adroid xpose 修改java方法实例_android hook 框架 xposed 如何实现挂钩

最新推荐文章于 2021-02-28 05:26:50 发布
最新推荐文章于 2021-02-28 05:26:50 发布
阅读量148 收藏
点赞数
文章标签: adroid xpose 修改java方法实例
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40004081/article/details/114863101
版权

前面知道,安装xposed框架后,系统启动,执行init, init 再调用 app_process 程序,由于这时候 app_process 已经被换了,所以app_process 启动后先进入的是 xposedbridge.class 的 main 函数, 这个函数最后才进入标准的 zygoteInit.class 的 main 函数,在进入 zygote 之前,它调用了几个函数,初始化了xposed框架,下面逐个分析。

一. initNative

Xposed.cpp (xposed): {"initNative", "()Z", (void*)de_robv_android_xposed_XposedBridge_initNative},

XposedBridge.java (xposedbridge\src\de\robv\android\xposed):if(initNative()) {

XposedBridge.java (xposedbridge\src\de\robv\android\xposed):private native static boolean initNative();

XposedBridge.class 的 initNative 是一个 native 函数,真正的实现在 Xposed.cpp 里的  de_robv_android_xposed_XposedBridge_initNative

1. de_robv_android_xposed_XposedBridge_initNative(JNIEnv* env, jclass clazz)

xposedHandleHookedMethod = (Method*) env->GetStaticMethodID(xposedClass, "handleHookedMethod","(Ljava/lang/reflect/Member;ILjava/lang/Object;Ljava/lang/Object;[Ljava/lang/Object;)Ljava/lang/Object;");

首先,从xposedClass(即XposedBridge.class)类获取函数 handleHookedMethod, 这个函数是java函数,这里获取其对应的 Method 结构体指针,这样就可以在 native 里调用(jni的原理)。那么,这个 handleHookedMethod 是干嘛的呢,这个函数就是最终执行的挂钩函数,后面会分析。

Method* xposedInvokeOriginalMethodNative = (Method*) env->GetStaticMethodID(xposedClass, "invokeOriginalMethodNative","(Ljava/lang/reflect/Member;I[Ljava/lang/Class;Ljava/lang/Class;Ljava/lang/Object;[Ljava/lang/Object;)Ljava/lang/Object;");

dvmSetNativeFunc(xposedInvokeOriginalMethodNative, de_robv_android_xposed_XposedBridge_invokeOriginalMethodNative, NULL);

其次,从xposedClass(即XposedBridge.class)类获取函数  invokeOriginalMethodNative 函数的 Method 结构体指针,然后调用  dvmSetNativeFunc 为这个java函数设置其 jni 实现  de_robv_android_xposed_XposedBridge_invokeOriginalMethodNative , 这样,调用 invokeOriginalMethodNative  函数其实执行的是后者。

objectArrayClass = dvmFindArrayClass("[Ljava/lang/Object;", NULL);

xresourcesClass= env->FindClass(XRESOURCES_CLASS);

xresourcesClass= reinterpret_cast(env->NewGlobalRef(xresourcesClass));if (register_android_content_res_XResources(env) !=JNI_OK) {}

xresourcesTranslateResId= env->GetStaticMethodID(xresourcesClass, "translateResId","(ILandroid/content/res/XResources;Landroid/content/res/Resources;)I");

xresourcesTranslateAttrId= env->GetStaticMethodID(xresourcesClass, "translateAttrId","(Ljava/lang/String;Landroid/content/res/XResources;)I");

最后,获取其他一些java类或函数的标识

二, initXbridgeZygote

XposedBridge.class main 函数第二个重要的函数是 initXbridgeZygote

//normal process initialization (for new Activity, Service, BroadcastReceiver etc.)

findAndHookMethod(ActivityThread.class, "handleBindApplication", "android.app.ActivityThread.AppBindData", newXC_MethodHook() {protected voidbeforeHookedMethod(MethodHookParam param) throws Throwable {

。。。

}

首先,挂钩了 ActivityThread 类的  handleBindApplication 函数,这个函数是在android ams 系统创建新进程成功后在新进程内部调用的,挂钩这个函数,可以在新进程创建后做一些事情

这里调用了一个函数,实现了挂钩  findAndHookMethod 。这个函数定义在 XposedHelpers.java

XposedHelpers.class

public static XC_MethodHook.Unhook findAndHookMethod(Class>clazz, String methodName, Object... parameterTypesAndCallback) {if (parameterTypesAndCallback.length == 0 || !(parameterTypesAndCallback[parameterTypesAndCallback.length-1] instanceof XC_MethodHook))throw new IllegalArgumentException("no callback defined");

XC_MethodHook callback= (XC_MethodHook) parameterTypesAndCallback[parameterTypesAndCallback.length-1];

Method m=findMethodExact(clazz, methodName, getParameterClasses(clazz.getClassLoader(), parameterTypesAndCallback));returnXposedBridge.hookMethod(m, callback);

}

这个函数找到类 clazz 的函数 methodName 所对应的 Method结构体,然后调用 XposedBridge 的 hookMethod 函数挂钩它

XposedBridge.class

public staticXC_MethodHook.Unhook hookMethod(Member hookMethod, XC_MethodHook callback) {

....boolean newMethod= false;

CopyOnWriteSortedSetcallbacks;

synchronized (sHookedMethodCallbacks) {

callbacks= sHookedMethodCallbacks.get(hookMethod);if (callbacks == null) {

callbacks= new CopyOnWriteSortedSet();

sHookedMethodCallbacks.put(hookMethod, callbacks);

newMethod= true;

}

}

callbacks.add(callback); // 先将被挂钩的函数 hookMethod 及挂钩它的函数保存起来if(newMethod) {

Class> declaringClass =hookMethod.getDeclaringClass();int slot = (int) getIntField(hookMethod, "slot");

Class>[] parameterTypes;

Class>returnType;if(hookMethod instanceof Method) {

parameterTypes=((Method) hookMethod).getParameterTypes();

returnType=((Method) hookMethod).getReturnType();

}else{

parameterTypes= ((Constructor>) hookMethod).getParameterTypes();

returnType= null;

}

AdditionalHookInfo additionalInfo= newAdditionalHookInfo(callbacks, parameterTypes, returnType);

hookMethodNative(hookMethod, declaringClass, slot, additionalInfo); // 最终调用hookMethodNative 函数

}return callback.newUnhook(hookMethod); }

这个函数先将被挂钩的函数 hookMethod 及挂钩它的 XC_MethodHook结构体保存起来,然后调用 hookMethodNative 函数

{"hookMethodNative", "(Ljava/lang/reflect/Member;Ljava/lang/Class;ILjava/lang/Object;)V", (void*)de_robv_android_xposed_XposedBridge_hookMethodNative},

这个函数定义在 xposed.cpp 里

static void de_robv_android_xposed_XposedBridge_hookMethodNative(JNIEnv*env, jclass clazz, jobject reflectedMethodIndirect,

jobject declaredClassIndirect, jint slot, jobject additionalInfoIndirect) {//Usage errors?

if (declaredClassIndirect == NULL || reflectedMethodIndirect ==NULL) {

dvmThrowIllegalArgumentException("method and declaredClass must not be null");return;

}//Find the internal representation of the method

ClassObject* declaredClass = (ClassObject*) dvmDecodeIndirectRef(dvmThreadSelf(), declaredClassIndirect);

Method* method =dvmSlotToMethod(declaredClass, slot);if (method ==NULL) {

dvmThrowNoSuchMethodError("could not get internal representation for method");return;

}if(xposedIsHooked(method)) {//already hooked

return;

}//Save a copy of the original method and other hook info

XposedHookInfo* hookInfo = (XposedHookInfo*) calloc(1, sizeof(XposedHookInfo));

memcpy(hookInfo, method,sizeof(hookInfo->originalMethodStruct));

hookInfo->reflectedMethod = dvmDecodeIndirectRef(dvmThreadSelf(), env->NewGlobalRef(reflectedMethodIndirect));

hookInfo->additionalInfo = dvmDecodeIndirectRef(dvmThreadSelf(), env->NewGlobalRef(additionalInfoIndirect));//Replace method with our own code

SET_METHOD_FLAG(method, ACC_NATIVE);

method->nativeFunc = &xposedCallHandler;

method->insns = (const u2*) hookInfo;

method->registersSize = method->insSize;

method->outsSize = 0;if (PTR_gDvmJit !=NULL) {//reset JIT cache

char currentValue = *((char*)PTR_gDvmJit +MEMBER_OFFSET_VAR(DvmJitGlobals,codeCacheFull));if (currentValue == 0 || currentValue == 1) {

MEMBER_VAL(PTR_gDvmJit, DvmJitGlobals, codeCacheFull)= true;

}else{

ALOGE("Unexpected current value for codeCacheFull: %d", currentValue);

}

}

}

这个过程跟ADBI框架类似,先获取要挂钩的java函数的 Method 结构体指针,然后检查一下是否已经被挂钩了,如果是直接返回,否则,通过对 Method 结构体进行赋值的方式,完成挂钩

method->nativeFunc = &xposedCallHandler;

method->insns = (const u2*) hookInfo;

method->registersSize = method->insSize;

method->outsSize = 0;

这里挂钩函数全部使用 xposedCallHandler 这个函数。挂钩的详细信息保存在 Method结构体的 insns 成员里

xposed.cpp

static void xposedCallHandler(const u4* args, JValue* pResult, const Method* method, ::Thread*self) {

。。。

JValue result;

dvmCallMethod(self, xposedHandleHookedMethod, NULL,&result,

originalReflected, (int) original, additionalInfo, thisObject, argsArray);

。。。

}

可以看到,最终执行xposedHandleHookedMethod这个native函数,这个native函数前面 initNative 执行时,已经获取了它的java实现,真正的实现在

XposedBridge.java

private static Object handleHookedMethod(Member method, intoriginalMethodId, Object additionalInfoObj,

Object thisObject, Object[] args) throws Throwable {

AdditionalHookInfo additionalInfo=(AdditionalHookInfo) additionalInfoObj;if(disableHooks) {try{returninvokeOriginalMethodNative(method, originalMethodId, additionalInfo.parameterTypes,

additionalInfo.returnType, thisObject, args);

}catch(InvocationTargetException e) {throwe.getCause();

}

}

Object[] callbacksSnapshot=additionalInfo.callbacks.getSnapshot();

finalint callbacksLength =callbacksSnapshot.length;if (callbacksLength == 0) {try{returninvokeOriginalMethodNative(method, originalMethodId, additionalInfo.parameterTypes,

additionalInfo.returnType, thisObject, args);

}catch(InvocationTargetException e) {throwe.getCause();

}

}

MethodHookParam param= newMethodHookParam();

param.method=method;

param.thisObject=thisObject;

param.args=args;//call "before method" callbacks

int beforeIdx = 0;do{try{

((XC_MethodHook) callbacksSnapshot[beforeIdx]).beforeHookedMethod(param);

}catch(Throwable t) {

XposedBridge.log(t);//reset result (ignoring what the unexpectedly exiting callback did)

param.setResult(null);

param.returnEarly= false;continue;

}if(param.returnEarly) {//skip remaining "before" callbacks and corresponding "after" callbacks

beforeIdx++;break;

}

}while (++beforeIdx

if (!param.returnEarly) {try{

param.setResult(invokeOriginalMethodNative(method, originalMethodId,

additionalInfo.parameterTypes, additionalInfo.returnType, param.thisObject, param.args));

}catch(InvocationTargetException e) {

param.setThrowable(e.getCause());

}

}//call "after method" callbacks

int afterIdx = beforeIdx - 1;do{

Object lastResult=param.getResult();

Throwable lastThrowable=param.getThrowable();try{

((XC_MethodHook) callbacksSnapshot[afterIdx]).afterHookedMethod(param);

}catch(Throwable t) {

XposedBridge.log(t);//reset to last result (ignoring what the unexpectedly exiting callback did)

if (lastThrowable == null)

param.setResult(lastResult);elseparam.setThrowable(lastThrowable);

}

}while (--afterIdx >= 0);//return

if(param.hasThrowable())throwparam.getThrowable();else

returnparam.getResult();

}

这个函数查找被挂钩函数的挂钩 XC_MethodHook 结构体,然后执行里边的 beforeHookedMethod 函数,再通过 invokeOriginalMethodNative 执行挂钩前的原始函数,最后再执行 afterHookedMethod 函数。

findAndHookMethod 的实现就分析完了,本质上仍然是寻找被挂钩函数的 Method 结构体,将Method属性改为native ,然后对其成员 nativeFunc, registersize 等进行赋值,其中 insns 成员保存了挂钩的详细信息。所有被挂钩的函数,其nativeFunc都赋值为 xposedCallHandler 函数,该函数最终执行 XposedBridge.class 里的 handleHookedMethod 。 handleHookedMethod 寻找 xposed模块及xposed框架调用 findAndHookMethod 注册的 before,after 函数,如果有,就执行,再通过 invokeOriginalMethodNative 执行挂钩前函数。

回到 initXbridgeZygote  函数,xposed 框架预先挂钩的函数,除了 handleBindApplication 外,还有

com.android.server.ServerThread 系统thread创建时触发

hookAllConstructors(LoadedApk.class, new XC_MethodHook(){。。。} apk 包加载时触发这个挂钩

findAndHookMethod("android.app.ApplicationPackageManager", null, "getResourcesForApplication", 。。。

3. loadModules

/**

* Try to load all modules defined in BASE_DIR/conf/modules.list*/

private static voidloadModules(String startClassName) throws IOException {

BufferedReader apks= new BufferedReader(new FileReader(BASE_DIR + "conf/modules.list"));

String apk;while ((apk = apks.readLine()) != null) {

loadModule(apk, startClassName);

}

apks.close();

}

xposed框架本身挂钩的函数很少,真正的挂钩由具体的xposed模块实现,xposed模块也是正常的app,安装的时候注册其挂钩信息到xposed框架的 modules.list 等配置里。xposed框架初始化的时候, 加载这些模块,并完成挂钩函数的挂钩

/**

* Load a module from an APK by calling the init(String) method for all classes defined

* in assets/xposed_init.*/@SuppressWarnings("deprecation")private static voidloadModule(String apk, String startClassName) {

。。。。

while ((moduleClassName = moduleClassesReader.readLine()) != null) {//call the init(String) method of the module

final Object moduleInstance =moduleClass.newInstance();if (startClassName == null) {if(moduleInstance instanceof IXposedHookZygoteInit) {

IXposedHookZygoteInit.StartupParam param= newIXposedHookZygoteInit.StartupParam();

param.modulePath=apk;

((IXposedHookZygoteInit) moduleInstance).initZygote(param);

}if(moduleInstance instanceof IXposedHookLoadPackage)

hookLoadPackage(newIXposedHookLoadPackage.Wrapper((IXposedHookLoadPackage) moduleInstance));if(moduleInstance instanceof IXposedHookInitPackageResources)

hookInitPackageResources(newIXposedHookInitPackageResources.Wrapper((IXposedHookInitPackageResources) moduleInstance));

}else{if(moduleInstance instanceof IXposedHookCmdInit) {

IXposedHookCmdInit.StartupParam param= newIXposedHookCmdInit.StartupParam();

param.modulePath=apk;

param.startClassName=startClassName;

((IXposedHookCmdInit) moduleInstance).initCmdApp(param);

}

}

}

}

loadModule 函数从配置文件里读取所有的模块,实例化模块类,xposed 提供了几个接口类供xposed模块继承,不同的接口类对应不同的hook时机

IXposedHookZygoteInit zygote 初始化前就执行挂钩,即loadModule执行时就挂钩了

IXposedHookLoadPackage apk包加载的时候执行挂钩,先将挂钩函数保存起来,等加载apk函数执行后触发callback (这里的callback是xposed框架自己挂钩的函数),再执行模块注册的挂钩函数

IXposedHookInitPackageResources apk资源实例化时执行挂钩,同上

weixin_40004081
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java方法的调用以及参数传递
weixin_47598133的博客
10-06 5437
周记(9/28-9/) 一.方法的调用及参数的传递 1.方法的调用 1.1 定义方法的语法 [访问修饰符] 返回值类型 方法名([参数类型 参数1,参数类型 参数2,…]){ ​ 方法体 } 详解: 访问修饰符:用于修饰这个方法的调用范围,目前默认public static 返回值类型:无返回值就写void或者方法执行后返回的结果的数据类型,方法执行之后会将结果返回 方法名:给方法取的名字,遵循标识符规则 参数类型,参数名:同时定义,方法在执行时未知的数据,需要在调用
Android应用防xposed注入,android hook 框架 xposed 如何实现注入
weixin_39956036的博客
05-26 940
转:http://www.cnblogs.com/jiayy/p/4305018.html前面分析的adbi框架和libinject都是使用so注入的方式,实现将指定代码装入目标进程,这种方式有几个特点:1. 是动态的,需要目标进程已经启动2. 无法影响全局,比如注入A进程挂钩里边libc.so的open函数,此时,B进程使用的libc.so的open函数还是老函数,linux系统通过COW机制,...
adroid xpose 修改java方法实例_基于xposed 修改硬件信息(xposed框架使用)
weixin_35710005的博客
02-28 749
实例简介】android Hook框架Xposed【实例截图】【核心代码】package com.lixin.hardwarecode;import android.app.Activity;import android.os.Bundle;import android.util.Log;import android.widget.Toast;import com.lixin.hardwarec...
adroid xpose 修改java方法实例_Android.Hook框架xposed开发篇
weixin_35192322的博客
02-28 279
本帖最后由 世事繁华皆成空 于 2015-8-6 10:05 编辑模块基本开发流程1.创建工程android4.0.3(api15,测试发现其他版本也可以),可以不用activity2.修改AndroidManifest.xmlJavapackage="de.robv.android.xposed.mods.tutorial"android:versionCode="1"android:versi...
xposed 框架学习
djhsws的专栏
11-08 4210
xposed 框架学习 xposed 框架学习 一xposed 启动过程 app_main 虚拟机 二hook流程分析 findAndHookMethod findMethodExact hookMethod 1hookMethodNative hookedMethodCallback handleHookedMethod invokeOriginalMethodNative 三注册流程分析一、xp...
xposed获取类的属性成员
weixin_30820077的博客
08-11 2094
XposedBridge.log("开始获取属性:"); Field[] fields = param.thisObject.getClass().getDeclaredFields(); for (...
xposed hook java_[原创]Android Hook 系列教程(一) Xposed Hook 原理分析
weixin_42137028的博客
02-13 777
章节内容一. Android Hook 系列教程(一) Xposed Hook 原理分析二. Android Hook 系列教程(二) 自己写APK实现Hook Java层函数三. Android Hook 系列教程(三) Cydia Hook Native 原理分析四. Android Hook 系列教程(四) 自己写APK实现Hook Native层函数五. Android Hook 系列教...
Xposed框架Hook Android应用的所有类方法打印Log日志
墨鱼菜鸡
07-07 591
本文博客地址:https://blog.csdn.net/QQ1084283172/article/details/80954759...
xposed框架定位修改怎么用_AndroidXposed框架篇-修改系统位置信息实现自身隐藏功能...
weixin_39965673的博客
12-19 3566
本文转载自AndroidXposed框架篇—修改系统位置信息实现自身隐藏功能前文已经介绍了Xposed框架的基本使用规则,本文主要来介绍一个实际案例,就是如何通过这个框架修改系统的地理位置信息来实现隐藏功能。在如今社交工具的发展特别快,微信有一个实时位置共享功能,那么对于那些不是单身狗的同学来说可能会有些蛋疼,哪天媳妇要查岗发送位置,结果你不在她期望的位置这时候就尴尬了。而且朋友圈在分享内容的...
android hook 模拟点击_查找和定位Android应用的按钮点击事件的代码位置基于Xposed Hook实现...
weixin_39992072的博客
12-31 903
在进行Android程序的逆向分析的时候,经常需要通过Android应用程序的界面UI来定位代码的位置,比较常见的例子就是分析Android应用的网络协议时,用户点击登录按钮,实现客户端程序的登录,将用户的账号信息发送给服务器端进行验证,那么我们分析这个网络数据传输的流程中,首先要定位用户点击登录按钮的事件响应代码在哪里,当然了基于特征字符串的搜索和smali字节码的搜索都可以实现,感觉比较费时间...
Android Java层的hook检测(Cydia Substrate或者Xposed框架
u012131859的博客
06-08 6852
参考原文 http://d3adend.org/blog/?p=589 参考翻译 http://drops.wooyun.org/tips/16356 注意:原文中第3个方法“检测并不应该native的native方法”没用实现。 检测代码如下: import java.io.BufferedReader; import java.io.FileReader; import
安卓Hook系列教程(二):Xposed插件开发进阶篇
醉猫
11-22 9059
由于本屌意外发现了篇不错的教程,基本上是自己想写的东西,既然已经有了就转载一下,不自己写了。 有轮子就何需再去造轮子? 好吧,其实是懒癌发作了。。。。。。。。 Dalvik 孵化器 Zygote (Android系统中,所有的应用程序进程以及系统服务进程SystemServer都是由Zygote进程孕育/fork出来的)进程对应的程序是/system/bin/app_process. Xpo
Xposed 入门与模块示例 - 电量伪装
SDSW1990的专栏
12-10 8963
Xposed - 一个 Hook 框架,相比经常在看雪里见到的 libinject 这样的动态注入方式,我们可以叫他为静态注入框架,也可以理解成劫持框架(因为它替换了 app_process)。本文将 Xposed 作为基础功能,讲解基础的使用,并拿一个很有意思的示例作为演示(官网的那个太low了)。 1. Xposed 基本原理 如果用"不要脸"来形容动态注入的话,Xposed 可以
Android中免Root实现Hook的Dexposed框架实现原理解析以及如何实现应用的热修复
尼古拉斯.赵四的博客
04-07 1225
​一、前言 今天我们来看一下阿里的一个开源框架Dexposed,关于这个框架网上已经有很多解析了,但是都是讲解原理,而且讲的不是很清楚,这里因为工作中的需要就研究了一下,所以这里就先讲解一下这个框架的原理,然后在通过一个例子来看看他如何使用,最后在用它来实现应用的热修复问题。 二、知识点准备 首先在讲解这个框架的时候,我们先来了解几个知识点: 1、关于之前的Xposed框架 我们在...
Android dalvik挂钩-Xposed框架如何实现挂钩
zhangmiaoping23的专栏
11-28 824
转:http://www.cnblogs.com/jiayy/p/4305164.html Android so注入-libinject2 简介、编译、运行 Android so注入-libinject2  如何实现so注入 Android so注入-Libinject 如何实现so注入 Android so注入挂钩-Adbi 框架简介、编译、运行
Xposed学习-常用方法介绍
qq_33771145的博客
06-05 1947
Xposed学习-常用方法介绍XposedHelpers提供的一些API方法hook中值得注意的事项小结 XposedHelpers提供的一些API方法 findAndHookMethod(Class<?> clazz, String methodName, Object… parameterTypesAndCallback) 这个方法是你需要hook某个方法用到,填入的参数分别是:1...
动态修改object中的param属性值
unit666的博客
04-09 2451
要在JavaScript中获取<object>的<param>对应的值,方法为 <script type="text/javascript"> var value1 =document.getElementById("vlc").getElementsByTagName("param")[0].value; </script> 其中...
Xposed 插件开发之二: Xposed的一些知识
热门推荐
KeepStudy
09-18 1万+
一、 Api说明1. IXposedHookLoadPackage.java加载回调接口,在xposed入口类继承,实现handleLoadPackage方法 handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) 这个方法用于在加载应用程序的包的时候执行用户的操作 参数: LoadPackageParam loa
xPosed框架中的方法运用与解析
沉小麟的博客
03-27 5468
 从零开始自学了半年Android逆向反编译,写个博客记录下xPosed框架中的几个常见的反射方法。        一:对Class类的HOOK反射               ① 反射类,获取该类;/** hook某类 */ Class&lt;?&gt; clazz = XposedHelpers.findClass("类的路径", classLoader);               ② 反...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值