碎碎念-记一下LSPatch的原理

最新推荐文章于 2024-09-13 21:41:02 发布
最新推荐文章于 2024-09-13 21:41:02 发布
阅读量3.6k 收藏 11
点赞数 23
分类专栏: reverse 安卓 文章标签: 安全 android
--simon
本文链接:https://blog.csdn.net/qq_38177830/article/details/137011233
版权

基本原理

LSPatch会替换掉清单中的appcomponentFactory,并在内部执行其自身的代码。
这是属性是安卓8加入的,所以lspatch的最低版本就是安卓8。
appcomponmentFactory的作用是减少instrumentation的工作量
众所周知,一个安卓程序,第一段被执行的代码就位于instrumentation,instrumentation负责整个程序的内部协作。
instrumentation尤为重量,所以在安卓8,谷歌提供了appcomponentFactory。前者关注程序所有的协作,而后者只关注四大组件的创建。

步骤解析

第一步就是拷贝LSPatch的源码

https://github.com/LSPosed/LSPatch

LSPAppComponentFactoryStub

有了上述的介绍,读者们应该清楚LSPatch第一段执行的代码就位于LSPAppComponentFactoryStub,
而他的代码在源码中位于meta-loader中。
大致流程如下

public class LSPAppComponentFactoryStub extends AppComponentFactory {

    private static final String TAG = "LSPatch-MetaLoader";
    private static final Map<String, String> archToLib = new HashMap<String, String>(4);

    public static byte[] dex;

    static {
        try {
            archToLib.put("arm", "armeabi-v7a");
            archToLib.put("arm64", "arm64-v8a");
            archToLib.put("x86", "x86");
            archToLib.put("x86_64", "x86_64");

            ...
            String libName = archToLib.get(arch);
            // 获取是哪个架构的

            boolean useManager = false;
            String soPath;

            // 读patch的config
            try (var is = cl.getResourceAsStream(Constants.CONFIG_ASSET_PATH);
                ...
            }

            if (useManager) {
                // 如果使用管理器(本地模式)
                Log.i(TAG, "Bootstrap loader from manager");
                var ipm = IPackageManager.Stub.asInterface(ServiceManager.getService("package"));
                ApplicationInfo manager = ipm.getApplicationInfo(Constants.MANAGER_PACKAGE_NAME, 0, Process.myUid() / 100000);
                try (var zip = new ZipFile(new File(manager.sourceDir));
                     // 从管理器的apk中拿到assets/lspatch/loader.dex
                     var is = zip.getInputStream(zip.getEntry(Constants.LOADER_DEX_ASSET_PATH));
                     var os = new ByteArrayOutputStream()) {
                    transfer(is, os);
                    dex = os.toByteArray();
                }
                soPath = manager.sourceDir + "!/assets/lspatch/so/" + libName + "/liblspatch.so";
            } else {
                Log.i(TAG, "Bootstrap loader from embedment");
                try (var is = cl.getResourceAsStream(Constants.LOADER_DEX_ASSET_PATH);
                     // 从被patch的apk中拿到assets/lspatch/loader.dex
                     var os = new ByteArrayOutputStream()) {
                    transfer(is, os);
                    dex = os.toByteArray();
                }
                soPath = cl.getResource("assets/lspatch/so/" + libName + "/liblspatch.so").getPath().substring(5);
            }
            // 上述流程将会把assets/lspatch/loader.dex读入byte[] dex中
            // 加载lspatch.so
            // 接下来执行patch-loader中的patch_main.cpp
            System.load(soPath);
        } catch (Throwable e) {
            throw new ExceptionInInitializerError(e);
        }
    }
}

patch_main.cpp

上述代码流程很清楚,接下来会加载lspatch.so,而他的源码在patch-loader
大致流程如下


namespace lspd {

    void PatchLoader::LoadDex(JNIEnv* env, Context::PreloadedDex&& dex) {
        ...
        auto in_memory_classloader = JNI_FindClass(env, "dalvik/system/InMemoryDexClassLoader");
        auto mid_init = JNI_GetMethodID(env, in_memory_classloader, "<init>",
                                        "(Ljava/nio/ByteBuffer;Ljava/lang/ClassLoader;)V");
        auto byte_buffer_class = JNI_FindClass(env, "java/nio/ByteBuffer");
        auto dex_buffer = env->NewDirectByteBuffer(dex.data(), dex.size());
        if (auto my_cl = JNI_NewObject(env, in_memory_classloader, mid_init, dex_buffer, stub_classloader)) {
            inject_class_loader_ = JNI_NewGlobalRef(env, my_cl);
        }
        env->DeleteLocalRef(dex_buffer);
    }

    void PatchLoader::SetupEntryClass(JNIEnv* env) {
        if (auto entry_class = FindClassFromLoader(env, GetCurrentClassLoader(),
                                                   "org.lsposed.lspatch.loader.LSPApplication")) {
            entry_class_ = JNI_NewGlobalRef(env, entry_class);
        }
    }

    void PatchLoader::Load(JNIEnv* env) {
        // 在core模块中,目的是防止修改内存时死锁
        InitSymbolCache(nullptr);
        // 初始化lsplant的api
        lsplant::InitInfo initInfo {
                .inline_hooker = [](auto t, auto r) {
                    void* bk = nullptr;
                    return HookFunction(t, r, &bk) == RS_SUCCESS ? bk : nullptr;
                },
                .inline_unhooker = [](auto t) {
                    return UnhookFunction(t) == RT_SUCCESS;
                },
                .art_symbol_resolver = [](auto symbol) {
                    return GetArt()->getSymbAddress<void*>(symbol);
                },
                .art_symbol_prefix_resolver = [](auto symbol) {
                    return GetArt()->getSymbPrefixFirstAddress(symbol);
                },
        };

        auto stub = JNI_FindClass(env, "org/lsposed/lspatch/metaloader/LSPAppComponentFactoryStub");
        auto dex_field = JNI_GetStaticFieldID(env, stub, "dex", "[B");

        // 拿到刚才的byte[] dex,并转为lsp的内部dex格式(加载到匿名内存段规避检测)
        ScopedLocalRef<jbyteArray> array = JNI_GetStaticObjectField(env, stub, dex_field);
        auto dex = PreloadedDex {env->GetByteArrayElements(array.get(), nullptr), static_cast<size_t>(JNI_GetArrayLength(env, array))};

        // 执行lsplant的hook
        InitArtHooker(env, initInfo);
        // 通过InMemoryDexClassLoader加载dex
        LoadDex(env, std::move(dex));
        // 进行签名校验和openat的bypass
        InitHooks(env);

        GetArt(true);

        SetupEntryClass(env);
        // 接下来执行org.lsposed.lspatch.loader.LSPApplication的void onLoad
        FindAndCall(env, "onLoad", "()V");
    }
} // namespace lspd

逻辑很简单,就两步:

  1. 把appcomponefactory中的byte[] dex放到匿名内存,并通过inmemeory加载。
  2. 调用org.lsposed.lspatch.loader.LSPApplication的void onLoad

LSPApplication

其源码位于patch-loader中
大致流程如下

public class LSPApplication {
    private static ActivityThread activityThread;
    private static LoadedApk stubLoadedApk;
    private static LoadedApk appLoadedApk;

    private static PatchConfig config;

    public static void onLoad() throws RemoteException, IOException {
        if (isIsolated()) {
            return;
        }
        activityThread = ActivityThread.currentActivityThread();
        var context = createLoadedApkWithContext();
        ILSPApplicationService service;
        if (config.useManager) {
            service = new RemoteApplicationService(context);
        } else {
            service = new LocalApplicationService(context);
        }

        disableProfile(context);
        Startup.initXposed(false, ActivityThread.currentProcessName(), context.getApplicationInfo().dataDir, service);
        Startup.bootstrapXposed();
        LSPLoader.initModules(appLoadedApk);

        switchAllClassLoader();
        SigBypass.doSigBypass(context, config.sigBypassLevel);
    }

    private static Context createLoadedApkWithContext() {
        try {
            var mBoundApplication = XposedHelpers.getObjectField(activityThread, "mBoundApplication");

            stubLoadedApk = (LoadedApk) XposedHelpers.getObjectField(mBoundApplication, "info");
            var appInfo = (ApplicationInfo) XposedHelpers.getObjectField(mBoundApplication, "appInfo");
            var compatInfo = (CompatibilityInfo) XposedHelpers.getObjectField(mBoundApplication, "compatInfo");
            var baseClassLoader = stubLoadedApk.getClassLoader();

            try (var is = baseClassLoader.getResourceAsStream(CONFIG_ASSET_PATH)) {
                BufferedReader streamReader = new BufferedReader(new InputStreamReader(is, StandardCharsets.UTF_8));
                config = new Gson().fromJson(streamReader, PatchConfig.class);
            } catch (IOException e) {
                Log.e(TAG, "Failed to load config file");
                return null;
            }
            Log.i(TAG, "Use manager: " + config.useManager);
            Log.i(TAG, "Signature bypass level: " + config.sigBypassLevel);

            Path originPath = Paths.get(appInfo.dataDir, "cache/lspatch/origin/");
            Path cacheApkPath;
            try (ZipFile sourceFile = new ZipFile(appInfo.sourceDir)) {
                cacheApkPath = originPath.resolve(sourceFile.getEntry(ORIGINAL_APK_ASSET_PATH).getCrc() + ".apk");
            }

            appInfo.sourceDir = cacheApkPath.toString();
            appInfo.publicSourceDir = cacheApkPath.toString();
            appInfo.appComponentFactory = config.appComponentFactory;

            if (!Files.exists(cacheApkPath)) {
                Log.i(TAG, "Extract original apk");
                FileUtils.deleteFolderIfExists(originPath);
                Files.createDirectories(originPath);
                try (InputStream is = baseClassLoader.getResourceAsStream(ORIGINAL_APK_ASSET_PATH)) {
                    Files.copy(is, cacheApkPath);
                }
            }
            cacheApkPath.toFile().setWritable(false);

            var mPackages = (Map<?, ?>) XposedHelpers.getObjectField(activityThread, "mPackages");
            mPackages.remove(appInfo.packageName);
            appLoadedApk = activityThread.getPackageInfoNoCheck(appInfo, compatInfo);
            XposedHelpers.setObjectField(mBoundApplication, "info", appLoadedApk);

            var activityClientRecordClass = XposedHelpers.findClass("android.app.ActivityThread$ActivityClientRecord", ActivityThread.class.getClassLoader());
            var fixActivityClientRecord = (BiConsumer<Object, Object>) (k, v) -> {
                if (activityClientRecordClass.isInstance(v)) {
                    var pkgInfo = XposedHelpers.getObjectField(v, "packageInfo");
                    if (pkgInfo == stubLoadedApk) {
                        Log.d(TAG, "fix loadedapk from ActivityClientRecord");
                        XposedHelpers.setObjectField(v, "packageInfo", appLoadedApk);
                    }
                }
            };
            var mActivities = (Map<?, ?>) XposedHelpers.getObjectField(activityThread, "mActivities");
            mActivities.forEach(fixActivityClientRecord);
            try {
                if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.S) {
                    var mLaunchingActivities = (Map<?, ?>) XposedHelpers.getObjectField(activityThread, "mLaunchingActivities");
                    mLaunchingActivities.forEach(fixActivityClientRecord);
                }
            } catch (Throwable ignored) {
            }
            Log.i(TAG, "hooked app initialized: " + appLoadedApk);

            var context = (Context) XposedHelpers.callStaticMethod(Class.forName("android.app.ContextImpl"), "createAppContext", activityThread, stubLoadedApk);
            if (config.appComponentFactory != null) {
                try {
                    context.getClassLoader().loadClass(config.appComponentFactory);
                } catch (ClassNotFoundException e) { // This will happen on some strange shells like 360
                    Log.w(TAG, "Original AppComponentFactory not found: " + config.appComponentFactory);
                    appInfo.appComponentFactory = null;
                }
            }
            return context;
        } catch (Throwable e) {
            Log.e(TAG, "createLoadedApk", e);
            return null;
        }
    }
    private static void switchAllClassLoader() {
        var fields = LoadedApk.class.getDeclaredFields();
        for (Field field : fields) {
            if (field.getType() == ClassLoader.class) {
                var obj = XposedHelpers.getObjectField(appLoadedApk, field.getName());
                XposedHelpers.setObjectField(stubLoadedApk, field.getName(), obj);
            }
        }
    }
}

我觉得这段代码并没有很晦涩难懂,所以我不做过多细节介绍。
这里Onload主要做了6步:

  1. 首先判断是否是isolated_process,如果是的话什么都不执行
  2. 创建一个新的LoadedApk,并创建一个新的context
  3. 调用context.getClassLoader().loadClass(config.appComponentFactory);加载原本的appComponentFactory
  4. 随后使用新的context,禁用Profile,并模拟Startup操作
  5. 加载modules
  6. 将上面创建的fake-loadedApk中的classloader设置为real-loadedApk

至此LSPatch的面纱已经彻底揭开

总结

LSPatch使用了匿名内存加载自己的loader文件,这样做很安全
LSPatch对open系的函数进行了hook,使得应用不能读到patch后的信息
LSPatch创建了fake-LoadedApk,并使用他创建了AppContext,随后调用了原始的appcomponmentFactory,导致软件无法通过查看classloader来检测注入

如何检测

最简单的就是instrumentation。除此自外还可以尝试SVC直接syscall调用open。
甚至可以通过判断profile是否正常加载来检测

有头发的琦玉
关注
专栏目录
LSPatch:来自 XpatchLSPatch 分叉
08-05
介绍 来自 XpatchLSPatch 分支。 LSPatch 提供了一种通过重新打包的方式将 dex 等插入到目标 APK 中的方法。 自 Xpatch 以来进行了以下更改 使用 LSPosed 作为 Hook 框架 清理代码 将 Xpatch 的 Loader 和 Patch 合并到一个项目中 用法 下载工件 运行java -jar lspatch.jar 建造 Android Studio Arctic Fox | 2020.3.1 Beta 3 gradlew build[Debug|Release] 支持的安卓版本 与相同 原则 解压目标 APK。 将目标APK中AndroidManifest.xml的app属性打补丁,修改为插入dex中的Application类。 将list-so 、 list-assets 、 list-dex所有文件复制到目标 APK 中。
LSPatch:动态更新你的Android应用,高效便捷!
gitblog_00037的博客
03-21 1402
LSPatch:动态更新你的Android应用,高效便捷! 项目地址:https://gitcode.com/gh_mirrors/ls/LSPatch 项目简介 是一个轻量级、高效的Android应用程序热修复和动态更新框架,由LSPosed团队开发。它允许开发者在不通过Google Play或其他应用商店的情况下,快速、安全地对应用程序进行更新和修复,极大地提高了用户体验和开发效率。 技术解析...
LSPatch: 非Root环境下Xposed框架的实现与运用指南
gitblog_00192的博客
08-08 931
LSPatch: 非Root环境下Xposed框架的实现与运用指南 项目地址:https://gitcode.com/gh_mirrors/ls/LSPatch 一、项目介绍 LSPatch, 源自LSPosed的核心框架,是一款专为Android设备设计的无须root权限的Xposed框架替代品。这个工具允许用户通过修改APK文件来实现对应用程序行为的定制化调整,从而提供了一个灵活的方式来扩展或...
LSPatch 项目常见问题解决方案
最新发布
gitblog_09482的博客
09-13 746
LSPatch 项目常见问题解决方案 LSPatch LSPatch: A non-root Xposed framework extending from LSPosed 项目地址: https://gitcode.com/gh...
LSPatch非Root Xposed框架安装配置完全指南
gitblog_09480的博客
09-13 1126
LSPatch非Root Xposed框架安装配置完全指南 LSPatch LSPatch: A non-root Xposed framework extending from LSPosed 项目地址: https://git...
LSPatch制作内置模块应用软件无需root 教你制作内置应用
wing_77的博客
08-04 1956
LSPatch功能非常强大,它是一款基于LSPosed核心的免Root Xposed框架软件。这意味着用户无需进行手机root操作,即可轻松植入内置Xposed模块,享受更多定制化的功能和体验,比如微某内置模块版等,这为那些不想root手机但又希望体验Xposed模块的人提供了方便。
LSPatch —— 一款基于Android的免root框架
m0_60789072的博客
01-29 1万+
是一个基于 Riru 的 ART hook 框架 (最初用于 Android Pie) ,提供与原版 Xposed 相同的 API, 使用 YAHFA (或 SandHook) 进行 hook, 支持 Android 9 及其以上安卓版本。点击下方菜单 【管理】—— 【” +“ 号】可从存储目录或已安装的应用程序选择需要修补的应用。本地模式 —— 模块作用域可随意修改,但必须后台运行LSPatch。便携模式 —— 将模块嵌入到应用中,可能会出现包名检验不通过的情况。点击【开始修补】,按照提示安装应用即可。
LSPatch免root手机模块应用
Su*yWGAtH26Q
05-24 2174
LSPatch是一款免root手机模块应用,兼容大部分机型,使用LSPatch,您可以个性化您的Android设备,添加新的功能,修改系统设置,甚至完全改变系统的外观。您可以根据自己的需求选择和安装各种Xposed模块,以实现您想要的效果。LspatchLsposed提供的免ROOT使用模块的方案,完美的解决了非ROOT设备无法使用模块的痛。它通过修改应用,使应用进程留有LSP的处理方案,从而可以使用模块,而无需ROOT。传统的模块方案,则是通过ROOT权限,修改应用进程及数据。
[挖坟]如何安装Shizuku和LSPatch并安装模块(不需要Root,非Magisk)
IcyLightDream 的博客
04-06 1万+
安装Shizuku&LSPatch,安装LSPatch模块教程
探索LSPlant:一款强大的Android ART钩子库
gitblog_00027的博客
05-10 1273
探索LSPlant:一款强大的Android ART钩子库 项目地址:https://gitcode.com/gh_mirrors/ls/LSPlant 项目介绍 欢迎进入LSPlant的世界,这是一个专为Android系统设计的ART(Android RunTime)钩子库。LSPlant以其灵活的功能和广泛的应用场景,为开发者提供了Java方法的钩入与解除钩入的能力,并且支持内联反优化,是An...
eoo!碎碎念(留言日) v0.2
05-01
碎碎念功能:  集成了ubbeditor编辑器,  后台有添加,修改,删除功能,    这个碎碎念小程序,是我刚学习php写出来的,因为css不好,因此美化不是很好。  由于我是新手,所以代码可供PHP新手参考学习。  eoo!碎碎念...
简洁碎碎念轻微博系统 v1.1.rar
07-09
简洁碎碎念轻微博系统V1.1 简洁碎碎念是一个简单的轻微博,在这里您可以录和分享自己生活中的点滴瞬间。 支持 文字 图片 音乐 链接 视频的发布。 界面清晰简洁。 登陆用户名 密码 admin admin
简洁碎碎念轻微博系统 v1.1.zip
07-05
简洁碎碎念轻微博系统V1.1 简洁碎碎念是一个简单的轻微博,在这里您可以录和分享自己生活中的点滴瞬间。 支持 文字 图片 音乐 链接 视频的发布。 界面清晰简洁。 登陆用户名 密码 admin admin 注:由于疏忽,...
LSPatch 项目推荐
gitblog_09481的博客
09-13 421
LSPatch 项目推荐 LSPatch LSPatch: A non-root Xposed framework extending from LSPosed 项目地址: https://gitcode.com/gh_mirro...
android
zhl11112222的博客
01-21 447
按钮 菜单 跳转 目录结构 manifests中 AndroidManifest.xml <?xml version="1.0" encoding="utf-8"?> <manifest xmlns:android="http://schemas.android.com/apk/res/android" package="com.example.myapplicatio...
Android10 AppComponentFactory源码梳理
tangedegushi的博客
10-15 6066
最近在看Android10里面SystemUI关于手势导航部分,里面使用了dagger依赖注入,一时间找不到dagger初始化实例化的地方,这才有了今天这篇对AppComponentFactory这部分的讲解,AppComponentFactory是Android9加入的,先来整体看下这个类的: /** * Interface used to control the instantiation of manifest elements. * * @see #instantiate...
AIX下的MPIO、RDAC、SDDPCM多路径软件操作
热门推荐
wolf
01-21 2万+
一:查看存储盘的路径 1、查看MPIO的存储盘的路径 # lspath                                    (适用于所有存储的MPIO路径查询) # mpio_get_config  -Av              (适用于DS3K/DS4K的MPIO路径查询) 2、查看RDAC存储盘的路径 # fget_config -Av
yolov7-tiny显示FLOPs
07-27
根据引用\[1\]中提到的信息,yolov7-tiny中的FLOPs是指在被stride为2的卷积下采样后,被Concat整合前的这四个连续卷积层的浮点运算次数。然而,具体的FLOPs数值没有在引用中给出。如果你需要了解yolov7-tiny的FLOPs数值,建议查阅相关的资料或者参考引用\[3\]中提到的原始yolov7-tiny的参数量和FLOPs数值,然后根据比例计算出yolov7-tiny显示FLOPs的数值。 #### 引用[.reference_title] - *1* *3* [关于Yolov7-tiny模型瘦身(param、FLOPs)碎碎念](https://blog.csdn.net/yjcccccc/article/details/128329579)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [yolov3-tiny 网络结构](https://blog.csdn.net/juluwangriyue/article/details/109543317)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

有头发的琦玉

打点钱,我会再努力的

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值