xposed 04 - 方法调用与加壳app处理

最新推荐文章于 2024-06-15 15:10:16 发布
最新推荐文章于 2024-06-15 15:10:16 发布
阅读量1.3k 收藏 18
点赞数 31
分类专栏: xposed 逆向 文章标签: 前端 java 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a5right/article/details/135240938
版权

本文主要讨论如何在 xposed 模块中调用app中的方法,以及如何 hook 加壳的 app。

调用app中的方法

主要依靠 xposed 提供的几个 api,使用起来类似反射,不过比反射要简单的多。

静态方法

public static java.lang.Object callStaticMethod(java.lang.Class<?> clazz, java.lang.String methodName, java.lang.Object... args)

public static java.lang.Object callStaticMethod(java.lang.Class<?> clazz, java.lang.String methodName, java.lang.Class<?>[] parameterTypes, java.lang.Object... args)

需要的参数:

  • 类名

  • 方法名

  • 方法参数类型,是数组,比如有两个参数,形式应为:java.lang.Class<?>[] parameterTypes = {String.class, int.class}; ,也可以不传,xposed 会自动匹配参数类型。

  • 方法参数值

实例方法

public static java.lang.Object callMethod(java.lang.Object obj, java.lang.String methodName, java.lang.Object... args)

public static java.lang.Object callMethod(java.lang.Object obj, java.lang.String methodName, java.lang.Class<?>[] parameterTypes, java.lang.Object... args)

参数与调用静态方法就第一个参数不一样,显然实例方法需要对象,静态方法需要类对象。

构造方法

public static java.lang.Object newInstance(java.lang.Class<?> clazz, java.lang.Object... args)

public static java.lang.Object newInstance(java.lang.Class<?> clazz, java.lang.Class<?>[] parameterTypes, java.lang.Object... args)

需要的参数:

  • 类名

  • 方法参数类型,是数组,比如有两个参数,形式应为:java.lang.Class<?>[] parameterTypes = {String.class, int.class}; ,也可以不传,xposed 会自动匹配参数类型。

  • 方法参数值

加壳app的hook

想要hook加壳app中的方法,需要先知道两个基础知识:

  • 加壳原理

  • 脱壳

脱壳现在有很多的开源项目与脚本,fart,dexdump 都可以完成,只不过可能有些app做了 frida 特征识别,导致脱不下来,这个后面会说到。

加壳的原理其实也不难,简单来说就是,开发者编写的app被藏起来了,展示给我们看的只是包着app的一个壳,所以我们无法看到里面的app内容。但是一个重要的点是,app始终是要运行的,既然要运行,那么壳就会将它包着的app内容给拿出来,所以只要抓住这个点就能很好的理解脱壳。

至于加壳,就是相当于先将 app 给加密,然后在某个时机再解密出来,让其运行。具体可以看下面这些文章:

https://bbs.kanxue.com/thread-254555.htm

https://bbs.kanxue.com/thread-252630.htm

https://bbs.kanxue.com/thread-254028.htm

实战

看一个例子,材料已上传到 p23 (lebo.apk)。

使用jadx打开,发现里面没有 Activity 等类:

 

看AndroidManifest.xml里面,有很多类都找不到:

 

这说明该 apk 被加壳了。

那么,如果我们想hook com.zw.lebo.SplashView 这个类,在它的 onCreate 方法里面弹一个 toast,该如何做呢?

我们先尝试按照之前的方法,直接使用 findAndHookMethod 看看效果:

if (loadPackageParam.packageName.equals("com.f0208.lebo")) {
    XposedHelpers.findAndHookMethod(
            "com.zw.lebo.SplashView",
            loadPackageParam.classLoader,
            "onCreate",
            Bundle.class,
            new XC_MethodHook() {

                @Override
                protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                    super.afterHookedMethod(param);
                    Toast.makeText((Context) param.thisObject, "a5right", Toast.LENGTH_SHORT).show();
                }
            });
}

打开 app,运行,发现会提示错误:

de.robv.android.xposed.XposedHelpers$ClassNotFoundError: java.lang.ClassNotFoundException: com.zw.lebo.MainActivity
 at de.robv.android.xposed.XposedHelpers.findClass(XposedHelpers.java:71)
 at de.robv.android.xposed.XposedHelpers.findAndHookMethod(XposedHelpers.java:260)
 at com.example.edxposedtest.Xposed04.handleLoadPackage(Xposed04.java:17)
 at de.robv.android.xposed.IXposedHookLoadPackage$Wrapper.handleLoadPackage(IXposedHookLoadPackage.java:37)
 at de.robv.android.xposed.callbacks.XC_LoadPackage.call(XC_LoadPackage.java:61)
 at de.robv.android.xposed.callbacks.XCallback.callAll(XCallback.java:117)
 at com.elderdrivers.riru.edxp._hooker.impl.LoadedApkGetCL.afterHookedMethod(LoadedApkGetCL.java:61)
 at de.robv.android.xposed.MethodHooker.handleHookedMethod(MethodHooker.java:94)
 at EdHooker_d80f73e34da17c301b40feab7995d5a6a0b56621.hook(Unknown Source:45)
 at android.app.LoadedApk.getResources(LoadedApk.java:954)
 at android.app.ContextImpl.createAppContext(ContextImpl.java:2270)

这就是我们之前提到过的,需要传递对应的类加载器才能正确地找到类。

我们可以看看这个类加载器加载的 dex 里面有哪些类:

public void getClassLoaderClassList(ClassLoader classLoader) {
    //private final DexPathList pathList;
    XposedBridge.log("start deal with classloader:" + classLoader);
    Object pathListObj = XposedHelpers.getObjectField(classLoader, "pathList");
    //private final Element[] dexElements;
    Object[] dexElementsObj = (Object[]) XposedHelpers.getObjectField(pathListObj, "dexElements");
    for (Object i : dexElementsObj) {
        //private final DexFile dexFile;
        Object dexFileObj = XposedHelpers.getObjectField(i, "dexFile");
        //private Object mCookie;
        Object mCookieObj = XposedHelpers.getObjectField(dexFileObj, "mCookie");
        //private static native String[] getClassNameList(Object cookie);
        Class DexFileClass = XposedHelpers.findClass("dalvik.system.DexFile", classLoader);

        String[] classList = (String[]) XposedHelpers.callStaticMethod(DexFileClass, "getClassNameList", mCookieObj);
        for (String classname : classList) {
            XposedBridge.log(dexFileObj + "---" + classname);
        }
    }
    XposedBridge.log("end deal with classloader:" + classLoader);

}

这个代码就不细说了,与Android的类加载机制有关,做过Android开发的应该会比较清楚。

具体的分析过程,可以自己去寻找源码。按照自己测试机的版本去看,因为不同的版本有些逻辑或者字段可能会不一样。

贴一个source查看网站:

http://aospxref.com/

打印一下,发现里面的类确实没有 Activity 相关的类,都是壳的类:

I  start deal with classloader:dalvik.system.PathClassLoader[DexPathList[[zip file "/data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/base.apk"],nativeLibraryDirectories=[/data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/lib/arm, /data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/base.apk!/lib/armeabi-v7a, /system/lib, /vendor/lib]]]
I  /data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/base.apk---com.example.helloworld.BuildConfig
I  /data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/base.apk---com.example.helloworld.R$attr
I  /data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/base.apk---com.example.helloworld.R$dimen
I  /data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/base.apk---com.example.helloworld.R$drawable
I  /data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/base.apk---com.example.helloworld.R$id
I  /data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/base.apk---com.example.helloworld.R$menu
I  /data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/base.apk---com.example.helloworld.R$string
I  /data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/base.apk---com.example.helloworld.R$style
I  /data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/base.apk---com.example.helloworld.R
I  /data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/base.apk---com.f0208.lebo.MyWrapperProxyApplication
I  /data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/base.apk---com.tencent.StubShell.TxAppEntry
I  /data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/base.apk---com.tencent.bugly.yaq.Bugly
I  /data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/base.apk---com.tencent.bugly.yaq.BuglyStrategy$a
I  /data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/base.apk---com.tencent.bugly.yaq.BuglyStrategy
I  /data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/base.apk---com.tencent.bugly.yaq.CrashModule
I  /data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/base.apk---com.tencent.bugly.yaq.a
I  /data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/base.apk---com.tencent.bugly.yaq.b
I  /data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/base.apk---com.tencent.bugly.yaq.crashreport.BuglyHintException

这就说明app壳只负责加载壳代码,那么app代码什么时候加载呢?自然是当app要运行的时候,几乎所有壳都是处理的 application,所以当 application 的 onCreate 方法执行完之后,下一步要展示app界面的时候,壳肯定要将app的代码释放出来。

那么,是如何释放的呢?这就又与Android的机制相关了,做过插件化开发的都知道有一个类叫做 LoadedApk,它描述的是一个已经加载过的 apk 文件,它里面有一个类加载器,就是用来加载 apk 里面的代码的。当壳释放完app代码后,类加载器也需要修正回来,不然就加载不到app代码了。

所以,当 Application 的 onCreate 方法执行完之后,我们就可以去 ActivityThread 里面的字段里面去拿 LoadedApk 对象,再去获取其类加载即可。

public static ClassLoader getLoadedApkClassloader(XC_MethodHook.MethodHookParam param) {
    ClassLoader currentClassLoader = param.thisObject.getClass().getClassLoader();

    Object currentActivityThread = XposedHelpers.callStaticMethod(
            XposedHelpers.findClass("android.app.ActivityThread", currentClassLoader),
            "currentActivityThread",
            new Class[]{},
            new Object[]{});

    Object mBoundApplication = XposedHelpers.getObjectField(
            currentActivityThread,
            "mBoundApplication");

    Application mInitialApplication = (Application) XposedHelpers.getObjectField(
            currentActivityThread,
            "mInitialApplication");

    Object loadedApkInfo = XposedHelpers.getObjectField(
            mBoundApplication, "info");

    Application mApplication = (Application) XposedHelpers.getObjectField(loadedApkInfo, "mApplication");

    return mApplication.getClassLoader();
}

我们可以看一下这个 classLoader 里面加载的类,与加载类路径:

dalvik.system.PathClassLoader[DexPathList[[dex file "/data/user/0/com.f0208.lebo/files/prodexdir/00O000ll111l_0.dex", dex file "/data/user/0/com.f0208.lebo/files/prodexdir/00O000ll111l_1.dex", zip file "/data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/base.apk"],nativeLibraryDirectories=[/data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/lib/arm, /data/app/com.f0208.lebo-3LhDNfPVIAqO1p49M_Rvww==/base.apk!/lib/armeabi-v7a, /system/lib, /vendor/lib]]]

可以看到dex的路径是释放在了 files 文件夹里面。

重新启动app运行,就可以正常弹出 toast 了,这样我们就做到了 hook 加壳的 app。

总结

上面说的这个方法还是比较通用的。只要找准classLoader,对加壳app的hook也不难。

二手的程序员
关注
  • 31
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android 神器 xposed 框架使用指南
梧桐那时雨
11-16 8万+
1 简介xposed号称Android上最强大的神器,如果你还不知道xposed是啥,那么你真的out了,本篇博客,让博主带你来了解xposed。(1) xposed 是啥? xposed是一个框架,上面有很多模块,这些模块都依赖于xposed这个框架,之所以称xposed是第一神器,就是因为这些模块可以完成许多匪夷所思的功能,例如:修改微信的界面,自动抢红包模块,自定义程序的文本,防止微信消息撤
Xposed常用方法
爬楼梯的巨人的博客
11-11 258
Xposed 常用 API 方法
Android Xposed使用教程
最新发布
mds0517的博客
06-15 284
App内有些类直接hook会失败,因为它是通过动态加载得到的,他们存放在dex文件里通过BaseDexClassLoader加载。百度网盘下载链接:https://pan.baidu.com/s/1SoypVvyoLKTr3EOK8FT3BQ。下载完成之后在将jar文件放在libs目录下。
xposed 主动调用方法_操作方法:主动容量管理
culuo4781的博客
07-28 1615
xposed 主动调用方法 Capacity management is one of the most important tasks you have to perform as a DBA. Usually we rely on threshold alarms for the disks volumes and the databases, however I find it ver...
Xposed中Hook某个方法并且主动调用的学习总结
qq_18401643的博客
08-29 8470
start:2020年8月29日 一、前言 应用场景:我最近正在分析一个App的网络协议,通过分析我已经找到了加密方法的位置,我现在需要用这个加密方法为我主动加密一些数据,然后再将这些数据返回给服务器,这样我就可以提交自定义的内容给服务器了。 二、调用流程 ClassLoader -> 类加载器 Class - > 类 Instance -> 实例化对象 Method -> 方法 第一步:拿到要Hook的方法所在类的Class..
xposed调用APP里面的POST方法函数
追逐光芒,追随内心
02-28 1274
package com.tools.payhelper.pf; import android.content.BroadcastReceiver; import android.content.Context; import android.content.Intent; import android.os.Handler; import android.os.Message; import co...
Xposed实现过程
feboak的博客
01-20 1691
本文主要介绍了Android Hook框架Xposed的实现过程和代码细节。
xposed-v89-sdk25-x86.zip
07-25
在本文中,我们将围绕“xposed-v89-sdk25-x86.zip”这个压缩包,深入探讨其背后的原理、使用方法以及对Android系统的影响。 首先,我们来看“xposed-v89-sdk25-x86.zip”的命名规则。"xposed-v89"表示这是Xposed...
xposed-x86 xposed-x86-64
03-08
由于这两种架构的不同,Xposed框架也需要为每个架构提供相应的版本,即“xposed-x86”和“xposed-x86_64”。这确保了框架在不同硬件平台上能够正常运行。 安装Xposed框架的步骤通常包括以下几步: 1. 获取对应架构...
xposed-v89-sdk25合集.zip
12-30
xposed-v89-sdk25-arm86与xposed-v89-sdk25-arm64两个版本对应的系统是安卓5.0以上的
xposed-v88-sdk25-x86.zip
12-16
标题 "xposed-v88-sdk25-x86.zip" 提供了关于这个压缩包的重要信息,它是一个针对特定环境的 Xposed 框架版本。Xposed 是一个在 Android 系统上运行的框架,允许用户通过安装模块来修改系统行为,无需root权限。这里...
Xposed框架的基本使用案例
10-15
Xposed框架的基本使用案例
framework-xposed-v89-sdk25-x86
11-29
"framework-xposed-v89-sdk25-x86"这个标题表明我们正在处理的是Xposed框架的一个版本,针对的是Android SDK Level 25(即Android 7.1.1 Nougat)的x86架构设备。这个版本号"v89"表示它是Xposed框架的某个迭代更新。...
xposed的实现
xiaolli的专栏
07-22 915
一、xposed 的使用: hook一个方法, 需要首先实现一个XC_MethodHook 用于,定义调用 方法之前与之后执行的操作。 找到要hook的类,然后调用hookAllMethods 去hook 对应方法,代码为: XC_MethodHook callback = new XC_MethodHook() { //调用方法之前调用 @Override protected void beforeHookedMethod(MethodHo
Xposed的一些常用总结
weixin_44236034的博客
11-04 739
通过遍历所有函数,可以去定位参数中是否有我们需要的变量;修饰符 – getModifiers()hook 堆栈 防止堆栈监测。
Xposed 模块下优雅的调用宿主——对象篇
qq_28987919的博客
12-29 461
通过之前中我们已经知道,Xposed 模块是无法直接在项目里添加Stub包,然后直接使用宿主的类对象。所以这篇文章的想法就是怎么在这环境下能直接使用Stub包下的类对象。
MarkDown 语法学习,女生学移动应用开发
wq221aas的博客
02-03 723
六级标题 ###### 横线 – *** --- ___ * 字型 – 斜体:* * 粗体:** ** 斜粗体*** *** HTML斜体: HTML粗体:<strong></strong> HTML粗斜体:<strong></strong> 引用 – > >> >>> ... 时间过得好快。 Time flies–zms
Xposed 3.1.5 首战 之 来场劫持用户输入玩玩吧
静心 Study
05-23 1737
LZ-Says:静心,静心,就是静不下来才叫静心~!好想整个鸡排大大照片挂在床头,桌头~嘿嘿嘿~ 前言 这几天,各种逆向,各种反编译,有点懵,今天整理下Xposed首战使用心得~ 同时也希望可以和各位老铁一块学习,望不慎赐教~!!! 一、Xposed 简介(此处纯粹拷贝官方) 理解程度还不够,阅读几次也只是有个印象而已,这次再次拷贝一份,以供阅读此文的小伙伴简单阅读一...
知识笔记 - sekiro RPC框架的安装与简单使用
m0_51159233的博客
09-09 5996
上篇介绍了下平头哥的安装使用,这篇再来介绍下渣总的只狼(sekiro)框架然后再简单讲下如何通过平头哥注入sekiro,实现RPC调用sekiro是由邓维佳(渣总)写的一个基于长链接和代码注入的 API 服务暴露框架sekiro即可以用于app逆向,又可以用在js逆向找好注入位置时机的话,可以秒杀许多网站的加密算法(大厂也不例外)本文主要介绍了以下内容:一、sekiro是什么1.简介2.逻辑结构3.运行流程4.下载和部署二、如何开发sekiro客户端1.打开平头哥项目。
xposedinstaller-magisk.apk
12-14
xposedinstaller-magisk.apk 是一种用于安卓系统的应用程序。XposedInstaller 是一个开源框架,允许用户对安卓系统进行深度定制和修改。而Magisk则是一个用于Root安卓设备的工具。 XposedInstaller 提供了一种非常灵活的方式,使用户能够安装模块来修改和增强安卓系统的功能。用户可以通过XposedInstaller来激活各种模块,并通过模块的定制设置来实现自定义的功能修改。这些功能包括更改系统界面、优化系统性能、增加新的特性等。XposedInstaller 不需要修改系统文件,因此,用户可以在不更改系统的情况下,实现对安卓系统的定制。 Magisk 则是一个用于Root安卓设备的工具。Root是指获取对安卓系统的完全控制权限,使用户可以执行更多高级操作的过程。Magisk 提供了一种相对较安全的方式来Root设备,并且保留了对一些应用程序正常工作的兼容性。通过Magisk,用户可以安装和管理Root权限,以及通过安装模块来定制和优化设备的功能。此外,Magisk 还提供了隐藏Root权限的功能,可以在需要时临时隐藏Root状态,以满足某些应用程序的要求。 XposedInstaller 和 Magisk 可以结合使用,以实现更高级的安卓系统定制。用户可以使用Magisk来Root设备,并通过XposedInstaller来安装和激活各种模块来修改系统功能。这种组合提供了用户对安卓系统广泛的自定义能力,并且相对安全,使用户可以更好地控制和个性化自己的设备。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值