Hook

最新推荐文章于 2020-12-31 00:11:20 发布
最新推荐文章于 2020-12-31 00:11:20 发布
阅读量134 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43724742/article/details/96893149
版权
简介:

API Hook: 通过 Java 反射,来改变 Android 虚拟机调用函数的方式,从而达到 Java 函数重定向的目的叫做API Hook
API Hook的原理:如果B对象持有A的引用,为A创建动态代理,并利用反射把A用A的代理对象替换

所以使用Hook必须熟悉:相关源码,动态代理,反射

步骤:

1.确定hook的对象
2.寻找hook对象的持有对象
3.使用动态代理创建hook对象的代理类
4.用hook对象的代理类替换hook对象

5.Hook点的选取:要替换的对象尽量选取静态对象,单例,或单例的成员变量,因为单例只需要hook一个对象,而且不用担心这个对象被重置导致Hook效果消失;

例1:在所有View的OnClick事件前增加一句log

1.首先看源码:

class View {
	private ListenerInfo mListenerInfo;
	
	ListenerInfo getListenerInfo() {
        if (mListenerInfo != null) {
           return mListenerInfo;
        }
     	mListenerInfo = new ListenerInfo();
      	return mListenerInfo;
 	}  
}

发现OnClickListener对象被ListenerInfo类的对象持有

2.写Hook工具类:

public class HookSetOnClickListenerHelper {
    public static void hook(Context context, final View v) {
 		try {
 			//确定hook对象为mOnClickListener,而ListenerInfo持有mOnClickListener的引用,
 			//所以要从View中获取ListenerInfo
			Method method = View.class.getDeclaredMethod("getListenerInfo");
    		method.setAccessible(true);//由于getListenerInfo()方法并不是public的,所以要加这个代码来保证访问权限
    		Object mListenerInfo = method.invoke(v);
    		//从ListenerInfo中获取View.OnClickListener
    		Class<?> listenerInfoClz = Class.forName("android.view.View$ListenerInfo");// 这是内部类的表示方法
    		Field field = listenerInfoClz.getDeclaredField("mOnClickListener");
    		final View.OnClickListener onClickListenerInstance = (View.OnClickListener) 		
    		field.get(mListenerInfo);//取得真实的mOnClickListener对象
			//创建OnClickListener的动态代理
			Object proxyOnClickListener = Proxy.newProxyInstance(context.getClass().getClassLoader(),
	 				new Class[]{View.OnClickListener.class}, new InvocationHandler() {
               @Override
               public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
                   Log.d("OnClickListener ", "hookEvnet");//加入自己的逻辑
                   return method.invoke(onClickListenerInstance, args);//执行被代理的对象的逻辑
               }
           });
    		//用代理对象替换实际对象
    		field.set(mListenerInfo, proxyOnClickListener);
		} catch(Exception e) {
		}
	}
}

3.使用:

	v.setOnClickListener(v->{});
 	HookSetOnClickListenerHelper.hook(this, v);
例2:用代理Activity替换目标Activity

效果:让Activity启动其他应用的Activity,即使要启动的Activity没有在manifest文件中注册

在这个例子中除了hook之外还涉及到了APK动态加载的内容

1.首先建立一个目标活动TargetActiity,和一个代理活动ProxyActivity,并在Manifest文件中注册代理活动;
2.写IActivityManager的代理对象:

public class IActivityManagerProxy implements InvocationHandler {
    private Object mActivityManager;
    private static final String TAG = "IActivityManagerProxy";
    public IActivityManagerProxy(Object activityManager) {
        this.mActivityManager = activityManager;
    }
    @Override
    public Object invoke(Object o, Method method, Object[] args) throws Throwable {
        if ("startActivity".equals(method.getName())) {//1
            Intent intent = null;
            int index = 0;
            for (int i = 0; i < args.length; i++) {
                if (args[i] instanceof Intent) {
                    index = i;
                    break;
                }
            }
            intent = (Intent) args[index];
            Intent subIntent = new Intent();//2
            String packageName = "com.example.liuwangshu.pluginactivity";
            subIntent.setClassName(packageName,packageName+".StubActivity");//3
            subIntent.putExtra(HookHelper.TARGET_INTENT, intent);//4
            args[index] = subIntent;//5
        }
        return method.invoke(mActivityManager, args);
    }
}

3.获取IActivityManager:

public class HookHelper {
    public static void hookAMS() throws Exception {
        Object defaultSingleton = null;
        if (Build.VERSION.SDK_INT >= 26) {			//Android8.0及以上
        	//得到ActivityManager类型的Class对象
            Class<?> activityManageClazz = Class.forName("android.app.ActivityManager");
            //从ActivityManager中获取IActivityManagerSingleton字段
            //IActivityManagerSingleton是一个Singleton<IActivityManager>类型的静态变量
            defaultSingleton=  FieldUtil.getField(activityManageClazz ,null,"IActivityManagerSingleton");
        } else {									//Android8.0以下
        	//得到ActivityManagerNative类型的Class对象
            Class<?> activityManagerNativeClazz = Class.forName("android.app.ActivityManagerNative");
            //从ActivityManagerNative中获取gDefault字段
            //gDefault也是一个Singleton<IActivityManager>类型的静态变量
            defaultSingleton=  FieldUtil.getField(activityManagerNativeClazz,null,"gDefault");
        }
        Class<?> singletonClazz = Class.forName("android.util.Singleton");
        //从Singleton中获取mInstance变量,mInstance是IActivityManager类型的
        Field mInstanceField = FieldUtil.getField(singletonClazz ,"mInstance");//2
        //获取IActivityManager,作用是用它来构造代理对象;
        Object iActivityManager = mInstanceField.get(defaultSingleton);//3
        Class<?> iActivityManagerclz = Class.forName("android.app.IActivityManager");
        Proxy.newProxyInstance(getClassLoader(), iActivityManagerclz.getInterfaces(), new InvocationHandler() {
           	@Override
            public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
                if ("startActivity".equals(method.getName())) {		//拦截startActivity方法
                    Intent intent = null;							
                    int index = 0;
                    for (int i = 0; i < args.length; i++) {			//遍历proxyIntent方法的参数,找到Intent
                        if (args[i] instanceof Intent) {
                            index = i;								//Intent对象在参数列表中的位置
                            break;
                        }
                    }
                    intent = (Intent) args[index];					//获取startActivity方法的Intent类型的参数
                    Intent proxyIntent = new Intent();
                    String packageName = "com.example.test";
                    proxyIntent.setClassName(packageName,packageName+".ProxyActivity");
                    proxyIntent.putExtra("origin_intent", intent);
                    args[index] = subIntent;			//把startActivity参数列表中的原始Intent用代理Intent替换
                }
                return method.invoke(iActivityManager, args);
            }
        });
        mInstanceField.set(defaultSingleton, proxy);				//用代理IActivityManager替换原本的
    }
}

反射工具类:

public class FieldUtil {
	//获取的target对象(target为Class类型)的成员变量name
    public static Object getField(Class clazz, Object target, String name) throws Exception {
        Field field = clazz.getDeclaredField(name);
        field.setAccessible(true);
        return field.get(target);
    }
    //Class类型的的成员变量name
    public static Field getField(Class clazz, String name) throws Exception{
        Field field = clazz.getDeclaredField(name);
        field.setAccessible(true);
        return field;
    }
    //把的target对象(target为Class类型)的成员变量name的值设置为value
    public static void setField(Class clazz, Object target, String name, Object value) throws Exception {
        Field field = clazz.getDeclaredField(name);
        field.setAccessible(true);
        field.set(target, value);
    }
}

4.在Application初始化时调用hookAMS方法:

public class MyApplication extends Application {
    @Override
    public void attachBaseContext(Context base) {
        super.attachBaseContext(base);
        try {
            HookHelper.hookAMS();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}
还原目标Activity

源码:AMS执行完Activity启动的任务后或通知客户端用Handler切换到主线程进行关于生命周期的事件分发,Hook点可以选取在Handler中,重写Handler的handleMessage方法:
1.写Handler的代理类:

public class HCallback implements Handler.Callback{
    public static final int LAUNCH_ACTIVITY = 100;
    Handler mHandler;
    public HCallback(Handler handler) {
        mHandler = handler;
    }
    @Override
    public boolean handleMessage(Message msg) {
        if (msg.what == LAUNCH_ACTIVITY) {
            Object r = msg.obj;
            try {
                //得到消息中的Intent(启动SubActivity的Intent)
                Intent intent = (Intent) FieldUtil.getField(r.getClass(), r, "intent");
                //得到此前保存起来的Intent(启动TargetActivity的Intent)
                Intent target = intent.getParcelableExtra(HookHelper.TARGET_INTENT);
                //将启动SubActivity的Intent替换为启动TargetActivity的Intent
                intent.setComponent(target.getComponent());
            } catch (Exception e) {
                e.printStackTrace();
            }
        }
        mHandler.handleMessage(msg);
        return true;
    }
}

2.替换handler:

 public static void hookHandler() throws Exception {
        Class<?> activityThreadClass = Class.forName("android.app.ActivityThread");
        //获取ActivityThread类中静态的sCurrentActivityThread对象
        Object currentActivityThread = FieldUtil.getField(activityThreadClass ,null,"sCurrentActivityThread");
      	//获取ActivityThread类中静态的mH成员变量
        Field mHField = FieldUtil.getField(activityThreadClass ,"mH");
        //获取currentActivityThread对象Handler对象
        Handler mH = (Handler) mHField.get(currentActivityThread);
        //把mH对象的mCallback参数替换成HCallback代理对象
        FieldUtil.setField(Handler.class,mH,"mCallback",new HCallback(mH));
}

https://www.jianshu.com/p/5d4fc9cc12ac
https://www.jianshu.com/p/2da466493f69

qfan95
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HOOK API (一)——HOOK基础+一个鼠标钩子实例
weixin_30865427的博客
06-22 1897
HOOK API (一)——HOOK基础+一个鼠标钩子实例 原文出处:http://www.cnblogs.com/fanling999/p/4592740.html code:https://github.com/hfl15/windows_kernel_development/tree/master/demo_source_code/MouseHook 0x00 起因 最近在做毕...
Hooks
y_z_z的博客
10-10 323
目录 useState userEffect userEffect实现componentWillUnmont 父子组件传值 userContext userReducer useReducer替代Redux案例 useMemo useRef useCallBack 自定义函数 一:useState 在组件中,我们难免使用state来进行数据的实时响应,这是react框架的一大特性,只需更改state,组件就会重新渲染,试图也会响应更新。 不同于react在class可以直接定义state,或者是在const
inlineHook工具类
08-12
inlineHook 工具类,自由HOOK任意位置
移动安全-Hook技术
道阻且长,行则将至。
07-10 3058
Hook简述 1、 hook的定义 hook,钩子。勾住系统的程序逻辑。在某段SDK源码逻辑执行的过程中,通过代码手段拦截执行该逻辑,加入自己的代码逻辑。 2、实用价值 hook是中级开发通往高级开发的必经之路。如果把谷歌比喻成安卓的造物主,那么安卓SDK源码里面就包含了万事万物的本源。中级开发者,只在利用万事万物,浮于表层,而高级开发者能从本源上去改变万事万物,深入核心。 最有用的实用价值: ...
hook 循环点击事件用哪个_hook View点击事件(View点击事件劫持)
weixin_42365141的博客
12-31 119
引入最近在做项目优化的时候,发现点击某个控件使用某个功能时,事先要判断用户是否登录,翻看代码时发现很多地方写了大量的if或else的操作,代码繁琐,一旦一处修改将涉及到n处修改,于是通过hook的方式,劫持View的点击事件,一行代码做完所有的if或else,代码简洁。什么是hookhook网上有大量的解说,我自己认为就是通过钩子函数改变原函数的执行行为。加入自己的思想。参考:https://ww...
hook
wchg21131的博客
11-27 284
1. hook的定义 hook,钩子。勾住系统的程序逻辑。 在某段SDK源码逻辑执行的过程中,通过代码手段拦截执行该逻辑,加入自己的代码逻辑。 2. 实用价值 hook是安卓面向切面(AOP)编程的基础,可以让我们在不变更原有业务的前提下,插入额外的逻辑. 这样,既保护了原有业务的完整性,又能让额外的代码逻辑不与原有业务产生耦合. (想象一下,让你在一个成熟的app上面给每一个按钮添加埋点接口,不说一万个,就说成百上千个控件让你埋点,让你写一千次埋点调用,你是不是要崩溃,hook可以轻松实现
HOOK入门
02-26
千呼万唤始出来,终于开始学习Win32HOOK机制了。虽然说HOOK早已不是什么新技术,但是对于自己而言却是第一次接触。之前更多地只是从检测木马的钩子中感性地认识HOOK。由于之前从来没有真正接触过,所以一上来缺的...
C#EasyHook_easyhook_
10-03
【C# EasyHook】是一个强大的库,用于在.NET Framework中实现远程函数调用(RDI,Remote Function Invocation)和钩子技术。EasyHook为开发者提供了一种高效、稳定且易于使用的解决方案,允许他们在运行时拦截和修改...
hook支付宝源码
05-18
【标题】"hook支付宝源码"涉及到的主要技术领域是Android应用开发中的动态代码 Hook 技术,特别是针对支付宝这样的支付平台进行分析与调试。在Android系统中,Hook是一种常见的技术手段,它允许开发者在不修改原始...
VEH+硬件断点实现无痕HOOK
09-24
【标题】"VEH+硬件断点实现无痕HOOK"涉及的是Windows系统中的一种高级调试技术,主要用于在不改变目标程序原始行为的情况下,插入自定义代码以监控或修改其执行流程。这种技术常用于软件调试、逆向工程、安全检测等...
objecthook_objecthook_
09-30
在Python编程中,`objecthook`是一个非常关键的概念,特别是在序列化和反序列化操作中。这个概念主要与`json`模块相关,因为当我们使用`json`进行数据转换时,`objecthook`允许我们自定义如何将JSON对象转化为Python...
使用Hook技术屏蔽控件的点击事件
mulanlong的博客
03-30 788
1.其实里面用的就是反射技术;先来看一个简单例子: public class HookActivity extends AppCompatActivity { @Override protected void onCreate(@Nullable Bundle savedInstanceState) { super.onCreate(savedInstance...
几个常用的API HOOK的工具包
樱*夜精灵
05-27 3817
Class ApiHook by Jeffrey Richter:           Perhaps the oldest version of ApiHook~~           Cantains Apihook.h and Apihook.cpp           Check the book for details          Detours: Microsoft,
常见算法介绍和算法刷题(含解析与代码).txt
07-15
常见算法介绍和算法刷题(含解析与代码) 算法介绍 算法是一种解决问题的方法,通过使用算法,我们可以将问题转换为计算机可以执行的指令。常见的算法包括排序算法、搜索算法、图算法、动态规划算法等。 排序算法 1. 冒泡排序(Bubble Sort) 冒泡排序是一种简单的排序算法,它通过重复地走访要排序的数据,来找出其中最小的数据,并把它移到最前面。 示例代码: def bubble_sort(arr): n = len(arr) for i in range(n-1): for j in range(0, n-i-1): if arr[j] > arr[j+1]: arr[j], arr[j+1] = arr[j+1], arr[j] return arr 2. 快速排序(Quick Sort) 快速排序是一种常用的排序算法,它通过选择一个 pivot 元素作为枢纽,并将其他元素分配到枢纽的两侧。 示例代码: def quick_sort(arr): if len(a
oracle常用函数及语法
07-15
多年积累Oracle常见的优化措施及自定义函数库
SQLServr优化.docx
07-15
数据库
7.15练习(linux网络运维,云计算)
最新发布
07-15
练习
MyCat安装详细安装的文档
07-15
MyCat安装详细安装的文档
SQL中的主键和外键.doc
07-15
数据库
python hook
03-15
Python hook是指在Python中通过钩子函数来实现对特定事件的拦截和处理的机制。钩子函数是一种特殊的函数,它可以在特定事件发生时被调用,从而执行相应的操作。 Python中有多种类型的钩子函数,常见的包括: 1. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值