Android Hook框架Xposed原理与源代码分析

最新推荐文章于 2022-12-21 15:49:00 发布
最新推荐文章于 2022-12-21 15:49:00 发布
阅读量615 收藏 1
点赞数
分类专栏: Android注入与HOOK AndroidHook

转:http://blog.csdn.net/wxyyxc1992/article/details/17320911


1 Introduction

1.1 概述

XposedGitHUBrovo89大大设计的一个针对Android平台的动态劫持项目,通过替换/system/bin/app_process程序控制zygote进程,使得app_process在启动过程中会加载XposedBridge.jar这个jar包,从而完成对Zygote进程及其创建的Dalvik虚拟机的劫持。与采取传统的Inhook方式(详见Dynamic Dalvik Instrumentation分析这篇本章 )相比,Xposed在开机的时候完成对所有的Hook Function的劫持,在原Function执行的前后加上自定义代码。

Xposed框架的基本运行环境如下:

Configuration

RequireMent

Root Access

因为Xposed工作原理是在/system/bin目录下替换文件,在install的时候需要root权限,但是运行时不需要root权限。

版本要求

需要在Android 4.0以上版本的机器中


1.1.1 GitHub上Xposed资源梳理

  • XposedBridge.jar:XposedBridge.jar是Xposed提供的jar文件,负责在Native层与FrameWork层进行交互。/system/bin/app_process进程启动过程中会加载该jar包,其它的Modules的开发与运行都是基于该jar包的。注意:XposedBridge.jar文件本质上是由XposedBridge生成的APK文件更名而来,有 图为证:install.sh
  •  XposedXposedC++部分,主要是用来替换/system/bin/app_process,并为XposedBridge提供JNI方法。
  •  XposedInstallerXposed的安装包,负责配置Xposed工作的环境并且提供对基于Xposed框架的Modules的管理。在安装XposedInstaller之后,app_processXposedBridge.jar放置在了/data/data/de.robv.android.xposed.installer
  •  XposedMods:使用Xposed开发的一些Modules,其中AppSettings是一个可以进行权限动态管理的应用

1.2 Mechanism:原理

1.2.1 Zygote

Android系统中,应用程序进程都是由Zygote进程孵化出来的,而Zygote进程是由Init进程启动的。Zygote进程在启动时会创建一个Dalvik虚拟机实例,每当它孵化一个新的应用程序进程时,都会将这个Dalvik虚拟机实例复制到新的应用程序进程里面去,从而使得每一个应用程序进程都有一个独立的Dalvik虚拟机实例。这也是Xposed选择替换app_process的原因。

Zygote进程在启动的过程中,除了会创建一个Dalvik虚拟机实例之外,还会将Java运行时库加载到进程中来,以及注册一些Android核心类的JNI方法来前面创建的Dalvik虚拟机实例中去。注意,一个应用程序进程被Zygote进程孵化出来的时候,不仅会获得Zygote进程中的Dalvik虚拟机实例拷贝,还会与Zygote一起共享Java运行时库。这也就是可以将XposedBridge这个jar包加载到每一个Android应用程序中的原因。XposedBridge有一个私有的NativeJNI)方法hookMethodNative,这个方法也在app_process中使用。这个函数提供一个方法对象利用JavaReflection机制来对内置方法覆写。具体的实现可以看下文的Xposed源代码分析。

1.2.2 Hook/Replace

Xposed 框架中真正起作用的是对方法的hook。在Repackage技术中,如果要对APK做修改,则需要修改Smali代码中的指令。而另一种动态修改指令的技术需要在程序运行时基于匹配搜索来替换smali代码,但因为方法声明的多样性与复杂性,这种方法也比较复杂。

Android系统启动的时候,zygote进程加载XposedBridge将所有需要替换的Method通过JNI方法hookMethodNative指向Native方法xposedCallHandlerxposedCallHandler在转入handleHookedMethod这个Java方法执行用户规定的Hook Func

XposedBridge这个jar包含有一个私有的本地方法:hookMethodNative,该方法在附加的app_process程序中也得到了实现。它将一个方法对象作为输入参数(你可以使用Java的反射机制来获取这个方法)并且改变Dalvik虚拟机中对于该方法的定义。它将该方法的类型改变为native并且将这个方法的实现链接到它的本地的通用类的方法。换言之,当调用那个被hook的方法时候,通用的类方法会被调用而不会对调用者有任何的影响。在hookMethodNative的实现中,会调用XposedBridge中的handleHookedMethod这个方法来传递参数。handleHookedMethod这个方法类似于一个统一调度的Dispatch例程,其对应的底层的C++函数是xposedCallHandler。而handleHookedMethod实现里面会根据一个全局结构hookedMethodCallbacks来选择相应的hook函数,并调用他们的before, after函数。

当多模块同时Hook一个方法的时候,Xposed会自动根据Module的优先级来排序,调用顺序如下:

A.before -> B.before -> original method -> B.after -> A.after

源代码分析

本部分参考了看雪论坛某大神的文章,对于上一篇文章中代码分析部分几乎照搬了他的文章深表歉意。最近一直在reading and fucking the code,个人感觉流程方式叙述函数调用虽然调理比较明晰,但是还是较复杂,本文中采取面向函数/对象的介绍方式,在函数的介绍顺序上采取流程式。如果对于某个函数/方法有疑问的直接Ctrl+F在本文内搜索。

2.1 ApplicationXposedInstaller

XposedInstaller负责对Xposed运行环境的安装配置与Module的管理,无论对于开发者还是普通用户而言,都是接触到的第一个应用。另一方面,如果我们需要抛弃Xposed本来的Module管理机制,改编为我们自己的应用,也需要了解XposedInstaller的基本流程。

2.1.1 InstallerFragment

private String install();                         @function 执行app_process的替换与XposedBridge.jar的写入操作。

2.2 Cpp:app_main.cpp 

正如第一部分所言,Xposed会在Android系统启动的时候加载XposedBridge.jar并进行Function的替换操作。我们首先从CPP模块的Zygote进程的源代码app_main.cpp谈起。类似AOSP中的frameworks/base/cmds/app_process/app_main.cpp,即/system/bin/app_process这个zygote真实身份的应用程序的源代码。关于zygote进程的分析可以参照Android:AOSP&Core中的Zygote进程详解。

2.2.1 int main(int argc, char* const argv[])

Zygote进程首先从Main函数开始执行。

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. int main(int argc, charconst argv[])  
  2. {  
  3.     ...  
  4.     /** 
  5.     @function 该函数对于SDK>=18的会获取到atrace_set_tracing_enabled的函数指针,获取到的指针会在Zygote初始化过程中调用,函数定义见代码段下方 
  6.     */  
  7.     initTypePointers();  
  8.     ...  
  9.     /** 
  10.     @function 该函数主要获取一些属性值譬如SDK版本,设备厂商,设备型号等信息并且打印到Log文件中 
  11.     @description xposedInfo函数定义在xposed.cpp中 
  12.     */  
  13.     xposedInfo();  
  14.     //变量标志是否需要加载Xposed框架  
  15.     keepLoadingXposed =  
  16.       
  17.     /** 
  18.     @function 该函数主要分析Xposed框架是否被禁用了。 
  19.     @description 该函数定义在了xposed.cpp中 
  20.     */  
  21.     !isXposedDisabled()   
  22.     &&   
  23.     !xposedShouldIgnoreCommand(className, argc, argv)   
  24.     &&   
  25.     /** 
  26.     @function 将XposedBridge所在路径加入到系统环境变量CLASSPATH中 
  27.     @para zygote bool类型,描述是否需要重启zygote,参数来源于启动指令“--zygote”参数 
  28.     @description 该函数定义在了xposed.cpp中 
  29.     */  
  30.     addXposedToClasspath(zygote);  
  31.       
  32.     /** 
  33.     @annotation 1 
  34.     */  
  35.     if (zygote) {  
  36.         runtime.start(keepLoadingXposed ? XPOSED_CLASS_DOTS : "com.android.internal.os.ZygoteInit",  
  37.                 startSystemServer ? "start-system-server" : "");  
  38.     } else if (className) {  
  39.         // Remainder of args get passed to startup class main()  
  40.         runtime.mClassName = className;  
  41.         runtime.mArgC = argc - i;  
  42.         runtime.mArgV = argv + i;  
  43.         runtime.start(keepLoadingXposed ? XPOSED_CLASS_DOTS : "com.android.internal.os.RuntimeInit",  
  44.                 application ? "application" : "tool");  
  45.     }   
  46.     else   
  47.     {  
  48.         fprintf(stderr, "Error: no class name or --zygote supplied.\n");  
  49.         app_usage();  
  50.         LOG_ALWAYS_FATAL("app_process: no class name or --zygote supplied.");  
  51.         return 10;  
  52.     }  
  53. }  

annotation 1

在annotation 1之后,开始执行Dalvik启动的操作。一般情况下keepLoadingXposed值为true,以启动Zygote为例(zygote==true),分析接下来的代码。如果zygotefalse,即是启动普通Application所属Dalvik的情景。

这一行代码是根据keepLoadingXposed 的值来判断是加载Xposed框架还是正常的ZygoteInit类。keepLoadingXposed值为true,则会加载XPOSED_CLASS_DOTS类,XPOSED_CLASS_DOTS值为de.robv.android.xposed.XposedBridge,即XposedBridge类。runtimeAppRuntime的实例,AppRuntime继承自AndroidRuntime

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. ...  
  2. AppRuntime runtime;  
  3. ...  
  4. /** 
  5. @function AppRuntime类的方法,用于启动Dalvik虚拟机。 
  6. @description 定义于app_main.cpp中 
  7. */  
  8. runtime.start(keepLoadingXposed ? XPOSED_CLASS_DOTS : "com.android.internal.os.RuntimeInit",  
  9.                   application ? "application" : "tool");  

2.2.2 void initTypePointers()

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. /** 
  2. @function 该函数对于SDK>=18的会获取到atrace_set_tracing_enabled的函数指针,获取到的指针会在Zygote初始化过程中调用 
  3. */  
  4. void initTypePointers()  
  5. {  
  6.     char sdk[PROPERTY_VALUE_MAX];  
  7.     const char *error;  
  8.     property_get("ro.build.version.sdk", sdk, "0");  
  9.     RUNNING_PLATFORM_SDK_VERSION = atoi(sdk);  
  10.     dlerror();  
  11.     if (RUNNING_PLATFORM_SDK_VERSION >= 18) {  
  12.         *(void **) (&PTR_atrace_set_tracing_enabled) = dlsym(RTLD_DEFAULT, "atrace_set_tracing_enabled");  
  13.         if ((error = dlerror()) != NULL) {  
  14.             ALOGE("Could not find address for function atrace_set_tracing_enabled: %s", error);  
  15.         }  
  16.     }  
  17. }  

2.2.3 AppRuntime 

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. ......  
  2. static AndroidRuntime* gCurRuntime = NULL;  
  3. ......  
  4. AndroidRuntime::AndroidRuntime()  
  5. {  
  6.     ......  
  7.     assert(gCurRuntime == NULL);        // one per process  
  8.     gCurRuntime = this;  
  9. }  

2.2.3.1 void AndroidRuntime::start(const char* className, const bool startSystemServer)

AppRuntime继承自AndroidRuntime,其自身没有override start方法,则在AppRuntime中调用的还是其父类的start方法。AndroidRuntime::start(const char* className, const char* options)函数完成Dalvik虚拟机的初始化和启动以及运行参数className指定的类中的main方法。当启动完虚拟机后,会调用onVmCreated(JNIEnv* env)函数。该函数在AppRuntime类中被覆盖。因此直接看AppRuntime::onVmCreated(JNIEnv* env)

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. void AndroidRuntime::start(const char* className, const bool startSystemServer)  
  2. {  
  3.     ......  
  4.     char* slashClassName = NULL;  
  5.     char* cp;  
  6.     JNIEnv* env;  
  7.     ......  
  8.     /* start the virtual machine */  
  9.     if (startVm(&mJavaVM, &env) != 0)  
  10.         goto bail;  
  11.     /* 
  12.     * Register android functions. 
  13.     */  
  14.     if (startReg(env) < 0) {  
  15.         LOGE("Unable to register all android natives\n");  
  16.         goto bail;  
  17.     }  
  18.     /* 
  19.     * We want to call main() with a String array with arguments in it. 
  20.     * At present we only have one argument, the class name.  Create an 
  21.     * array to hold it. 
  22.     */  
  23.     jclass stringClass;  
  24.     jobjectArray strArray;  
  25.     jstring classNameStr;  
  26.     jstring startSystemServerStr;  
  27.     stringClass = env->FindClass("java/lang/String");  
  28.     assert(stringClass != NULL);  
  29.     strArray = env->NewObjectArray(2, stringClass, NULL);  
  30.     assert(strArray != NULL);  
  31.     classNameStr = env->NewStringUTF(className);  
  32.     assert(classNameStr != NULL);  
  33.     env->SetObjectArrayElement(strArray, 0, classNameStr);  
  34.     startSystemServerStr = env->NewStringUTF(startSystemServer ?  
  35.         "true" : "false");  
  36.     env->SetObjectArrayElement(strArray, 1, startSystemServerStr);  
  37.     /* 
  38.     * Start VM.  This thread becomes the main thread of the VM, and will 
  39.     * not return until the VM exits. 
  40.     */  
  41.     jclass startClass;  
  42.     jmethodID startMeth;  
  43.     slashClassName = strdup(className);  
  44.     for (cp = slashClassName; *cp != '\0'; cp++)  
  45.         if (*cp == '.')  
  46.             *cp = '/';  
  47.     startClass = env->FindClass(slashClassName);  
  48.     if (startClass == NULL) {  
  49.         ......  
  50.     } else {  
  51.         startMeth = env->GetStaticMethodID(startClass, "main",  
  52.             "([Ljava/lang/String;)V");  
  53.         if (startMeth == NULL) {  
  54.             ......  
  55.         } else {  
  56.             env->CallStaticVoidMethod(startClass, startMeth, strArray);  
  57.             ......  
  58.         }  
  59.     }  
  60.     ......  
  61. }  

如果对Zygote启动过程熟悉的话,对后续XposedBridgemain函数是如何被调用的应该会很清楚。AndroidRuntime.cppstart(const char* className, const char* options)函数完成环境变量的设置,Dalvik虚拟机的初始化和启动,同时XposedonVmCreated(JNIEnv* env)中完成了自身JNI方法的注册。此后start()函数会注册Android系统的JNI方法,调用传入的className指定类的main方法,进入Java世界。

由于此时参数classNamede.robv.android.xposed.XposedBridge,因此会调用XposedBridge类的main方法

2.2.3.2 virtual void onVmCreated(JNIEnv* env)
[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. virtual void onVmCreated(JNIEnv* env)  
  2.   {  
  3.       /** 
  4.       @function 用于加载XposedBridge.jar这个类,本函数只有这个函数是增加的 
  5.       @para JNI环境指针 
  6.       @para mClassName runtime.mClassName = className这句指定 
  7.       @description 定义于xposed.cpp中 
  8.       */  
  9.         keepLoadingXposed = xposedOnVmCreated(env, mClassName);  
  10.         if (mClassName == NULL) {  
  11.             return// Zygote. Nothing to do here.  
  12.         }  
  13.         char* slashClassName = toSlashClassName(mClassName);  
  14.         mClass = env->FindClass(slashClassName);  
  15.         if (mClass == NULL) {  
  16.             ALOGE("ERROR: could not find class '%s'\n", mClassName);  
  17.         }  
  18.         free(slashClassName);  
  19.         mClass = reinterpret_cast<jclass>(env->NewGlobalRef(mClass));  
  20.     }  

2.3 Cpp:xposed.cpp

2.3.1 isXposedDisabled

这个函数负责来判断Xposed框架是否为启用,如果不小心Module写错了,可以通过shell手动创建文件来防止手机鸟掉。

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. /** 
  2. @function 判断Xposed框架是否被激活  
  3. */  
  4. bool isXposedDisabled() {  
  5.     //该函数通过读取/data/data/de.robv.android.xposed.installer/conf/disabled文件来判断Xposed框架是否被禁用,如果该文件存在,则表示禁用Xposed。  
  6.     if (access(XPOSED_LOAD_BLOCKER, F_OK) == 0) {  
  7.         ALOGE("found %s, not loading Xposed\n", XPOSED_LOAD_BLOCKER);  
  8.         return true;  
  9.     }  
  10.     return false;  
  11. }  

2.3.2 xposedShouldIgnoreCommand

这个函数写的还是极好的,可以看看来增加点见识。

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. /** 
  2. @function 为了避免Superuser类似工具滥用Xposed的log文件,此函数会判断是否是SuperUser等工具的启动请求。 
  3. */  
  4. bool xposedShouldIgnoreCommand(const char* className, int argc, const charconst argv[]) {  
  5.     if (className == NULL || argc < 4 || strcmp(className, "com.android.commands.am.Am") != 0)  
  6.         return false;  
  7.     if (strcmp(argv[2], "broadcast") != 0 && strcmp(argv[2], "start") != 0)  
  8.         return false;  
  9.     bool mightBeSuperuser = false;  
  10.     for (int i = 3; i < argc; i++) {  
  11.         if (strcmp(argv[i], "com.noshufou.android.su.RESULT") == 0  
  12.          || strcmp(argv[i], "eu.chainfire.supersu.NativeAccess") == 0)  
  13.             return true;  
  14.         if (mightBeSuperuser && strcmp(argv[i], "--user") == 0)  
  15.             return true;  
  16.         char* lastComponent = strrchr(argv[i], '.');  
  17.         if (!lastComponent)  
  18.             continue;  
  19.         if (strcmp(lastComponent, ".RequestActivity") == 0  
  20.          || strcmp(lastComponent, ".NotifyActivity") == 0  
  21.          || strcmp(lastComponent, ".SuReceiver") == 0)  
  22.             mightBeSuperuser = true;  
  23.     }  
  24.     return false;  
  25.   }  

2.3.3 addXposedToClasspath

若有新版本的XposedBridge,重命名为XposedBridge.jar并返回false;判断XposedBridge.jar文件是否存在,若不存在,返回false,否则将XposedBridge.jar所在路径添加到CLASSPATH环境变量中,返回true。

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. /** 
  2. @function 将XposedBridge.jar添加到CLASSPATH 
  3. */  
  4. bool addXposedToClasspath(bool zygote) {  
  5.     ALOGI("-----------------\n");  
  6.     // do we have a new version and are (re)starting zygote? Then load it!  
  7.     if (zygote && access(XPOSED_JAR_NEWVERSION, R_OK) == 0) {  
  8.         ALOGI("Found new Xposed jar version, activating it\n");  
  9.         if (rename(XPOSED_JAR_NEWVERSION, XPOSED_JAR) != 0) {  
  10.             ALOGE("could not move %s to %s\n", XPOSED_JAR_NEWVERSION, XPOSED_JAR);  
  11.             return false;  
  12.         }  
  13.     }  
  14.     if (access(XPOSED_JAR, R_OK) == 0) {  
  15.         char* oldClassPath = getenv("CLASSPATH");  
  16.         if (oldClassPath == NULL) {  
  17.             setenv("CLASSPATH", XPOSED_JAR, 1);  
  18.         } else {  
  19.             char classPath[4096];  
  20.             sprintf(classPath, "%s:%s", XPOSED_JAR, oldClassPath);  
  21.             setenv("CLASSPATH", classPath, 1);  
  22.         }  
  23.         ALOGI("Added Xposed (%s) to CLASSPATH.\n", XPOSED_JAR);  
  24.         return true;  
  25.     } else {  
  26.         ALOGE("ERROR: could not access Xposed jar '%s'\n", XPOSED_JAR);  
  27.         return false;  
  28.     }  
  29. }  

2.3.4 bool xposedOnVmCreated(JNIEnv* env, const char* className)

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. bool xposedOnVmCreated(JNIEnv* env, const char* className) {  
  2.     if (!keepLoadingXposed)  
  3.         return false;  
  4.     //将要启动的Class的Name赋值给startClassName      
  5.     startClassName = className;  
  6.     /** 
  7.     @function 根据JIT是否存在对部分结构体中的成员偏移进行初始化。 
  8.     @description 定义在xposed.cpp中。关于JIT的介绍详见我的关于Dalvik虚拟机的介绍 
  9.     */  
  10.     xposedInitMemberOffsets();  
  11.   
  12.     //下面开始对部分访问检查设置为true  
  13.     patchReturnTrue((void*) &dvmCheckClassAccess);  
  14.     patchReturnTrue((void*) &dvmCheckFieldAccess);  
  15.     patchReturnTrue((void*) &dvmInSamePackage);  
  16.     if (access(XPOSED_DIR "conf/do_not_hook_dvmCheckMethodAccess", F_OK) != 0)  
  17.         patchReturnTrue((void*) &dvmCheckMethodAccess);  
  18.     //针对MIUI操作系统移除android.content.res.MiuiResources类的final修饰符  
  19.     jclass miuiResourcesClass = env->FindClass(MIUI_RESOURCES_CLASS);  
  20.     if (miuiResourcesClass != NULL) {  
  21.         ClassObject* clazz = (ClassObject*)dvmDecodeIndirectRef(dvmThreadSelf(), miuiResourcesClass);  
  22.         if (dvmIsFinalClass(clazz)) {  
  23.             ALOGD("Removing final flag for class '%s'", MIUI_RESOURCES_CLASS);  
  24.             clazz->accessFlags &= ~ACC_FINAL;  
  25.         }  
  26.     }  
  27.     env->ExceptionClear();  
  28.     //开始获取XposedBridge类并new一个新的全局引用  
  29.     xposedClass = env->FindClass(XPOSED_CLASS);  
  30.     xposedClass = reinterpret_cast<jclass>(env->NewGlobalRef(xposedClass));  
  31.       
  32.     if (xposedClass == NULL) {  
  33.         ALOGE("Error while loading Xposed class '%s':\n", XPOSED_CLASS);  
  34.         dvmLogExceptionStackTrace();  
  35.         env->ExceptionClear();  
  36.         return false;  
  37.     }  
  38.       
  39.     ALOGI("Found Xposed class '%s', now initializing\n", XPOSED_CLASS);  
  40.     /** 
  41.     @function 开始注册XposedBridge中JNI函数 
  42.     */  
  43.     register_de_robv_android_xposed_XposedBridge(env);  
  44.     register_android_content_res_XResources(env);  
  45.     return true;  
  46. }  

2.3.5 JNI函数注册区域

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. static const JNINativeMethod xposedMethods[] = {  
  2.     {"getStartClassName""()Ljava/lang/String;", (void*)de_robv_android_xposed_XposedBridge_getStartClassName},  
  3.     {"initNative""()Z", (void*)de_robv_android_xposed_XposedBridge_initNative},  
  4.     {"hookMethodNative""(Ljava/lang/reflect/Member;Ljava/lang/Class;ILjava/lang/Object;)V", (void*)de_robv_android_xposed_XposedBridge_hookMethodNative},  
  5. };  
  6. static jobject de_robv_android_xposed_XposedBridge_getStartClassName(JNIEnv* env, jclass clazz) {  
  7.     return env->NewStringUTF(startClassName);  
  8. }  
  9. static int register_de_robv_android_xposed_XposedBridge(JNIEnv* env) {  
  10.     return env->RegisterNatives(xposedClass, xposedMethods, NELEM(xposedMethods));  
  11. }  
  12. static const JNINativeMethod xresourcesMethods[] = {  
  13.     {"rewriteXmlReferencesNative""(ILandroid/content/res/XResources;Landroid/content/res/Resources;)V", (void*)android_content_res_XResources_rewriteXmlReferencesNative},  
  14. };  
  15. static int register_android_content_res_XResources(JNIEnv* env) {  
  16.     return env->RegisterNatives(xresourcesClass, xresourcesMethods, NELEM(xresourcesMethods));  
  17. }  

2.3.6 initNative

该函数主要完成对XposedBridge类中函数的引用,这样可以实现在Native层对Java层函数的调用。譬如获取XposedBridge类中的handlHookedMethod函数的method id,同时赋值给全局变量xposedHandleHookedMethod。另外,initNative函数还会获取android.content.res.XResources类中的方法,完成对资源文件的处理;调用register_android_content_res_XResources注册rewriteXmlReferencesNative这个JNI方法。

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. static jboolean de_robv_android_xposed_XposedBridge_initNative(JNIEnv* env, jclass clazz) {  
  2.     ...  
  3.     xposedHandleHookedMethod = (Method*) env->GetStaticMethodID(xposedClass, "handleHookedMethod",  
  4.         "(Ljava/lang/reflect/Member;ILjava/lang/Object;Ljava/lang/Object;[Ljava/lang/Object;)Ljava/lang/Object;");  
  5.     ...  
  6.     xresourcesClass = env->FindClass(XRESOURCES_CLASS);  
  7.     xresourcesClass = reinterpret_cast<jclass>(env->NewGlobalRef(xresourcesClass));  
  8.     ...  
  9.     if (register_android_content_res_XResources(env) != JNI_OK) {  
  10.         ALOGE("Could not register natives for '%s'\n", XRESOURCES_CLASS);  
  11.         return false;  
  12.     }  
  13.     xresourcesTranslateResId = env->GetStaticMethodID(xresourcesClass, "translateResId",  
  14.         "(ILandroid/content/res/XResources;Landroid/content/res/Resources;)I");  
  15.     ...  
  16.     xresourcesTranslateAttrId = env->GetStaticMethodID(xresourcesClass, "translateAttrId",  
  17.         "(Ljava/lang/String;Landroid/content/res/XResources;)I");  
  18.     ...  
  19.     return true;  
  20. }  

2.3.7 hookMethodNative

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. /** 
  2. @function hookMethodNative 将输入的Class中的Method方法的nativeFunc替换为xposedCallHandler 
  3. @para declaredClassIndirect 类对象 
  4. @para slot Method在类中的偏移位置 
  5. */  
  6. static void de_robv_android_xposed_XposedBridge_hookMethodNative(JNIEnv* env, jclass clazz, jobject declaredClassIndirect, jint slot) {  
  7.     // Usage errors?  
  8.     if (declaredClassIndirect == NULL) {  
  9.         dvmThrowIllegalArgumentException("declaredClass must not be null");  
  10.         return;  
  11.     }  
  12.       
  13.     // Find the internal representation of the method  
  14.     ClassObject* declaredClass = (ClassObject*) dvmDecodeIndirectRef(dvmThreadSelf(), declaredClassIndirect);  
  15.     Method* method = dvmSlotToMethod(declaredClass, slot);  
  16.     if (method == NULL) {  
  17.         dvmThrowNoSuchMethodError("could not get internal representation for method");  
  18.         return;  
  19.     }  
  20.       
  21.     if (findXposedOriginalMethod(method) != xposedOriginalMethods.end()) {  
  22.         // already hooked  
  23.         return;  
  24.     }  
  25.       
  26.     // Save a copy of the original method  
  27.     xposedOriginalMethods.push_front(*((MethodXposedExt*)method));  
  28.     // Replace method with our own code  
  29.     SET_METHOD_FLAG(method, ACC_NATIVE);  
  30.     method->nativeFunc = &xposedCallHandler;  
  31.     method->registersSize = method->insSize;  
  32.     method->outsSize = 0;  
  33.     if (PTR_gDvmJit != NULL) {  
  34.         // reset JIT cache  
  35.         MEMBER_VAL(PTR_gDvmJit, DvmJitGlobals, codeCacheFull) = true;  
  36.     }  
  37. }  

2.3.8 xposedCallHandler

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. static void xposedCallHandler(const u4* args, JValue* pResult, const Method* method, ::Thread* self) {  
  2.     XposedOriginalMethodsIt original = findXposedOriginalMethod(method);  
  3.     if (original == xposedOriginalMethods.end()) {  
  4.         dvmThrowNoSuchMethodError("could not find Xposed original method - how did you even get here?");  
  5.         return;  
  6.     }  
  7.       
  8.     ThreadStatus oldThreadStatus = MEMBER_VAL(self, Thread, status);  
  9.     JNIEnv* env = MEMBER_VAL(self, Thread, jniEnv);  
  10.       
  11.     // get java.lang.reflect.Method object for original method  
  12.     jobject originalReflected = env->ToReflectedMethod(  
  13.         (jclass)xposedAddLocalReference(self, original->clazz),  
  14.         (jmethodID)method,  
  15.         true);  
  16.     
  17.     // convert/box arguments  
  18.     const char* desc = &method->shorty[1]; // [0] is the return type.  
  19.     Object* thisObject = NULL;  
  20.     size_t srcIndex = 0;  
  21.     size_t dstIndex = 0;  
  22.       
  23.     // for non-static methods determine the "this" pointer  
  24.     if (!dvmIsStaticMethod(&(*original))) {  
  25.         thisObject = (Object*) xposedAddLocalReference(self, (Object*)args[0]);  
  26.         srcIndex++;  
  27.     }  
  28.       
  29.     jclass objectClass = env->FindClass("java/lang/Object");  
  30.     jobjectArray argsArray = env->NewObjectArray(strlen(method->shorty) - 1, objectClass, NULL);  
  31.       
  32.     while (*desc != '\0') {  
  33.         char descChar = *(desc++);  
  34.         JValue value;  
  35.         Object* obj;  
  36.   
  37.         switch (descChar) {  
  38.         case 'Z':  
  39.         case 'C':  
  40.         case 'F':  
  41.         case 'B':  
  42.         case 'S':  
  43.         case 'I':  
  44.             value.i = args[srcIndex++];  
  45.             obj = (Object*) dvmBoxPrimitive(value, dvmFindPrimitiveClass(descChar));  
  46.             dvmReleaseTrackedAlloc(obj, NULL);  
  47.             break;  
  48.         case 'D':  
  49.         case 'J':  
  50.             value.j = dvmGetArgLong(args, srcIndex);  
  51.             srcIndex += 2;  
  52.             obj = (Object*) dvmBoxPrimitive(value, dvmFindPrimitiveClass(descChar));  
  53.             dvmReleaseTrackedAlloc(obj, NULL);  
  54.             break;  
  55.         case '[':  
  56.         case 'L':  
  57.             obj  = (Object*) args[srcIndex++];  
  58.             break;  
  59.         default:  
  60.             ALOGE("Unknown method signature description character: %c\n", descChar);  
  61.             obj = NULL;  
  62.             srcIndex++;  
  63.         }  
  64.         env->SetObjectArrayElement(argsArray, dstIndex++, xposedAddLocalReference(self, obj));  
  65.     }  
  66.       
  67.     /** 
  68.     @function 调用Java中方法 
  69.     @para xposedClass  
  70.     @para xposedHandleHookedMethod      
  71.     xposedHandleHookedMethod = env->GetStaticMethodID(xposedClass, "handleHookedMethod", 
  72.         "(Ljava/lang/reflect/Member;Ljava/lang/Object;[Ljava/lang/Object;)Ljava/lang/Object;"); 
  73.     */  
  74.     jobject resultRef = env->CallStaticObjectMethod(  
  75.         xposedClass, xposedHandleHookedMethod, originalReflected, thisObject, argsArray);  
  76.           
  77.     // exceptions are thrown to the caller  
  78.     if (env->ExceptionCheck()) {  
  79.         dvmChangeStatus(self, oldThreadStatus);  
  80.         return;  
  81.     }  
  82.       
  83.     // return result with proper type  
  84.     Object* result = dvmDecodeIndirectRef(self, resultRef);  
  85.     ClassObject* returnType = dvmGetBoxedReturnType(method);  
  86.     if (returnType->primitiveType == PRIM_VOID) {  
  87.         // ignored  
  88.     } else if (result == NULL) {  
  89.         if (dvmIsPrimitiveClass(returnType)) {  
  90.             dvmThrowNullPointerException("null result when primitive expected");  
  91.         }  
  92.         pResult->l = NULL;  
  93.     } else {  
  94.         if (!dvmUnboxPrimitive(result, returnType, pResult)) {  
  95.             dvmThrowClassCastException(result->clazz, returnType);  
  96.         }  
  97.     }  
  98.       
  99.     // set the thread status back to running. must be done after the last env->...()  
  100.     dvmChangeStatus(self, oldThreadStatus);  
  101. }  

2.4 Java:XposedBridge

注意,以下介绍的XposedBridge中所调用的方法都是在

2.4.1 private static void main(String[] args)

Zygote跳入XposedBridge执行的第一个函数。

[java]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. private static void main(String[] args) {  
  2.         /** 
  3.         @function Native方法,用于获取当前启动的类名 
  4.         */  
  5.         String startClassName = getStartClassName();  
  6.   
  7.         // 初始化Xposed框架与模块  
  8.         try {  
  9.             // 初始化Log文件  
  10.             try {  
  11.                 File logFile = new File("/data/xposed/debug.log");  
  12.                 if (startClassName == null && logFile.length() > MAX_LOGFILE_SIZE)  
  13.                     logFile.renameTo(new File("/data/xposed/debug.log.old"));  
  14.                 logWriter = new PrintWriter(new FileWriter(logFile, true));  
  15.                 logFile.setReadable(truefalse);  
  16.                 logFile.setWritable(truefalse);  
  17.             } catch (IOException ignored) {}  
  18.               
  19.             String date = DateFormat.getDateTimeInstance().format(new Date());  
  20.             log("-----------------\n" + date + " UTC\n"  
  21.                     + "Loading Xposed (for " + (startClassName == null ? "Zygote" : startClassName) + ")...");  
  22.             /** 
  23.             @function 负责获取XposedBridge中Java函数的引用 
  24.             @description Native函数,定义于xposed.cpp中 
  25.             */  
  26.             if (initNative()) {  
  27.                 if (startClassName == null) {  
  28.                 /** 
  29.                 @function 如果是启动Zygote进程,则执行initXbridgeZygote函数 
  30.                 @description 定义在XposedBridge类中 
  31.                 */  
  32.                     initXbridgeZygote();  
  33.                 }  
  34.                 /** 
  35.                 @function 负责加载所有模块 
  36.                 @description 定义在XposedBridge类中 
  37.                 */  
  38.                 loadModules(startClassName);  
  39.             } else {  
  40.                 log("Errors during native Xposed initialization");  
  41.             }  
  42.         } catch (Throwable t) {  
  43.             log("Errors during Xposed initialization");  
  44.             log(t);  
  45.         }  
  46.           
  47.         // 调用原来的启动参数  
  48.         if (startClassName == null)  
  49.         /** 
  50.         @description com.android.internal.os.ZygoteInit 
  51.         */  
  52.             ZygoteInit.main(args);  
  53.         else  
  54.             RuntimeInit.main(args);  
  55.     }  

2.4.2 void initXbridgeZygote():Hook系统关键函数

initXbridgeZygote完成对一些函数的hook操作,主要是调用XposedHelpers类中的findAndHookMethod完成。

[java]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. private static void initXbridgeZygote() throws Exception {  
  2.         final HashSet<String> loadedPackagesInProcess = new HashSet<String>(1);  
  3.           
  4.         /** 
  5.         @function 执行Hook替换操作 
  6.         @para ActivityThread.class 需要hook的函数所在的类; 
  7.         @para "handleBindApplication" 需要hook的函数名 
  8.         @para  "android.app.ActivityThread.AppBindData" 不定参数 
  9.         @description 定义在XposedHelper中 
  10.         */  
  11.         findAndHookMethod(ActivityThread.class"handleBindApplication""android.app.ActivityThread.AppBindData"new XC_MethodHook() {  
  12.             protected void beforeHookedMethod(MethodHookParam param) throws Throwable {  
  13.                 ActivityThread activityThread = (ActivityThread) param.thisObject;  
  14.                 ApplicationInfo appInfo = (ApplicationInfo) getObjectField(param.args[0], "appInfo");  
  15.                 ComponentName instrumentationName = (ComponentName) getObjectField(param.args[0], "instrumentationName");  
  16.                 if (instrumentationName != null) {  
  17.                     XposedBridge.log("Instrumentation detected, disabling framework for " + appInfo.packageName);  
  18.                     disableHooks = true;  
  19.                     return;  
  20.                 }  
  21.                 CompatibilityInfo compatInfo = (CompatibilityInfo) getObjectField(param.args[0], "compatInfo");  
  22.                 if (appInfo.sourceDir == null)  
  23.                     return;  
  24.                   
  25.                 setObjectField(activityThread, "mBoundApplication", param.args[0]);  
  26.                 loadedPackagesInProcess.add(appInfo.packageName);  
  27.                 LoadedApk loadedApk = activityThread.getPackageInfoNoCheck(appInfo, compatInfo);  
  28.                 XResources.setPackageNameForResDir(appInfo.packageName, loadedApk.getResDir());  
  29.                   
  30.                 LoadPackageParam lpparam = new LoadPackageParam(loadedPackageCallbacks);  
  31.                 lpparam.packageName = appInfo.packageName;  
  32.                 lpparam.processName = (String) getObjectField(param.args[0], "processName");  
  33.                 lpparam.classLoader = loadedApk.getClassLoader();  
  34.                 lpparam.appInfo = appInfo;  
  35.                 lpparam.isFirstApplication = true;  
  36.                 XC_LoadPackage.callAll(lpparam);  
  37.             }  
  38.         });  
  39.         ...  
  40.     }  

2.4.3 loadModules(String startClassName):开始Hook Module中自定义函数

[java]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. /** 
  2. @function 用于加载所有Xposed模块中定义的Hook操作 
  3. @para startClassName 当前打开的Class Name 
  4. */  
  5. private static void loadModules(String startClassName) throws IOException {  
  6.     BufferedReader apks = new BufferedReader(new FileReader(BASE_DIR + "conf/modules.list"));  
  7.     String apk;  
  8.     while ((apk = apks.readLine()) != null) {  
  9.         loadModule(apk, startClassName);  
  10.     }  
  11.     apks.close();  
  12. }  
  13. /** 
  14. @function 从各个模块定义的xposed_init文件中进行目标函数的Hook 
  15. @para apk 模块名称,即所属Application 
  16. @para startClassName 当前打开的Class Name 
  17. */  
  18. private static void loadModule(String apk, String startClassName) {  
  19.         log("Loading modules from " + apk);  
  20.         if (!new File(apk).exists()) {  
  21.             log("  File does not exist");  
  22.             return;  
  23.         }  
  24.         ClassLoader mcl = new PathClassLoader(apk, BOOTCLASSLOADER);  
  25.           
  26.         InputStream is = mcl.getResourceAsStream("assets/xposed_init");  
  27.         if (is == null) {  
  28.             log("assets/xposed_init not found in the APK");  
  29.             return;  
  30.         }  
  31.         BufferedReader moduleClassesReader = new BufferedReader(new InputStreamReader(is));  
  32.         try {  
  33.             String moduleClassName;  
  34.             while ((moduleClassName = moduleClassesReader.readLine()) != null) {  
  35.                 moduleClassName = moduleClassName.trim();  
  36.                 if (moduleClassName.isEmpty() || moduleClassName.startsWith("#"))  
  37.                     continue;  
  38.                 try {  
  39.                     log("  Loading class " + moduleClassName);  
  40.                     Class<?> moduleClass = mcl.loadClass(moduleClassName);  
  41.                     if (!IXposedMod.class.isAssignableFrom(moduleClass)) {  
  42.                         log("This class doesn't implement any sub-interface of IXposedMod, skipping it");  
  43.                         continue;  
  44.                     }  
  45.                     /* 
  46.                         @description 在Zygote启动之前执行自定义的ZygoteInit函数等自定义的Module指令 
  47.                         @annotation 1 
  48.                     */  
  49.                     final Object moduleInstance = moduleClass.newInstance();  
  50.                     if (startClassName == null) {  
  51.                         if (moduleInstance instanceof IXposedHookZygoteInit) {  
  52.                             IXposedHookZygoteInit.StartupParam param = new IXposedHookZygoteInit.StartupParam();  
  53.                             param.modulePath = apk;  
  54.                             ((IXposedHookZygoteInit) moduleInstance).initZygote(param);  
  55.                         }  
  56.                         if (moduleInstance instanceof IXposedHookLoadPackage)  
  57.                             hookLoadPackage(new IXposedHookLoadPackage.Wrapper((IXposedHookLoadPackage) moduleInstance));  
  58.                         if (moduleInstance instanceof IXposedHookInitPackageResources)  
  59.                             hookInitPackageResources(new IXposedHookInitPackageResources.Wrapper((IXposedHookInitPackageResources) moduleInstance));  
  60.                     } else {  
  61.                         if (moduleInstance instanceof IXposedHookCmdInit) {  
  62.                             IXposedHookCmdInit.StartupParam param = new IXposedHookCmdInit.StartupParam();  
  63.                             param.modulePath = apk;  
  64.                             param.startClassName = startClassName;  
  65.                             ((IXposedHookCmdInit) moduleInstance).initCmdApp(param);  
  66.                         }  
  67.                     }  
  68.                 } catch (Throwable t) {  
  69.                     log(t);  
  70.                 }  
  71.             }  
  72.         } catch (IOException e) {  
  73.             log(e);  
  74.         } finally {  
  75.             try {  
  76.                 is.close();  
  77.             } catch (IOException ignored) {  
  78.             }  
  79.         }  
  80.     }  

annotation 1

以下代码段主要将module中定义的类使用instanceof操作符确定其所属父类并依次执行操作,Xposed提供的接口类主要分为:

IXposedHookZygoteInit

该类主要提供ZygoteInit接口函数,用于在Zygote进程启动之前执行相关代码。

IXposedHookLoadPackage

主要的Hook操作类。

IXposedHookInitPackageResources

提供资源Hook相关所需要的函数。

IXposedHookCmdInit

Hook并处理启动新的Application Dalvik虚拟机时所需要的参数。

2.4.4 hookMethod

XposedBridge类的静态方法hookMethod实现对函数的hook和回调函数的注册

[java]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. /** 
  2.  * @function Hook指定方法并设置前后回调函数 
  3.  * @param 方法名 
  4.  * @param 回调函数组  
  5.  */  
  6. public static XC_MethodHook.Unhook hookMethod(Member hookMethod, XC_MethodHook callback) {  
  7.     if (!(hookMethod instanceof Method) && !(hookMethod instanceof Constructor<?>)) {  
  8.         throw new IllegalArgumentException("only methods and constructors can be hooked");  
  9.     }  
  10.       
  11.     boolean newMethod = false;  
  12.     TreeSet<XC_MethodHook> callbacks;  
  13.     /*   
  14.     HookedMethodCallbacks是一个hashMap的实例,存储每个需要hook的method的回调函数。   
  15.     首先查看hookedMethodCallbacks中是否有hookMethod对应的callbacks的集合, 
  16.     如果没有,则创建一个TreeSet,将该callbacks加入到hookedMethodCallbacks中,同时将newMethod标志设为true。 
  17.     接下来将传入的callback添加到callbacks集合中。 
  18.     */  
  19.     synchronized (hookedMethodCallbacks) {  
  20.         callbacks = hookedMethodCallbacks.get(hookMethod);  
  21.         if (callbacks == null) {  
  22.             callbacks = new TreeSet<XC_MethodHook>();  
  23.             hookedMethodCallbacks.put(hookMethod, callbacks);  
  24.             newMethod = true;  
  25.         }  
  26.     }  
  27.     synchronized (callbacks) {  
  28.         callbacks.add(callback);  
  29.     }  
  30.       
  31.     if (newMethod) {  
  32.         Class<?> declaringClass = hookMethod.getDeclaringClass();  
  33.         int slot = (int) getIntField(hookMethod, "slot");  
  34.         /** 
  35.         @function 调用Native方法hookMethodNative,通知Native层declaringClass中的某个method是被hook的 
  36.         @para declaringClass 要hook的目标类 
  37.         @para slot Method编号 
  38.         @description Native方法,定义在了xposed.cpp中 
  39.         */  
  40.         hookMethodNative(declaringClass, slot);  
  41.     }  
  42.       
  43.     return callback.new Unhook(hookMethod);  
  44. }  

2.4.5 handleHookedMethod

handleHookedMethod将被hook的代码又交还给java层实现。

[java]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. private static Object handleHookedMethod(Member method, Object thisObject, Object[] args) throws Throwable {  
  2.         if (disableHooks) {  
  3.             try {  
  4.                 return invokeOriginalMethod(method, thisObject, args);  
  5.             } catch (InvocationTargetException e) {  
  6.                 throw e.getCause();  
  7.             }  
  8.         }  

首先判断hook是否被禁用,若是,则直接调用invokeOriginalMethod函数,完成对原始函数的执行。关于如何执行原始函数的,可以继续跟踪下去分析。

[java]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. TreeSet<XC_MethodHook> callbacks;  
  2. synchronized (hookedMethodCallbacks) {  
  3.     callbacks = hookedMethodCallbacks.get(method);  
  4. }  
  5. if (callbacks == null || callbacks.isEmpty()) {  
  6.     try {  
  7.         return invokeOriginalMethod(method, thisObject, args);  
  8.     } catch (InvocationTargetException e) {  
  9.         throw e.getCause();  
  10.     }  
  11. }  
  12. synchronized (callbacks) {  
  13.     callbacks = ((TreeSet<XC_MethodHook>) callbacks.clone());  
  14.   }  

根据method值,从hookedMethodCallbacks中获取对应的callback信息。hookedMethodCallbacks的分析可以参考之前对hookMethod的分析。callbacks中存储了所有对该method进行hookbeforeHookedMethodafterHookedMethod。接着从callbacks中获取beforeHookedMethodafterHookedMethod的迭代器。

[java]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. Iterator<XC_MethodHook> before = callbacks.iterator();  
  2. Iterator<XC_MethodHook> after  = callbacks.descendingIterator();  
  3. // call "before method" callbacks  
  4. while (before.hasNext()) {  
  5.     try {  
  6.         before.next().beforeHookedMethod(param);  
  7.     } catch (Throwable t) {  
  8.         XposedBridge.log(t);  
  9.           
  10.         // reset result (ignoring what the unexpectedly exiting callback did)  
  11.         param.setResult(null);  
  12.         param.returnEarly = false;  
  13.         continue;  
  14.     }  
  15.       
  16.     if (param.returnEarly) {  
  17.         // skip remaining "before" callbacks and corresponding "after" callbacks  
  18.         while (before.hasNext() && after.hasNext()) {  
  19.             before.next();  
  20.             after.next();  
  21.         }  
  22.         break;  
  23.     }  
  24. }  
  25. // call original method if not requested otherwise  
  26. if (!param.returnEarly) {  
  27.     try {  
  28.         param.setResult(invokeOriginalMethod(method, param.thisObject, param.args));  
  29.     } catch (InvocationTargetException e) {  
  30.         param.setThrowable(e.getCause());  
  31.     }  
  32. }  
  33. // call "after method" callbacks  
  34. while (after.hasNext()) {  
  35.     Object lastResult =  param.getResult();  
  36.     Throwable lastThrowable = param.getThrowable();  
  37.       
  38.     try {  
  39.         after.next().afterHookedMethod(param);  
  40.     } catch (Throwable t) {  
  41.         XposedBridge.log(t);  
  42.           
  43.         // reset to last result (ignoring what the unexpectedly exiting callback did)  
  44.         if (lastThrowable == null)  
  45.             param.setResult(lastResult);  
  46.         else  
  47.             param.setThrowable(lastThrowable);  
  48.     }  
  49. }  
  50. // return  
  51. if (param.hasThrowable())  
  52.     throw param.getThrowable();  
  53. else  
  54.     return param.getResult();  

通过以上的分析,基本能够弄清楚Xposed框架实现hook的原理。Xposed将需要hook的函数替换成Native方法xposedCallHandler,这样Dalvik在执行被hook的函数时,就会直接调用xposedCallHandlerxposedCallHandler再调用XposedBridge类的handleHookedMethod完成注册的beforeHookedMethod以及afterHookedMethod的调用,这两类回调函数之间,会调用原始函数,完成正常的功能。

2.5 Java:Class XposedHelper

2.5.1 findAndHookMethod

[java]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. /** 
  2. @function 根据输入的类名与方法名进行Hook操作。 
  3. @para className 输入的类的名称 
  4. @para classLoader 当前上下文中的类加载器 
  5. @para methodName 方法名称 
  6. @para parameterTypesAndCallback 不定参数组,包括方法参数与回调函数 
  7. */  
  8. public static XC_MethodHook.Unhook findAndHookMethod(String className, ClassLoader classLoader, String methodName, Object... parameterTypesAndCallback) {  
  9.     return findAndHookMethod(findClass(className, classLoader), methodName, parameterTypesAndCallback);  
  10. }  
  11. public static XC_MethodHook.Unhook findAndHookMethod(Class<?> clazz, String methodName, Object... parameterTypesAndCallback) {  
  12.     /** 
  13.     @function 判断不定参数组的最后一个参数是否为XC_MethodHook 
  14.     */  
  15.     if (parameterTypesAndCallback.length == 0 || !(parameterTypesAndCallback[parameterTypesAndCallback.length-1instanceof XC_MethodHook))  
  16.         throw new IllegalArgumentException("no callback defined");  
  17.       
  18.     XC_MethodHook callback = (XC_MethodHook) parameterTypesAndCallback[parameterTypesAndCallback.length-1];  
  19.       
  20.     /** 
  21.     @function 在一个类中查找到指定方法并将该方法设置为Accessible 
  22.     @para clazz 类对象 
  23.     @para methodName 方法名称 
  24.     @para parameterTypesAndCallback 方法参数 
  25.     @description 该类定义在了XposedHelper中 
  26.     @exception 如果没有在指定的类中查找到指定方法,则抛出NoSuchMethodError这个异常 
  27.     */  
  28.     Method m = findMethodExact(clazz, methodName, parameterTypesAndCallback);  
  29.       
  30.     /** 
  31.     @function 根据方法对象通知Native函数hookMethodNative执行Hook操作 
  32.     @para method 要Hook的方法对象 
  33.     @callback 回调函数组 
  34.     @description 定义在XposedBridge中 
  35.     */  
  36.     return XposedBridge.hookMethod(m, callback);  
  37. }  

2.5.2 findMethodExact

[java]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. /** 
  2. @function findMethodExact(Class<?> clazz, String methodName, Class<?>... parameterTypes)的重载函数 
  3. */  
  4. public static Method findMethodExact(Class<?> clazz, String methodName, Object... parameterTypes) {  
  5.     Class<?>[] parameterClasses = null;  
  6.     for (int i = parameterTypes.length - 1; i >= 0; i--) {  
  7.         Object type = parameterTypes[i];  
  8.         if (type == null)  
  9.             throw new ClassNotFoundError("parameter type must not be null"null);  
  10.           
  11.         // ignore trailing callback  
  12.         if (type instanceof XC_MethodHook)  
  13.             continue;  
  14.           
  15.         if (parameterClasses == null)  
  16.             parameterClasses = new Class<?>[i+1];  
  17.           
  18.         if (type instanceof Class)  
  19.             parameterClasses[i] = (Class<?>) type;  
  20.         else if (type instanceof String)  
  21.             parameterClasses[i] = findClass((String) type, clazz.getClassLoader());  
  22.         else  
  23.             throw new ClassNotFoundError("parameter type must either be specified as Class or String"null);  
  24.     }  
  25.       
  26.     // if there are no arguments for the method  
  27.     if (parameterClasses == null)  
  28.         parameterClasses = new Class<?>[0];  
  29.       
  30.     return findMethodExact(clazz, methodName, parameterClasses);  
  31. }  
  32. /** 
  33. @function 在一个类中查找到指定方法并将该方法设置为Accessible 
  34. @para clazz 类对象 
  35. @para methodName 方法名称 
  36. @para parameterTypesAndCallback 方法参数 
  37. @description 该类定义在了XposedHelper中 
  38. @exception 如果没有在指定的类中查找到指定方法,则抛出NoSuchMethodError这个异常 
  39. */  
  40. public static Method findMethodExact(Class<?> clazz, String methodName, Class<?>... parameterTypes) {  
  41.     StringBuilder sb = new StringBuilder(clazz.getName());  
  42.     sb.append('#');  
  43.     sb.append(methodName);  
  44.     sb.append(getParametersString(parameterTypes));  
  45.     sb.append("#exact");  
  46.     String fullMethodName = sb.toString();  
  47.       
  48.     /** 
  49.     @function 判断当前Method是否已经被Hook 
  50.     */  
  51.     if (methodCache.containsKey(fullMethodName)) {  
  52.         Method method = methodCache.get(fullMethodName);  
  53.         if (method == null)  
  54.             throw new NoSuchMethodError(fullMethodName);  
  55.         return method;  
  56.     }  
  57.       
  58.     try {  
  59.         Method method = clazz.getDeclaredMethod(methodName, parameterTypes);  
  60.         method.setAccessible(true);  
  61.         /** 
  62.         @annotation 1 
  63.        */  
  64.   
  65.         methodCache.put(fullMethodName, method);  
  66.         return method;  
  67.     } catch (NoSuchMethodException e) {  
  68.         methodCache.put(fullMethodName, null);  
  69.         throw new NoSuchMethodError(fullMethodName);  
  70.     }  
  71. }  

annotation 1

findMethodExact(Class<?> clazz, String methodName, Class<?>... parameterTypes)函数中,首先将类名、方法名以及参数信息构建成一个键值,以该键值从methodCache中查找是否存在Method实例,methodCache相当于缓存了对应的Method实例。如果没有找到,会调用Class类的getDeclaredMethod(String name,Class<?>... parameterTypes)方法获取Method实例,同时将该Method设置为可访问,加入到methodCache中。

2.5 JavaClass XC_MethodHook

XC_MethodHook类中的beforeHookedMethod函数会在被hook的函数调用之前调用,而afterHookedMethod函数会在被hook的函数调用之后调用。这两个函数的方法体为空,需要在实例化XC_MethodHook时根据情况填充方法体。XC_MethodHook的内部类MethodHookParam保存了相应的信息,如调用方法的参数,this对象,函数的返回值等。


[java]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. public abstract class XC_MethodHook extends XCallback {  
  2.     public XC_MethodHook() {  
  3.         super();  
  4.     }  
  5.     public XC_MethodHook(int priority) {  
  6.         super(priority);  
  7.     }  
  8.       
  9.     /** 
  10.      * Called before the invocation of the method. 
  11.      * <p>Can use {@link MethodHookParam#setResult(Object)} and {@link MethodHookParam#setThrowable(Throwable)} 
  12.      * to prevent the original method from being called. 
  13.      */  
  14.     protected void beforeHookedMethod(MethodHookParam param) throws Throwable {}  
  15.       
  16.     /** 
  17.      * Called after the invocation of the method. 
  18.      * <p>Can use {@link MethodHookParam#setResult(Object)} and {@link MethodHookParam#setThrowable(Throwable)} 
  19.      * to modify the return value of the original method. 
  20.      */  
  21.     protected void afterHookedMethod(MethodHookParam param) throws Throwable  {}  
  22.       
  23.       
  24.     public static class MethodHookParam extends XCallback.Param {  
  25.         /** Description of the hooked method */  
  26.         public Member method;  
  27.         /** The <code>this</code> reference for an instance method, or null for static methods */  
  28.         public Object thisObject;  
  29.         /** Arguments to the method call */  
  30.         public Object[] args;  
  31.           
  32.         private Object result = null;  
  33.         private Throwable throwable = null;  
  34.         /* package */ boolean returnEarly = false;  
  35.           
  36.         /** Returns the result of the method call */  
  37.         public Object getResult() {  
  38.             return result;  
  39.         }  
  40.           
  41.         /** 
  42.          * Modify the result of the method call. In a "before-method-call" 
  43.          * hook, prevents the call to the original method. 
  44.          * You still need to "return" from the hook handler if required. 
  45.          */  
  46.         public void setResult(Object result) {  
  47.             this.result = result;  
  48.             this.throwable = null;  
  49.             this.returnEarly = true;  
  50.         }  
  51.           
  52.         /** Returns the <code>Throwable</code> thrown by the method, or null */  
  53.         public Throwable getThrowable() {  
  54.             return throwable;  
  55.         }  
  56.           
  57.         /** Returns true if an exception was thrown by the method */  
  58.         public boolean hasThrowable() {  
  59.             return throwable != null;  
  60.         }  
  61.           
  62.         /** 
  63.          * Modify the exception thrown of the method call. In a "before-method-call" 
  64.          * hook, prevents the call to the original method. 
  65.          * You still need to "return" from the hook handler if required. 
  66.          */  
  67.         public void setThrowable(Throwable throwable) {  
  68.             this.throwable = throwable;  
  69.             this.result = null;  
  70.             this.returnEarly = true;  
  71.         }  
  72.           
  73.         /** Returns the result of the method call, or throws the Throwable caused by it */  
  74.         public Object getResultOrThrowable() throws Throwable {  
  75.             if (throwable != null)  
  76.                 throw throwable;  
  77.             return result;  
  78.         }  
  79.     }  
  80.     public class Unhook implements IXUnhook {  
  81.         private final Member hookMethod;  
  82.         public Unhook(Member hookMethod) {  
  83.             this.hookMethod = hookMethod;  
  84.         }  
  85.           
  86.         public Member getHookedMethod() {  
  87.             return hookMethod;  
  88.         }  
  89.           
  90.         public XC_MethodHook getCallback() {  
  91.             return XC_MethodHook.this;  
  92.         }  
  93.         @Override  
  94.         public void unhook() {  
  95.             XposedBridge.unhookMethod(hookMethod, XC_MethodHook.this);  
  96.         }  
  97.     }  
  98. }  


双刃剑客
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xposed 获取自身上下文context有效方法
qq_28987919的博客
02-11 1221
xposed 初始化获取ApplicationContext
VirtualXposed不root怎么打开应用data/data目录
热门推荐
weixin_36001685的博客
09-19 1万+
我们之所以用VirtualXposed就是因为不想root手机,怕变砖。现在问题是,不root打不开data/data目录。 即使我们使用debugable=true并对某个应用重新打包进入调试模式能打开这个应用的目录,但别忘了,VirtualXposed里面应用的目录不是/data/data/com.xxxx,而是/data/data/io.va.exposed/virtual/data/use...
Dialog显示
yizhesong的专栏
07-09 1546
锁屏之上弹框方法一:        getWindow().addFlags(WindowManager.LayoutParams.FLAG_SHOW_WHEN_LOCKED                | WindowManager.LayoutParams.FLAG_TURN_SCREEN_ON | WindowManager.LayoutParams.FLAG_DISMISS_KEYGUA...
android日志打印ALOGE以及弱符号使用__attribute__((weak))
L888666Q的博客
06-01 2377
android日志打印函数介绍ALOGE以及弱符号使用__attribute__((weak))
AndroidHook神器:XPosed入门与登陆劫持演示
02-26
摘要:Xposed是一款可以在不修改APK的情况下影响程序运行的框架服务,基于Xposed能够制作出许多功能强大的模块,且在功能不冲突的情况下同时运作。在本文中,作者详细介绍了Xposed的操作步骤以及登陆劫持实战演练。...
android XPosed Hook登陆劫持源代码
11-21
简单实例 代码亲测有用 实现 IXposedHookLoadPackage接口 指定要 hook 的包名 判断当前加载的包是否是指定的包 指定要 hook 的方法名 实现beforeHookedMethod方法和afterHookedMethod方法(hook的具体功能)
Xposed框架原理深入研究
02-24
Xposed框架的技术核心建立在Jvm原生的JNI机制之上,为了对Xposed框架进行深入分析,同时方便大家理解,我们从以下三个问题着手:1.Dalvik虚拟机在执行java层代码时如何识别JNI方法?2.怎样才能将java层普通方法注册...
C入门
wenxustqiang
11-01 453
格式控制串             %d,%i   有符号的十进制整型数
Android自定义printf/printk/ALOGE(九十八)
Android系统攻城狮
12-20 2691
1.printf()自定义函数 #define DEBUG #define LOG_TAG "MIC_DEBUG" #ifdef DEBUG #include &lt;stdio.h&gt; #define debug(fmt, x...) printf("%s: %s() line: %d "fmt, LOG_TAG, __FUNCTION__, __LINE__, ##x); #else...
Xposed框架学习
07-06
XposedHook技术也就是Android的Java层Hook框架,有兴趣的同学可以学习一下,里面有已经整理好的文档和XposedHook的示例demo,稍微修改一下就可以使用.
【MFC国际化与多语言】03:SetThreadUILanguage函数导致程序不兼容winxp系统
sunriver2000的专栏
01-16 1238
开发环境 系统:win10 x64 VS版本:VS2010 旗舰版 问题 MFC程序因为使用SetThreadUILanguage函数,导致程序界面异常。 解决方法 1、在InitInstance()例程中添加下列代码。 switch (m_nLanguageSel) { case CHINESE_SIMPLIFIED: m_wLanguageId = MAKELA...
Xposed原理简介及其精简化
05-14 934
Xposed原理简介及其精简化 Xposed是⼀个很强⼤的Android平台上的HOOK⼯具,⽽且作者为了⽅便开发者使⽤开发了⼀个APP(Xposed Installer,下⽂称为Installer) 来使⽤开发者⾃⼰开发的模块。开发者安装⾃⼰的模块后需要在Installer中勾选⾃⼰的模块然后重启⼿机⾃⼰的模块才会起作⽤。但是这样有点不 利于开发者测试,每次都要点开Installer操作⼏下尤...
Android源码定制(4)——Xposed源码定制
safe_kitchen的博客
12-21 976
一、前言 在上篇文章源码编译(2)——Xopsed源码编译详解中详细介绍了Xposed源码编译的完整过程,本文将从Android编译过程到Xposed运行机制,最后进行Xposed框架的详细定制。其中Xposed的定制主要参考世界美景大佬的定制Xposed框架和肉丝大佬的来自高纬的对抗:魔改XPOSED框架检测(下)。 致谢: 首先感谢世界美景大佬的定制Xposed框架,从里面学习到对Xposed框架特征的修改,但是由于个人水平有限,大佬的贴子不够详细,不能完整复现,经过搜索发现肉丝大佬的基于此的两篇详细
Xposed 实现原理分析
l0neman 的博客
10-11 2984
Xposed 实现原理分析 文章目录Xposed 实现原理分析前言Xposed 使用方法Xposed 原理概述Android zygote 进程基于 Dalvik 的方法 Hook基于 ART 的方法 HookXposed 工作流程Xposed 项目结构XposedXposedBridgeXposedInstallerandroid_artXposedToolsXposed 源码分析Xposed 安装下载直接刷入使用 recovery 刷入Xposed 启动Native 层Java 层Xposed 模块加载
关于/data/data/目录的一些重要结论
ljchlx的专栏
11-26 1万+
1. /data/data/com.your.packagename/files       /data/data/com.your.packagename/databases    这两个目录,程序是可以操作的。可以在其中创建目录,向其中拷贝文件、删除文件等。    比较典型的用法是程序内置的数据库,初次使用时将其从assert拷贝到databases目录下。    另外,cont
android读写data目录下文件,android读取data/data/包名/file路径下的txt文件
weixin_29146313的博客
05-26 1571
文件不能太大否则会报内存溢出import java.io.FileInputStream;import org.apache.http.util.EncodingUtils;import android.app.Activity;import android.os.Bundle;import android.widget.TextView;public class ReaddataPathActi...
获取真机data/data/目录下应用数据文件
freddy24的专栏
05-23 2439
想要获取你手机里面某个应用的数据,一个必要
xposed一些原理总结
esabeny的博客
01-04 314
先放着
Xposed hook Android的http请求
最新发布
02-11
Xposed 是一个 Android 平台上的模块化框架,它可以用来对系统进行修改和扩展。如果你想 hook Android 的 http 请求,可以使用 Xposed 框架来实现。具体步骤如下: 1. 安装 Xposed 框架:首先你需要安装 Xposed 框架,并且确保你的设备已经获得了 root 权限。 2. 安装 Xposed 模块:接下来你需要安装一个 Xposed 模块,该模块支持 hook Android 的 http 请求。 3. 开发 Xposed 模块:如果你想自己开发一个 Xposed 模块,可以使用 Java 语言来编写代码。 4. 使用 Xposed 模块:最后,你可以使用 Xposed 模块来 hook Android 的 http 请求,从而实现你想要的功能。 总的来说,Xposed 是一个很强大的工具,它可以用来实现很多有趣的功能,包括 hook Android 的 http 请求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值