hook java android_Android Hook Java的的一個改進版本

最新推荐文章于 2023-05-24 16:34:53 发布
最新推荐文章于 2023-05-24 16:34:53 发布
阅读量100 收藏
点赞数
文章标签: hook java android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34972980/article/details/114175495
版权

Hook Java的的一個改進版本

《注入安卓進程,並Hook java世界的方法》這篇好文相信大家都看這,里面所提到的方法估計大家也都試過。不過里面的所用的方法,我發現有兩個可以改進的地方。

改進點一:更簡單地修改java方法為本地方法...

// hook method

int argsSize = calcMethodArgsSize(method->shorty);

if (!dvmIsStaticMethod(method))

argsSize++;

SET_METHOD_FLAG(method, ACC_NATIVE);

method->registersSize = method->insSize = argsSize;

method->outsSize = 0;

method->jniArgInfo = dvmComputeJniArgInfo(method->shorty);

// save info to insns

method->insns = (u2*)info;

// bind the bridge func,only one line

method->nativeFunc = method_handler;

LOGI("[+] %s->%s was hooked\n", classDesc, methodName);

...

直接把method->nativeFunc即可,無需重新調用JNIEnv的RegisterNatives方法,其中method_handler可以是下面兩種形式之一:

typedef void (*DalvikBridgeFunc)(const u4* args, JValue* pResult, const Method* method, struct Thread* self);

typedef void (*DalvikNativeFunc)(const u4* args, JValue* pResult);

這樣有一個好處,就是所有java方法都可以統一指向同一個native func,而不需要像為每一個java method方法指定一個native func。

改進點二:方法回調避免線程安全問題

原來的方法,是這樣的

//hook之前先拷貝

uint mlen = sizeof(Method);

Method *oldMeth = (Method*)malloc(mlen);

memcpy(oldMeth,method,mlen);

info->odlMethod = oldMeth;

info->curMethod = method;

//回調后再拷貝回來,再通過jni->callXXXXMethod調用,之后再重新hook

memcpy(hi->curMethod,hi->odlMethod,mlen);

jmethodID om = (jmethodID)hi->curMethod;

jenv->CallVoidMethod(me,om,gDevice_Sensors);

ClassMethodHook(jenv,&baiduhookInfos[0]);

這個方法,其實是有線程安全問題的,其中在dalvik中,有很多方法可以直接調用Method對象,比如dvmCallMethod, dvmCallMethodA, dvmCallMethodV,dvmInvokeMethod等等。針對DalvikBridgeFunc和DalvikNativeFunc的參數,我最后選擇使用dvmInvokeMethod,這個函數的原型是這樣的:

Object* dvmInvokeMethod(Object* obj, const Method* method, ArrayObject* argList, ArrayObject* params, ClassObject* returnType, bool noAccessCheck)

其中,obj是this或者null(如果是static方法),method可以直接使用hook之前copy的對象,比較麻煩是argList,params和returnType的獲取。獲取argList的方法,我在Proxy.cpp中到了現成的boxMethodArgs方法,而returnType通過Reflect.h中dvmGetBoxedReturnType的方法也可以獲取,而剩下的params只能自己寫代碼了,下面是我的代碼:

STATIC ArrayObject* dvmGetMethodParamTypes(const Method* method, const char* methodsig){

/* count args */

size_t argCount = dexProtoGetParameterCount(&method->prototype);

STATIC ClassObject* java_lang_object_array = dvmFindSystemClass("[Ljava/lang/Object;");

/* allocate storage */

ArrayObject* argTypes = dvmAllocArrayByClass(java_lang_object_array, argCount, ALLOC_DEFAULT);

if(argTypes == NULL){

return NULL;

}

Object** argObjects = (Object**) argTypes->contents;

const char *desc = (const char *)(strchr(methodsig, '(') + 1);

/*

* Fill in the array.

*/

size_t desc_index = 0;

size_t arg_index = 0;

bool isArray = false;

char descChar = desc[desc_index];

while (descChar != ')') {

switch (descChar) {

case 'Z':

case 'C':

case 'F':

case 'B':

case 'S':

case 'I':

case 'D':

case 'J':

if(!isArray){

argObjects[arg_index++] = dvmFindPrimitiveClass(descChar);

isArray = false;

}else{

char buf[3] = {0};

memcpy(buf, desc + desc_index - 1, 2);

argObjects[arg_index++] = dvmFindSystemClass(buf);

}

desc_index++;

break;

case '[':

isArray = true;

desc_index++;

break;

case 'L':

int s_pos = desc_index, e_pos = desc_index;

while(desc[++e_pos] != ';');

s_pos = isArray ? s_pos - 1 : s_pos;

isArray = false;

size_t len = e_pos - s_pos + 1;

char buf[128] = { 0 };

memcpy((void *)buf, (const void *)(desc + s_pos), len);

argObjects[arg_index++] = dvmFindClass(buf);

desc_index = e_pos + 1;

break;

}

descChar = desc[desc_index];

}

return argTypes;

}

通過上面幾個類型的獲取之后,最后再看一下整個method hook的實現,過程其實大同小異,不過直接把上述提及的向種類型信息預先獲取並保存到method->insns里頭了:

extern int __attribute__ ((visibility ("hidden"))) dalvik_java_method_hook(JNIEnv* env, HookInfo *info) {

const char* classDesc = info->classDesc;

const char* methodName = info->methodName;

const char* methodSig = info->methodSig;

const bool isStaticMethod = info->isStaticMethod;

jclass classObj = dvmFindJNIClass(env, classDesc);

if (classObj == NULL) {

LOGE("[-] %s class not found", classDesc);

return -1;

}

jmethodID methodId =

isStaticMethod ?

env->GetStaticMethodID(classObj, methodName, methodSig) :

env->GetMethodID(classObj, methodName, methodSig);

if (methodId == NULL) {

LOGE("[-] %s->%s method not found", classDesc, methodName);

return -1;

}

// backup method

Method* method = (Method*) methodId;

if(method->nativeFunc == method_handler){

LOGW("[*] %s->%s method had been hooked", classDesc, methodName);

return -1;

}

Method* bakMethod = (Method*) malloc(sizeof(Method));

memcpy(bakMethod, method, sizeof(Method));

// init info

info->originalMethod = (void *)bakMethod;

info->returnType = (void *)dvmGetBoxedReturnType(bakMethod);

info->paramTypes = dvmGetMethodParamTypes(bakMethod, info->methodSig);

// hook method

int argsSize = calcMethodArgsSize(method->shorty);

if (!dvmIsStaticMethod(method))

argsSize++;

SET_METHOD_FLAG(method, ACC_NATIVE);

method->registersSize = method->insSize = argsSize;

method->outsSize = 0;

method->jniArgInfo = dvmComputeJniArgInfo(method->shorty);

// save info to insns

method->insns = (u2*)info;

// bind the bridge func,only one line

method->nativeFunc = method_handler;

LOGI("[+] %s->%s was hooked\n", classDesc, methodName);

return 0;

}

然后是method_handler的實現,這個方法是所有java方法的跳轉函數,所以在這里可以注冊callback,不過這部分邏輯我沒有做上,有興趣的朋友可以加上。

STATIC void method_handler(const u4* args, JValue* pResult, const Method* method, struct Thread* self){

HookInfo* info = (HookInfo*)method->insns; //get hookinfo pointer from method-insns

LOGI("entry %s->%s", info->classDesc, info->methodName);

Method* originalMethod = reinterpret_cast(info->originalMethod);

Object* thisObject = (Object*)args[0];

ArrayObject* argTypes = dvmBoxMethodArgs(originalMethod, args + 1);

pResult->l = (void *)dvmInvokeMethod(thisObject, originalMethod, argTypes, (ArrayObject *)info->paramTypes, (ClassObject *)info->returnType, true);

dvmReleaseTrackedAlloc((Object *)argTypes, self);

}

最后通過dvmInvokeMethod就可以直接調回原來的函數了。

最后

寫這個代碼,主要是因為我在工作中要注入到某個系統進程,然后要hook java中的某些方法,但用cydia和xposed感覺太笨重了,特別是xposed,里面的很多參數的boxed/unboxed都是通過jni模塊自動轉換的,整個框架已經離不開dex文件了。

所以才想自己實現一套純本地的java hook代碼,而《注入安卓進程,並Hook java世界的方法》所介紹的方法,我感覺用起來不太方便,跟cydia和xposed兩個框架的主要區別就是缺少了一個“中轉函數”,所以而有了本碼。

代碼我上傳到github,目前只有java hook,我打算把目前的hook技術都集成到這里,包括inline hook, elf hook等等。

Ff枫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一个轻量级的安卓JavaHook插件
m0_70819702的博客
05-11 1116
一个轻量级的安卓JavaHook插件,无需强制解释执行,兼容JIT/AOT场景,支持线上使用。亦可基于该插件定制自己的框架
android java hook_Android-Java-Hook/Android Java Hook学习笔记.md at master · woxihuannisja/Android-Java-...
weixin_30446969的博客
02-16 265
Android Java Hook学习笔记前言在Android上面实现了java hook的框架有xposed,cydia 和 Cydia substrate的java hook教程substrate和adbi,其中开源的只有xposed和adbi,网上有许多xposed,虽然能够实现java hook,但是我们没有弄明白hook的原理,没有学习到任何东西。在看雪论坛看到一篇java hook的...
Android Hook Java
phoebe的专栏
07-23 2457
实现了一个脱离XPosed框架的Android Hook Java方法。其原理是注入某系统进程,使该进程加载某动态链接库,执行该库里的某函数,通过该函数执行某jar包里的java函数,然后执行hook进程中的java函数操作。其中Hook Java部分提取了XPosed框架中的hook原理。
Xposed Android Java Hook
huiguixian的专栏
05-13 3510
官网文档这个链接:https://github.com/rovo89/XposedBridge/wiki/Development-tutorial,看E文麻烦请看下面即可 Xposed Java Hook有点是非常简单,缺点是需要重启手机非常麻烦。 Xposed是AndroidJava层的开源Hook框架类似的有cydiasubstrate框架并且据说cydiasubstrate框架
Hook Java的的一个改进版本
热门推荐
简行之旅
09-29 2万+
Hook Java的的一个改进版本注入安卓进程,并Hook java世界方法》这篇好文相信大家都看这,里面所提到的方法估计大家也都试过。不过里面的所用的方法,我发现有两个可以改进的地方。 改进点一:更简单地修改java方法为本地方法 ... // hook method int argsSize = calcMethodArgsSize(method->sh
zfbhb30_Alipay_hook_android_androidpay_com.colin.payhelper.zip
10-10
【标题】"zfbhb30_Alipay_hook_android_androidpay_com.colin.payhelper.zip" 指示了这是一个与支付宝(Alipay)相关的项目,其中可能包含了对Android支付功能的hook技术实现。"hook"在编程中通常指的是在特定点拦截...
xposed hook java_[原创]Android Hook 系列教程(一) Xposed Hook 原理分析
weixin_42137028的博客
02-13 770
章节内容一. Android Hook 系列教程(一) Xposed Hook 原理分析二. Android Hook 系列教程(二) 自己写APK实现Hook Java层函数三. Android Hook 系列教程(三) Cydia Hook Native 原理分析四. Android Hook 系列教程(四) 自己写APK实现Hook Native层函数五. Android Hook 系列教...
frida hook java 函数_frida hook常用函数分享
weixin_39542742的博客
02-23 1091
本帖最后由 骇客之技术 于 2020-6-12 13:33 编辑1. 免写参数[JavaScript] 纯文本查看 复制代码// 函数原型 encodeRequest(int i, String str, String str2, String str3, String str4, String str5, byte[] bArr, int i2, int i3, String str6, byt...
注入安卓进程,并hook java世界方法
08-30
看雪大牛写的
java hook demo
04-09
java hook android hook java hook android hook java hook android hook
frida hook java 函数_基于frida框架Hook native中的函数(1)
weixin_39628380的博客
02-23 748
0x01 前言关于androidhook以前一直用的xposed来hook java层的函数,对于so层则利用adbi,但是不知道为什么adbi给我的体验并不是很好,刚好前段时间了解到frida框架支持android、ios、linux、windows、macos,而且在android设备上可以同时hook java、native十分方便,最重要的一点是不需要重启手机,于是就研究了一下0x02 ...
android javahook_Android Hook——Java2Java
weixin_39861255的博客
02-26 407
之前学习了如何做一个简单android的函数勾子, 而这个勾子是用native 的函数去hook java函数, 现在来学习如何封装让他可以实现java hook java不过不管怎么说, 这里已经不算是原理了, 因为原理就是改accessFlags并设置nativeFunc, 实际的hook 函数还是个native函数, 所以说这个是用这个原理来封装我们一般要hook一个方法, 有可能希望在三个...
Android Java层的hook检测(Cydia Substrate或者Xposed框架)
u012131859的博客
06-08 6843
参考原文 http://d3adend.org/blog/?p=589 参考翻译 http://drops.wooyun.org/tips/16356 注意:原文中第3个方法“检测并不应该native的native方法”没用实现。 检测代码如下: import java.io.BufferedReader; import java.io.FileReader; import
安卓 java hook调用so_Android JIN编程与Cydia hook So函数
weixin_39669163的博客
02-26 171
关于JNI的简介在上面已经说了,这篇文章要实现两个方面的内容,第一个是JNI编程的流程,将通过一个简单的SO函数做示例;另一个是使用Cydia对SO函数做hook操作;第一个方面是Android开发中常用的方式,如果要对native层进行逆向那么最好先理解native层开发的流程即JNI;Cydia对native的hook操作,基本要过时了,因为Cydia对Android的支持在Android4....
android hook 代理 java,Android Java Hook ~ Misaki’s Blog
weixin_36310597的博客
05-26 130
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?使用Inspeckage尝试hook其中的加密函数环境:夜神模拟器Inspeckage 2.3某收件APP获取关键参数安装app后,抓包看到如下参数在AK中搜索其中关键词fm和sign,搜索中发现sign过多,于是尝试搜索FM,搜索中发现如下class文件。打开Java源代码,在其中的一个void类型的b函数中发现关键。...
Android javahook------xposed框架的使用
最新发布
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
05-24 2516
xposed曾经是android平台上最好的javahook和调试工具,由于版本比较落后,目前只能支持到android6.0,故已经逐渐落伍。本文不涉及xposed的原理进行解释和探索,只想基于雷电模拟器,对xposed的使用方法做一个简单说明,以期能达到熟练使用的目的。
跟着鬼哥学android java hook(三)
听鬼哥说故事
09-01 5236
按照上文的约定,我们继续第三篇文章,找一个游戏来测试此框架和插件的稳定性。 一个解谜逃脱类的游戏,挺好玩的,我还是未破解情况下玩通上一个版本了,新版本其实也出来两三个月了,过了那个新鲜劲头,就直接破解得了。 游戏正常的破解方面,读者自己去搞吧,一般是看完我以前发过的所有文章,这个游戏是很简单搞定的,在这里,我们不用暴力破解的方式来搞,假设游戏里面加入了很多防护,如文件md5验证,dex修改,签
Android逆向入门:Python Crash Course聚焦Native C层Hook
Android是一个基于Linux内核的操作系统,它由三个主要层次组成:Java层、Native C层和Linux Kernel层。Java层主要使用Java语言进行应用程序开发,遵循SDK,提供的功能相对有限。Linux Kernel层则涉及系统底层,需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值