面试:Hook框架Xposed、Dexposed、Epic原理

已于 2022-12-02 15:23:12 修改
阅读量4.2k 收藏 12
点赞数 1
分类专栏: Android面试复习整理 文章标签: 面试 职场和发展
于 2021-12-23 11:47:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cpcpcp123/article/details/122103556
版权

Xposed、Dexposed、Epic对比总结:

1、Xposed框架是需要root的,他的功能很全,能够hook掉系统方法,同时也可以hook掉其他应用的一些方法。

2、Dexposed框架是不需要root的,但是他只能hook掉在自己的应用进程中的一些方法,其他应用进程是没办法hook的。

3、Epic是基于Dexposed进行的修改,支持art虚拟机上面的Hook。

一、Xposed原理:

Xposed原理简介及其精简化 - 简书

万物皆可 Hook,探究 Xposed 框架 Hook 原理 - 知乎

Android 系统是基于 Linux 的,其第一个由内核启动的用户进程是 init 进程。init 进程随后会创建 zygote 进程,Android 应用程序进程都是由 zygote 进程孵化而来。zygote 所对应的可执行程序是 app_process,xposed 框架通过替换系统的 app_process 可执行文件以及虚拟机动态链接库,让 zygote 在启动应用程序进程时注入框架代码,进而实现对应用程序进程的劫持。

设备root之后,system/bin/下面的文件替换了app_process等文件,app_process就是zygote进程文件。所以Xposed通过替换zygote进程实现了控制手机上所有app进程。因为所有app进程都是由Zygote fork出来的。使得app_process在启动过程中会加载XposedBridge.jar这个jar包,从而完成对Zygote进程及其创建的Dalvik虚拟机的劫持。

Xposed的基本原理是修改了ART/Davilk虚拟机,将需要hook的函数注册为Native层函数。当执行到这一函数时虚拟机会优先执行Native层函数,然后再去执行Java层函数,这样完成函数的hook。

EnableXposedHook 方法的实现,代码位于 android_art/runtime/art_method.c,这里涉及较深入的 ART 虚拟机知识,大致可以这么理解这一段代码的意思,首先拿到 Hook 对象方法的执行地址,在此地址上替换成增加了 before 以及 after 实现的方法,让 Hook 对象方法运行时,可以按顺序执行 before、原方法以及 after。

通过读Xposed源码发现其启动过程:

1、手机启动时init进程会启动zygote这个进程。由于zygote进程文件app_process已被替换,所以启动的时Xposed版的zygote进程。

2、Xposed_zygote进程启动后会初始化一些so文件(system/lib system/lib64),然后进入XposedBridge.jar中的XposedBridge.main中初始化jar包完成对一些关键Android系统函数的hook。

3、Hook则是利用修改过的虚拟机将函数注册为native函数。

4、然后再返回zygote中完成原本zygote需要做的工作。

这只是在宏观层面稍微介绍了下Xposed,要想详细了解需要读它的源码了。下面两篇写的挺好,要想深入理解的可以看看。
Android Hook框架Xposed原理与源代码分析
深入理解Android之Xposed详解

那么这里就引出了一个问题,为什么要替换app_process程序呢?

Android 系统是基于 Linux 的,其第一个由内核启动的用户进程是 init 进程。init 进程随后会创建 zygote 进程,Android 应用程序进程都是由 zygote 进程孵化而来。zygote 所对应的可执行程序是 app_process,xposed 框架通过替换系统的 app_process 可执行文件以及虚拟机动态链接库,让 zygote 在启动应用程序进程时注入框架代码,进而实现对应用程序进程的劫持。

每当它孵化一个新的应用程序进程时,都会将这个Dalvik虚拟机实例复制到新的应用程序进程里面去,从而使得每一个应用程序进程都有一个独立的Dalvik虚拟机实例。这也是Xposed选择替换app_process的原因。

Zygote进程在启动的过程中,除了会创建一个Dalvik虚拟机实例之外,还会将Java运行时库加载到进程中来,以及注册一些Android核心类的JNI方法来前面创建的Dalvik虚拟机实例中去。注意,一个应用程序进程被Zygote进程孵化出来的时候,不仅会获得Zygote进程中的Dalvik虚拟机实例拷贝,还会与Zygote一起共享Java运行时库。这也就是可以将XposedBridge这个jar包加载到每一个Android应用程序中的原因。

XposedBridge有一个私有的Native(JNI)方法hookMethodNative,这个方法也在app_process中使用。这个函数提供一个方法对象利用Java的Reflection机制来对内置方法覆写。

综上就是Xposed框架选择app_proess作为入口的一个原因,因为这个入口有两个好处:

1、一旦修改了,就可以修改了所有的app

2、这里的时机是最早的,可以加载所有的东西

二、Dexposed原理

前置知识点:修改非native方法为native方法

如何将Android中一个非native方法改成native的,并且可以将这个native方法指定成特定执行的函数。要对一个java函数进行hook需要步骤有
[1] 把修改method的属性修改成native
[2] 修改method的registersSize、insSize、nativeFunc、computeJniArgInfo
[3] RegisterNatives注册目标method的native函数

原理简述:

在Dalvik虚拟机下,主要是通过改变一个方法对象方法在Dalvik虚拟机中的定义来实现,具体做法就是将该方法的类型改变为Native并且将这个方法的实现链接到一个通用的Native Dispatch方法上。这个 Dispatch方法通过JNI回调到Java端的一个统一处理方法,最后在统一处理方法中调用before, after函数来实现AOP。在Art虚拟机上目前也是通过改变一个 ArtMethod的入口函数来实现。Alibaba-Dexposed Bug框架原理及源码解析_开发者-CSDN博客_dexposed原理

这里给出大致流程:

1. 调用DexposedBridge.findAndHookMethod,进入到DexposedBridge类(Java层逻辑)
2. 通过XposedHelpers.findMethodExact找到要hook的java方法,然后再用hookMethod进行真正的hook。
3. hookMethod方法先把hook成功后的callback、要hook的方法的参数和返回值类型保存到AdditionalHookInfo中,把它作为参数传给hookMethodNative。hookMethodNative是一个native方法,它的第3个参数slot表示该Method在class的方法表中所处的位置,在native的实现中会用到这个slot。
4. hookMethod 方法中调用hookMethodNative,执行Native层方法。
6. com_taobao_android_dexposed_DexposedBridge_hookMethodNative (JNI入口),把Java层传递的信息构造成DexposedInfo信息,然后设置hook方法accessFlags设置为ACC_NATIVE ,即native方法,并且指定nativeFunc函数 ( 为什么会这么做: method的结构体表示了一个Java层函数, 而其中的accessFlags属性如果是ACC_NATIVE , 则dvm在调用原Java函数的时候, 会转向调用属性nativeFunc 所指向的函数)。
7. native层用dvm的各种函数来操作Method的指针和对象来控制函数,最后通过反射调用handleHookedMethod回到Java层的方法handleHookedMethod,回到Java世界。
阿里 Dexposed 热修复原理_小嵩的博客-CSDN博客_dexposed原理

主要分为Java层和Native层的,通过下图一目了然:

一、Java层

1)需要hook的方法对象

2)需要hook的方法所属的类

3)额外附加信息,比如我们需要hook方法的回调的对象

4)handleHookedMethod方法,这个方法是整个Dexposed框架Java层最核心的一个方法,这个方法就是用来替换我们需要hook的那个方法,具体如何替换的等下面说到native层再说。然后这个方法中做了三件事:

1、执行需要hook之前的所有回调方法beforeMethod

2、执行被hook的原生方法

3、执行需要hook之后的所有回调方法afterMethod

二、native层的实现 dexposed.cpp

在com_taobao_android_dexposed_DexposedBridge_hookMethodNative函数中主要做了两件事:

        1)把Java层传递的信息构造成DexposedInfo信息

        2)设置hook方法为native,并且指定nativeFunc函数

最后在执行第二步中的nativeFunc函数dexposedCallHandler函数中主要做了两件事:

        1)获取刚刚构造的DexposedInfo信息

        2)调用Java层DexposedBridge.java中的handleHookedMethod方法

所以我们在整个过程中可以看到,先通过JNI注册,从Java世界转到Native世界,然后在native世界中主要修改被hook方法的一些信息,然后在通过反射调用handleHookedMethod回到Java世界。
Android中免Root实现Hook的Dexposed框架实现原理解析以及如何实现应用的热修复_尼古拉斯.赵四的博客-CSDN博客_dexposed

三、Epic原理

直接看作者的讲解:

我为Dexposed续一秒——论ART上运行时 Method AOP实现 | Weishu's Notes

ART虚拟机方法调用原理:

在ART中,每一个Java方法在虚拟机内部都由一个ArtMethod对象表示(native层,实际上是一个C++对象),这个native 的 ArtMethod对象包含了此Java方法的所有信息,比如名字,参数类型,方法本身代码的入口地址(entrypoint)等,一个Java方法的执行非常简单:

1、想办法拿到这个Java方法所代表的ArtMethod对象

2、取出其entrypoint,然后跳转到此处开始执行

ART有什么特别的?

为什么Dexposed能够在Dalvik上为所欲为,到ART时代就不行了呢?排除其他非技术因素来讲,ART确实比Dalvik复杂太多;更要命的是,从Android L到Android O,每一个Android版本中的ART变化都是天翻地覆的,大致列举一下:

  • Android L(5.0/5.1) 上的ART是在Dalvik上的JIT编译器魔改过来的,这个编译器会做一定程度的方法内联,因此很多基于入口替换的Hook方式一上来就跪了。
  • Android M(6.0) 上的ART编译器完全重新实现了:寄存器分配方式改变。且不说之前在Android L上的Hook实现要在M上重新做一遍,这个编译器的寄存器分配比quick好太多,结果就是hook实现的时候你要是乱在栈或者寄存器上放东西,代码很容易就跑飞。
  • Android N(7.0/7.1) N 开始采用了混合编译的方式,既有AOT也有JIT,还伴随着解释执行;混合模式对Hook影响是巨大的,以至于Xposed直到今年才正式支持Android N首先JIT的出现导致方法入口不固定,跑着跑着入口就变了,更麻烦的是还会有OSR(栈上替换),不仅入口变了,正在运行时方法的汇编代码都可能发生变化;其次,JIT的引入带来了更深度的运行时方法内联,这些都使得虚拟机层面的Hook更为复杂。
  • Android O(8.0) Android O的Runtime做了很多优化,传统Java VM有的一些优化手段都已经实现,比如类层次分析,循环优化,向量化等;除此之外,DexCache被删除,跨dex方法内联以及Concurrent compacting GC的引入,使得Hook技术变的扑朔迷离。

编译器的优化:

编译优化 - 循环优化 - 知乎

1、循环体优化 2、inlining 内联优化 3、充分利用寄存器 4、去除冗余操作

5、使用性价比高的指令 6、循环展开 7、循环流水线 8、向量化

Xposed原理: 

Xposed原理简介及其精简化 - 简书

Xposed 实现原理分析_l0neman 的博客-CSDN博客_xposed原理

Dexposed原理

Android中免Root实现Hook的Dexposed框架实现原理解析以及如何实现应用的热修复_尼古拉斯.赵四的博客-CSDN博客_dexposed

Epic原理

我为Dexposed续一秒——论ART上运行时 Method AOP实现 | Weishu's Notes

沙漠一只雕得儿得儿
关注
专栏目录
万物皆可 Hook,探究 Xposed 框架 Hook 原理
杏仁技术站
07-15 2909
作者 |俞家欢低头需要勇气,抬头需要实力引言平时用着 Android 手机,喜欢折腾的同学或多或少都接触过 Xposed 框架,解锁、Root、刷包,一气呵成。本文将从原理和实践两部分带大...
Xposed hook原理
qinggancha的博客
11-20 1373
先来个总结 java源码经过编译后,得到很多个class文件, 考虑到手机的内存较小,google改进了字节码的组织形式,将一个app中的所有class文件合到了一起构成dex文件,当然并不是简单的拼接在一起,而是遵从dex的格式重新组织。 dex文件最终会和资源文件等一起打包成为apk,签名后安装到手机上。 PackageManager在安装apk的时候,做了一件事:优化dex文件为ode...
Webpack: 插件架构之Hook体系
最新发布
Wang的专栏
07-03 1256
Webpack 之所以能够应对 Web 场景下极度复杂、多样的构建需求,关键就在于其健壮、扩展性极强的插件架构,而插件架构的精髓又在于其灵活多变的 Hook 体系,可以说,只有真正掌握 Hook 底层设计与实现逻辑,深入理解不同 Hook 的运行特性与用法,才能灵活处理各种问题,更快更好地编写出 Webpack 插件。
Android Hook原理分析--Xposed hook 原理分析
HURUWO的技术博客
10-22 676
hook寓意为钩子,在编程中寓意拦截替换。 整体逻辑就是将执行的方法拦截执行替换之后再执行回去,各大框架原理不同但是过程类似。 Xposed Xposed框架核心思想在于将Java层普通函数注册成本地JNI方法,以此来变相实现hook机制 Xposed在对java方法进行hook时,先将虚拟机里面这个方法的Method改为nativeMethod(其实就是一个标识字段),然后将该方法的nativeFunc指向自己实现的一个native方法,这样方法在调用时,就会调用到这个native方法,接管了控制权。在这
初识HOOK框架frida
weixin_45910629的博客
03-20 986
hook框架是一种技术,用于在运行时拦截和修改应用程序的行为,通过hook,可以劫持应用程序的方法调用、修改参数、篡改返回值等,以达到对应用程序的修改、增强或调试的目的。
XposedDisableHooksReflectionKiller:试图防止xposed被禁止hook
05-12
XposedDisableHooksReflectionKiller “让Xposed钩再次出现。”
Android中免Root实现HookDexposed框架实现原理解析以及如何实现应用的热修复
尼古拉斯.赵四的博客
11-01 1458
一、前言 今天我们来看一下阿里的一个开源框架Dexposed,关于这个框架网上已经有很多解析了,但是都是讲解原理,而且讲的不是很清楚,这里因为工作中的需要就研究了一下,所以这里就先讲解一下这个框架原理,然后在通过一个例子来看看他如何使用,最后在用它来实现应用的热修复问题。 二、知识点准备 首先在讲解这个框架的时候,我们先来了解几个知识点: 1、关于之前的Xposed框架 我们在很早就知道了这个框架,本来想整理一下顺便说一下这个框架的,但是这个框架网上说的很多,而且也很详细,所以就不做太多的.
Android应用防xposed注入,android hook 框架 xposed 如何实现注入
weixin_39956036的博客
05-26 950
转:http://www.cnblogs.com/jiayy/p/4305018.html前面分析的adbi框架和libinject都是使用so注入的方式,实现将指定代码装入目标进程,这种方式有几个特点:1. 是动态的,需要目标进程已经启动2. 无法影响全局,比如注入A进程挂钩里边libc.so的open函数,此时,B进程使用的libc.so的open函数还是老函数,linux系统通过COW机制,...
Android开发中常见的Hook技术有哪些?
Androiddddd的博客
12-26 1134
Hook技术是一种在软件开发中常见的技术,它允许开发者在特定的事件发生时插入自定义的代码逻辑。常见的应用场景包括在函数调用前后执行特定的操作,或者在特定的事件发生时触发自定义的处理逻辑。在Android开发中,Hook通常是通过修改或替换Android应用程序的运行时行为,来实现对应用程序的定制、增强或监控。常见的Android Hook技术包括使用Xposed框架、使用Substrate框架、使用JNI/NDK技术等。
Android中常见的HOOK框架收集
热门推荐
雪一梦的博客
04-27 1万+
Android中常见的各类Java HOOK框架,先收集起来,因为好多的基础原理差不多,后面有时间会归类以及对于原理进行重点分析。 1.Xposed:Java层的HOOK框架,由于要修改Zgote进程,需要Root; 2.CydiaSubstrator:本地层的HOOK框架,本质上是一个inline Hook 3.dexposed框架:随着阿里的热修复的框架原理上跟Xpo...
Dalvik虚拟机原理Xposed hook原理
zhangmiaoping23的专栏
09-14 1418
转:http://www.jianshu.com/p/b29a21a162ad 这块知识本身是挺多的,网上有对应的源码分析,本文尽量从不分析代码的角度来把原理阐述清楚。 Xposed是一个在andoid平台上比较成熟的hook框架,可以完美的在dalvik虚拟机上做到hook任意java方法。在art虚拟机上仍然处在beta阶段,相信以后也会稳定支持。 Xposed在da
hook框架 Frida
jiang_changsheng的博客
01-25 1281
hook 是什么Hook 框架是一种技术,用于在运行时拦截和修改应用程序的行为。通过 Hook,你可以劫持应用程序的方法调用、修改参数、篡改返回值等,以达到对应用程序的修改、增强或调试的目的# 常见的hook框架有那些Xposed Framework:Xposed 是一个功能强大的开源 Hook 框架,可以在不修改应用程序源代码的情况下,对应用程序进行各种修改。它允许你编写模块来拦截和修改应用程序的方法调用,修改应用程序的行为和逻辑。
Android中的hook框架:epic简介
冰雪世界
12-15 8218
epic是Android中的一个开源的hook框架,目前最新版本是:0.11.2,项目地址:https://github.com/tiann/epic。 epic框架的优点有: 1.可以hook普通方法、构造方法、系统方法。 2.手机系统无需root。 集成方式如下: 1.在项目主module的build.gradle中添加依赖: implementation 'com.github.tiann:epic:0.11.2' 2.如果需要在app启动时就开始hook,请在Application的onCrea
java hook 框架_开源Hook框架-epic-实现浅析
weixin_42395669的博客
02-16 746
epic是weishu大神开源的一个Hook框架,支持ART上的Java方法HOOK。本文走马观花一下。epic相当于ART上的Dexposed,所以也是Xposed-Style Method Hook。从DexposedBridge.findAndHookMethod开始跟踪代码:取出最后一个参数callback,然后调用XposedHelpers.findMethodExact得到想要Hook...
Android Hook框架总结
在路上-codingAndlearning
12-21 3587
Android hook 机制
java层hook 模拟定位_Epic是一个在虚拟机层面、以Java Method为粒度的 运行时 AOP Hook框架...
weixin_35719180的博客
02-23 319
What is it?Epic is the continution of Dexposed on ART(Supporting 4.0~9.0).Dexposed is a powerful yet non-invasive runtime AOP (Aspect-oriented Programming) framework for Android app development, bas...
安卓逆向_24( 一 ) --- Hook 框架 frida( Hook Java层 和 so层) )
墨鱼菜鸡
07-11 5174
From:Hook 神器家族的 Frida 工具使用详解:https://blog.csdn.net/FlyPigYe/article/details/90258758 详解 Hook 框架 frida ( 信抢红包 ):https://www.freebuf.com/company-information/180480.html APP逆向神器之F...
xposed_scope默认hook系统框架如何编写xml
06-06
要编写 Xposed 模块的 XML 文件来 hook 系统框架,可以按照以下步骤进行: 1. 在模块的 res/xml 目录下创建一个新的 XML 文件,例如 hook_system_framework.xml。 2. 在 XML 文件中添加一个 `xposedmodule` 元素,并设置 `package` 属性为 Xposed 模块的包名。 ```xml <xposedmodule xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="http://github.com/rovo89/XposedInstaller/blob/master/assets/xposedmod.xsd" package="com.example.myxposedmodule"> </xposedmodule> ``` 3. 在 `xposedmodule` 元素中添加一个 `hook` 元素,并设置 `class` 属性为要 hook 的类的全名(例如 android.app.Activity)。 ```xml <xposedmodule xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="http://github.com/rovo89/XposedInstaller/blob/master/assets/xposedmod.xsd" package="com.example.myxposedmodule"> <hook class="android.app.Activity"> </hook> </xposedmodule> ``` 4. 在 `hook` 元素中添加一个或多个 `method` 元素,每个 `method` 元素代表一个要 hook 的方法,可以设置 `name` 属性来指定方法名,还可以添加一个 `parameter-types` 元素来指定方法参数类型。 ```xml <xposedmodule xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="http://github.com/rovo89/XposedInstaller/blob/master/assets/xposedmod.xsd" package="com.example.myxposedmodule"> <hook class="android.app.Activity"> <method name="onCreate" parameter-types="android.os.Bundle"> </method> <method name="onResume"> </method> </hook> </xposedmodule> ``` 5. 在 `method` 元素中添加一个或多个 `hook` 元素,每个 `hook` 元素代表一个 hook 回调函数,可以设置 `inline` 属性为 true 或 false,来指定回调函数是否在原函数之前执行还是之后执行。 ```xml <xposedmodule xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="http://github.com/rovo89/XposedInstaller/blob/master/assets/xposedmod.xsd" package="com.example.myxposedmodule"> <hook class="android.app.Activity"> <method name="onCreate" parameter-types="android.os.Bundle"> <hook inline="true"> com.example.myxposedmodule.MyHookClass.onCreate </hook> </method> <method name="onResume"> <hook inline="false"> com.example.myxposedmodule.MyHookClass.onResume </hook> </method> </hook> </xposedmodule> ``` 以上就是编写 Xposed 模块的 XML 文件来 hook 系统框架的基本步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值