Cydia Substrate Android SO Hook

Cydia Substrate出了android版本的hook框架，不仅能hook java层函数，还能hook so中的函数，其核心原理是函数的inline hook，与xposed有着十分大的差别（xposed主要通过hookMethodNative将java层函数替换成native层函数而完成hook）。

合理使用Cydia Substrate可以有效绕过反调试，签名校验还可以制作脱壳机等，大大加快分析APK的效率。这篇文章主要介绍使用Cydia Substrate Android框架进行so层的hook。

1.安装apk并下载SDK

在官网（http://www.cydiasubstrate.com/）中下载substrate的android版apk并安装（需要root权限）。

在官网中下载SDK（http://www.cydiasubstrate.com/id/73e45fe5-4525-4de7-ac14-6016652cc1b8/）：。so层hook只需要用到SDK中的libsubstrate.so，libsubstrate-dvm.so，substrate.h。

2.新建Android工程

so层hook并不需要界面（作为Cydia Substrate的扩展模块），所以在新建工程时无需建activity。接下来在工程目录下新建jni文件夹，并将libsubstrate.so，libsubstrate-dvm.so，substrate.h三个文件拷贝至jni文件夹下。

在AndroidManifest.xml中添加权限：

1	< uses - permission android : name = "cydia.permission.SUBSTRATE" / >

3.编写hook模块

本次演示实例hook了libc.so中的fopen函数，完整代码如下：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71

#include <stdio.h> #include <android/log.h> #include <unistd.h> #include "substrate.h"   #define TAG "CydiaHook" #define LOGI(...) __android_log_print(ANDROID_LOG_INFO,TAG ,__VA_ARGS__) // 定义LOGI类型     #define GETLR(store_lr)  \    __asm__ __volatile__ (    \      "mov %0, lr\n\t"    \      :    "=r" ( store_lr )    \    )     //指明要hook的lib MSConfig ( MSFilterLibrary , "/system/lib/libc.so" )   int ( * oldfopen ) ( const char * path , const char * mode ) ;   int newfopen ( const char * path , const char * mode ) {   LOGI ( "call my fopen!!:%d" , getpid ( ) ) ; unsigned lr ; GETLR ( lr ) ;   if ( strstr ( path , "status" ) != NULL ) { LOGI ( "[*] Traced-fopen Call function: 0x%x\n" , lr ) ; if ( strstr ( path , "task" ) != NULL ) { LOGI ( "[*] Traced-anti-task/status" ) ; } else LOGI ( "[*] Traced-anti-status" ) ; } else if ( strstr ( path , "wchan" ) != NULL ) { LOGI ( "[*] Traced-fopen Call function: 0x%x\n" , lr ) ; LOGI ( "[*] Traced-anti-wchan" ) ; } return oldfopen ( path , mode ) ; }       /* * Substrate entry point */ //初始化时进行hook MSInitialize { // Let the user know that the extension has been // extension has been registered LOGI ( "Substrate initialized." ) ; MSImageRef image ;   image = MSGetImageByName ( "/system/lib/libc.so" ) ;   if ( image != NULL ) { void * hookfopen = MSFindSymbol ( image , "fopen" ) ; if ( hookfopen == NULL ) { LOGI ( "error find fopen " ) ; } else { MSHookFunction ( hookfopen , ( void * ) & newfopen , ( void * * ) & oldfopen ) ; } } else { LOGI ( "ERROR FIND LIBC" ) ; }   }

注意：在初始配置MSConfig中第一个参数是MSFilterLibrary，表示要hook lib，如果要hook可执行文件的话，这个参数为MSFilterExecutable。

本实例实现的效果为：在调用fopen时打印调用这pid，如果发现打开特殊文件（/proc/pid/status等）则打印出调用这地址，arm汇编中lr寄存器保存了函数返回地址，所以在进入函数时打印该值就表示调用者的虚拟地址。

4.编写makefile

在jni文件夹下新建Android.mk文件，内容如下：

1 2 3 4 5 6 7 8 9 10 11 12

LOCAL_PATH : = $ ( call my - dir )   include $ ( CLEAR_VARS ) LOCAL_MODULE : = substrate - dvm LOCAL_SRC_FILES : = libsubstrate - dvm . so include $ ( PREBUILT_SHARED_LIBRARY )   include $ ( CLEAR_VARS ) LOCAL_MODULE      : = hooktest . cy #生成的模块名 LOCAL_SRC_FILES : = hooktest . cy . cpp #源文件名 LOCAL_LDLIBS : = - L $ ( LOCAL_PATH ) - lsubstrate - lsubstrate - dvm    - llog #加入substrate模块 include $ ( BUILD_SHARED_LIBRARY )

接下来通过ndk-build编译生成hooktest.cy模块，再运行安装apk，在substrate中点击Link Substrate Files，最后软重启即可看到hook的效果：

5.后记

本次演示实例只是简单hook了fopen函数，反调试时经常会读取关键文件，hook了fopen就可以很方便的知道它的调用点，当然还可以进行重定向等直接绕过；几个月前ThomasKing牛在看雪上发表的《基于HOOK的Anti-debug调用点trace和Anti-anti》，就是通过cydia substrate完成的，当然还有很早之前空道牛发表的《过百分之八十的签名校验模块》也是基于substrate，所以说如果能用好substrate，可以大大简化apk破解的难度，当然这对于移动安全而言也是一个很大的挑战。

http://burningcodes.net/cydia-substrate-android-so-hook/