【转载请标注:http://blog.csdn.net/yzzst】
了解Hook
还没有接触过Hook技术读者一定会对Hook一词感觉到特别的陌生,Hook英文翻译过来就是“钩子”的意思,那我们在什么时候使用这个“钩子”呢?
我们知道,在Android操作系统中系统维护着自己的一套事件分发机制。应用程序,包括应用触发事件和后台逻辑处理,也是根据事件流程一步步的向下执行。而“钩子”的意思,就是在事件传送到终点前截获并监控事件的传输,像个钩子勾上事件一样。并且能够在勾上事件时,处理一些自己特定的事件。如下图所示:
Hook的这个本领,使它能够将自身的代码“融入”被勾住(Hook)的程序的进程中,成为目标进程的一个部分。我们也知道,在android系统中使用了沙箱机制,普通用户程序的进程空间都是独立的,程序的运行彼此间都不受干扰。
这就使我们希望通过一个程序改变其他程序的某些行为的想法不能直接实现,但是Hook的出现给我们开拓了解决此类问题的道路。当然,根据Hook对象与Hook后处理的事件方式不同,Hook还分为不同的种类,如消息Hook、API Hook等。
CydiaSubstrate框架
如果使用过苹果手机的用户应该对Cydiasubstrate框架来说一点都不会陌生,因为Cydiasubstrate框架为苹果用户提供了越狱相关的服务框架。
Cydiasubstrate原名MobileSubstrate(类库中都是以MS开头),作者为大名鼎鼎的Jay Freeman(saurik)。
当然 Cydiasubstrate 也推出了 Android版。Cydia Substrate是一个代码修改平台。它可以修改任何主进程的代码,不管是用Java还是C/C++(native代码)编写的。
官网地址:http://www.cydiasubstrate.com/。
安装Cydiastrate框架Android本地服务
首先就是在Android设备中安装Cydiasubstrate框架的本地服务应用substrate.apk,我们可以再其官网下载到。
官方下载地址为:http://www.cydiasubstrate.com/download/com.saurik.substrate.apk
当然,我们安装substrate后,需要“Link Substrate Files”(连接本地的Substrate服务文件),这一步是需要Root权限的,连接后还需要重启设备才能够生效。
下载使用Cydiasubstrate库
Cydiasubstrate官方建议在Android SDK Manager中添加它们插件地址的方式进行更新下载。
如:在用户自定义网址中添加http://asdk.cydiasubstrate.com/addon.xml。
通过使用Android SDK Manager工具下载完Cydiasubstrate框架后,其存储于目录${ANDROID_HOME}\sdk\extras\saurikit\cydia_substrate下。
但是,由于Android SDK Manager在国内使用起来存在很多的限制,下载的时候也不是非常稳定,所以还是建议大家直接去官网下载开发库。
官方下载地址为:http://asdk.cydiasubstrate.com/zips/cydia_substrate-r2.zip。
下载完成后,将得到的所有文件(很多的jar包与so库),都拷贝都Android项目下的libs文件夹中,就可以直接使用了。
其中的substrate.h头文件与lib文件夹下的so文件是提供在使用NDK进行原生Hook程序开发中的函数支持库。
TIPS:CydiaSubstrate框架对于inline Hook的操作目前还是存在一些bug,使用的时候可能会出现崩溃的现象,部分使用了国内定制的ROM的设备在使用CydiaSubstrate框架时会造成设备无法重新启动或无法Hook的现象。
CydiaSubstrate怎么用?
CydiaSubstrate怎么用?其实很简单,CydiaSubstrate提供了三个静态的方法工具类,我们只需要学会使用它就好 。
- 1
- 2
- 3
- 1
- 2
- 3
具体说明如下:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
开始实战(广告注入)
听到这个题目,我估计很多打包党也已经迫不及待了,稍安勿躁。靠广告是赚不了大钱的,笔者也是一个打包党。程序员还是以成长发展为主,一时的快钱带会让你在编程的路上越走越远。
回到正题,使用Cydiasubstrate框架我们能够任意的Hook系统中的Java API,当然其中也用到了很多的反射机制,那么除了系统中给开发者提供的API以外,我们能否也Hook应用程序中的一些方法呢?答案是肯定的。下面我们就以一个实际的例子讲解一下如何Hook一个应用程序。
下面我们针对Android操作系统的浏览器应用,Hook其首页Activity的onCreate方法(其他方法不一定存在,但是onCreate方法一定会有),并在其中注入我们的广告。根据上面对Cydiasubstrate的介绍,我们有了一个简单的思路。
首先,我们根据某广告平台的规定,在我们的AndroidManifest.xml文件中填入一些广告相关的ID。并且在AndroidManifest.xml文件中填写一些使用Cydiasubstrate相关的配置与权限。当然,我们还会声明一个广告的Activity,并设置此Activity为背景透明的Activity,为什么设置透明背景的Activity,如下图:
好了,下面我们就来实操一下。
其AndroidManifest.xml文件的部分内容如下所示:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
对于Cydiasubstrate的主入口Main类,依照之前的步骤新建一个包含有initialize方法的Main类。
这个时候我们希望使用MS.hookClassLoad方式找到浏览器主页的Activity名称。
这里我们使用adb shell下使用dumpsys activity命令找到浏览器主页的Activity名称为com.android.browser.BrowserActivity。
使用MS.hookClassLoad方法获取了BrowserActivity之后再hook其onCreate方法,在其中启动一个含有广告的Activity。Main类的代码如下所示:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
对于启动的广告MainActivity,在其中就是弹出一个插屏广告。当然可也可是其他形式的广告或者浮层,内容比较简单这里不做演示了。对整个项目进行编译,运行。这个时候我们重新启动Android自带的浏览器的时候发现,浏览器会弹出一个广告弹框。
从上面的图片我们可以看出来了,之前我们设置插屏广告MainActivity为无标题透明(Theme.Translucent.NoTitleBar)就是为了使得弹出来的广告与浏览器融为一体,让用户感觉是浏览器弹出的广告。也是恶意广告程序为了防止自身被卸载掉的一些通用隐藏手段。
这里演示的注入广告是通过Hook指定的Activity中的onCreate方法来启动一个广告Activity。当然,这里我们演示的Activity只是简单的弹出来了一个广告。如果启动的Activity带有恶意性,如将Activity做得与原Activity一模一样的钓鱼Activity,那么对于移动设备用户来说是极具欺骗性的。