万物皆可 Hook,探究 Xposed 框架 Hook 原理

最新推荐文章于 2024-06-15 15:10:16 发布
最新推荐文章于 2024-06-15 15:10:16 发布
阅读量2.8k 收藏 13
点赞数 3
文章标签: java android 移动开发 framework linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y4x5M0nivSrJaY3X92c/article/details/118772090
版权

作者 |俞家欢

低头需要勇气,抬头需要实力

引言

平时用着 Android 手机,喜欢折腾的同学或多或少都接触过 Xposed 框架,解锁、Root、刷包,一气呵成。本文将从原理和实践两部分带大家了解 Xposed 框架。

Xposed 框架介绍

Xposed 框架是一个运行在 Android 操作系统之上的钩子框架,是以模块扩展方式来实现对系统部分功能的修改。其可以通过编写模块代码,在不修改 Apk 文件的情况下拦截 Java 函数的调用,自定义函数行为,需要安装在 Root 过的 Android 手机上,需要系统最高权限。其是由 rovo89 大佬开发的,并发布在 GitHub 上的开源项目,项目地址为:https://github.com/rovo89。当前作者已经不再维护项目,仅支持 Android 9 以下系统。对于 Android 9 及其以上的系统,有一些的衍生框架可以支持,如 Exposed、VirtualXposed、太极框架。

Xposed 框架能做什么

Xposed 框架可以说是无所不能,可以编写模块欺骗微信获取随意设置的步数,让你每天都荣登榜首;可以随意设定虚拟定位,让 App 获取到你设定的地理位置;可以解放双手,实现自动化抢红包、领蚂蚁森林等等。总的来说,你可以对安装在设备上的 App 为所欲为。

Tips: 有些应用会检测 Xposed 框架,会造成封号等不可挽回的损失,请谨慎使用。

Xposed 框架的组成

此框架工程由下面五个子项目构成:

  • Xposed

    Xposed 框架 Native 部分,Xposed 框架版的 app_process,用于替换原生 app_process,并为 XposedBridge 提供 JNI 方法。

  • XposedBridge

    Xposed 框架 Java 部分,编译后会生成一个 jar 包,Xposed 框架的 app_process 会将此加入到系统 class path 中。

  • android_art

    Xposed 框架定制的 Android ART。

  • XposedInstaller

    Xposed 框架插件管理 App。

  • XposedTools

    用于编译项目的工具集。

Xposed 框架原理

Android 系统是基于 Linux 的,其第一个由内核启动的用户进程是 init 进程。init 进程随后会创建 zygote 进程,Android 应用程序进程都是由 zygote 进程孵化而来。zygote 所对应的可执行程序是 app_process,xposed 框架通过替换系统的 app_process 可执行文件以及虚拟机动态链接库,让 zygote 在启动应用程序进程时注入框架代码,进而实现对应用程序进程的劫持。

Tips:

以下涉及到的 Android 源代码都是基于 android-8.1.0_r62,在线查看 Android 源码的地址为:https://cs.android.com

以下涉及到的 Xposed 框架原理都是基于 Android 5.0 及其版本之后的分析,也就是基于 ART 虚拟机的实现分析。

Android 系统启动流程

  1. 按下电源,引导芯片会从固化的 ROM 处执行预设代码,将 Bootloader 加载到 RAM 中。

  2. Bootloader 设置系统硬件参数,检查 RAM,把操作系统映像文件拷贝到RAM中去,然后跳转到它的入口处去执行。

  3. 内核启动,创建第一个内核进程 idle 进程,最终创建第一个用户空间进程 init。

  4. init 进程负责创建 zygote 进程。

init 进程代码分析

init 的入口函数对应的是 system/core/init/init.cpp 文件的 main 方法。

int main(int argc, char** argv) {
  	......
		bool is_first_stage = (getenv("INIT_SECOND_STAGE") == nullptr);
    if (is_first_stage) {
        // 一阶段工作
    }
		// 二阶段工作  	
		......
}

从上面代码中可以看到,init 进程启动主要分两个阶段:

  • 一阶段工作

    ......
// 挂在文件系统
mount("tmpfs", "/dev", "tmpfs", MS_NOSUID, "mode=0755");
mkdir("/dev/pts", 0755);
mkdir("/dev/socket", 0755);
mount("devpts", "/dev/pts", "devpts", 0, NULL);
mount("proc", "/proc", "proc", 0, "hidepid=2,gid=" MAKE_STR(AID_READPROC));
chmod("/proc/cmdline", 0440);
gid_t groups[] = { AID_READPROC };
setgroups(arraysize(groups), groups);
mount("sysfs", "/sys", "sysfs", 0, NULL);
mount("selinuxfs", "/sys/fs/selinux", "selinuxfs", 0, NULL);
mknod("/dev/kmsg", S_IFCHR | 0600, makedev(1, 11));
mknod("/dev/random", S_IFCHR | 0666, makedev(1, 8));
mknod("/dev/urandom", S_IFCHR | 0666, makedev(1, 9));
......
setenv("INIT_SECOND_STAGE", "true", 1);
char* path = argv[0];
char* args[] = { path, nullptr };
execv(path, args);

    此阶段的主要工作是挂载一些虚拟文件系统。方法最后会将 INIT_SECOND_STAGE 置入环境中,并使用 execv 函数,重新执行当前 main 方法。

  • 二阶段工作

    ......
// 初始化 property 服务
property_init();
property_set("ro.boottime.init", getenv("INIT_STARTED_AT"));
property_set("ro.boottime.init.selinux", getenv("INIT_SELINUX_TOOK"));
unsetenv("INIT_SECOND_STAGE");
unsetenv("INIT_STARTED_AT");
unsetenv("INIT_SELINUX_TOOK");
unsetenv("INIT_AVB_VERSION");
......
// 解析执行 rc 配置文件
std::string bootscript = GetProperty("ro.boot.init_rc", "");
if (bootscript.empty()) {
parser.ParseConfig("/init.rc");
  parser.set_is_system_etc_init_loaded(
    parser.ParseConfig("/system/etc/init"));
  parser.set_is_vendor_etc_init_loaded(
    parser.ParseConfig("/vendor/etc/init"));
  parser.set_is_odm_etc_init_loaded(parser.ParseConfig("/odm/etc/init"));
} else {
  parser.ParseConfig(bootscript);
  parser.set_is_system_etc_init_loaded(true);
  parser.set_is_vendor_etc_init_loaded(true);
  parser.set_is_odm_etc_init_loaded(true);
}
......

    此阶段的主要工作是启动 property 服务(可以简单类比理解为 Windows 操作系统下的注册表服务)以及加载 .rc 文件。.rc 文件是配置文件,是由 Android 初始化语言(Android Init Language)编写的脚本,这里直接跟看下 system/core/rootdir/init.zygote64.rc 的内容:

    service zygote /system/bin/app_process64 -Xzygote /system/bin --zygote --start-system-server
	......

    service:Android 初始化语言中的一种语法,表示启动一个服务进程。

    zygote:为启动服务进程的名字。

    /system/bin/app_process:服务执行的入口文件路径。

    -Xzygote /system/bin、--zygote 以及 --start-system-server:执行时传递进去的参数。

    这段内容的解析与执行标志着 zygote 进程的启动,接下来正式进入 zygote 进程的启动流程。

总结一下 init 进程的启动:

  1. 创建和挂载启动相关的文件目录。

  2. 初始化和启动属性服务。

  3. 解析 .rc 配置文件,启动 zygote 进程。

Zygote 进程代码分析

zygote 启动流程对应的源代码是在 frameworks/base/cmds/app_process/app_main.cpp 中:

int main(int argc, char* const argv[])
{
	  ......
    ++i;  // Skip unused "parent dir" argument.
    while (i < argc) {
        const char* arg = argv[i++];
        if (strcmp(arg, "--zygote") == 0) {
            zygote = true;
            niceName = ZYGOTE_NICE_NAME;
        } else if (strcmp(arg, "--start-system-server") == 0) {
            startSystemServer = true;
        } else if (strcmp(arg, "--application") == 0) {
            application = true;
        } else if (strncmp(arg, "--nice-name=", 12) == 0) {
            niceName.setTo(arg + 12);
        } else if (strncmp(arg, "--", 2) !&
最低0.47元/天 解锁文章
杏仁技术站
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xposed hook java_[原创]Android Hook 系列教程(一) Xposed Hook 原理分析
weixin_42137028的博客
02-13 758
章节内容一. Android Hook 系列教程(一) Xposed Hook 原理分析二. Android Hook 系列教程(二) 自己写APK实现Hook Java层函数三. Android Hook 系列教程(三) Cydia Hook Native 原理分析四. Android Hook 系列教程(四) 自己写APK实现Hook Native层函数五. Android Hook 系列教...
xposed hook所有类的所有函数
weixin_34015566的博客
05-19 7009
package com.xiaojianbang.xposed; import android.util.Log; import de.robv.android.xposed.IXposedHookLoadPackage; import de.robv.android.xposed.XC_MethodHook; import de.robv.android.xposed.XC_MethodHoo...
使用渗透测试框架Xposed Framework hook调试Android APP
zhangmiaoping23的专栏
03-26 1727
转:http://www.freebuf.com/articles/terminal/56453.html Xposed Framework 是一个很强大的渗透测试框架,本文中讲述如何用 Xposed Framework hook 一个Android APP中的一个方法并绕过登录验证。 Xposed Framework 原理简述 Xposed Framewrork 也使用了模
Android Xposed使用教程
最新发布
mds0517的博客
06-15 353
App内有些类直接hook会失败,因为它是通过动态加载得到的,他们存放在dex文件里通过BaseDexClassLoader加载。百度网盘下载链接:https://pan.baidu.com/s/1SoypVvyoLKTr3EOK8FT3BQ。下载完成之后在将jar文件放在libs目录下。
Xposed hook原理
qinggancha的博客
11-20 1341
先来个总结 java源码经过编译后,得到很多个class文件, 考虑到手机的内存较小,google改进了字节码的组织形式,将一个app中的所有class文件合到了一起构成dex文件,当然并不是简单的拼接在一起,而是遵从dex的格式重新组织。 dex文件最终会和资源文件等一起打包成为apk,签名后安装到手机上。 PackageManager在安装apk的时候,做了一件事:优化dex文件为ode...
Dalvik虚拟机原理Xposed hook原理
zhangmiaoping23的专栏
09-14 1414
转:http://www.jianshu.com/p/b29a21a162ad 这块知识本身是挺多的,网上有对应的源码分析,本文尽量从不分析代码的角度来把原理阐述清楚。 Xposed是一个在andoid平台上比较成熟的hook框架,可以完美的在dalvik虚拟机上做到hook任意java方法。在art虚拟机上仍然处在beta阶段,相信以后也会稳定支持。 Xposed在da
Android Hook原理分析--Xposed hook 原理分析
HURUWO的技术博客
10-22 639
hook寓意为钩子,在编程中寓意拦截替换。 整体逻辑就是将执行的方法拦截执行替换之后再执行回去,各大框架原理不同但是过程类似。 Xposed Xposed框架核心思想在于将Java层普通函数注册成本地JNI方法,以此来变相实现hook机制 Xposed在对java方法进行hook时,先将虚拟机里面这个方法的Method改为nativeMethod(其实就是一个标识字段),然后将该方法的nativeFunc指向自己实现的一个native方法,这样方法在调用时,就会调用到这个native方法,接管了控制权。在这
Xposed框架原理深入研究
02-24
Xposed框架核心思想在于将Java层普通函数注册成本地JNI方法,以此来变相实现hook机制(放在文章开头的话很重要哦,记住!)。Xposed框架的技术核心建立在Jvm原生的JNI机制之上,为了对Xposed框架进行深入分析,同时...
AndroidHook神器:XPosed入门与登陆劫持演示
02-26
摘要:Xposed是一款可以在不修改APK的情况下影响程序运行的框架服务,基于Xposed能够制作出许多功能强大的模块,且在功能不冲突的情况下同时运作。在本文中,作者详细介绍了Xposed的操作步骤以及登陆劫持实战演练。...
android XPosed Hook登陆劫持源代码
11-21
简单实例 代码亲测有用 实现 IXposedHookLoadPackage接口 指定要 hook 的包名 判断当前加载的包是否是指定的包 指定要 hook 的方法名 实现beforeHookedMethod方法和afterHookedMethod方法(hook的具体功能)
Xposed的一个Hook模块,用于java加密算法破解.zip
01-14
它由Sun Microsystems(现在是Oracle Corporation)的James Gosling等人在1995年推出,被设计为一种简单、健壮、可移植、多线程、动态的语言。Java的主要特点和优势包括以下几个方面: 跨平台性(Write Once, Run ...
Xposed原理
“点点”专栏
12-06 2917
Xposed框架原理深入研究 深入理解 Android(三):Xposed 详解 上面两篇文章交叉的看就能对Xposed原理有个大概理解。 最后,简单总结一下,Xposed框架执行流程: 创建新应用,获取包名等信息。 调用XC_LoadPackage.callAll,依次执行各hook模块的代码。 如果有包名匹配的hook模块,则注册模块中要hook的方法为本地方法。 当该方被调用的时候,转移到本地xposedCallHandler。 xposedCallHandler回调上层handlerHookedM
Android中常见的HOOK框架收集
热门推荐
雪一梦的博客
04-27 1万+
Android中常见的各类Java HOOK框架,先收集起来,因为好多的基础原理差不多,后面有时间会归类以及对于原理进行重点分析。 1.XposedJava层的HOOK框架,由于要修改Zgote进程,需要Root; 2.CydiaSubstrator:本地层的HOOK框架,本质上是一个inline Hook 3.dexposed框架:随着阿里的热修复的框架原理上跟Xpo...
Xposed hook-小试牛刀
ld的专栏
10-14 1960
说明:本文主要是自己根据网上的一些入门博客,学习Xposedhook方面的使用,在文中记录下一些注意点,以及自己遇到的问题,并提供相应的解决方法。 安装Xposed Installer下载地址 Xposed Installer 注意其中系统版本的要求,下载安装符合系统版本的Xposed Installer 本文中使用的是2.7 experimental1这个版本,运行于google nexu
使用Xposed框架进行的简单HOOK
d3soft的专栏
11-18 5491
前面讲到使用Cydia Substrate进行hook,原文链接:http://www.blogfshare.com/cyidasubstrate.html 刚刚试了下Xposed框架进行HOOK,顺便记录下: 首先下载Xposed Installer,也就是Xposed安装器,下载地址为:http://repo.xposed.info/module/de.robv.android.x
轻松搭建Xposed Hook
u011337769的博客
08-05 6323
0x1.打开AS建立一个没有界面的空工程,然后在清单文件中添加如下代码: &lt;application android:allowBackup="true" android:icon="@mipmap/ic_launcher" android:label="@string/app_name" android:supportsRtl="true" android:the...
xposed实践(一)、插件完成hook
sinat_41380394的博客
12-28 936
一共两个应用;一个目标应用,一个插件应用 一、目标app实现:   二、Hook插件的实现 1.新建一个工程,导入XposedBridgeApi-54库,添加manifest说明项。   2.新建类,实现IXposedHookLoadPackage接口。   3.新建xposed_init文件,添加新建类的名称。   4.运行,添加插件就好了   效果:被hoo...
android无感知拍照github,装X指南之通过 VirtualApp 实现免 Root 权限 Hook
weixin_26854475的博客
05-27 755
装X指南之通过 VirtualApp 实现免 Root 权限 Hook一、前言之前写的 「装X指南之Xposed安装与配置」,有人反馈手机 root 风险较大,而且操作成本高,有没有什么方法是不需要 root 就能够实现 hook 的或者不需要 Xposed 也能玩起插件的?于是就有了这篇文章,离开 Xposed ,带你免 root 实现 hook!二、VirtualApp1、关于 Virtual...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值