Xposed框架分析

最新推荐文章于 2024-06-15 15:10:16 发布
最新推荐文章于 2024-06-15 15:10:16 发布
阅读量1w 收藏 17
点赞数 3
分类专栏: android hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjx839524906/article/details/81046844
版权
本文详细介绍了Xposed框架的工作原理,包括hook的本质、Xposed的启动流程,以及Xposed如何在Zygote进程中注入并控制VM。通过对Xposed源码的分析,揭示了Xposed如何实现对Android系统的全局hook,以及XposedBridge在启动过程中的关键角色。
摘要由CSDN通过智能技术生成

1. 概述

1.1 什么是hook

hook本质就是劫持函数调用,但由于处于linux用户态,每个进程都有自己独立的进程空间,所以必须先注入到所要hook的进程空间,修改其内存中的进程代码,替换其过程表的符号地址。

Android中一般通过ptrace函数附加进程,然后向远程进程注入so库,从而达到监控以及远程进程关键函数挂钩。

Hook的难点在于寻找函数的入口点、替换函数,这就涉及到函数的连接与加载机制。

Android中一般存在两种hook:sdk hook,ndk hook。native hook的难点在于理解ELF文件与学习ELF文件,Java层Hook则需要了解虚拟机的特性与java上的反射使用。另外还存在全局hook,即结合sdk hook和ndk hook,xposed就是一种典型的全局hook框架。

1.2 Xposed原理

Xposed是Android平台下的一个著名hook框架,其原理是通过修改替换/system/bin/app_process程序控制zygote进程,使app_process在启动过程中加载xposedBrider.jar包,从而完成对zygote进程以及其创建的虚拟机劫持。基于xposed框架可以制作出许多功能强大的模块,其在功能不冲突的情况下同时运作。

2. Xposed工程

Xposed源码地址为:https://github.com/rovo89
Xposed文件下载地址为:http://dl-xda.xposed.info/framework/

主要包括5部分:

  • Xposed:独立实现了一版Xposed版的zyogte,即生成用来替换/system/bin/app_process的可执行文件,该文件在系统启动时在init.rc中被调用,启动Zygote进程,init.zygote.rc中源码如下:
service zygote /system/bin/app_process -Xzygote /system/bin --zygote --start-system-server
    class main
    socket zygote stream 660 root system
    onrestart write /sys/android_power/request_state wake
    onrestart write /sys/power/state on
    onrestart restart media
    onrestart restart netd
  • XposedBridge:Xposed框架的Java部分,编译输出为XposedBridge.jar,为开发者提供接口
  • android_art:Xposed框架的C++部分,对XposedBridge的补充
  • XposedTools:框架编译工具,因为Xposed和XposedBridge编译依赖于Android源码,而且还有一些定制化的东西。
  • XposedInstaller:Xposed插件管理和功能选择应用,界面如下图所示,其功能包括启动Xposed框架,下载和启用指定插件,或禁用插件等。
    XposedInstaller界面

3. Xposed启动源码分析

3.1 Xposed启动Zygote

Xposed启动Zygote

3.1.1 main

init.zygote.rc中调用app_process,app_process的入口代码如下:

int main(int argc, char* const argv[])
{
    //......
    // Parse runtime arguments.  Stop at first unrecognized option.
    bool zygote = false;
    bool startSystemServer = false;
    bool application = false;
    String8 niceName;
    String8 className;

    ++i;  // Skip unused "parent dir" argument.
    while (i < argc) {
        const char* arg = argv[i++];
        if (strcmp(arg, "--zygote") == 0) {
            zygote = true;
            niceName = ZYGOTE_NICE_NAME;
        } else if (strcmp(arg, "--start-system-server") == 0) {
            startSystemServer = true;
        } else if (strcmp(arg, "--application") == 0) {
            application = true;
        } else if (strncmp(arg, "--nice-name=", 12) == 0) {
            niceName.setTo(arg + 12);
        } else if (strncmp(arg, "--", 2) != 0) {
            className.setTo(arg);
            break;
        } else {
            --i;
            break;
        }
    }
    //......
    if (zygote) {
        //初始化xposed的一些参数设置,导入XposedBridge.jar
        isXposedLoaded = xposed::initialize(true, startSystemServer, NULL, argc, argv);
        //启动Zygote进程
        runtimeStart(runtime, isXposedLoaded ? XPOSED_CLASS_DOTS_ZYGOTE : "com.android.internal.os.ZygoteInit", args, zygote);
    } else if (className) {
        isXposedLoaded = xposed::initialize(false, false, className, argc, argv);
        //启动普通进程
        runtimeStart(runtime, isXposedLoaded ? XPOSED_CLASS_DOTS_TOOLS : "com.android.internal.os.RuntimeInit", args, zygote);
    } else {
        fprintf(stderr, "Error: no class name or --zygote supplied.\n");
        app_usage();
        LOG_ALWAYS_FATAL("app_process: no class name or --zygote supplied.");
        return 10;
    }
}
3.1.2 xposed::initialize
  • 初始化Xposed的一些参数,环境变量等,并将XposedBridge加入到JavaPath中
/** Initialize Xposed (unless it is disabled). */
bool initialize(bool zygote, bool startSystemServer, const char* className, int argc, char* const argv[]) {
#if !defined(XPOSED_ENABLE_FOR_TOOLS)
    if (!zygote)
        return false;
#endif
    // 查看设备是否解密
    if (isMinimalFramework()) {
        ALOGI("Not loading Xposed for minimal framework (encrypted device)");
        return false;
    }

    xposed->zygote = zygote;
    xposed->startSystemServer = startSystemServer;
    xposed->startClassName = className;
    xposed->xposedVersionInt = xposedVersionInt;

#if XPOSED_WITH_SELINUX
    xposed->isSELinuxEnabled   = is_selinux_enabled() == 1;
    xposed->isSELinuxEnforcing = xposed->isSELinuxEnabled && security_getenforce() == 1;
#else
    xposed->isSELinuxEnabled   = false;
    xposed->isSELinuxEnforcing = false;
#endif  // XPOSED_WITH_SELINUX
    //......

    if (startSystemServer) {
        if (!determineXposedInstallerUidGid() || !xposed::service::startAll()) {
            return false;
        }
        xposed::logcat::start();
#if XPOSED_WITH_SELINUX
    } else if (xposed->isSELinuxEnabled) {
        if (!xposed::service::startMembased()) {
            return false;
        }
#endif  // XPOSED_WITH_SELINUX
    }

#if XPOSED_WITH_SELINUX
    // Don't let any further forks access the Zygote service
    if (xposed->isSELinuxEnabled) {
        xposed::service::membased::restrictMemoryInheritance();
    }
#endif  // XPOSED_WITH_SELINUX

    // FIXME Zygote has no access to input devices, this would need to be check in system_server context
    if (zygote && !isSafemodeDisabled() && detectSafemodeTrigger(shouldSkipSafemodeDelay()))
        disableXposed();

    if (isDisabled() || (!zygote && shouldIgnoreCommand(argc, argv)))
        return false;
    // 将XposedBridge加入到JavaPath中
    return addJarToClasspath();
}
3.1.3 runtimeStart
  • 启动ART虚拟机
static void runtimeStart(AppRuntime& runtime, const char *classname, const Vector<String8>& options, bool zygote)
{
#if PLATFORM_SDK_VERSION >= 23
  runtime.start(classname, options, zygote);
#else
  //......
#endif
}
  • AppRuntime的父类是AndroidRuntime,其start函数的代码如下,主要功能包括启动虚拟机,并利用反射调用className.main()。这里className=XposedBridge。
void AndroidRuntime::start(const char* className, const Vector<String8>& options, bool zygote)
{
    ALOGD(">>>>>> START %s uid %d <<<<<<\n",
            className != NULL ? className : "(unknown)", getuid());

    static const String8 startSystemServer("start-system-server");

    /*
     * 'startSystemServer == true' 意味着runtime被废弃,并且不再从init.rc中启动
     * 所以我们打印除了启动事件
     */
    for (size_t i = 0; i < options.size(); ++i) {
        if (options[i] == startSystemServer) {
           /* track our progress through the boot sequence */
           const int LOG_BOOT_PROGRESS_START = 3000;
           LOG_EVENT_LONG(LOG_BOOT_PROGRESS_START,  ns2ms(systemTime(SYSTEM_TIME_MONOTONIC)));
        }
    }

    const char* rootDir = getenv("ANDROID_ROOT");
    if (rootDir == NULL) {
        rootDir = "/system";
        if (!hasDir("/system")) {
            LOG_FATAL("No root directory specified, and /android does not exist.");
            return;
        }
        setenv("ANDROID_ROOT", rootDir, 1);
    }

    //const char* kernelHack = getenv("LD_ASSUME_KERNEL");
    //ALOGD("Found LD_ASSUME_KERNEL='%s'\n", kernelHack);

    /* 开启虚拟机 */
    JniInvocation jni_invocation;
    jni_invocation.Init(NULL);
    JNIEnv* env;
    if (startVm(&mJavaVM, &env, zygote) != 0) {
        return;
    }
    onVmCreated(env);

    /*
     * 注册android函数
     */
    if (startReg(env) < 0) {
        ALOGE("Unable to register all android natives\n");
        return;
    }

    /*
     * 利用反射调用输入类的main方法,并输入相关的参数列表,此处包括两个参数,类名和选项字符串
     */
    jclass stringClass;
    jobjectArray strArray;
    jstring classNameStr;

    stringClass = env->FindClass("java/lang/String");
    assert(stringClass != NULL);
    strArray = env->NewObjectArray(options.size() + 1, stringClass, NULL);
    assert(strArray != NULL);
    classNameStr = env->NewStringUTF(className);
    assert(classNameStr != NULL);
    env->SetObjectArrayElement(strArray, 0, classNameStr);

    for (size_t i = 0; i < options.size(); ++i) {
        jstring optionsStr = env->NewStringUTF(options.itemAt(i).string());
        assert(optionsStr != NULL);
        env->SetObjectArrayElement(strArray, i + 1, optionsStr);
    }

    /*
     * 开启VM,该进程将称为VM的主要进程,并且一直运行直到VM退出
     */
    char* slashClassName = toSlashClassName(className != NULL ? className : "");
    jclass startClass = env->FindClass(slashClassName);
    if (startClass == NULL) {
        ALOGE("JavaVM unable to locate class '%s'\n", slashClassName);
        /* keep going */
    } else {
        jmethodID startMeth = env->GetStaticMethodID(startClass, "main",
            "([Ljava/lang/String;)V");
        if (startMeth == NULL) {
            ALOGE("JavaVM unable to find main() in '%s'\n", className);
            /* keep going */
        } else {
            env->CallStaticVoidMethod(startClass, startMeth, strArray);

#if 0
            if (env->ExceptionCheck())
                threadExitUncaughtException(env);
#endif
        }
    }
    free(slashClassName);

    ALOGD("Shutting down VM\n");
    if (mJavaVM->DetachCurrentThread() != JNI_OK)
        ALOGW("Warning: unable to detach main thread\n");
    if (mJavaVM->DestroyJavaVM() != 0)
        ALOGW("Warning: VM did not shut down cleanly\n");
}
3.1.3.1 AppRuntime.onVmCreated

Xposed重写了onVmCreated方法,

    virtual void onVmCreated(JNIEnv* env)
    {
        if (isXposedLoaded)
            xposed::onVmCreated(env);

        if (mClassName.isEmpty()) {
            return; // Zygote. Nothing to do here.
        }
        char* slashClassName = toSlashClassName(mClassName.string());
        mClass = env->FindClass(slashClassName);
        if (mClass == NULL) {
            ALOGE("ERROR: could not find class '%s'\n", mClassName.string());
            env->ExceptionDescribe();
        }
        free(slashClassName);

        mClass = reinterpret_cast<jclass>(env->NewGlobalRef(mClass));
    }
3.1.3.2 xposed::onVmCreated
  • 开启VM:xposed部分,主要功能包括确定当前运行时(dalvik或art),加载libxposed_art.so,初始化库文件
void onVmCreated(JNIEnv* env) {
    // 确定当前运行时,dalvik或art
    const char* xposedLibPath = NULL;
    if (!determineRuntime(&xposedLibPath)) {
        ALOGE("Could not determine runtime, not loading Xposed");
        return;
    }

    // 加载合适的 libxposed_*.so
    void* xposedLibHandle = dlopen(xposedLibPath, RTLD_NOW);
    if</
最低0.47元/天 解锁文章
熙哥1987
关注
  • 3
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
xpose安卓手机框架
01-05
xpose安卓手机框架
太极Xposed,原EXposed框架介绍,免root使用Xposed框架的另一种选择,更新V3.3.8
11-11
太极Xposed ☯️ 是一个无需Root、不用解锁Bootloader,也不需要刷机就能使用 Xposed 模块的一个APP,原名exposed与VirtualXposed实现Xposed框架的部分功能。
Android Xposed使用教程
最新发布
mds0517的博客
06-15 685
App内有些类直接hook会失败,因为它是通过动态加载得到的,他们存放在dex文件里通过BaseDexClassLoader加载。百度网盘下载链接:https://pan.baidu.com/s/1SoypVvyoLKTr3EOK8FT3BQ。下载完成之后在将jar文件放在libs目录下。
【Android】Xposed 框架解析
王永迪的专栏
10-30 3159
Xposed框架是一款可以在不修改APK的情况下影响程序运行(修改系统)的框架服务,基于它可以制作出许多功能强大的模块,且在功能不冲突的情况下同时运作
Android Hook框架Xposed原理与源代码分析
LVXIANGAN的专栏
01-16 1663
1 Introduction 1.1 概述 Xposed是GitHUB上rovo89大大设计的一个针对Android平台的动态劫持项目,通过替换/system/bin/app_process程序控制zygote进程,使得app_process在启动过程中会加载XposedBridge.jar这个jar包,从而完成对Zygote进程及其创建的Dalvik虚拟机的劫持。与采取传统的Inhook方式...
Xpose框架的入门学习
u012763405的博客
12-26 1385
【关于Xpose】: 第一次接触到Xpose是在网络安全的课上,老师提出的期末考核,当时听到Xpose一脸懵逼,常年做Android竟然不知道这个,而且时间很仓促,只有2个星期准备,同时这两个星期包括了一个星期的考试周。做这样的系统首先要会JAVA,其次要对Android开发的流程比较熟悉,这样的挑战对我来说都是难度比较大的,更不要说是初次接触的同学们了,所以这里将自己初步学习过程记录下来,...
Xposed框架2022.rar
10-14
Xposed框架是一款强大的Android系统修改工具,它允许用户在不修改APK的情况下影响应用程序的运行。这个框架在安卓爱好者和开发者中非常受欢迎,因为它提供了对系统级别的自定义和优化的可能性。2022年的版本“Xposed...
集齐全网最全的Xposed框架.zip
02-17
Xposed框架是一款在Android系统上广泛使用的开源框架,它允许用户通过安装各种模块来修改系统的功能,无需对系统进行根权限操作。这个压缩包“集齐全网最全的Xposed框架.zip”声称包含了5个不同的Xposed框架版本,...
面试:Hook框架Xposed、Dexposed、Epic原理
王温暖的博客
12-23 4191
Xposed原理: Xposed原理简介及其精简化 - 简书 Xposed 实现原理分析_l0neman 的博客-CSDN博客_xposed原理 Dexposed原理 Android中免Root实现Hook的Dexposed框架实现原理解析以及如何实现应用的热修复_尼古拉斯.赵四的博客-CSDN博客_dexposed Epic原理 我为Dexposed续一秒——论ART上运行时 Method AOP实现 | Weishu's Notes ...
XART------generate art ascii texts.
热门推荐
jxfang的专栏
01-21 22万+
xart is a pure Python library that provides an easy way to generate art ascii texts. Life is short, be cool.xart可以将输入的字符变成艺术字 安装可用过命令pip install xart 也可以直接去GitHub上通过源码安装,地址 https://github.com/xlzd/
koa2.x--art-template
冷月心的博客
08-13 5万+
koa2.x--art-template
Angelica 引擎
痞子龙3D编程
07-14 2万+
北京完美时空公司自主研发的游戏引擎Angelica,这款由完美时空公司自主研发并拥有自主知识产权的游戏引擎,自推出之日起,就从来没有停止过自身的改进情况,推出了包括《武林外传》、《完美世界》、《诛仙》等网络游戏,号称采用了Angelica 2.0开发的《赤壁》更是博得了众多好评。虽然之前Angelica引擎一直被用于开发大型多人网络角色扮演类游戏,却也在今年初向广大国内玩家呈现了首款休闲类网络游戏
【胖虎的逆向之路】Xposed Install 框架提示未安装(Could not load available ZIP files...)
无方少年游
10-18 7137
胖虎的逆向之路_问题锦集_ Xposed Install 框架提示未安装(Could not load available ZIP files...)首先说原因解决方案详细问题联系方式 首先说原因 因为Xposed 远程服务器使用了Https, 但是 Install apk内部还是使用的Http,没有及时的更新Install apk的内部代码,就造成了访问不到,这是核心原因! 当然有些同学通过翻墙也可以访问的到,在这里就不再做赘述… 解决方案 针对该问题进行手动修改Xposed Install 内部代码,
[1035]xposed框架未安装xposed模块未激活怎么办(Could not load available ZIP files.Pull down to try again)
周小董
07-30 5万+
文章目录xposed框架未安装xposed模块未激活Could not load available ZIP files.Pull down to try again前言步骤说明注意点雷电安卓模拟器解决Could not load available ZIP files.Pull down to try again问题下载xposed-x86_64.zip下载script.sh报错处理安装成功 xposed框架未安装xposed模块未激活 最新在学习APP原生开发用到xposed框架神器,xposed是An
artDialogv6和jQuery 2.x以及RequireJS配合使用
xiaoheliushuiya
01-29 142
artDialog代码已经从google code转移到了github,最新版本的文档在:http://aui.github.io/artDialog/doc/index.html artDialog文档中用RequireJS加载的方式是: var dialog = require('./artDialog/src/dialog'); 但是我这里所采用的是RequireJS模块加载方法。首先有一...
安卓Hook系列教程(二):Xposed插件开发进阶篇
醉猫
11-22 9060
由于本屌意外发现了篇不错的教程,基本上是自己想写的东西,既然已经有了就转载一下,不自己写了。 有轮子就何需再去造轮子? 好吧,其实是懒癌发作了。。。。。。。。 Dalvik 孵化器 Zygote (Android系统中,所有的应用程序进程以及系统服务进程SystemServer都是由Zygote进程孕育/fork出来的)进程对应的程序是/system/bin/app_process. Xpo
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值