Android逆向分析之Xposed的hook技术

Android逆向工程里常用到的工具除了的dex2jar,jd-gui,  Apktool之外还有一个Xposed。

这个工具是一个在不修改APK的情况下,影响其运行过程的服务框架。可以根据自己的需求编写模块,让模块控制目标应用的运行。

因为本人也是新手,对于Xposed用法还有很多的不熟悉,所以只对其hook技术进行简单的介绍,并让hook技术应用到以后的逆向分析工程中。

至于什么是hook,不了解的话就先去百度一下,这里基于菜鸟有限的经验,我只能说是一种函数拦截技术~


首先,下载Xposed框架,我这里就不提供下载了,然后手机必须得先root,不然是无法安装Xposed框架的,毕竟hook技术已经是个系统级的过程,所以你懂的~



这只是一个框架而已,并没有什么功能,为了实现个人需求,我们还需要自己编写模块,让这个框架去加载你的模块。

举个栗子,你要去知道手机某个应用包中的某个类中的某个方法中的某个参数,那么你的模块就要指明那个包,哪个类,哪个方法,当系统重启时加载目标应用包时,加载了你的模块的Xposed框架会识别到,接下来,如果你指明的应用中的某一方法被系统执行了,那么Xposed也会识别到,然后让你的模块去Hook(顾名思义,就是就是钩子,陷阱的意思;也可以说是拦截)这个方法,并可以利用模块的接口让方法的参数和返回结果暴露出来。

在本次的博客中,只是结合例子简单的介绍Xposed的hook,实际上Xposed的功能貌似不止于此~

框架弄好了,接下来就可以根据需求编写模块了,不过,再此之前先明确一下需求,我们可以用一个简单的登录系统APP进行测试。

先贴个简单的代码出来先:

public class LoginActivity extends Activity {

    private final String ACCOUNT="samuel";
    private final String PASSWORD="123456";
    private EditText etAccount, etPassword;
    private Button btnLogin;

    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_login);

        etAccount=(EditText)findViewById(R.id.et_account);

        etPassword=(EditText)findViewById(R.id.et_password);

        btnLogin=(Button)findViewById(R.id.btn_login);

        btnLogin.setOnClickListener(new View.OnClickListener() {
            @Override
            public void onClick(View v) {
                if (isOK(etAccount.getText().toString(), etPassword.getText().toString())) {
                    Toast.makeText(LoginActivity.this, "登录成功", Toast.LENGTH_SHORT).show();
                } else {
                    Toast.makeText(LoginActivity.this, "登录失败", Toast.LENGTH_SHORT).show();
                }

            }
        });

    }

    private boolean isOK(String account, String password){
        return account.equals(ACCOUNT) && password.equals(PASSWORD);
    }

很简单的一个登录页面,其中的关键函数isOk(String, String)是用来验证账号密码是否正确的,其中我已定死为账号:samuel,密码:123456,也就是说我必须输入以上两个字符串,才能完成验证。

那么,重点就来了,我们就可以利用Xposed的模块hook到isOK(String, String)这个函数,并拦截到账号和密码,甚至可以修改账号和密码!!!

So,需求明确了,那么我们就可以针对性编写模块了。

编写模块步骤:

1、先新建一个Android Project,这个工程不需要界面,所以在工程创建导向时不需要添加MainActivity和layout_main.xml,就一个Empty工程即可;

2、在空工程的java文件夹中新建一个类,该类就是一个模块类,这里命名为“Module”,接下来就要配置一下AndaroidManfest.xml和添加xposed_init文件,如下图;


3、配置AndroidManifest.xml,其中的meta-data内容要照搬,反正我之前没照搬说明上的demo,结果出错了,所以那三个meta-data最好是照着写。

<manifest xmlns:android="http://schemas.android.com/apk/res/android"
    package="com.samuelzhan.xposehook">

    <application android:allowBackup="true" android:label="@string/app_name"
        android:icon="@mipmap/ic_launcher" android:theme="@style/AppTheme">

        <meta-data
            android:name="xposedmodule"
            android:value="true"/>

        <meta-data
            android:name="xposeddescription"
            android:value="Hook Test!"/>

        <meta-data
            android:name="xposedminversion"
            android:value="54"/>
    </application>

</manifest>

4、在main文件夹下创建一个assets文件夹,并在里面创建一个普通的文件,命名为“xposed_init”,然后打开文件,在里面添加一句字符串,即   包名+模块类名。


5、新建一个文件夹,命名为“lib”或者“jar”,然后放进一个XposedBridgeApi.jar包,如上图,并在该jar包上右键Add as Library。这里必须注意两点细节,一是,放jar包的文件夹名字一定是“lib”或“jar”,亲测放到“libs”里没用;二是,需要在build.gradle里的dependencies将compile改为provided,不然会报错。听说是系统里已有该jar包内容,再次打包进去会冲突,所以改为provided,不要管那条红色波浪线,无碍~


6、编写模块类Module:

public class Module implements IXposedHookLoadPackage {

    @Override
    public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable {
        if (loadPackageParam.packageName.equals("com.samuelzhan.logintest")) {

            XposedHelpers.findAndHookMethod("com.samuelzhan.logintest.LoginActivity",
                    loadPackageParam.classLoader,
                    "isOK",
                    String.class,
                    String.class,
                    new XC_MethodHook() {
                        @Override
                        protected void beforeHookedMethod(MethodHookParam param) throws Throwable {

                        }

                        @Override
                        protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                        }
                    });

        }
    }

}
说明:

Module继承了IXposedHookLoadPackage接口,当系统加载应用包的时候回回调 handleLoadPackage;

XposedHelpers的静态方法 findAndHookMethod就是hook函数的的方法,其参数对应为   类名+loadPackageParam.classLoader(照写)+方法名+参数类型(根据所hook方法的参数的类型,即有多少个写多少个,加上.class)+XC_MethodHook回调接口;

这里的第一个参数类名必须要有包名前缀,即“packageName+className”,还有一点,如果代码被混淆过,即使你明知道代码中要hook的类名和方法名,但都不一定能用,必须以smali中的名字为准,比如:isOk()混淆之后在smali中的函数名为a,那么hook的时候就必须写a,而不是isOK,第一个参数类名同理!

参数里有一个监听类XC_MethodHook,该类在hook前后回调,通过回调方法的MethodHookParam可以拦截到函数参数。

Xposed除了hook目标应用的函数之外,还可以hook某些类的构造方法,对应的方法为XposedHelpers.findAndHookConstructor()。


至此,一个模块基本已完成,接下来将其打包 Build->Generate Signed APK...生成一个APK,并安装在手机上。因为没有MainActivity,所以安装后不会弹出任何界面,但若果此时手机已安装了Xposed,那么Xposed会在消息栏弹一个消息,通知你“模块已更新”,此时可以选择Xposed菜单中的 “框架”->"软重启",重启手机(软重启不会断电,相当于电脑的重启,比硬重启要快)。



到这里,已经可以hook函数了。

现在,试着去拦截isOK(String, String)函数中的账号密码,先在回调函数中添加日记打印代码将其账号密码参数暴露出来,顺便把返回结果也显示一下:

                    new XC_MethodHook() {
                        @Override
                        protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                            XposedBridge.log("账号:"+(String)param.args[0]+"   密码:"+(String)param.args[1]);
                            Log.d("zz","账号:"+(String)param.args[0]+"   密码:"+(String)param.args[1]);
                        }

                        @Override
                        protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                            Log.d("zz", param.getResult().toString());
                        }
                    });
我在beforeHookedMethod中写了两种方法日志,第一个是XposedBridge的静态log,这个日志会显示在Xposed的日志选项里,个人不喜欢这种方法,因为每次运行你要hook的程序,又必须切换页面到Xposed查看日志,太麻烦了,但它有个优点,相比Android中的Log.d(), 它能显示抛出的异常,而Android Log不可以。第二个Android Log就不用说了,这里我两种都用了。

编写完后,我们重新打包这个模块,并安装到手机上,然后让手机软重启,每次更新安装模块都必须得重启才生效。

好,重启后,我们运行一下目标应用,输入账号密码~


然后看看Android Studio中的Logcat和 Xposed中的日志选项:



可以看到,两者都可以看到拦截到的密码账号。因为正确的账号密码为samuel  123456,这里只是随便输入zzz   aaa,所以返回的结果是false,当然也在回调函数afterHookedMethod中可以捕获得到,这里显示false,说明登陆验证失败。

除了能读取参数之外,hook技术还可以修改函数参数。

比如,接下来我修改模块,让其无论输入什么,我都实现登陆,那我先在hook中把账号密码修改成samuel  123456,也就是说,通过hook技术,我怎样输入都能成功登陆。

                    new XC_MethodHook() {
                        @Override
                        protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                            //修改参数
                            param.args[0]="samuel";
                            param.args[1]="123456";
                        }

                        @Override
                        protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                            Log.d("zz", param.getResult().toString());
                        }
                    });

然后重新打包,安装,重启手机,再次运行登陆页面的程序,再次输入zzz   aaa看看:



不错,显示登陆成功,说明修改参数成功。

其实Xposed貌似还有其他更强大的功能,这里只用了冰山一角进行逆向分析而已~



©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页