Android的java的native hook

最新推荐文章于 2024-05-25 14:46:37 发布
最新推荐文章于 2024-05-25 14:46:37 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: Hook 逆向 移动安全 JNI Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/93809215
版权
逆向 同时被 3 个专栏收录
24 篇文章 0 订阅
订阅专栏
Android
22 篇文章 0 订阅
订阅专栏
移动安全
21 篇文章 0 订阅
订阅专栏

由于linux操作系统驱动模块加载机制的限制和release版的rom通常未开启模块加载机制,使得我们不能像Windows操作系统编译驱动,在R0层做驱动监控和对抗。Hook的目标就从内核层转到了应用层。
Android平台由于分层特点,可将hook分为两种:
Java层hook,通过注入一个dex文件,hook java函数
Native层hook so注入,hook c函数
HOOK函数分三步:
找到该函数
替换该函数 -- hook
恢复该函数 -- unhook

Java hook

Hook思路:利用java语言的反射特性进行查找替换。
Hook方法:
直接java层hook替换
优点:简单
缺点:功能有限
Native层反射,解析Method替换
优点:功能完善
缺点:实现复杂

Java反射是Java被视为动态(或准动态)语言的一个关键 性质。这个机制允许程序在运行时透过Reflection APIs取得任何一个已知名称的class的内部信息,包括其modifiers(诸如public, static 等)、superclass(例如Object)、实现之interfaces(例如Cloneable)也包括fields和methods的所有信息,并可于运行时改变fields内容或唤起methods。
Hook思路:利用java语言的反射特性进行查找替换。
Hook方法:

直接java层hook替换

利用反射替换java static和私有变量方法
    Class<?> classThread = Class.forName(cls);
    Field fieldActs;
    fieldActs = classThread.getDeclaredField(member);
    fieldActs.setAccessible(true);
    objOrg = fieldActs.get(obj);
    fieldActs.set(obj, newObj);

native hook

由于Android虚拟机分为Dalvik和art,具体实现方法有所不同,下面以Dalvik虚拟机为例。
基本原理:利用java的反射特性,获取某个方法的MethodID,修改其真正的结构体Method字段,实现hook

实现重难点:
类的查找,这个类可以能没有被加载起来,需要找到系统的classload,然后再操作,Method结构体的解析和替换

struct Method {
	ClassObject* clazz;
	u4 accessFlags;		//访问权限,public,private,acc_native,所以把一个java函数这里改成native,修改下,java方法就变成了native方法,这样穿透虚拟机,达到hook、
	u2 methodIndex;
	u2 registersSize;
	u2 outsSize;
	u2 insSize;
	const char* name;		//方法名
	DexProto prototype;
	const char* shorty;		//短格式方法描述
	const u2* insns;		//指令
	int jniArgInfo;
	DalvikBridgeFunc nativeFunc;   //隐式注册时候为空,虚拟机通过桥函数调用的,JNIOnload就填上这个了。
	bool fastJni;
	bool noRef;
	bool shouldTrace;
	const RegisterMap* registerMap;
	bool inProfile;
};


 

#include <android_runtime/AndroidRuntime.h>

#include "JavaMethodHook.h"
#include "common.h"
#include "dvm_func.h"

using android::AndroidRuntime;

#ifdef DEBUG
#define STATIC
#else
#define STATIC static
#endif

STATIC int calcMethodArgsSize(const char* shorty) {
	int count = 0;

	/* Skip the return type. */
	shorty++;

	for (;;) {
		switch (*(shorty++)) {
		case '\0': {
			return count;
		}
		case 'D':
		case 'J': {
			count += 2;
			break;
		}
		default: {
			count++;
			break;
		}
		}
	}

	return count;
}

STATIC u4 dvmPlatformInvokeHints(const char* shorty) {
	const char* sig = shorty;
	int padFlags, jniHints;
	char sigByte;
	int stackOffset, padMask;

	stackOffset = padFlags = 0;
	padMask = 0x00000001;

	/* Skip past the return type */
	sig++;

	while (true) {
		sigByte = *(sig++);

		if (sigByte == '\0')
			break;

		if (sigByte == 'D' || sigByte == 'J') {
			if ((stackOffset & 1) != 0) {
				padFlags |= padMask;
				stackOffset++;
				padMask <<= 1;
			}
			stackOffset += 2;
			padMask <<= 2;
		} else {
			stackOffset++;
			padMask <<= 1;
		}
	}

	jniHints = 0;

	if (stackOffset > DALVIK_JNI_COUNT_SHIFT) {
		/* too big for "fast" version */
		jniHints = DALVIK_JNI_NO_ARG_INFO;
	} else {
		assert((padFlags & (0xffffffff << DALVIK_JNI_COUNT_SHIFT)) == 0);
		stackOffset -= 2;           // r2/r3 holds first two items
		if (stackOffset < 0)
			stackOffset = 0;
		jniHints |= ((stackOffset + 1) / 2) << DALVIK_JNI_COUNT_SHIFT;
		jniHints |= padFlags;
	}

	return jniHints;
}

STATIC int dvmComputeJniArgInfo(const char* shorty) {
	const char* sig = shorty;
	int returnType, jniArgInfo;
	u4 hints;

	/* The first shorty character is the return type. */
	switch (*(sig++)) {
	case 'V':
		returnType = DALVIK_JNI_RETURN_VOID;
		break;
	case 'F':
		returnType = DALVIK_JNI_RETURN_FLOAT;
		break;
	case 'D':
		returnType = DALVIK_JNI_RETURN_DOUBLE;
		break;
	case 'J':
		returnType = DALVIK_JNI_RETURN_S8;
		break;
	case 'Z':
	case 'B':
		returnType = DALVIK_JNI_RETURN_S1;
		break;
	case 'C':
		returnType = DALVIK_JNI_RETURN_U2;
		break;
	case 'S':
		returnType = DALVIK_JNI_RETURN_S2;
		break;
	default:
		returnType = DALVIK_JNI_RETURN_S4;
		break;
	}

	jniArgInfo = returnType << DALVIK_JNI_RETURN_SHIFT;

	hints = dvmPlatformInvokeHints(shorty);

	if (hints & DALVIK_JNI_NO_ARG_INFO) {
		jniArgInfo |= DALVIK_JNI_NO_ARG_INFO;
	} else {
		assert((hints & DALVIK_JNI_RETURN_MASK) == 0);
		jniArgInfo |= hints;
	}

	return jniArgInfo;
}

STATIC jclass dvmFindJNIClass(JNIEnv *env,const char *classDesc){
	jclass classObj = env->FindClass(classDesc);

	if(env->ExceptionCheck() == JNI_TRUE)//找不到
		env->ExceptionClear();
	}

	if(classObj == NULL){
		jclass clazzApplicationLoaders = env->FindClass("android/app/ApplicationLoaders");
		CHECK_VALID(clazzApplicationLoaders);

		jfieldID fieldApplicationLoaders = env->GetStaticFieldID(clazzApplicationLoaders,"gApplicationLoaders","Landroid/app/ApplicationLoaders;");
		CHECK_VALID(fieldApplicationLoaders);

		jobject objApplicationLoaders = env->GetStaticObjectField(clazzApplicationLoaders,fieldApplicationLoaders);
		CHECK_VALID(objApplicationLoaders);

		jfieldID fieldLoaders = env->GetFieldID(clazzApplicationLoaders,"mLoaders","Ljava/util/Map;");
		CHECK_VALID(fieldLoaders);

		jobject objLoaders = env->GetObjectField(objApplicationLoaders,fieldLoaders);
		CHECK_VALID(objLoaders);

		jclass clazzHashMap = env->GetObjectClass(objLoaders);
		static jmethodID methodValues = env->GetMethodID(clazzHashMap,"values","()Ljava/util/Collection;");
		jobject values = env->CallObjectMethod(objLoaders,methodValues);
		jclass clazzValues = env->GetObjectClass(values);
		static jmethodID methodToArray = env->GetMethodID(clazzValues,"toArray","()[Ljava/lang/Object;");
		jobjectArray classLoaders = (jobjectArray)env->CallObjectMethod(values,methodToArray);

		int size = env->GetArrayLength(classLoaders);
		jstring param = env->NewStringUTF(classDesc);

		for(int i = 0 ; i < size ; i ++){
			jobject classLoader = env->GetObjectArrayElement(classLoaders,i);
			jclass clazzCL = env->GetObjectClass(classLoader);
			static jmethodID loadClass = env->GetMethodID(clazzCL,"loadClass","(Ljava/lang/String;)Ljava/lang/Class;");
			classObj = (jclass)env->CallObjectMethod(classLoader,loadClass,param);

			if(classObj != NULL){
				break;
			}
		}
	}

	return (jclass)env->NewGlobalRef(classObj);
}

STATIC ClassObject* dvmFindClass(const char *classDesc){
	JNIEnv *env = AndroidRuntime::getJNIEnv();
	assert(env != NULL);

	char *newclassDesc = dvmDescriptorToName(classDesc);

	jclass jnicls = dvmFindJNIClass(env, newclassDesc);
	ClassObject *res = jnicls ? static_cast<ClassObject*>(dvmDecodeIndirectRef(dvmThreadSelf(), jnicls)) : NULL;
	env->DeleteGlobalRef(jnicls);
	free(newclassDesc);
	return res;
}

STATIC ArrayObject* dvmBoxMethodArgs(const Method* method, const u4* args){
	const char* desc = &method->shorty[1]; // [0] is the return type.

	/* count args */
	size_t argCount = dexProtoGetParameterCount(&method->prototype);

	STATIC ClassObject* java_lang_object_array = dvmFindSystemClass("[Ljava/lang/Object;");

	/* allocate storage */
	ArrayObject* argArray = dvmAllocArrayByClass(java_lang_object_array, argCount, ALLOC_DEFAULT);
	if (argArray == NULL)
		return NULL;

	Object** argObjects = (Object**) (void*) argArray->contents;

	/*
	 * Fill in the array.
	 */
	size_t srcIndex = 0;
	size_t dstIndex = 0;
	while (*desc != '\0') {
		char descChar = *(desc++);
		JValue value;

		switch (descChar) {
		case 'Z':
		case 'C':
		case 'F':
		case 'B':
		case 'S':
		case 'I':
			value.i = args[srcIndex++];
			argObjects[dstIndex] = (Object*) dvmBoxPrimitive(value, dvmFindPrimitiveClass(descChar));
			/* argObjects is tracked, don't need to hold this too */
			dvmReleaseTrackedAlloc(argObjects[dstIndex], NULL);
			dstIndex++;
			break;
		case 'D':
		case 'J':
			value.j = dvmGetArgLong(args, srcIndex);
			srcIndex += 2;
			argObjects[dstIndex] = (Object*) dvmBoxPrimitive(value, dvmFindPrimitiveClass(descChar));
			dvmReleaseTrackedAlloc(argObjects[dstIndex], NULL);
			dstIndex++;
			break;
		case '[':
		case 'L':
			argObjects[dstIndex++] = (Object*) args[srcIndex++];
			break;
		}
	}

	return argArray;
}

STATIC ArrayObject* dvmGetMethodParamTypes(const Method* method, const char* methodsig){
	/* count args */
	size_t argCount = dexProtoGetParameterCount(&method->prototype);
	STATIC ClassObject* java_lang_object_array = dvmFindSystemClass("[Ljava/lang/Object;");

	/* allocate storage */
	ArrayObject* argTypes = dvmAllocArrayByClass(java_lang_object_array, argCount, ALLOC_DEFAULT);
	if(argTypes == NULL){
		return NULL;
	}

	Object** argObjects = (Object**) argTypes->contents;
	const char *desc = (const char *)(strchr(methodsig, '(') + 1);

	/*
	 * Fill in the array.
	 */
	size_t desc_index = 0;
	size_t arg_index = 0;
	bool isArray = false;
	char descChar = desc[desc_index];

	while (descChar != ')') {

		switch (descChar) {
		case 'Z':
		case 'C':
		case 'F':
		case 'B':
		case 'S':
		case 'I':
		case 'D':
		case 'J':
			if(!isArray){
				argObjects[arg_index++] = dvmFindPrimitiveClass(descChar);
				isArray = false;
			}else{
				char buf[3] = {0};
				memcpy(buf, desc + desc_index - 1, 2);
				argObjects[arg_index++] = dvmFindSystemClass(buf);
			}

			desc_index++;
			break;

		case '[':
			isArray = true;
			desc_index++;
			break;

		case 'L':
			int s_pos = desc_index, e_pos = desc_index;
			while(desc[++e_pos] != ';');
			s_pos = isArray ? s_pos - 1 : s_pos;
			isArray = false;

			size_t len = e_pos - s_pos + 1;
			char buf[128] = { 0 };
			memcpy((void *)buf, (const void *)(desc + s_pos), len);
			argObjects[arg_index++] = dvmFindClass(buf);
			desc_index = e_pos + 1;
			break;
		}

		descChar = desc[desc_index];
	}

	return argTypes;
}

STATIC void method_handler(const u4* args, JValue* pResult, const Method* method, struct Thread* self){
	HookInfo* info = (HookInfo*)method->insns;
	LOGI("[+] entry DvmHandler %s->%s", info->classDesc, info->methodName);

	Method* originalMethod = reinterpret_cast<Method*>(info->originalMethod);
	Object* thisObject = !info->isStaticMethod ? (Object*)args[0]: NULL;

	ArrayObject* argTypes = dvmBoxMethodArgs(originalMethod, info->isStaticMethod ? args : args + 1);
	pResult->l = (void *)dvmInvokeMethod(thisObject, originalMethod, argTypes, (ArrayObject *)info->paramTypes, (ClassObject *)info->returnType, true);

	dvmReleaseTrackedAlloc((Object *)argTypes, self);
}

extern int __attribute__ ((visibility ("hidden"))) dalvik_java_method_hook(JNIEnv* env, HookInfo *info) {//入口点
	const char* classDesc = info->classDesc;
	const char* methodName = info->methodName;
	const char* methodSig = info->methodSig;
	const bool isStaticMethod = info->isStaticMethod;

	jclass classObj = dvmFindJNIClass(env, classDesc);
	if (classObj == NULL) {
		LOGE("[-] %s class not found", classDesc);
		return -1;
	}

	jmethodID methodId =
			isStaticMethod ?
					env->GetStaticMethodID(classObj, methodName, methodSig) :
					env->GetMethodID(classObj, methodName, methodSig);

	if (methodId == NULL) {
		LOGE("[-] %s->%s method not found", classDesc, methodName);
		return -1;
	}


	// backup method
	Method* method = (Method*) methodId;
	if(method->nativeFunc == method_handler){
		LOGW("[*] %s->%s method had been hooked", classDesc, methodName);
		return -1;
	}
	Method* bakMethod = (Method*) malloc(sizeof(Method));
	memcpy(bakMethod, method, sizeof(Method));

	// init info
	info->originalMethod = (void *)bakMethod;
	info->returnType = (void *)dvmGetBoxedReturnType(bakMethod);
	info->paramTypes = dvmGetMethodParamTypes(bakMethod, info->methodSig);//拿到虚拟机的参数。

	// hook method
	int argsSize = calcMethodArgsSize(method->shorty);//寄存器的个数
	if (!dvmIsStaticMethod(method))
		argsSize++;//如果非静态多个this参数

	SET_METHOD_FLAG(method, ACC_NATIVE);//改成native
	method->registersSize = method->insSize = argsSize;
	method->outsSize = 0;
	method->jniArgInfo = dvmComputeJniArgInfo(method->shorty);

	// save info to insns
	method->insns = (u2*)info;

	// bind the bridge func,only one line
	method->nativeFunc = method_handler;//hook实现
	LOGI("[+] %s->%s was hooked\n", classDesc, methodName);

	return 0;
}

Hook框架

Xposed

替换app_process里插了一些桩,在app启动时候检测。

使用方法:
1、新建Android工程
2、AndoridMainfest.xml  application标签添加Xposed的meta-data
3、lib目录添加XposedBridge库
4、assets目录新建xposed_init文件,添加hook模块
包名+类名
5、编写hook逻辑


 

kernweak
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Native Hook 快速上手
chuyouyinghe的专栏
06-05 738
Hook 原意是指钩子,它表示的就是在某个函数的上下文做自定义的处理来实现我们想要的黑科技大家可能比较熟悉 Java 层的一些 Hook 技术,比如反射,动态代理,或者 ASM 字节码插桩在 Java 层之外,Android 系统还有很大一部分属于 Native 层,有时不可避免的需要用到 Native Hook 技术本文主要介绍 Native Hook 是什么,以及如何通过一个例子快速上手。
Frida实战:JavaNative、SO层面的Hook与主动调用详解
beidideshu的博客
03-06 3132
Frida实战:JavaNative、SO层面的Hook与主动调用详解
java 监听全局键盘鼠标事件 JnativeHook
最新发布
MAI44的博客
05-25 262
java 全局键盘鼠标控制 JnativeHook
自己来动手实现 Native Hook
z240336124的专栏
01-10 530
Native Hook 是我们性能优化中最常见的手段之一,推荐大家用开源的方案像和等等,会用这肯定是最基础的,其次我们一直都追求知道原理并且要自己能写。今天这里我们自己来实现一套简单的 Native Hook ,我们只写关键代码。有了以上基础知识,我们实现起来就会变得简单了,虽然过程中可能会遇到一些问题,但前期我们只需要确保流程和方案没问题就行。其实主要就是两步:首先,读取 /proc/self/maps 文件内容,找到目标 so 文件的基地址;
android Java层和Native层frida hook的一些系统参数的修改
esabeny的博客
01-25 1908
目的 解决一些App对于手机端指纹的风控 1.Java参考脚本 var system_mapping = { "ro.build.id": "KTU84P", "ro.build.display.id": "KTU84P", "ro.build.version.incremental": "1227136", "ro.build.version.sdk": "19", "ro.build.version.codename": "REL", "ro.build
盘点Android常用Hook技术
音视频开发进阶
06-14 2360
Android平台开发测试过程中,Hook技术是每个开发人员都常用的技术。可以用于绕过系统限制、修改别人发布的代码、动态化、调用隐藏API、插件化、组件化、自动化测试、沙箱等等。Hook...
Android native Hook工具
12-24
Android进程so注入Hook java方法的原理和使用(一)中介绍的Android native Hook工具文件,已经在android模拟器上进行Hook测试,能够成功,提供给需要的朋友,也为自己备份一下。
android native hook
03-31
Android系统中,"Native Hook"是指在C/C++层进行的hook技术,主要用于拦截和修改系统函数调用。在Android应用开发中,特别是在安全、性能优化和调试领域,Native Hook有着广泛的应用。本篇文章将深入探讨Android ...
Android native Hook的源码
12-24
Android进程so注入Hook java方法的原理和使用(一)中提到的Android native Hook的源码工程,能够在ubuntu下编译成功,提供给向学习AndroidHook的同学,同时也自己备份一下。
java hook demo
04-09
Android Hook,则是针对Android系统特性的Hook技术,主要利用Android的System Server、Zygote进程以及JNI(Java Native Interface)等机制。常见的Android Hook 工具包括Xposed框架,它允许开发者在不修改APK的情况...
Android代码-Hook
08-06
Android中,这通常通过反射机制和JNI(Java Native Interface)来实现。反射用于定位要Hook的方法,而JNI则允许我们编写C/C++代码来实现对原方法的拦截和替换。 2. **Xposed框架** "xponsed"提及的应该是知名的...
JNativeHook2.1.0
03-15
JNativeHookJava 程序提供全局的键盘和鼠标事件侦听功能。你可以来处理程序外的键盘输入和鼠标动作。 JNativeHook 使用了 JNI 技术调用了系统的方法来实现该功能,支持的系统也非常多,并且不用导入任何dll文件,只要导入jar文件夹下的jar包即可,非常方便。
Java 反射之Hook 实例
yihanss的博客
01-27 548
Hook 机制主要是通过反射机制,在运行时改变某个对象的属性或者行为(很抽象!!!), 所以必须以实例作为学习的切入点。 或者可以参考:其实用高大上的Hook技术动态注入代码很简单,一看就会! - JavaShuo 这里仅做实例记录 1. 普通场景 直接上代码, 很容易看懂 (1) Weapon 类 package com.example.javalearnproject.reflectbasictest.hook; public class Weapon { protected int dama
Android Native Hook
xiangzhihong8的专栏
11-17 1389
Hook 直译过来就是“钩子”的意思,是指截获进程对某个 API 函数的调用,使得 API 的执行流程转向我们实现的代码片段,从而实现我们所需要得功能,这里的功能可以是监控、修复系统漏洞,也可以是劫持或者其他恶意行为。 相信许多新手第一次接触 Hook 时会觉得这项技术十分神秘,只能被少数高手、黑客所掌握,那 Hook 是不是真的难以掌握?希望今天的文章可以打消你的顾虑。 Native Hook ...
Android Native Hook: 原理、方案对比与具体实现
陆业聪
04-21 1025
本文探讨了Android Native Hook技术,包括原理、实现方式(Inline Hook和PLT/GOT Hook)及优化建议,旨在帮助开发者更有效地应用该技术。
Android 利用JNI调用Android Java代码函数
ShallCheek
05-22 1063
Jni调用java代码
cydiaSubstrate hook java/native 研究记录
小蒋的博客
05-13 2912
前阵子研究hook相关的东西,自己在网上搜集了一些资料,整理并记录一下,希望能给研究Android hook的小伙伴们提供一些帮助: 一、 Cydia Substrate 的概述 1. 简介: Cydia Substrate是一个代码修改平台。它可以修改任何主进程的代码,不管是用Java还是C/C++(native代码)编写的,是一款强大而实用的HOOK工具。
全能HOOK框架 JNI NATIVE JAVA ART DALVIK
omnispace的博客
06-29 3122
OneHook 目前比较流行的几个安卓HOOK方案,都有功能上的欠缺,有的不支持art模式,有的不支持jni层,有的不支持侵入HOOK。 所以OneHook诞生了! 这是一个同时支持ART和Dalvik两种模式,理论上支持安卓4.0.3以上所有版本,同时支持JAVANATIVE层,使用全局注入技术的侵入式HOOK框架。 本框架不需要额外的安装,可以静态编译到自己的APP中
Android Native Hook工具实践
11-06 653
本文章所对应项目长期维护与更新,因为在我自己的几台测试机上用得还挺顺手的。本项目作为作者本人的一个学习项目将会长期更新以修复当前可能存在的Bug以及跟进以后Android NDK可能出现的主流汇编模式。 本...
Android hook
06-03
一般情况下,Android hook 的实现方式有两种,一种是基于 Java 层的 hook,一种是基于 Native 层的 hook。 基于 Java 层的 hook 通常使用 Java 反射机制和动态代理技术,可以通过修改方法的参数和返回值来实现方法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值