SandHook 第二弹 - Xposed API 兼容 & 指令检查 & 进程注入

最新推荐文章于 2024-10-10 07:06:30 发布
置顶 最新推荐文章于 2024-10-10 07:06:30 发布
阅读量6k 收藏 4
点赞数 1
分类专栏: Android jvm Android技术 文章标签: art hook inject xposed
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ganyao939543405/article/details/87092431
版权
Android技术 同时被 3 个专栏收录
57 篇文章 19 订阅
订阅专栏
Android
48 篇文章 13 订阅
订阅专栏
jvm
12 篇文章 2 订阅
订阅专栏

Xposed API 兼容

由于 SandHook 需要手动写一个签名与目标方法相同的 Hook 方法,如果想把 API 包装成类 Xposed 的 Callback 式 API 是比较困难的,首先参数列表的解析就需要另外实现。

Epic 是用写好的一堆 Stub 函数进行分发,SandHook 参考了 EdXposed(YHAFA 的封装) 使用 Dexmaker 动态生成 Hook 函数。动态生成的函数包含参数列表保存以及转入 Xposed API 的逻辑。其实比较推荐 Byte Buddy,API 比较友好性能也不错。主要 EdXposed 使用 Dexmaker 已经实现过,所以就不做重复工作了。

  • 效果如下
//setup for xposed
XposedCompat.cacheDir = getCacheDir();
XposedCompat.context = this;
XposedCompat.classLoader = getClassLoader();
XposedCompat.isFirstApplication= true;  
//do hook
XposedHelpers.findAndHookMethod(Activity.class, "onResume", new XC_MethodHook() {
      @Override
      protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
          super.beforeHookedMethod(param);
          Log.e("XposedCompat", "beforeHookedMethod: " + param.method.getName());
      }

      @Override
      protected void afterHookedMethod(MethodHookParam param) throws Throwable {
          super.afterHookedMethod(param);
          Log.e("XposedCompat", "afterHookedMethod: " + param.method.getName());
      }
});

指令检查

主要分为两个方面:

  • 检查是否包含 PC 寄存器相关的指令
  • 检查待替换的指令 Thumb16 / Thumb32 混合的问题

PC 相关

修复 PC 寄存器相关的指令是 inline hook 的重要步骤,之所以 SandHook 之前不做,一是因为 OAT/JIT 出来的 Code 前几行基本都是栈操作指令,二是出来的 Code 都使用绝对地址。前几行 Code 包含 PC 相关代码的情况非常少见。。。。所以这个这个检查就当保险起见了。

Thumb16/32 混合的问题

这个困扰了我很久,之前在 9.0 32bit 下使用 inline hook 一直会莫名其妙挂掉。最后调试发现,前几行 32 位 thumb2 可能是 Thumb16/32 指令混合的。一级跳板是 4 字节对齐的,而备份出的原指令则肯能不是 4 字节对齐的。。。
这样等于一个 4 字节的原指令可能会被截取一半,最终导致非法指令。
之所以前面没有关注是因为 9.0 之前前几个指令基本都是 Thumb32。

进程注入

Hook 想要应用到目标 APP 现在有几个方案:

  • Root 进程注入,单个进程注入或者注入 zygote 进程,流程基本差不多 (XX 助手)
  • 非 Root 进程注入,需要在沙箱/双开环境内,因为 UID 相同免去了 Root 的步骤,其余与上面类似。(XX 助手)
  • 非 Root 插件加载,这个需要对沙箱/双开框架进行修改,在目标 App 插件代码里面主动加载 Hook 代码。(VirtualXposed)
  • 解包目标 App 植入 Inject 代码,在重新打包安装。运行时被植入的 Inject 逻辑再将 Hook 代码加载到目标 App 进程。这个需要处理目标 App 的防打包逻辑,例如 Hook 签名验证等等。(太极)

总的来说各有优缺点:

  • 进程注入主要怕目标进程做了反调试。
  • 沙箱插件加载主要依赖沙箱本身的稳定性,和目标 App 的反 VM 逻辑。
  • 解包植入代码主要怕目标 App 的包验证等等。至少刺激战场没玩到一局就被封了 233

沙箱进程注入

在沙箱中注入 SandHook 逻辑,简单用网上的祖传代码改了下,写了个demo,目前测了 7.0 / 8.0
,8.0 以上 64 位目标进程暂时不能注入。
主要是 8.0 以上,dlopen 有限制,需要使用 linker 内部的函数,而 dlsym/fake_dlsym 并不能搜到符号,需要手动解析 ELF 去搜符号。
暂时只有 ELF32 的代码,不过 ELF64 有空也可以适配一下。

https://github.com/ganyao114/SandBoxHookPlugin

后续

SandHook 第三弹 - 性能优化 & Xposed 模块

OSTCB
关注
专栏目录
xposed api-82
04-17
xposed 开发必须的api 包含两个文件api-82.jar 和 api-82-source.jar
XposedBridgeApi
01-30
Xposed开发的jar包,XposedBridgeApi-30.jar,适用于安卓4.4以下
Xposed API详解
一个孤独漫步者的遐想的博客
11-12 3819
Xposed API详解Hook修改变量Hook普通方法回调函数XC_MethodHookXC_MethodReplacementHook获取参数与返回值获取参数获取返回值Hook构造函数无参构造有参构造Hook复杂函数Hook自定义类参数Hook替换函数与函数置空替换函数函数置空Hook内部类与匿名类内部类匿名类Xposed主动调用 Hook修改变量 静态变量(static):类被初始化,同步进行初始化 非静态变量:类被实例化(产生一个对象的时候),进行初始化 [外链图片转存失败,源站可能有防盗链机制
SandHook:Android ART Hook 的强大工具
最新发布
gitblog_00502的博客
10-10 1054
SandHook:Android ART Hook 的强大工具 SandHook Android ART Hook/Native Inline Hook/Single Instruction Hook - support 4.4 - 11.0 32/64 bit - Xposed API Compat ...
Android SandHook 使用
lebulangzhen的博客
09-08 1932
Android Hook 框架使用
Android(5) Xposed API中文手册(部分)
逆向随笔
07-26 3791
Xposed英文原版离线api文档 android.app AndroidAppHelper 包含一些关于当前app信息的一些方法 Public Methods 返回值类型 Public方法原型及作用 static Application currentApplication ():返回当前进程的主要Application类 static ApplicationInfo currentApplicationInfo ():返回当前进程中主应用程序的的信息 static String
framework-xposed-v89-sdk25-x86
08-04
Xposed框架是一款强大的Android系统修改工具,它允许用户在不修改APK的情况下影响应用程序或系统的行为。"framework-xposed-v89-sdk25-x86"这个标题表明这是Xposed框架的一个版本,针对的是Android SDK Level 25(即...
XposedBridgeApi-54&XposedInstaller_3.1.5.apk
05-20
使用方法csdn:https://blog.csdn.net/cattleDrinkRedWine/article/details/106235422 里面是xposed两个内容,一个是XposedInstaller_3.1.5.apk 一个是XposedBridgeApi-54.jar 用于使用xposed的。
0积分 Xposed开发必备 api-82.jar
10-20
Xposed开发过程中,`api-82.jar`是一个至关重要的组件,特别是在处理API级别为82(对应Android 4.3, Jelly Bean MR2)的应用或系统服务时。 `api-82.jar`是一个包含Android API Level 82接口和类的Java库,它主要...
Xposed-api-82使用lib库.zip
06-08
Xposed-api-82是一个针对Android API级别82(即Android 4.3,Jelly Bean MR2)的Xposed接口库。这个压缩包包含的"api-82.jar"和"api-82-sources.jar"是开发者在编写Xposed模块时需要用到的关键组件。 1. **Xposed...
Install-Xposed-on-Memu:如何在Memu Emulator上安装Xposed
05-27
如何在Memu 7.1.1上安装Xposed 要求 启用根 在共享文件夹设置中启用“ Memu下载” Xposed APK — forum.xda-developers.com/showthread.php?t=3034811 SuperSU 2.79 APK(请勿使用SuperSU 2.82!)— mediafire....
Xposed开发框架之XposedApi合集.zip
12-30
里面包含4个版本Xposed开发框架包:XposedBridgeApi-54.jar、XposedBridgeApi-82.jar、XposedBridgeApi-87.jar、XposedBridgeApi-89.jar
XposedBridgeApi_54.jar
12-06
Hook英文翻译是“钩子”的意思,“钩子”顾名思义就是可以勾起东西的工具,那么程序中这个“钩子”又是怎么用的呢?在Android操作系统中系统维护着自己的一套事件分发机制。应用程序,包括应用触发事件和后台逻辑处理,也是根据事件流程一步步地向下执行。而“钩子”的意思,就是在事件传送到终点前截获并监控事件的传输,像个钩子钩上事件一样,并且能够在钩上事件时,处理一些自己特定的事件。
Xposed API模块 JAR 54到89整合包
03-11
android开发 XPOSED 插件,API的jar包,android开发 XPOSED 插件,API的jar包
XposedBridgeApi从54到89
01-02
几个不同版本的XposedBridgeApi.jar,包含:XposedBridgeApi-54.jar、XposedBridgeApi-82.jar、XposedBridgeApi-87.jar、XposedBridgeApi-89.jar
XposedBridge54-89所有api
01-24
该资源包含进行Xposed模块开发所需的所有XposdeBridgeApi
XposedBridgeApi-54
weixin_42546267的博客
06-26 4389
XposedBridgeApi-54方便查找,因为xda那个网站真心难用。。。XposedBridge
fscanf函数_ywyuan_新浪博客
耘田
03-16 172
下面介绍一个例子, 运行后产后一个test.dat的文件。 例1: #include main() { char *s="That's good news"); int i=617; FILE *fp; ...
xposed中集成sandhook框架实现native层hook
weixin_44348983的博客
08-16 1023
xposed中集成sandhook,使其具有so hook能力
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值