                        XposedBridge.log("参数2 = " + param.args[1]);
                        param.args[0] = "cck";
                        param.args[1] = "1234";
                    }
             /**
             * 该方法在check方法调用之后被调用
             * @param param
             * @throws Throwable
             */
​
                    protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                        XposedBridge.log("劫持结束了~");
                        XposedBridge.log("参数1 = " + param.args[0]);
                        XposedBridge.log("参数2 = " + param.args[1]);
​
                    }
                });
    }
​
}

上述代码我们通过对方法的参数进行了重赋值,来达到了我们想要的结果!

实现效果如下:

Xposed日志如下:

Think one Think

      Xposed可以在不修改APK源码的情况下,通过自己编写的模块来影响程序运行的框架服务,采用了插件机制,通过替换/system/bin/app_process程序控制zygote进程,使得app_process在启动过程中会加载XposedBridge.jar这个jar包,从而完成对Zygote进程及其创建的Dalvik虚拟机的劫持,从而可以使我们开启上帝模式,从原理上讲,只要你对要操作的方法,参数的个数,类型了如指掌,那你就可以实现任意应用的任意方法的Hook。这也是Xposed插件开发的初衷!

JBlock
关注
  • 7
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Android 插件开发(三)—— hook插件开发
明天的增加的博客
08-21 724
原理: startActivity —> PluginActivity – (Hook ProxyActivity)(AMS)检测,当前要启动的Activity是否注册了)ok —》 ActivityThread(即将加载启动Activity)----(要把这个ProxyActivity 换回来 --> PluginActivity) 这里使用了两次Hook,最后启动PluginActivity的时候也会报错,因为插件并没有安装,这时候就需要将插件和宿主app合在一起加载,所以需要三部 1、绕
Xposed插件开发入门详解
01-06
至于如何开发一个XPosed插件,官方给出的答案如下: https://github.com/rovo89/XposedBridge/wiki/Development-tutorial 看完这篇文章,基本能写出一个最简单的demo。 现在先讲讲这个最简单的demo怎么写 1.先...
Xposed 插件开发之二: Xposed的一些知识
KeepStudy
09-18 1万+
一、 Api说明1. IXposedHookLoadPackage.java加载回调接口,在xposed入口类继承,实现handleLoadPackage方法 handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) 这个方法用于在加载应用程序的包的时候执行用户的操作 参数: LoadPackageParam loa
xposed框架进行hook基础环境搭建教程
最新发布
云霄IT的博客
05-21 243
新建一个名为xposed_init的text文件,填写Hook类的路径,如下即可。添加log信息过滤器,即可输出hook相应的app。打开xposed找到模块,打勾然后软重启即可。编译完成后,找到apk手动安装即可。
Xposed如何hook和创建接口
HURUWO的技术博客
11-02 1114
前言 xposed 无法直接hook 接口类,需要找到具体的实现类 打开源代码查找实现类 使用动态代理找到实现类 Object pClass = Proxy.newProxyInstance(mDexClassLoader, new Class[]{pClass}, Hook.this)
Xposed框架实战
binghelonglong123的博客
09-03 3017
介绍 一个强大的hook框架 可以编写自定义的模块来hook各种应用的api 从而达到劫持的效果(修改imei 修改地理位置等) 什么是hook hook本质就是劫持函数调用 Hook的难点在于寻找函数的入口点、替换函数,这就涉及到函数的连接与加载机制。 基本原理 xposed 原理就是修改系统的关键文件,然后当APP调用系统API时,首先经过xposed,而这些...
Xposed插件的编写
kfyzjd2008的博客
08-15 1063
IXposedHookZygoteInit接口实现了ZygoteInit阶段的hook能力,用于在Zygote进程启动之前执行相关代码,framework里的东西一般再这里改。IXposedHookInitPackageResources接口实现了加载app资源时的hook能力,用于修改app的一些资源,比如布局文件什么的。当你的面具为Zygisk模式时,想要hook系统函数必须继承IXposedHookZygoteInit接口,否则无法成功hook。具体的编写脚本前准备,网上有很多,这里不在赘述。...
IDEA “Cannot resolve symbol” 解决办法
cheers_bin的博客
05-11 1万+
“Cannot resolve symbol” 解决方案整理,也许你想要的答案就在这里。
android xposed框架插件开发例子
05-24
本教程将重点介绍如何基于Xposed框架进行插件开发。 首先,要理解Xposed的工作原理。Xposed框架主要通过Zygote进程的hook机制来实现对系统和应用的干预。当系统启动时,Xposed会注入自己的代码到Zygote中,这样每个...
XP_HOOK 插件案例.zip
08-22
XP_HOOK 插件案例主要涉及的是Android系统的插件开发技术,尤其是利用Xposed框架进行HOOK技术的应用。在Android系统中,Xposed框架是一个强大的工具,它允许开发者在不修改APK的情况下影响程序运行(修改系统)的...
HookwormForAndroid:一个基于Magisk&Riru的Module,可以助你用超低成本开发各种Hook插件,无须Xposed
05-24
一个基于Magisk&Riru的Module,可以助你用超低成本开发各种Hook插件,无须Xposed 此Module仅供大家学习研究,请勿用于商业用途。利用此Module进行非法行为造成的一切后果自负! 博客详情: 背景: 前段时间在...
Xposed_Hook示例_bbb.zip
08-28
Xposed Hook 示例代码: Hook Method 并获取私有属性调用方法 可查看我相应博客
Android笔记-Xposed的使用(Hook登录函数获取用户名密码)
IT1995的博客
07-27 1500
如这个APP例子: 点击登录,Xposed打印: 对应的Java代码: 这里可以看到其包名为hfdcxy.com.myapplication 函数为check。 Xposed关键函数如下: public class HookUtils implements IXposedHookLoadPackage { @Override public void handleLoadPackage(XC_LoadPackage.LoadPackageParam load..
Xposed模块开发教程
zhangmiaoping23的专栏
02-06 1万+
转:http://vbill.github.io/2015/02/10/xposed-1/ 原文地址。这是开发者所写的,可以说是官方开发指南。文章讲述了Xposed的原理,以及怎么开发Xposed框架的模块。头一次翻译技术文档,有错误的话请多包涵。 好了,你想学习怎么为Xposed开发新的模块么?那么读读这篇教程(或者我们可以称他为”泛读短文”)学着怎么去做。这不仅包括“创
AndroidStudio开发中出现标红(Cannot resolve symbol ‘ ‘ 问题)解决方案
nuist_NJUPT的博客
04-27 2万+
AndroidStudio开发中出现标红(Cannot resolve symbol ’ ’ 问题)解决方案 下面介绍的几种方法是在你写的源码没有问题,却导致莫名奇妙标红,出现Cannot resolve symbol ’ '的情况,可以参考一下几种方法,要是代码错误,导致标红,自行改代码。 方法1:依次点击File->Invalidate caches/Restart…,会弹出如下对话框,点击Invalidate and Restart,等待AndroidStudio重新启动就可以了。 方法2:点
android钩子 插件,Xposed 如何在所有应用的任一 Activity 下钩子?
weixin_36388341的博客
05-26 130
IXposedHookZygoteInitHook the initialization of Zygote process(es), from which all the apps are forked.Implement this interface in your module's main class in order to be notified when Android is star...
最新的Xposed模块编写教程
byc6352的专栏
07-04 7258
原标题:新手不要再被误导!这是一篇最新的Xposed模块编写教程 0×00 前言 在互联网上,关于Xposed模块编写的教程可谓是一抓一大把。但由于时间的推移,很多工具和方法都发生了变化(如Eclipse退出安卓编程舞台,AndroidStudio 不断升级导致其一些设置也随之变化等)也正因此,网上的教程往往有一些时限性,比如现如今 provide 这个关键字已经被舍弃了却仍有人...
Xposed原理与应用Api
麦小洛
08-23 7030
 一、Xposed框架的核心原理 修改/system/bin/app-process程序。在android执行第一个程序zygote进程之前进行截获,改变执行流程,进入到自身的Main函数体内。Main函数执行体内主要完成以下四步流程:   initNative(). 为了方便Xposed框架的native方法对上层Java方法的调用,在该部分对相关native方法进行初始化工作。 ini...
提示Cannot resolve symbol xxx的解决办法
热门推荐
宾宾宝宝的博客
04-18 2万+
Cannot resolve symbol ‘msg’ 解决办法 重启之后再刷新依赖 如果依然报错的话,再点击这个 勾选Override, 然后把将Maven home directory的路径改为自己下载安装的Maven路径 稍等一会儿,代码中报错的红色就会没啦,就可以运行啦 ...
xposed插件开发
03-16
Xposed插件开发是一种在Android系统上进行修改和增强的方法。通过使用Xposed框架,开发人员可以创建自己的插件,以实现各种功能,例如修改应用程序的行为,增强系统功能,甚至是创建全新的应用程序。Xposed插件开发需要一定的编程知识和技能,但是它可以为用户提供更好的体验和更多的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值