android调用python_Android逆向 | Xpose源码解析(一)

最新推荐文章于 2023-08-06 22:21:36 发布
最新推荐文章于 2023-08-06 22:21:36 发布
阅读量127 收藏
点赞数
文章标签: android调用python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39798626/article/details/113579137
版权

点击上方“咸鱼学Python”,选择“加为星标”

第一时间关注Python技术干货!

eaab831df4799e2ff65d8da129838061.png

选自《CSDN》

作者:sparktend

https://blog.csdn.net/a314131070/article/details/81092526

0x00 简介

•是什么: Xposed framework是一个基于Android系统实现的能够给用户提供修改系统层面或第三方APP功能的框架服务。•如何工作: Android中有一个叫做Zygote的核心进程,它会随Android系统的启动而启动,然后加载系统所需的类,最后再调用初始化方法。每一个APP的进程都是从Zygote进程fork出的子进程,这个进程的文件是/system/bin/app_process。当安装Xposed framework后,Xposed framework会替换一个新的app_process/system/bin/中,同时还会替换虚拟机和其他若干文件。Zygote启动时,会加载Xposed所需的JAR包(/data/data/de.robv.android.xposed.installer/bin/XposedBridge.jar)至系统目录,并启动Xposed替换的虚拟机。Xposed framework的主要接口由XposedBridge.jar提供,框架的核心功能在替换的虚拟机中实现。

0x01 示例代码

用户可以使用Xposed frameworkHook方法,下面是作者本人给出的一个示例:

package de.robv.android.xposed.mods.tutorial;import static de.robv.android.xposed.XposedHelpers.findAndHookMethod;import android.graphics.Color;import android.widget.TextView;import de.robv.android.xposed.IXposedHookLoadPackage;import de.robv.android.xposed.XC_MethodHook;import de.robv.android.xposed.callbacks.XC_LoadPackage.LoadPackageParam;public class Tutorial implements IXposedHookLoadPackage {    public void handleLoadPackage(final LoadPackageParam lpparam) throws Throwable {        if (!lpparam.packageName.equals("com.android.systemui"))            return;        findAndHookMethod("com.android.systemui.statusbar.policy.Clock", lpparam.classLoader, "updateClock", new XC_MethodHook() {            @Override            protected void afterHookedMethod(MethodHookParam param) throws Throwable {                TextView tv = (TextView) param.thisObject;                String text = tv.getText().toString();                tv.setText(text + " :)");                tv.setTextColor(Color.RED);            }        });    }}

这个示例代码实现了对Andoird系统时钟输出样子和颜色的修改,完整的源码地址是https://github.com/rovo89/XposedExamples/tree/master/RedClock。如此简单的几行代码,它的内部实现机制是怎么的呢?想知道这些,最好的办法当然是分析源码。

0x02 Hook流程分析

这里使用Xposed framework Hook java.net.URLEncoder类的encode方法作为例子分析,调用逻辑如下所示:

public class Tutorial implements IXposedHookLoadPackage {    public void handleLoadPackage(final LoadPackageParam lpparam) throws Throwable {        findAndHookMethod("java.net.URLEncoder", lpparam.classLoader, "encode", String.class, String.class, new XC_MethodHook() {            @Override            protected void beforeHookedMethod(MethodHookParam param) throws Throwable {            }            @Override            protected void afterHookedMethod(MethodHookParam param) throws Throwable {            }        });

handleLoadPackage会在任意一个APP加载的时候被调用,然后就可以在这个接口内部根据包名做逻辑判断,如果是Hook方法所在的包,则进一步调用findAndHookMethodHook指定的方法。通过findAndHookMethod()接口找到指定方法并进行Hook。它的参数较多,第一个参数是类名,第二个参数是类加载器,第三个参数是方法名,后面是可变参数,把方法的参数类型依次作为参数,最后一个参数是XC_MethodHook()对象。另外,在其内部重写beforeHookedMethodafterHookedMethod方法,这两个方法分别会在Hook方法执行的前后执行,用户可以在其中实现自己的逻辑。 findAndHookMethod这个接口的实现在XposedHelpers.java这个文件中,代码如下:

public static XC_MethodHook.Unhook findAndHookMethod(String className, ClassLoader classLoader, String methodName, Object... parameterTypesAndCallback) {    return findAndHookMethod(findClass(className, classLoader), methodName, parameterTypesAndCallback);}public static XC_MethodHook.Unhook findAndHookMethod(Class> clazz, String methodName, Object... parameterTypesAndCallback) {    if (parameterTypesAndCallback.length == 0 || !(parameterTypesAndCallback[parameterTypesAndCallback.length-1] instanceof XC_MethodHook))        throw new IllegalArgumentException("no callback defined");    XC_MethodHook callback = (XC_MethodHook) parameterTypesAndCallback[parameterTypesAndCallback.length-1];    Method m = findMethodExact(clazz, methodName, getParameterClasses(clazz.getClassLoader(), parameterTypesAndCallback));    return XposedBridge.hookMethod(m, callback);}

首先,接口内部会根据类名和类加载器查找Class对象,再根据Class对象和方法名去查找Method对象,最后调用XposedBridge.hookMethod完成对方法的Hook。看一下方法查找的实现:

public static Method findMethodExact(String className, ClassLoader classLoader, String methodName, Object... parameterTypes) {        return findMethodExact(findClass(className, classLoader), methodName, getParameterClasses(classLoader, parameterTypes));    }public static Method findMethodExact(Class> clazz, String methodName, Class>... parameterTypes) {        String fullMethodName = clazz.getName() + '#' + methodName + getParametersString(parameterTypes) + "#exact";        if (methodCache.containsKey(fullMethodName)) {            Method method = methodCache.get(fullMethodName);            if (method == null)                throw new NoSuchMethodError(fullMethodName);            return method;        }        try {            Method method = clazz.getDeclaredMethod(methodName, parameterTypes);            method.setAccessible(true);            methodCache.put(fullMethodName, method);            return method;        } catch (NoSuchMethodException e) {            methodCache.put(fullMethodName, null);            throw new NoSuchMethodError(fullMethodName);        }    }

findMethodExact内部,fullMethodName变量就是这个方法的完全表示名,形如java.net.URLEncoder#encode(java.lang.String,java.lang.String)#exact。使用方法的完全表示名在methodCache表中查询,如果这个Method对象在表中就从表中获取并返回,如果不在就创建一个新的Method“`对象放入表中并返回。

进一步看一下XposedBridge.hookMethod方法的实现,代码片段如下:

public static XC_MethodHook.Unhook hookMethod(Member hookMethod, XC_MethodHook callback) {    ...    CopyOnWriteSortedSet<XC_MethodHook> callbacks;    ...    callbacks.add(callback);    if (newMethod) {        Class> declaringClass = hookMethod.getDeclaringClass();        ...        AdditionalHookInfo additionalInfo = new AdditionalHookInfo(callbacks, parameterTypes, returnType);        hookMethodNative(hookMethod, declaringClass, slot, additionalInfo);    }    return callback.new Unhook(hookMethod);}private native synchronized static void hookMethodNative(Member method, Class> declaringClass, int slot, Object additionalInfo);

这里的逻辑比较清晰,如果这个方法不存在对应的回调对象集合,那么就创建一个并把回调对象放入这个集合中。然后如果是新Hook的方法,获取这个方法的参数和返回类型等信息作为参数去调用hookMethodNative方法,这是一个native方法,它注册的地方在libXposed_common.cpp中,注册逻辑如下:

#define NATIVE_METHOD(className, functionName, signature) \  { #functionName, signature, reinterpret_cast(className ## _ ## functionName) }int register_natives_XposedBridge(JNIEnv* env, jclass clazz) {    const JNINativeMethod methods[] = {        ...        NATIVE_METHOD(XposedBridge, hookMethodNative, "(Ljava/lang/reflect/Member;Ljava/lang/Class;ILjava/lang/Object;)V"),        ...    };    return env->RegisterNatives(clazz, methods, NELEM(methods));}

NATIVE_METHOD是一个宏定义,根据这个宏定义,进一步找到hookMethodNative对应的native方法是XposedBridge_hookMethodNative。这里以art为例,这个方法的实现在libXposed_art.cpp文件中,代码如下:

void XposedBridge_hookMethodNative(JNIEnv* env, jclass, jobject javaReflectedMethod,            jobject, jint, jobject javaAdditionalInfo) {    ...    // Get the ArtMethod of the method to be hooked.    ScopedObjectAccess soa(env);    ArtMethod* artMethod = ArtMethod::FromReflectedMethod(soa, javaReflectedMethod);    // Hook the method    artMethod->EnableXposedHook(soa, javaAdditionalInfo);}

通过FromReflectedMethod获取要Hook方法对应的ArtMethod对象,然后再调用EnableXposedHook接口。在art虚拟机中,每一个加载的类方法都有一个对应的ArtMethod对象,它的实现在ArtMethod.cc中,下面是EnableXposedHook方法的代码实现:

void ArtMethod::EnableXposedHook(ScopedObjectAccess& soa, jobject additional_info) {  ...  // Create a backup of the ArtMethod object  auto* cl = Runtime::Current()->GetClassLinker();  ArtMethod* backup_method = cl->AllocArtMethodArray(soa.Self(), 1);  backup_method->CopyFrom(this, cl->GetImagePointerSize());  backup_method->SetAccessFlags(backup_method->GetAccessFlags() | kAccXposedOriginalMethod);  // Create a Method/Constructor object for the backup ArtMethod object  mirror::AbstractMethod* reflect_method;  if (IsConstructor()) {    reflect_method = mirror::Constructor::CreateFromArtMethod(soa.Self(), backup_method);  } else {    reflect_method = mirror::Method::CreateFromArtMethod(soa.Self(), backup_method);  }  reflect_method->SetAccessible(true);  // Save extra information in a separate structure, stored instead of the native method  XposedHookInfo* hookInfo = reinterpret_cast<XposedHookInfo*>(calloc(1, sizeof(XposedHookInfo)));  hookInfo->reflectedMethod = soa.Vm()->AddGlobalRef(soa.Self(), reflect_method);  hookInfo->additionalInfo = soa.Env()->NewGlobalRef(additional_info);  hookInfo->originalMethod = backup_method;  SetEntryPointFromJni(reinterpret_cast<uint8_t*>(hookInfo));  ThreadList* tl = Runtime::Current()->GetThreadList();  soa.Self()->TransitionFromRunnableToSuspended(kSuspended);  tl->SuspendAll("Hooking method");  {    MutexLock mu(soa.Self(), *Locks::thread_list_lock_);    tl->ForEach(StackReplaceMethod, this);  }  tl->ResumeAll();  soa.Self()->TransitionFromSuspendedToRunnable();  SetEntryPointFromQuickCompiledCode(GetQuickProxyInvokeHandler());  SetEntryPointFromInterpreter(artInterpreterToCompiledCodeBridge);  // Adjust access flags  SetAccessFlags((GetAccessFlags() & ~kAccNative & ~kAccSynchronized) | kAccXposedHookedMethod);}

这部分代码是关键所在,首先创建一个备份的ArtMethod,并添加访问标志位kAccXposedOriginalMethod,表示其为Hook方法的原方法,然后为备份的ArtMethod创建对应的Method对象。把Method对象、方法额外信息和原始方法保存至XposedHookInfo结构体中,并调用SetEntryPointFromJni()把这个结构体变量的内存地址保存在ArtMethod对象中。这个位置原本是用来保存native方法的入口地址的,既然使用了这个位置,那么就必须把对应的标志位清除,代码实现的最后调用SetAccessFlags((GetAccessFlags() & ~kAccNative & ~kAccSynchronized) | kAccXposedHookedMethod)来完成标志位的清除。这并不会有问题,此时这个ArtMethod对象对应是Hook后的方法,这个方法的实现不是native的。接着看下面的代码逻辑,需要结合StackReplaceMethod()的实现来分析:

static void StackReplaceMethod(Thread* thread, void* arg) SHARED_LOCKS_REQUIRED(Locks::mutator_lock_) {  struct StackReplaceMethodVisitor FINAL : public StackVisitor {    StackReplaceMethodVisitor(Thread* thread_in, ArtMethod* search, ArtMethod* replace)        : StackVisitor(thread_in, nullptr, StackVisitor::StackWalkKind::kSkipInlinedFrames),          search_(search), replace_(replace) {};    bool VisitFrame() SHARED_LOCKS_REQUIRED(Locks::mutator_lock_) {      if (GetMethod() == search_) {        SetMethod(replace_);      }      return true;    }    ArtMethod* search_;    ArtMethod* replace_;  };  ArtMethod* search = reinterpret_cast<ArtMethod*>(arg);  // We cannot use GetXposedOriginalMethod() because the access flags aren't modified yet.  auto hook_info = reinterpret_cast<const XposedHookInfo*>(search->GetEntryPointFromJni());  ArtMethod* replace = hook_info->originalMethod;  StackReplaceMethodVisitor visitor(thread, search, replace);  visitor.WalkStack();}

它实现的功能是挂起所有线程并在每一个线程中查找是否存在这个修改后的ArtMethod对象,有就替换成未修改前的ArtMethod对象。

再回到EnableXposedHook中,接着调用SetEntryPointFromQuickCompiledCode(GetQuickProxyInvokeHandler())和SetEntryPointFromInterpreter(artInterpreterToCompiledCodeBridge)分别设置机器指令和解释器的入口地址。从解释器入口进入之后会调用artInterpreterToCompiledCodeBridge,下面是artInterpreterToCompiledCodeBridge代码片段:

extern "C" void artInterpreterToCompiledCodeBridge(Thread* self, const DexFile::CodeItem* code_item,                                                   ShadowFrame* shadow_frame, JValue* result) {  ...  method->Invoke(self, shadow_frame->GetVRegArgs(arg_offset),                 (shadow_frame->NumberOfVRegs() - arg_offset) * sizeof(uint32_t),                 result, method->GetInterfaceMethodIfProxy(sizeof(void*))->GetShorty());}

前面的代码逻辑都先不用关注,看最后一行调用了ArtMehodInvoke方法,这正是机器指令执行的路径。所以说,当被Hook的方法被调用时,不管是机器指令还是解释器执行的,都会进入ArtMethod::Invoke()中,下面是它的代码片段:

void ArtMethod::Invoke(Thread* self, uint32_t* args, uint32_t args_size, JValue* result, const char* shorty) {    ...    if (LIKELY(have_quick_code)) {      if (!IsStatic()) {        (*art_quick_invoke_stub)(this, args, args_size, self, result, shorty);      } else {        (*art_quick_invoke_static_stub)(this, args, args_size, self, result, shorty);      }    }    ...}

ArtMethod::Invoke()会进一步调用art_quick_invoke_stubart_quick_invoke_stub的内部实现是汇编语言的,art_quick_invoke_stub与具体的机器架构相关,这里以arm架构为例:

ENTRY art_quick_invoke_stub    push   {r0, r4, r5, r9, r11, lr}       @ spill regs    .save  {r0, r4, r5, r9, r11, lr}    .pad #24    .cfi_adjust_cfa_offset 24    .cfi_rel_offset r0, 0    .cfi_rel_offset r4, 4    .cfi_rel_offset r5, 8    .cfi_rel_offset r9, 12    .cfi_rel_offset r11, 16    .cfi_rel_offset lr, 20    mov    r11, sp                         @ save the stack pointer    .cfi_def_cfa_register r11    mov    r9, r3                          @ move managed thread pointer into r9#ifdef ARM_R4_SUSPEND_FLAG    mov    r4, #SUSPEND_CHECK_INTERVAL     @ reset r4 to suspend check interval#endif    add    r5, r2, #4                      @ create space for method pointer in frame    sub    r5, sp, r5                      @ reserve & align *stack* to 16 bytes: native calling    and    r5, #0xFFFFFFF0                 @ convention only aligns to 8B, so we have to ensure ART    mov    sp, r5                          @ 16B alignment ourselves.    add    r0, sp, #4                      @ pass stack pointer + method ptr as dest for memcpy    bl     memcpy                          @ memcpy (dest, src, bytes)    ldr    r0, [r11]                       @ restore method*    ldr    r1, [sp, #4]                    @ copy arg value for r1    ldr    r2, [sp, #8]                    @ copy arg value for r2    ldr    r3, [sp, #12]                   @ copy arg value for r3    mov    ip, #0                          @ set ip to 0    str    ip, [sp]                        @ store NULL for method* at bottom of frame    ldr    ip, [r0, #METHOD_QUICK_CODE_OFFSET_32]  @ get pointer to the code    blx    ip                              @ call the method    mov    sp, r11                         @ restore the stack pointer    ldr    ip, [sp, #24]                   @ load the result pointer    strd   r0, [ip]                        @ store r0/r1 into result pointer    pop    {r0, r4, r5, r9, r11, lr}       @ restore spill regs    .cfi_restore r0    .cfi_restore r4    .cfi_restore r5    .cfi_restore r9    .cfi_restore lr    .cfi_adjust_cfa_offset -24    bx     lrEND art_quick_invoke_stub

汇编指令blx ip跳转到entry_point_from_compiled_code_指定的地址,这个地址就是通过SetEntryPointFromQuickCompiledCode()函数设置的,可知此时执行流跳入到GetQuickProxyInvokeHandler()的地址中,即artQuickProxyInvokeHandler:

runtime_asm_entrypoints.hextern "C" void art_quick_proxy_invoke_handler();static inline const void* GetQuickProxyInvokeHandler() {   return reinterpret_cast<const void*>(art_quick_proxy_invoke_handler);}quick_trampoline_entrypoint.ccextern "C" uint64_t artQuickProxyInvokeHandler(    ArtMethod* proxy_method, mirror::Object* receiver, Thread* self, ArtMethod** sp) {        ...          if (is_xposed) {            jmethodID proxy_methodid = soa.EncodeMethod(proxy_method);            self->EndAssertNoThreadSuspension(old_cause);            JValue result = InvokeXposedHandleHookedMethod(soa, shorty, rcvr_jobj, proxy_methodid, args);            local_ref_visitor.FixupReferences();            return result.GetJ();          }        ...    }

这个代理方法会判断当前是否是xposed环境,如果是就调用InvokeXposedHandleHookedMethod()方法。

JValue InvokeXposedHandleHookedMethod(ScopedObjectAccessAlreadyRunnable& soa, const char* shorty, jobject rcvr_jobj, jmethodID method, std::vector& args) {      ...      const XposedHookInfo* hookInfo = soa.DecodeMethod(method)->GetXposedHookInfo();        // Call XposedBridge.handleHookedMethod(Member method, int originalMethodId, Object additionalInfoObj,  //                                      Object thisObject, Object[] args)  jvalue invocation_args[5];  invocation_args[0].l = hookInfo->reflectedMethod;  invocation_args[1].i = 1;  invocation_args[2].l = hookInfo->additionalInfo;  invocation_args[3].l = rcvr_jobj;  invocation_args[4].l = args_jobj;  jobject result =      soa.Env()->CallStaticObjectMethodA(ArtMethod::xposed_callback_class,                                         ArtMethod::xposed_callback_method,                                         invocation_args);        ...}

这个方法的内部实现是,先获取保存在ArtMethod对象中的XposedHookInfo数据,然后通过CallStaticObjectMethodA接口调用XposedBridge.handleHookedMethod()方法,注意此时已经从native中跳入到JAVA里了。继续看XposedBridge.handleHookedMethod()方法的实现:

 private static Object handleHookedMethod(Member method, int originalMethodId, Object additionalInfoObj,            Object thisObject, Object[] args) throws Throwable {        ...                MethodHookParam param = new MethodHookParam();        param.method = method;        param.thisObject = thisObject;        param.args = args;        // call "before method" callbacks        int beforeIdx = 0;        do {            try {                ((XC_MethodHook) callbacksSnapshot[beforeIdx]).beforeHookedMethod(param);            } catch (Throwable t) {                XposedBridge.log(t);                // reset result (ignoring what the unexpectedly exiting callback did)                param.setResult(null);                param.returnEarly = false;                continue;            }            if (param.returnEarly) {                // skip remaining "before" callbacks and corresponding "after" callbacks                beforeIdx++;                break;            }        } while (++beforeIdx < callbacksLength);        // call original method if not requested otherwise        if (!param.returnEarly) {            try {                param.setResult(invokeOriginalMethodNative(method, originalMethodId,                        additionalInfo.parameterTypes, additionalInfo.returnType, param.thisObject, param.args));            } catch (InvocationTargetException e) {                param.setThrowable(e.getCause());            }        }        // call "after method" callbacks        int afterIdx = beforeIdx - 1;        do {            Object lastResult =  param.getResult();            Throwable lastThrowable = param.getThrowable();            try {                ((XC_MethodHook) callbacksSnapshot[afterIdx]).afterHookedMethod(param);            } catch (Throwable t) {                XposedBridge.log(t);                // reset to last result (ignoring what the unexpectedly exiting callback did)                if (lastThrowable == null)                    param.setResult(lastResult);                else                    param.setThrowable(lastThrowable);            }        } while (--afterIdx >= 0);        // return        if (param.hasThrowable())            throw param.getThrowable();        else            return param.getResult();    }

进入handleHookedMethod()后,首先调用所有before method的回调方法,然后调用原始方法,最后调用所有after method的回调方法。到这里就可以看出跟之前应用层的代码形成的对应关系。

Xposed framework通过invokeOriginalMethodNative方法去调用原方法,其对应的native方法如下:

jobject XposedBridge_invokeOriginalMethodNative(JNIEnv* env, jclass, jobject javaMethod,            jint isResolved, jobjectArray, jclass, jobject javaReceiver, jobjectArray javaArgs) {    ScopedFastNativeObjectAccess soa(env);    if (UNLIKELY(!isResolved)) {        ArtMethod* artMethod = ArtMethod::FromReflectedMethod(soa, javaMethod);        if (LIKELY(artMethod->IsXposedHookedMethod())) {            javaMethod = artMethod->GetXposedHookInfo()->reflectedMethod;        }    }#if PLATFORM_SDK_VERSION >= 23    return InvokeMethod(soa, javaMethod, javaReceiver, javaArgs);#else    return InvokeMethod(soa, javaMethod, javaReceiver, javaArgs, true);#endif}

InvokeMethod()的实现在Reflection.cc中,代码如下所示:

jobject InvokeMethod(const ScopedObjectAccessAlreadyRunnable& soa, jobject javaMethod,  ...  mirror::ArtMethod* m = mirror::ArtMethod::FromReflectedMethod(soa, javaMethod);  ...  // Invoke the method.  JValue result;  uint32_t shorty_len = 0;  const char* shorty = m->GetShorty(&shorty_len);  ArgArray arg_array(shorty, shorty_len);  StackHandleScope<1> hs(soa.Self());  MethodHelper mh(hs.NewHandle(m));  if (!arg_array.BuildArgArrayFromObjectArray(soa, receiver, objects, mh)) {    CHECK(soa.Self()->IsExceptionPending());    return nullptr;  }  InvokeWithArgArray(soa, m, &arg_array, &result, shorty);

通过FromReflectedMethod()获取到Method对象对应的ArtMethod对象,这个就是在Hook时创建的原始ArtMethod对象的备份。然后,再通过InvokeWithArgArray调用原始的方法。

0x03 总结

至此,完成了对Xposed framework Hook的源码分析。我们再整体看一下它的流程,当Hook一个方法时,首先需要提供方法的所在的包名、方法名、参数类型以及回调对象去调用Hook接口;Xposedart虚拟机中找到方法对应的ArtMethod对象,备份这个ArtMethod对象,然后修改这个对象的解释器和机器指令入口,关键所在。然后把每个线程中加载的这个被修改后的ArtMethod对象替换成原始备份的ArtMethod对象。最后在修改的机器指令入口地址指向的函数里,实现回调方法和原始方法的调用。

很多细节还没有涉及,下面会从/system/bin/app_process的实现着手分析其框架部分代码的实现。

7dd29d10a83b1f93888c6e10ef0f234f.png

喜欢文章,点个在看 9b8aa4aa3b844ea4f25dc920de82fcc0.png

weixin_39798626
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Xposed 入门- 第一个 Xposed App
Antman的博客
09-29 1478
这里写自定义目录标题第一个Xposed App 第一个Xposed App Xposed 环境说明: 手机型号:XiaoMi Mix 2s Android 版本:9.0 Xposed 搭建: Magisk (version:19.3) EdXposed Core (Magisk 模块内下载) EdXposed Manager (Magisk 模块内下载) Xposed Install (apk...
[免费专栏] Android安全之Android Xposed插件开发,小白都能看得懂的教程
橙留香Park的博客
08-08 8049
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
《教我兄弟学Android逆向13 xpose改机开发01-环境设置》
会飞的丑小鸭的博客
06-25 1056
01.手机关机 同时按电源键和音量上键等到屏幕亮后松开电源键进入到TWRP界面,把附件中的Magisk-v19.3.zip通过电脑放入到手机sd卡目录下,点Install选择magisk进行刷入 刷入完成后点Reboot System重启系统。我们了解了xpose的基本原理并一起搭建了xpose的hook环境,你也很好的完成了课后作业,但是通过后面的测试练习你发现xpose在不同系统环境的安装方法是不一样的,在我们之前的低系统手机上面直接安装就能用了,但是到高一点的系统上面会提示。
Xposed框架开发
最新发布
AdrianAndroid的专栏
08-06 1362
Xposed_zygote进程启动后会初始化一些so文件(/system/lib、/system/lib64),然后。Zygote是Android的核心,每运行一个app,Zygote就会fork一个虚拟机实例来运行app,执行文件是/system/bin/app_process,这个文件完成类库加载及一些函数调用的工作。当系统启动的时候,就会加载由 Xposed Framework 替换过的进程文件,并且,Xposed。Zygote的启动配置在init.rc 脚本中,由系统启动的时候开启此进程,对应的。
Xpose学习笔记
kernweak的博客
06-04 1765
Xpose原理 控制zygote进程,通过替换/system/bin/app_precess程序控制zygote进程,使它在系统启动过程中加载Xposed framework的一个jar文件即XposedBridge.jar,从而完成对Zygote进程及创建的Dalvik/ART虚拟机的劫持,并且能够允许开发者独立替代任何class,例如framework本身,系统UI或者随意一个app。 控制程序两种方式,通过attach之后ptrace调试器,通过定制rom。 Xpose安装 Android5.0以后:
免root实现 Android改机(一键新机)技术解密。
01-20
此篇文章仅探讨Android底层技术。不提供任何软件和安装包…… 我们通过一些底层技术对手机中的各种基础信息进行一个修改。 举例说明:主要修改的参数有: Android_Id、IMEI、手机序列号、手机号码、WIFI-MAC、WIFI-...
Xpose框架的源码
04-11
Xpose框架是一个强大的Android系统修改工具,它允许开发者在不修改APK的情况下影响应用程序的行为,提供了对系统级功能的深入访问。Xposed框架的核心在于它的模块系统,这些模块可以注入到任何应用程序中,实现诸如...
一个基于xposed和inline hook的一代壳脱壳工具
07-03
原理 原理就是去hook libart.so里面的art::DexFile::OpenMemory,然后再把内存中的dex写到文件中去。就是这么简单,最主要的就是hook的...这里要感谢ele7enxxh提供的Android-Inline-Hook来让我可以对native层的hook。
xpose适配模拟器版本(1).rar
12-20
Xpose是一款功能强大的安卓系统模块化工具,允许用户自定义和扩展安卓系统的功能,通常用于开发者测试、性能优化或者普通用户个性化设置。在安卓模拟器上使用Xpose,可以为开发和测试提供极大的便利,例如调试应用、...
android开发人员岗位职责.docx
12-19
1. 规律思维清楚,有做过 xpose,vitualXpose 插件开发优先,由逆向和具体分析过别人 app 为加分点。 2. 两年及以上 Android 应用开发经验,对 Android 的 UI、组件、性能优化、内存优化等有深入实践,有良好的编程...
Xposed自动发微信朋友圈(微信6.6.7测试通过)
06-03
Xposed控制微信的源代码:自动发送朋友圈,微信6.6.7测试通过。 点开微信后,直接跳转到微信朋友圈,自动发送手机中指定的一个小视频(指定视频封面)。 在微信6.6.7,安卓5.0真机上实测通过。
xpose安卓手机框架
01-05
xpose安卓手机框架
Android java层hook------xposed框架的使用
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
05-24 2250
xposed曾经是android平台上最好的java层hook和调试工具,由于版本比较落后,目前只能支持到android6.0,故已经逐渐落伍。本文不涉及xposed的原理进行解释和探索,只想基于雷电模拟器,对xposed的使用方法做一个简单说明,以期能达到熟练使用的目的。
xposed、frida、以及平头哥框架三者区别
weixin_44236034的博客
11-03 4263
frida是一款便携的、自由的、支持全平台的hook框架,可以通过编写JavaScript、Python代码来和frida_server端进行交互,还记得当年用xposed时那种写了一大堆代码每次修改都要重新打包安装重启手机、那种调试调到头皮发麻的痛苦,百分之30的时间都是在那里安装重启安装重启。1、开发体验上:xposed 每次修改都需要重启,开发时候比较麻烦,frida,相对比较灵活,可以不重启手机跟应用,直接进行注入,平头哥框架介于两者之间,只需要进行重新重启应用。
Xposed入门教程
热门推荐
lemisky的博客
08-27 3万+
2019年8月27日16时51分47秒 以前一直没机会接触Android Hook方式的逆向 今天有空试了下,以前也很少写这种东西, 今天第一次,认真写下,记录一下
Android Java代码调用Python代码
ezconn的博客
06-27 6032
一,通过CLE实现 CLE官网 http://www.srplab.com/cn/files/products.html 下载 1,打开官网下载Android平台对应的download和android.python.x.x.x版本,这两个都要下载; 2,download下的文件提供了不同API平台使用的.so库(例如:armeabi下的libstar_java.so,libstar_python.so,libstarcore.so,libstarpy.so,也就是出libpython3.9..
Xposed原理简介及其精简化
05-14 973
Xposed原理简介及其精简化 Xposed是⼀个很强⼤的Android平台上的HOOK⼯具,⽽且作者为了⽅便开发者使⽤开发了⼀个APP(Xposed Installer,下⽂称为Installer) 来使⽤开发者⾃⼰开发的模块。开发者安装⾃⼰的模块后需要在Installer中勾选⾃⼰的模块然后重启⼿机⾃⼰的模块才会起作⽤。但是这样有点不 利于开发者测试,每次都要点开Installer操作⼏下尤...
Android笔记-Xposed的使用(Hook登录函数获取用户名密码)
IT1995的博客
07-27 1500
如这个APP例子: 点击登录,Xposed打印: 对应的Java代码: 这里可以看到其包名为hfdcxy.com.myapplication 函数为check。 Xposed关键函数如下: public class HookUtils implements IXposedHookLoadPackage { @Override public void handleLoadPackage(XC_LoadPackage.LoadPackageParam load..
一种简单的java函数hook思路
大数据安全技术学习
10-14 1947
一种简单的java函数hook思路 总结 本文取自《深入理解android java虚拟机art》第10章,在读书过程中总结的一些能让自己豁然开朗的点,通过这些点我发现了hook java函数的方法,有了此文。 LinkCode LinkCode函数当中有个重要的过程,就是GetEntryPointFromQuickCompiledCode函数,他的返回值也就是quick_code为空的话代表该方法没有进行编译,在oat文件当中没有对应的汇编代码,需要进入解释执行模式而不是jit,这里有一个分支,如果Art
python xposed_Xposed应用的开发
weixin_39982568的博客
12-19 292
一. xposed原理Xposed的底层原理是通过替换/system/bin/app_precesss 程序控制zygote进程,使得它在系统启动的过程中会加载Xposed framework的一个jar文件即XposedBridge.jar,从而完成对Zygote进程及其创建的Dalvik虚拟机的劫持,并且能够允许开发者独立的替代任何class二. 安装xposed框架条件使用设备需要root下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值