接上篇,这篇来看一下Droid Plugin的hook机制。Droid Plugin的官方文档提到了下面三点:
- 动态代理实现函数hook
- Binder代理绕过部分系统服务限制
- IO重定向
我们一项一项地来看。
一、动态代理实现函数hook
这部分实现主要在hook/proxy/和hook/handle里。先上一张类图:
首先定义了一个基类Hook,这是一个抽象类,外部可以通过setEnable()方法来使能或者关闭该hook。同时它还声明了和install相关的方法,子类可以覆盖这些方法完成相应的初始化。
ProxyHook继承自Hook,同时还实现了InvocationHandler接口。它有一个setOldObj()方法,用来保存将被代理的原始对象。另外,既然实现了InvocationHandler接口,必然要实现其invoke()方法:
public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
try {
if (!isEnable()) {
return method.invoke(mOldObj, args);
}
HookedMethodHandler hookedMethodHandler = mHookHandles.getHookedMethodHandler(method);
if (hookedMethodHandler != null) {
return hookedMethodHandler.doHookInner(mOldObj, method, args);
}
return method.invoke(mOldObj, args);
}
... ...
}
可以看到,这里没有直接在invoke()方法里进行任何处理,而是先通过mHookHandles获取了一个HookedMethodHandler对象。
mHookHandles是一个BaseHookHandle对象,内部包含了一个Map,可以根据API名映射到对应对应的HookedMethodHandler对象。这个Map由其子类IXXXHookHandle在初始化的时候进行填充。
紧接着调用HookedMethodHandler的doHookInner()方法:
public synchronized Object doHookInner(Object receiver, Method method, Object[] args) throws Throwable {
try {
... ...
boolean suc = beforeInvoke(receiver, method, args);
Object invokeResult = null;
if (!suc) {
invokeResult = method.invoke(receiver, args);
}
afterInvoke(receiver, method, args, invokeResult);
.... ...
}
这里其实就跟上一篇的例子一样,在调用实际方法之前,先调用一个beforeInvoke()方法进行一些处理,然后在实际方法调用结束后,再调用afterInvoke()方法进行另外一些处理。需要注意的是,如果beforeInvoke()返回true,那么实际要调用的方法根本不会被执行,直接变被skip掉了。
HookedMethodHandler的子类主要就是覆盖beforeInvoke()和afterInvoke()这两个方法,通过修改传入参数达到“瞒上”的目的,通过修改返回值达到“欺下”的目的。但是翻看代码会发现,这些子类一般不直接继承HookedMethodHandler,而是继承自一个叫做ReplaceCallingPackageHookedMethodHandler的类。这个类覆盖了beforeInvoke()方法:
protected boolean beforeInvoke(Object receiver, Method method, Object[] args) throws Throwable {
if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.ICE_CREAM_SANDWICH_MR1) {
if (args != null && args.length > 0) {
for (int index = 0; index < args.length; index++) {
if (args[index] != null && (args[index] insta