注入安卓进程,并hook java世界的方法

最新推荐文章于 2022-07-11 07:35:00 发布
最新推荐文章于 2022-07-11 07:35:00 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: Android

注入安卓进程,并hook java世界的方法

         说明:

安卓系统的可执行对象有两个世界,一个是Linux Native世界,一个是Java世界.两个世界能够通过jvm产生交互,具体来说就是通过jni技术进行互相干涉.但是在正常情况下,只能在Java世界通过jni调用native方法,二native不能在没有任何java上的支持下干涉java世界.

在一些应用中,我们需要对一个app的java世界进行干涉.再说到linux上的进程注入技术,已不用我多讲,但是传统的linux进程注入技术在安卓上只能进入目标进程的native世界.

于是本教程是要注入别的进程,并hook java世界的java 方法!

条件:

1)      手机已root

2)      布置好了的ndk环境

3)      网友贡献的inject代码

由于安卓上的进程注入网上已经有很多方案了,这里就不列举了,这里就假设读者已经能够将so注入到别的进程并顺利运行了.

首先贴一下这次的目标

package com.example.testar;

 

import java.lang.reflect.Field;

import java.util.HashMap;

import java.util.Map;

 

import dalvik.system.DexClassLoader;

import android.net.wifi.WifiInfo;

import android.net.wifi.WifiManager;

import android.os.Bundle;

import android.app.Activity;

import android.content.Context;

import android.text.GetChars;

import android.util.Log;

import android.view.Menu;

import android.view.View;

import android.widget.Button;

 

public class MainActivity extends Activity {

    private final Map<String, ClassLoader> mLoaders = new HashMap<String, ClassLoader>();

 

   @Override

    protected void onCreate(BundlesavedInstanceState) {

       super.onCreate(savedInstanceState);

       setContentView(R.layout.activity_main);

 

       Button btn = (Button) findViewById(R.id.button1);

       btn.setOnClickListener(new View.OnClickListener() {

 

           @Override

           public void onClick(View v) {

                // TODO Auto-generated method stub

                WifiManager wifi = (WifiManager) getSystemService(Context.WIFI_SERVICE);

                WifiInfo info = wifi.getConnectionInfo();

                System.out.println("Wifi mac:" + info.getMacAddress());

               System.out.println("return " + test());

           }

       });

    }

 

   @Override

    public booleanonCreateOptionsMenu(Menu menu) {

       // Inflate the menu; this adds items to theaction bar if it is present.

       getMenuInflater().inflate(R.menu.main, menu);

       return true;

    }

 

    private String test() {

       return "real";

    }

}

我们的目标是上面的test()方法,我们要改变其返回值.

接下来看看我们要注入到目标进程的so.cpp, MethodHooker.cpp

so.cpp:

#include "jni.h"

#include"android_runtime/AndroidRuntime.h"

#include "android/log.h"

#include "stdio.h"

#include "stdlib.h"

#include "MethodHooker.h"

#include <utils/CallStack.h>

#include "art.h"

#define log(a,b)__android_log_write(ANDROID_LOG_INFO,a,b); // LOG Ѝ:info

#define log_(b)__android_log_write(ANDROID_LOG_INFO,"JNI_LOG_INFO",b); // LOG Ѝ:info

 

 

extern "C" void InjectInterface(char*arg){

   log_("*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*");

   log_("*-*-*-*-*-*Injected so *-*-*-*-*-*-*-*");

   log_("*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*");

   Hook();

   log_("*-*-*-*-*-*-*-End -*-*-*-*-*-*-*-*-*-*");

}

 

extern "C" JNIEXPORT jstring JNICALL Java_com_example_testar_InjectApplication_test(JNIEnv *env, jclass clazz)

{

   Abort_();

    return env->NewStringUTF("haha ");;

}

MethodHooker.cpp:

#include "MethodHooker.h"

#include "jni.h"

#include"android_runtime/AndroidRuntime.h"

#include "android/log.h"

#include "stdio.h"

#include "stdlib.h"

#include "native.h"

#include <dlfcn.h>

#define ANDROID_SMP 0

#include "Dalvik.h"

#include "alloc/Alloc.h"

 

#include "art.h"

 

#define ALOG(...)__android_log_print(ANDROID_LOG_VERBOSE, __VA_ARGS__)

 

static bool g_bAttatedT;

static JavaVM *g_JavaVM;

 

void init()

{

   g_bAttatedT = false;

   g_JavaVM = android::AndroidRuntime::getJavaVM();

}

 

static JNIEnv *GetEnv()

{

    int status;

   JNIEnv *envnow = NULL;

   status = g_JavaVM->GetEnv((void **)&envnow, JNI_VERSION_1_4);

    if(status < 0)

    {

       status = g_JavaVM->AttachCurrentThread(&envnow, NULL);

       if(status < 0)

       {

           return NULL;

       }

       g_bAttatedT = true;

    }

    return envnow;

}

 

static void DetachCurrent()

{

    if(g_bAttatedT)

    {

       g_JavaVM->DetachCurrentThread();

    }

}

 

static int computeJniArgInfo(const DexProto* proto)

{

    const char* sig = dexProtoGetShorty(proto);

    int returnType, jniArgInfo;

    u4hints;

 

    /* The first shorty character is the return type. */

    switch (*(sig++)) {

    case 'V':

       returnType = DALVIK_JNI_RETURN_VOID;

       break;

    case 'F':

       returnType = DALVIK_JNI_RETURN_FLOAT;

       break;

    case 'D':

       returnType = DALVIK_JNI_RETURN_DOUBLE;

       break;

    case 'J':

       returnType = DALVIK_JNI_RETURN_S8;

       break;

    case 'Z':

    case 'B':

       returnType = DALVIK_JNI_RETURN_S1;

       break;

    case 'C':

       returnType = DALVIK_JNI_RETURN_U2;

       break;

    case 'S':

       returnType = DALVIK_JNI_RETURN_S2;

       break;

    default:

       returnType = DALVIK_JNI_RETURN_S4;

       break;

    }

 

   jniArgInfo = returnType << DALVIK_JNI_RETURN_SHIFT;

 

   hints = dvmPlatformInvokeHints(proto);

 

    if (hints &DALVIK_JNI_NO_ARG_INFO) {

       jniArgInfo |= DALVIK_JNI_NO_ARG_INFO;

    } else {

       assert((hints & DALVIK_JNI_RETURN_MASK) == 0);

       jniArgInfo |= hints;

    }

 

    return jniArgInfo;

}

 

int ClearException(JNIEnv *jenv){

   jthrowable exception = jenv->ExceptionOccurred();

    if (exception != NULL) {

       jenv->ExceptionDescribe();

       jenv->ExceptionClear();

       return true;

    }

    return false;

}

 

bool isArt(){

    return true;

}

 

static jclass findAppClass(JNIEnv *jenv,const char *apn){

    //

qinlicang
关注
专栏目录
注入系列:Hook注入
weixin_43742894的博客
04-01 1320
0x00 注入原理 Windows 中大部分的应用程序都是基于消息机制的,它们都有一个过程函数,根据不同的消息完成不同的功能。 Windows 操作系统提供的钩子机制就是用来截获和监视系统中这些消息的。 局部钩子是针对某个线程的 全局钩子则是作用于整个系统的基于消息的应用。 全局钩子需要使用 DLL 文件,在 DLL 中实现相应的钩子函数。 接下来,以实现全局hook注入为例。 0x01 注入...
安卓 java hook 免root_[原创]利用VirtualApp实现免Root注入Hook(一)
weixin_42303616的博客
02-16 1174
才疏学浅,如有不对,请轻拍。一个话题,将一个so注入到App中有几种方式?1.Root,直接注入。想必论坛的大部分人已经都会了,拿到了Root之后,我们可以利用ptrace直接注入。所以加固的第一点,便是反调试。2.Root,将so作为系统so,这样任何App起来都得把so加载到app进程当中。xposed的方式是重写孵化器,让孵化器能够加载自己的so,从而控制整个安卓。所以很多加固会去识别特征码...
Android Hook Java
phoebe的专栏
07-23 2478
实现了一个脱离XPosed框架的Android Hook Java方法。其原理是注入系统进程,使该进程加载某动态链接库,执行该库里的某函数,通过该函数执行某jar包里的java函数,然后执行hook进程中的java函数操作。其中Hook Java部分提取了XPosed框架中的hook原理。
android runtime and java virtual machine
开发笔记
05-23 402
ART 本质上仍是java虚拟机。 ART支持的Dalvik指令集(Dalvik指令集) 跟 Dalvik VM支持的指令集一样。 Dalvik指令集是JVM指令集(JVM指令集)的一种机械映射。 ART
java进程 代码注入 (Powered by zms)
菜鸟
03-14 1562
此代码注入非依赖注入,是hack里的 代码注入 场景是这样滴: 机器上有一个java进程,我不想停止它,但我想把一段代码植入进去,干 一些事情(获取一些信息,改变一些值,监控一些东西,或者其它猥琐的事情) 这个进程不能停,而且也没有预料到现在的事情,或者这个进程的代码完全不能修改。 好,这篇文章是要干这个事情,它基于 jvm的 jdi或者jvmti 接口 这里用的jvmti,...
安卓逆向_24( 一 ) --- Hook 框架 frida( Hook Java层 和 so层) )
墨鱼菜鸡
07-11 5180
From:Hook 神器家族的 Frida 工具使用详解:https://blog.csdn.net/FlyPigYe/article/details/90258758 详解 Hook 框架 frida ( 信抢红包 ):https://www.freebuf.com/company-information/180480.html APP逆向神器之F...
Android应用防xposed注入,android hook 框架 xposed 如何实现注入
weixin_39956036的博客
05-26 950
转:http://www.cnblogs.com/jiayy/p/4305018.html前面分析的adbi框架和libinject都是使用so注入的方式,实现将指定代码装入目标进程,这种方式有几个特点:1. 是动态的,需要目标进程已经启动2. 无法影响全局,比如注入A进程挂钩里边libc.so的open函数,此时,B进程使用的libc.so的open函数还是老函数,linux系统通过COW机制,...
java hook demo
04-09
Android Hook,则是针对Android系统特性的Hook技术,主要利用Android的System Server、Zygote进程以及JNI(Java Native Interface)等机制。常见的Android Hook 工具包括Xposed框架,它允许开发者在不修改APK的情况...
Java语言进程注入的一种方法.pdf
05-03
Java语言进程注入的一种方法.pdf
Android进程so注入Hook java方法
墨鱼菜鸡
12-22 216
本文博客链接:http://blog.csdn.net/qq1084283172/article/details/53769331 Andorid的Hook方式比较多,现在来学习下,基于Android进程so注入Hook java方法的原理,可以说现在Android这种方式的Hook已经很成熟了,比较好的...
进击的Android注入术《五》
热门推荐
简行之旅
08-10 2万+
继续 在Android,几乎所有的IPC通讯都是
adb ps shell 查看进程_注入 init 进程,使得 APP 可调试
weixin_39646021的博客
12-29 211
上篇文章提到了,我想通过注入 init 进程,让手机能够轻松的以调试的方式来打开应用。昨天也通过 shell 命令拿到了我手机的架构,今天就来详细的说下怎么注入吧。一、准备 mprop 工具他是一个执行文件,可以修改内存中的所有属性值,搜一下就能拿到了,如果没有搜到可以私信我,我发给你哈。mprop 文件是区分手机 CPU 架构的,通过上篇文章,我知道了的我的手机是 v8 架构的,所以需要选择 v...
Android 通过Jni调用Native
Jesse的专栏
11-27 1万+
在Android项目中 编写c++动态链接库, 通过jni调用
android虚拟机和jni,Android虚拟机中线程的创建,VM, JNI线程的使用
weixin_39897449的博客
05-29 355
一. 虚拟机的入口void AndroidRuntime::start(const char* className, const Vector& options){..........JNIEnv* env;if (startVm(&mJavaVM, &env) != 0) {return;}onVmCreated(env);if (startReg(env) < 0...
Android 7.0行为变更
chiyingliao3565的博客
08-23 243
本文内容 性能提升 低电耗模式 后台优化 权限更改 应用间共享文件 无障碍改进 屏幕缩放 设置向导中的视觉设置 NDK 应用链接至平台库 Android for Work 注解保留 ...
android 编译库文件,在android打开LED方法,主要是编译库文件1
weixin_34184444的博客
05-28 262
#include #include #include #include #include #include //#include #include #include #include "android_runtime/AndroidRuntime.h"/**解决warning: "LOG_TAG" redefined:如下*/#ifdef LOG_TAG#undef LOG_TAG#define ...
android ndk 快速渲染yuv数据
Sect Σ
01-05 4676
用android ndk实现ffmpeg解码的yuv的快速渲染
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值