java hook 和反射_Java反射与hook混用反射某支付的方法

最新推荐文章于 2023-08-11 11:00:21 发布
最新推荐文章于 2023-08-11 11:00:21 发布
阅读量239 收藏
点赞数
文章标签: java hook 和反射
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39805387/article/details/114123316
版权

反射某支付软件apk的方法 思路:

1、可以先取得某支付软件的classLoader,可以通过hook某支付软件的必须方法(如:LauncherActivity的attachBaseContext方法)来取得某支付软件classLoader;

2、取得某支付软件的classLoader,则可以查找某支付软件dex中的所有方法和变量,就反射某支付软件的方法和变量了;

注意:在activity中,反射生命周期中赋值的成员变量时,需要取得当前打开的activity的对象,再在此基础上反射对象中的成员变量。(activity类和普通类的反射区别)

比如反射PayeeQRSetMoneyActivity中的方法和变量,代码如下:

private void hookLaunch(final ClassLoader classLoader)

{

XposedHelpers.findAndHookMethod("com.***.***.quinox.LauncherActivity", classLoader,

"attachBaseContext", Context.class, new XC_MethodHook()

{

@Override

protected void beforeHookedMethod(MethodHookParam param) throws Throwable

{

LogUtil.i("????", "start hook hookLaunch beforeHookedMethod...");

super.beforeHookedMethod(param);

doReflect(classLoader);

}

@Override

protected void afterHookedMethod(MethodHookParam param) throws Throwable

{

super.afterHookedMethod(param);

}

});

}

private void doReflect(ClassLoader classLoader)

{

try

{

//反射成员变量g

Class> aClass = classLoader.loadClass("com.***.***.payee.ui.PayeeQRSetMoneyActivity");

Object instance = aClass.newInstance();

Field field = aClass.getField("g");

field.set(instance,"1000");

LogUtil.i("????","filed value = "+field.get(instance)); //输出为“filed value = 1000”

//反射方法a

Method method = aClass.getDeclaredMethod("a");

method.invoke(instance);

LogUtil.i("????","reflect method end...");

} catch (Exception e)

{

e.printStackTrace();

}

}

上述代码能反射成员变量g,并改变a的值;

但是反射方法a时,抛出空指针异常,指向method.invoke(instance); 观察a方法发源码:

final void a() {

ConsultSetAmountReq v0 = new ConsultSetAmountReq();

v0.amount = this.g;

v0.desc = this.c.getUbbStr();

v0.sessionId = this.h;

new RpcRunner(new dk(this), new dj(this)).start(new Object[]{v0});

}

由于this.g能正常赋值,并且hook getUbbStr()方法的流程并未进入,因为可能是this.c空指针;最后通过反射成员变量c,确实取得null。

观察源码发现this.c在onCreate方法中初始化,所以就想通过反射onCreate使this.c的初始化工作执行完成,但是忘记了activity的生命周期,得到的结果是成员变量c仍然为空。

private static void doReflectOnCreate(ClassLoader classLoader)

{

try

{

Class> aClass = classLoader.loadClass("com.***.***.payee.ui.PayeeQRSetMoneyActivity");

Object instance = aClass.newInstance();

Method onCreate = aClass.getDeclaredMethod("onCreate", Bundle.class);

LogUtil.i("????","onCreate = "+onCreate);

onCreate.invoke(instance, new Bundle());

Field field = aClass.getField("c");

LogUtil.i("????","filed value = "+field.get(instance));

//反射方法a

Method method = aClass.getDeclaredMethod("a");

method.invoke(instance);

LogUtil.i("????","reflect method end...");

} catch (Exception e)

{

e.printStackTrace();

}

}

onCreate.invoke(instance, new Bundle());这句话报空指针,最后听说直接反射onCreate方法是不行的,因为除了onCreate方法,还有很多系统帮忙调用的方法,一一反射调用也是很大的工程,因为就放弃了。

所以当需要反射activity的生命周期方法时,最后是打开activity让系统帮忙调用。但是不能像上述那样,使用classLoader直接loadClass,因为loadClass是重新加载一次PayeeQRSetMoneyActivity类,与当前打开的页面不处于同一个对象。因此得到的结果是:直接打开activity可以取得已赋值的成员变量viewById的值,但是loadClass反射的成员变量viewById取得的结果为空。

因此在activity中,反射生命周期中赋值的成员变量时,需要取得当前打开的activity的对象,再在此基础上反射对象中的成员变量。

private static void getCInstance(final ClassLoader classLoader)//, final Object[] objects)

{

new Thread(new Runnable()

{

@Override

public void run()

{

try

{

Thread.sleep(200);//睡眠是为了等待页面打开

//获取activity对象,执行生码

Activity activity = Util.getActivity();

if (activity != null)

{

Class extends Activity> aClass = activity.getClass();

//获取C

Field field = aClass.getDeclaredField("c");

field.setAccessible(true);

Object cObj = field.get(activity);

LogUtil.i("????", "end getCInstance field c = " + cObj);

if (cObj != null)

{

Field gField = aClass.getDeclaredField("g");

gField.set(activity,"100");

LogUtil.i("????", "end setMoney = " + gField.get(activity));

Method method = aClass.getDeclaredMethod("a");

LogUtil.i("????", "invokeCreateQrCode method = " + method);

method.setAccessible(true);

method.invoke(activity);

LogUtil.i("????", "end invokeCreateQrCode");

}

}

} catch (Exception e)

{

e.printStackTrace();

}

}

}).start();

}

//获取栈中,paused为FALSE的activity的对象,即没有被onPause的页面对象,即当前可视的

public static Activity getActivity() {

Class activityThreadClass = null;

try {

activityThreadClass = Class.forName("android.app.ActivityThread");

Object activityThread = activityThreadClass.getMethod("currentActivityThread").invoke(null);

Field activitiesField = activityThreadClass.getDeclaredField("mActivities");

activitiesField.setAccessible(true);

Map activities = (Map) activitiesField.get(activityThread);

Collection values = activities.values();

for (Object activityRecord : values) {

Class activityRecordClass = activityRecord.getClass();

Field pausedField = activityRecordClass.getDeclaredField("paused");

pausedField.setAccessible(true);

boolean aBoolean = pausedField.getBoolean(activityRecord);

if (!aBoolean) {

Field activityField = activityRecordClass.getDeclaredField("activity");

activityField.setAccessible(true);

Activity activity = (Activity) activityField.get(activityRecord);

return activity;

}

}

} catch (Exception e) {

e.printStackTrace();

}

return null;

}

此时获取到的变量c是已经赋值后的,因此再反射调用a方法的时候,不会再报空指针。

最后发现并不需要hook某支付软件取得某支付软件的classload,只要当前可视activity的对象即可反射某支付软件当前打开页面中的方法。系统提供了当前打开的activity的对象,再获得该对象的Class和classloader即可反射该activity的方法和变量。

某支付软件PayeeQRSetMoneyActivity的源码:

package com.***.***.payee.ui;

import android.content.Context;

import android.content.Intent;

import android.os.Bundle;

import com.alipay.android.hackbyte.ClassVerifier;

import com.***.***.beehive.rpc.RpcRunner;

import com.***.***.beehive.util.KeyBoardUtil;

import com.***.***.common.logging.api.LoggerFactory;

import com.***.***.commonui.inputfomatter.APMoneyFormatter;

import com.***.***.commonui.widget.APButton;

import com.***.***.commonui.widget.APInputBox;

import com.***.***.commonui.widget.APTextView;

import com.***.***.framework.app.ui.BaseActivity;

import com.***.***.framework.service.common.RpcService;

import com.***.***.payee.R$id;

import com.***.***.payee.R$layout;

import com.***.***.payee.R$string;

import com.***.***.payee.util.Logger;

import com.***.***.payee.util.SpmHelper;

import com.alipay.transferprod.rpc.CollectMoneyRpc;

import com.alipay.transferprod.rpc.req.ConsultSetAmountReq;

import com.alipay.transferprod.rpc.result.ConsultSetAmountRes;

public class PayeeQRSetMoneyActivity extends BaseActivity {

public static final Logger a;

protected APInputBox b;

protected APInputBox c;

protected APTextView d;

protected APButton e;

CollectMoneyRpc f;

String g;

private String h;

static {

PayeeQRSetMoneyActivity.a = Logger.a(PayeeQRSetMoneyActivity.class);

}

public PayeeQRSetMoneyActivity() {

super();

this.g = "";

if(Boolean.FALSE.booleanValue()) {

ClassVerifier.class.toString();

}

}

final void a() {

ConsultSetAmountReq v0 = new ConsultSetAmountReq();

v0.amount = this.g;

v0.desc = this.c.getUbbStr();

v0.sessionId = this.h;

new RpcRunner(new dk(this), new dj(this)).start(new Object[]{v0});

}

protected final void a(ConsultSetAmountRes arg2) {

this.runOnUiThread(new di(this, arg2));

}

protected void onCreate(Bundle arg5) {

int v3 = 2;

super.onCreate(arg5);

this.f = this.mApp.getServiceByInterface(RpcService.class.getName()).getRpcProxy(CollectMoneyRpc.class);

Intent v0 = this.getIntent();

if(v0 != null) {

try {

this.h = v0.getStringExtra("sessionId");

}

catch(Exception v0_1) {

LoggerFactory.getTraceLogger().warn(PayeeQRPayerPayResultActivity.class.getSimpleName(), ((Throwable)v0_1));

}

}

this.setContentView(R$layout.payee_qr_set_money);

this.b = this.findViewById(R$id.payee_QRmoneySetInput);

this.c = this.findViewById(R$id.payee_QRmoneySetBeiZhuInput);

this.d = this.findViewById(R$id.payee_QRAddBeiZhuLink);

this.e = this.findViewById(R$id.payee_NextBtn);

this.getWindow().setSoftInputMode(16);

this.d.setOnClickListener(new df(this));

this.e.setOnClickListener(new dg(this));

this.c.setInputName(this.getString(R$string.payee_reason), v3);

this.b.setInputName(this.getString(R$string.payee_money), v3);

this.b.addTextChangedListener(new dh(this));

this.b.setTextFormatter(new APMoneyFormatter());

this.b.getEtContent().requestFocus();

KeyBoardUtil.showSoftInput(((Context)this), this.b.getEtContent(), 0, 1);

}

protected void onPause() {

super.onPause();

SpmHelper.b("a87.b1481", this);

}

protected void onResume() {

super.onResume();

SpmHelper.a("a87.b1481", this);

}

}

YunSoul技术分享,扫码关注微信公众号

——只要你学会了之前所不会的东西,只要今天的你强过了昨天的你,那你就一直是在进阶的路上了。

353058.html

weixin_39805387
关注
jnativehook_java键盘钩子_hookapi_jnativehook_
10-04
标题中的“jnativehook_java键盘钩子_hookapi_jnativehook”指的是Java中使用JNativeHook库来实现系统级键盘钩子的功能。JNativeHook是一个开源的Java库,它允许开发者在本地平台上设置全局键盘和鼠标事件监听器,而...
Java基于反射和动态代理实现Hook(钩子)功能
最新发布
FLGB
09-26 1643
Java中,可以通过反射和动态代理实现Hook(钩子)功能,使程序能够在特定的时间点插入自定义代码,以实现定制化的逻辑。Hook功能常用于AOP(面向切面编程)或拦截器等场景。
反射基本概念与Class(四):Hook技术动态编程
bugyinyin的博客
12-10 311
背景介绍 很多时候系统处于安全考虑,将很多东西对外隐藏,而有时我们偏偏又不得不去使用这些隐藏的东西。甚至,我们希望向系统中注入一些自己的代码,以提高程序的灵活性。刚好有这么一种特殊的回调模式,Hook模式可以实现上述愿景。 Hook动态注入代码 Hook机制是回调机制的一种,普通的回调是静态的,我们必须提前写好回调接口;而Hook机制在Java中则可以利用反射,针对切入点(通常是一个成员变量),采用替换的手段,使代码在运行时改变,听起来有些抽象,下面简单介绍下,然后我看代码。 寻找适合Hook点,它应该是
java反射hook
inquisiter
12-29 1375
一、反射hook的实现条件: 1.被hook类中存在可被替换的变量 2.重写变量中的方法 3.利用反射替换变量 4.变量方法被修改 二、利用步骤 1、确定hook点所在类,明确hook点调用位置。 2 、确定调用位置所属类(如果hook函数存在于未被实例化的类中,那么将无法hook) 3、继承hook点所在类,重写hook点类中函数需要被hook的函数。 4、替换调用类中的hook变量。 ...
钩子方法和回调函数详解
swadian2008的博客
04-12 4730
回调函数(callback function)允许一个函数将另一个函数作为参数传递,并在需要的时候调用该函数。在Java中,可以使用接口或Lambda表达式实现回调函数。以下是一个简单的回调函数示例:(1)首先,我们需要定义一个接口,该接口定义了回调函数的规范。在这个例子中,我们定义了一个名为Callback的接口,它有一个方法onResult,该方法接受一个整数参数。(2)然后,我们创建一个类,该类中包含了我们需要执行的业务逻辑代码。在这个例子中,我们假设这段代码是计算两个整数的和。
Java反射hook混用反射支付方法
weixin_33744141的博客
08-27 366
反射支付软件apk的方法 思路: 1、可以先取得某支付软件的classLoader,可以通过hook支付软件的必须方法(如:LauncherActivity的attachBaseContext方法)来取得某支付软件classLoader; 2、取得某支付软件的classLoader,则可以查找某支付软件dex中的所有方法和变量,就反射支付软件的方法和变量了; 注意:在activity...
Java反射技术详解及实例解析
08-18
Java反射技术是Java编程语言中的一个强大特性,它允许程序在运行时检查并操作类、接口、对象等的内部信息,包括但不限于类名、方法、字段等。这种能力使得Java程序具有高度的灵活性和动态性,是许多高级框架和库的...
JVM.rar_java 工作流_java 虚拟机_jvm_jvm hook_虚拟机 Java
09-14
JVM Hook是一种监控和调试技术,例如,通过Java代理(Java Agent)或者使用JVMTI(Java Virtual Machine Tool Interface)可以实现在JVM运行时对特定事件进行插桩,用于性能分析、日志记录、故障排查等目的。...
frida反射调用对象中的方法与字段.pdf
12-09
本文主要讲解了在遇到需要操作Java对象的参数或返回值时,如何利用Frida这一动态代码插桩工具来进行反射调用,包括调用对象的方法和获取对象的字段。Frida是一个强大的动态代码插桩工具,它可以注入到几乎所有的进程...
11_hookFunction_pytorch的hook使用方法_
10-01
def register_hook(module): def hook(module, input, output): if isinstance(module, nn.Conv2d): # 检查模块是否为卷积层 print('卷积核权重:', module.weight.data) module.register_forward_hook(hook) # ...
Java 反射Hook 实例
yihanss的博客
01-27 596
Hook 机制主要是通过反射机制,在运行时改变某个对象的属性或者行为(很抽象!!!), 所以必须以实例作为学习的切入点。 或者可以参考:其实用高大上的Hook技术动态注入代码很简单,一看就会! - JavaShuo 这里仅做实例记录 1. 普通场景 直接上代码, 很容易看懂 (1) Weapon 类 package com.example.javalearnproject.reflectbasictest.hook; public class Weapon { protected int dama
JAVA高级基础(54)---获取类的Class对象及类加载器
11onhook的博客
12-12 1403
类的加载 类的加载通过类加载器将一个类加载到内存中并且为每一个类生成一个Class对象 类加载器 负责将class文件加载到内存中,并为之生成对应的class对象。 Class类 Class 是final的、无公共的构造方法,由jvm和类加载来进行构造其对象。 获取Class对象的方式     每个类只有一个唯一的Class对象 通过Class类的静态方法:forName(...
Java反射机制,动态代理,hook以及在Retrofit源码中的应用
门徒07的博客
08-11 778
Java反射机制是指在程序的运行状态中,可以构造任意一个类的对象,可以了解任意一个对象所属的类,可以了解任意一个类的成员变量和方法,可以调用任意一个对象的属性和方法。然后我们回过头来看反射机制是 基础,动态代理里面也是用反射来实现的,动态代理对类里面的所有方法统一动态加入操作代码,java使用更多是对接口的,是生成了你想往里面塞的代码,hookhook对象勾出来,换成自己想塞进去的,是一种手法。1.1.3使用对象.getClass() 方法,返回对象所属的类的 Class 对象。
Xposed hook动态加载的class
XXOOYC的专栏
06-07 1万+
最近用Xposed hook QQ的一些class,总是hook不到。问题根源是ClassLoader不对,因为那几个class是动态加载进来的。通过先ClassLoader.loadCLass则可以很轻松的拿到想要的classLoader对象 XposedBridge.hookAllMethods(ClassLoader.class, "loadClass", new XC...
聊聊java9的classloader
weixin_33845477的博客
08-29 257
序 本文主要研究一下java9的classloader java9之前的classloader bootstrap classloader加载rt.jar,jre/lib/endorsed ext classloader加载jre/lib/ext application classloader加载-cp指定的类 java9及之后的cl...
Java运行时动态加载类之ClassLoader加载class及其依赖jar包
热门推荐
医疗影像检索
03-23 1万+
需求场景是:通过ClassLoader动态加载外部class文件,class文件又依赖某个具体jar包,需要动态加载jar包,采用URLClassLoader。 1、xml配置文件 ETLEnc.jar say 放在D:\\tmp\\目录下; 2、User.class文件放在D:\\tmp\\目录下,依赖ETLEnc.jar也放在D:\\tmp\\目录下,Use
java类加载机制
jsq6681993的博客
10-27 336
java类加载机制面试中必问题之一,以前每次都只是有模糊印象,今天完整的整理一下。 先来看一下整个java运行的流程及结构。 再看一下类加载过程的流程图 一、类加载过程 1.加载 加载指的是将类的class文件读入到内存,并为之创建一个java.lang.Class对象,也就是说,当程序中使用任何类时,系统都会为之建立一个java.lang.Class对象。 类的加载由类加载器完成,类加载器通常由JVM提供,这些类加载器也是前面所有程序运行的基础,JVM提供的这些类加载器通常被称为系统类加载器。除此之外
深入理解Java反射技术:基础与实战示例
- Hook技术:在不修改原始代码的情况下,通过反射拦截和替换特定方法的执行,常用于调试、性能分析和安全防护。 - 框架设计:如Spring框架,利用反射实现依赖注入,使得组件间的耦合度降低,增强系统的灵活性。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值