Xposed插件开发---记录文件操作

最新推荐文章于 2024-03-13 21:01:48 发布
最新推荐文章于 2024-03-13 21:01:48 发布
阅读量1.8k 收藏
点赞数
分类专栏: Xposed Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/onet1me/article/details/103875535
版权
0x00 前言

因为工作上的原因需要分析某个软件将网络下载的文件解压到那个路径,通过比对文件夹大小很难定位到具体位置,所以考虑使用xposed插件来做,因为没有现成的,所以只能自己动手来做一个了
需要如下准备工作
1.刷入xposed框架的安卓机一台
2.有基础的安卓开发经验
3.了解过xposed插件的套路

0x01 入手点 File.createNewFile

一般应用下载文件会用到File类的createNewFile方法,就通过hook这个方法来做,查看File类的源码,里面有一个变量是

private final String path;

path保存了要操作的文件的路径,可以把这个变量拿出来看下是不是我们想要的东西,以下是代码

  @Override
    public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable {
            Class clazz = loadPackageParam.classLoader.loadClass("java.io.File");
        XposedHelpers.findAndHookMethod(clazz, "createNewFile", new XC_MethodHook() {
            @Override
            protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                XposedBridge.log("hooking createNewFile ");
                Field[] fields = param.thisObject.getClass().getDeclaredFields();
                for (int i = 0; i < fields.length; i++) {
                    if (fields[i].getName().equals("path")) {//找到我们想要的属性
                        fields[i].setAccessible(true);//设置可访问
                        XposedBridge.log("wubin:     " + fields[i].get(param.thisObject));//打印出来
                    }
                }
                super.beforeHookedMethod(param);
            }
        });
    }

安装到机器上重启之后,发现能够成功打印下载路径

2020-01-13 15:22:38.753 5784-5821/? I/EdXposed-Bridge: hooking createNewFile
2020-01-13 15:22:38.753 5784-5821/? I/EdXposed-Bridge: OneT1me createNewFile:/data/user/0/com.estrongs.android.pop/files/local_crash_lock
2020-01-13 15:22:41.808 5948-5970/? I/EdXposed-Bridge: hooking createNewFile
2020-01-13 15:22:41.808 5948-5970/? I/EdXposed-Bridge: OneT1me createNewFile:/data/user/0/com.android.dialer/cache/persistent_log/plain_text/0
2020-01-13 15:22:54.738 6707-6741/? I/EdXposed-Bridge: hooking createNewFile
2020-01-13 15:22:54.738 6707-6741/? I/EdXposed-Bridge: OneT1me createNewFile:/data/user/0/com.estrongs.android.pop/files/local_crash_lock
2020-01-13 15:22:54.738 6707-6740/? I/EdXposed-Bridge: hooking createNewFile
2020-01-13 15:22:54.738 6707-6740/? I/EdXposed-Bridge: OneT1me createNewFile:/data/user/0/com.estrongs.android.pop/files/native_record_lock
2020-01-13 15:22:54.922 6707-6766/? I/EdXposed-Bridge: hooking createNewFile
2020-01-13 15:22:54.923 6707-6766/? I/EdXposed-Bridge: OneT1me createNewFile:/data/user/0/com.estrongs.android.pop/files/security_info
2020-01-13 15:22:57.782 6707-6741/? I/EdXposed-Bridge: hooking createNewFile
2020-01-13 15:22:57.782 6707-6741/? I/EdXposed-Bridge: OneT1me createNewFile:/data/user/0/com.estrongs.android.pop/files/local_crash_lock

但是跑过去查看这个文件,发现没有了,于是反编译这个apk,发现这个apk下载完成后会解压文件,完成后会删掉这个文件,于是就有了下面的工作

0x02 继续File.renameTo

上一步未能成功抓到释放的文件在那边,猜测可能是解压后用了renameTo方法,于是继续hook,上代码

        XposedHelpers.findAndHookMethod(clazz, "renameTo",File.class, new XC_MethodHook() {
            @Override
            protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                XposedBridge.log("hooking renameTo");
                Field[] fields = param.thisObject.getClass().getDeclaredFields();
                for (int i = 0; i < fields.length; i++) {
                    if (fields[i].getName().equals("path")) {
                        fields[i].setAccessible(true);
                        XposedBridge.log("wubin:     " + fields[i].get(param.thisObject));
                    }
                }
                super.beforeHookedMethod(param);
            }
        });

这一步,能够成功抓取到我想要的软件释放的文件的路径了,大功告成

2020-01-13 15:25:44.847 4851-4938/? I/EdXposed-Bridge: OneT1me renameTo:/data/system/netstats/xt.1578293607407-
2020-01-13 15:25:44.847 4851-4938/? I/EdXposed-Bridge: OneT1me renameTo:/data/system/netstats/xt.1578293607407-
2020-01-13 15:25:44.847 4851-4938/? I/EdXposed-Bridge: OneT1me renameTo:/data/system/netstats/xt.1578293607407-
2020-01-13 15:25:44.848 4851-4938/? I/EdXposed-Bridge: OneT1me renameTo:/data/system/netstats/xt.1578293607407-
2020-01-13 15:25:45.343 7916-7997/? I/EdXposed-Bridge: OneT1me renameTo:/data/user_de/0/com.google.android.tts/cache/cmn-cn
2020-01-13 15:25:57.537 5683-8036/? I/EdXposed-Bridge: OneT1me createNewFile:/storage/emulated/0/Android/data/com.google.android.tts/files/download_cache/cmn-tw_5.zip
2020-01-13 15:25:57.537 5683-8036/? I/EdXposed-Bridge: OneT1me createNewFile:/storage/emulated/0/Android/data/com.google.android.tts/files/download_cache/cmn-tw_5.zip
0x03 后记

后续可以扩展,记录所有软件的操作文件的行为。
包括查询文件是否存在exist、delete、createNewFile、renameTo等方法的操作。

可以制作成一个安全权限管理的文件,或者对重点文件监控设置是否允许操作。

需要注意的是,这个只能抓到java类的操作文件的方法,对native方法不生效,大神可以扩展一下

OneT1me
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xposed插件监控微信项目源代码 附带使用视频教程
08-13
xposed插件监控微信项目源代码 附带视频教程 https://www.bilibili.com/video/av50740740 可以先看效果 再 下载
使用FileProvider 分享文件
十橙
02-24 2万+
起因 我们的截图应用在Android O 上使用分享功能的时候crash了,错误关键词:FileUriExposedException。 Google 一下发现这个问题从Android N 开始出现的,当你给使用 file:/// Uri 分享文件的时候会抛出这个异常。 但是奇怪的是我们在Android N 上使用分享功能的时候并没有出现问题,不管怎样有问题就要解决。 一句话概括,我们要做...
模拟器xposed框架安装7.1-64教程
weixin_49941977的博客
11-14 1万+
1、模拟器安装好xp框架、MT管理器 2、打开文件共享目录,将我提前准备好的xposed文件包放到共享文件 3、打开MT管理器,在pictures文件夹中打开xposed文件夹 4、选择并长按memu-script.sh文件,选择脚本打开方式,勾选root执行 5、执行结果图所示即成功刷入xp数据包 6、重启模拟器、ok 微信关注公众号:框架工作室,回复工具箱领取我做好的xposed数据包 qq交流群:961480305 .........
Xposed插件】 核心破解 兼容 9.0 去除系统签名校验,直装修改APK,降级安装APP
最新发布
菜鸡小白的成长记录
03-13 357
核心破解 是一款基于xposed模块开发的小工具。 可以用来去除系统签名校验,直装修改APK,降级安装APP. 至于用来干啥的,大家都懂的。
Xposed框架的安装包和卸载包的默认下载路径以及网站下载地址
热门推荐
一碗单炒饭的专栏
04-10 2万+
Xposed框架的安装包和卸载包的默认下载路径 路径: /sdcard/Android/data/de.robv.android.xposed.installer/cache/downloads/framework 安装包:xposed-v89-sdk25-arm64.zip 卸载包:xposed-uninstaller-20180117-arm64.zip ...
基于virtual-xposed实现用户隐私行为监听
NIIIICO的博客
12-24 2271
简介 VirtualXposed可以在非root手机上运行xposed插件。通过xposed插件做到各种操作,如:模拟定位、监听用户行为等。 原理 VirtualXposed 是基于VirtualApp和Epic在非ROOT环境下运行Xposed模块的实现(支持5.0~10.0) https://github.com/android-hacker/VirtualXposed/blob/vxp/CHINESE.md VirtualApp 是一款运行于Android系统的沙盒产品,可以理解为轻量级的“Andr
Xposed 插件开发之二: Xposed的一些知识
KeepStudy
09-18 1万+
一、 Api说明1. IXposedHookLoadPackage.java加载回调接口,在xposed入口类继承,实现handleLoadPackage方法 handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) 这个方法用于在加载应用程序的包的时候执行用户的操作 参数: LoadPackageParam loa
[Xposed开发] Xposed模块使用XSharedPreferences进行存储数据
KeepStudy
06-07 4975
一、简介 正常在编写模块的时候,我们想给模块增加一些开关,例如模块是否启动这个功能,这时候我们就得需要将开关状态给保存下来,方法有多种,这次是介绍XSharedPreferences。 正常使用Android开发的时候我们使用SharedPreferences(以下简称sp),sp的工作流程是在对应app的内部数据目录下创建xml文件,一般路径为data/data/app包名/shared_prefs/包名.xml,于是这里就有个问题,这个目录和文件只能app自己能访问,其他文件访问不了。 但是得益于我们是
Xposed获取微信个人信息
AnxiangLemon的博客
01-28 5561
Launcher:安卓系统中的桌面启动器,安卓系统的桌面UI统称为Launcher 微信有后台自启动权限,启动会读取个人信息哈~ 第一步:反编译微信  jadx查看代码(此处省略此步骤) 第二步:搜索Launcher,我们可以看到LancherUI.class   第三步:找到Oncreate,然后看到一个可疑字符串login_user_name 第四步:追踪进去,可以看到数...
Xposed框架中XSharePreference的使用
Fly20141201. 的专栏
07-25 6720
                                    本文博客地址:https://blog.csdn.net/QQ1084283172/article/details/81194406 在Xposed框架的模块编写中,通常希望我们自己写的Android界面控制部分能够对Xposde框架的模块进行配置,也就说在当前Android应用中写的SharePreference文件,在其...
XP文件实时监控 动态跟踪
04-19
系统文件动态监控,适用于监控资源变化。 比如监控 C:\ 可以发现很多系统实时的文件变化。 对XP非常有效果,WIN7 也可以
XposedAppium:基于Xposed自动化框架
03-19
XposedAppium 简介: 基于Xposed做的一种自动化点击,滑动框架(基于安卓原生的事件分布)。可以模拟手指的一切操作。基于Xpath表达获取View。 项目结构介绍: 应用:目标应用 xposedemo:xposed模块的使用demo XposedAppiumLib:XposedAppium库 实现原理: 通过挂钩应用-> dispatchActivityResumed(也可以挂钩活动的onResume),包括片段里面的onResume等来监听页面的切换。实现执行自己的逻辑。 api介绍: 有两个常用的类 页面管理器 getContext() 获取当前应用程序的上下文 getClassloader() 获取当前Application的ClassLoader ActivityFocusHandler 需要处理的Activity接口 FragmentFocusHandler
xposed-v89-sdk25-x86.zip
07-25
xposed-v89-sdk25-x86.zip
xposed-v89-sdk25合集.zip
12-30
xposed-v89-sdk25-arm86与xposed-v89-sdk25-arm64两个版本对应的系统是安卓5.0以上的
xposed-v88-sdk25-x86.zip
12-16
适用于 模拟器是 SDK7.1的 ,其实就是安卓版本和SDK版本的对应包
framework-xposed-v89-sdk25-x86
11-29
安装xposed使用
xposed-x86 xposed-x86-64
03-08
仅供学习
xposed-v89-sdk25-x86
06-15
xposed-v89-sdk25-x86是一种Android系统框架,它可以通过修改系统代码和应用程序来改变系统行为和扩展应用程序的功能。它可以让开发者和用户轻松地完成系统级别的定制和增强功能。x86指的是基于Intel架构的设备,而...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值