Android Hook 简介

其他 2018-07-27 09:50:25 阅读次数: 0

1、Hook基本概述

Hook翻译过来是钩子的意思,我们都知道无论是手机还是电脑运行的时候都依赖系统各种各样的API,当某些API不能满足我们的要求时,我们就得去修改某些api,使之能满足我们的要求。这样api hook就自然而然的出现了。我们可以通过api hook,改变一个系统api的原有功能。基本的方法就是通过hook“接触”到需要修改的api函数入口点,改变它的地址指向新的自定义的函数。当然这种技术同样适用于Android系统,在Android开发中,我们同样能利用Hook的原理让系统某些方法运行时调用的是我们定义的方法,从而满足我们的要求。

2、Android中Xposed与Cydia Substrate简述

Android hook中有两个比较好用的框架Xposed和Cydia Substrate,但它们都是得在手机root得前提下才能用的,下面先简单介绍下着两种框架的原理

Xposed:是一款可以在不修改APK的情况下影响程序运行的框架服务,基于Xposed能够制作出许多功能强大的模块,且在功能不冲突的情况下同时运作。其主要原理是通过替换/system/bin/app_process程序控制zygote进程,使得app_process在启动过程中会加载XposedBridge.jar这个jar包,从而完成对Zygote进程及其创建的Dalvik虚拟机的劫持。

Xposed框架是基于一个Android的本地服务应用XposedInstaller,与一个提供API 的jar文件来完成的。所以,安装使用Xposed框架需要完成以下几个步骤:

1、安装XposedInstall.apk本地服务应用,官网下载地址为:http://repo.xposed.info/module/de.robv.android.xposed.installer

2、安装好后进入XposedInstaller应用程序,并需要激活框架(需要root权限,国内有的机子可能还不支持)。

3、下载Xposed API库XposedBridgeApi-.jar,在代工程中引用,至于具体的api怎么用,网上有很多,可以自己去搜下。

Cydia Substrate:使用过苹果手机的用户应该对Cydia Substrate框架来说一点都不会陌生,因为Cydia Substrate框架为苹果用户提供了越狱相关的服务框架。当然,Cydia Substrate也推出了Android版。Cydia Substrate是一个代码修改平台,它可以修改任何主进程的代码,不管是用Java还是C/C++(native代码)编写的,具体步骤如下:

1、同样需要下载安装一个Android本地服务的substrate.apk,可以在其官网下载 

2、安装substrate后,需要“Link Substrate Files”(连接本地的Substrate服务文件),需要Root权限的,连接后还需要重启设备才能够生效。

3、下载使用Cydia Substrate库 ,在代工程中引用,至于具体的api怎么调用,有兴趣的可以自己去搜下,官网有说明。

扫描二维码关注公众号,回复: 2403250 查看本文章

从上面的两个框架可以看出,当手机root后,我们能利用hook干很多事,比如修改微信运动步数,修改手机字体颜色,伪造gps位置,微信自动抢红包等等,差不多手机对我们就是透明的了,想怎么弄都行。。

3、不依赖第三方库,利用java反射实现简单的hook

我们都知道Activity是得在AndroidManifest.xml中配置的,今天就以一个简单的例子来看看hook的强大之处,新建一个Android项目时里有个MainActivity,我们在创建一个TestActivity,不在AndroidManifest.xml中配置,利用hook技术,让应用启动的时候,显示的是我们写的TestActivity。

我们先简单说下Activity的启动流程,Activity启动时候一般都是通过startActivity的方式启动的,并没有看到调研new Activity()啥的,其实这都是在系统里完成的,在Instrumentation.java中两个重载的方法来创建Activity的实例,如下:

  1. //frameworks/base/core/java/android/app/Instrumentation.java
  2. public Activity newActivity(Class<?> clazz, Context context,
  3. IBinder token, Application application, Intent intent, ActivityInfo info,
  4. CharSequence title, Activity parent, String id,
  5. Object lastNonConfigurationInstance) throws InstantiationException,
  6. IllegalAccessException {
  7. Activity activity = (Activity)clazz.newInstance();
  8. ActivityThread aThread = null;
  9. activity.attach(context, aThread, this, token, 0, application, intent,
  10. info, title, parent, id,
  11. (Activity.NonConfigurationInstances)lastNonConfigurationInstance,
  12. new Configuration(), null, null, null);
  13. return activity;
  14. }
  1. //frameworks/base/core/java/android/app/Instrumentation.java
  2. public Activity newActivity(ClassLoader cl, String className,
  3. Intent intent)
  4. throws InstantiationException, IllegalAccessException,
  5. ClassNotFoundException {
  6. return (Activity)cl.loadClass(className).newInstance();
  7. }
今天我们要做的就是当MainActivity在创建实例时,我们用TestActivity的实例来替换掉,这样应用启动的就是我们测试用的TestActivity

1.写一个InstrumentationHook继承系统的Instrumentation,并重写父类的newActivity方法

  1. public class InstrumentationHook extends Instrumentation {
  3. @Override
  4. public Activity newActivity(Class<?> clazz, Context context, IBinder token,
  5. Application application, Intent intent, ActivityInfo info,
  6. CharSequence title, Activity parent, String id,
  7. Object lastNonConfigurationInstance) throws InstantiationException,
  8. IllegalAccessException {
  9. Log.d( this, " CustomInstrumentation#newActivity call 1");
  10. return super.newActivity(clazz, context, token, application, intent, info,
  11. title, parent, id, lastNonConfigurationInstance);
  12. }
  14. @Override
  15. public Activity newActivity(ClassLoader cl, String className, Intent intent)
  16. throws InstantiationException, IllegalAccessException,
  17. ClassNotFoundException {
  18. Log.d( this, " CustomInstrumentation#newActivity call 3 parmas className:" + className + " intent:" + intent.toString());
  19. Activity activity = createActivity(intent);
  20. if (activity != null) {
  21. return activity;
  22. }
  23. return super.newActivity(cl, className, intent);
  24. }
  26. /*可以在createActivity拦截替换某个activity,下面自是一个简单例子*/
  27. protected Activity createActivity(Intent intent) {
  28. String className = intent.getComponent().getClassName();
  29. Log.d( this, "createActivity className=" + className);
  30. if ( "hook.jason.com.androidhook.MainActivity".equals(className)) {
  31. try {
  32. Class<? extends Activity> PluginActivity = (Class<? extends Activity>) Class
  33. .forName( "hook.jason.com.androidhook.TestActivity");
  34. return PluginActivity.newInstance();
  35. } catch (Exception e) {
  36. e.printStackTrace();
  37. }
  38. }
  39. return null;
  40. }
  41. }
2.获取当前应用的ActivityThread,并替换系统默认定义的mInstrumentation实例

  1. /**
  2. * Created by Yin.Jason on 17/3/18.
  3. * Email:[email protected]
  4. */
  6. public class HookManager {
  7. static Object activityThreadInstance;
  9. public static void init() throws ClassNotFoundException,
  10. NoSuchMethodException, IllegalAccessException,
  11. IllegalArgumentException, InvocationTargetException {
  12. Class<?> activityThread = Class.forName( "android.app.ActivityThread");
  13. Method currentActivityThread = activityThread
  14. .getDeclaredMethod( "currentActivityThread");
  15. activityThreadInstance = currentActivityThread.invoke( null);
  16. }
  18. public static void injectInstrumentation() throws NoSuchFieldException,
  19. IllegalAccessException, IllegalArgumentException {
  20. Log.i(HookManager.class, " start injectInstrumentation");
  21. Field field_instrumentation = activityThreadInstance.getClass()
  22. .getDeclaredField( "mInstrumentation");
  23. field_instrumentation.setAccessible( true);
  24. InstrumentationHook instrumentationHook = new InstrumentationHook();
  25. field_instrumentation.set(activityThreadInstance, instrumentationHook);
  26. }
  27. }
3.在MyApplication的onCreate里替换 ActivityThread里的mInstrumentation变量

  1. public class MyApplication extends Application {
  2. @Override
  3. public void onCreate() {
  4. try {
  5. Log.d( this, " onCreate starting init");
  6. HookManager.init();
  7. HookManager.injectInstrumentation();
  8. } catch (Exception e) {
  9. Log.d( this, " onCreate e:" + e.toString());
  10. }
  11. super.onCreate();
  12. }
  13. }
运行后界面如下:


具体log如下:

03-18 17:28:55.621 436-436/hook.jason.com.androidhook D/AndroidHook: MyApplication :  onCreate starting init
03-18 17:28:55.623 436-436/hook.jason.com.androidhook I/AndroidHook: Class :  start injectInstrumentation
03-18 17:28:55.633 436-436/hook.jason.com.androidhook D/AndroidHook: InstrumentationHook :  CustomInstrumentation#newActivity call 3 parmas className:hook.jason.com.androidhook.MainActivity intent:Intent { act=android.intent.action.MAIN cat=[android.intent.category.LAUNCHER] flg=0x10000000 cmp=hook.jason.com.androidhook/.MainActivity }
03-18 17:28:55.633 436-436/hook.jason.com.androidhook D/AndroidHook: InstrumentationHook : createActivity className=hook.jason.com.androidhook.MainActivity
03-18 17:28:55.674 436-436/hook.jason.com.androidhook D/AndroidHook: TestActivity : onCreate
03-18 17:28:55.752 436-436/hook.jason.com.androidhook D/AndroidHook: TestActivity : onResume
03-18 17:28:55.775 436-436/hook.jason.com.androidhook D/AndroidHook: TestActivity : onPause
03-18 17:28:55.789 436-436/hook.jason.com.androidhook D/AndroidHook: TestActivity : onAttachedToWindow
03-18 17:39:55.838 436-436/hook.jason.com.androidhook D/AndroidHook: TestActivity : onRestart
03-18 17:39:55.855 436-436/hook.jason.com.androidhook D/AndroidHook: TestActivity : onResume
03-18 17:40:26.044 436-436/hook.jason.com.androidhook D/AndroidHook: TestActivity : onPause

从log中可以看出MainActivity的onCreate方法根本没有运行,走的是没有配置的TestActivity类 源码下载地址

转自:https://blog.csdn.net/yin1031468524/article/details/63254757

猜你喜欢

转载自blog.csdn.net/u010144805/article/details/81014223
今日推荐
《美国对全球网络空间安全与发展的威胁和破坏》报告发布
火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱?
北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”
LFOSSA 源来如此公开课 | 掌握云原生未来:CNCF 认证全面攻略与备考秘籍
周排行
循环神经网络(rnn)讲解
Tigao教程四:单独的关节运动
金蝶K3WISE15.0-注册套打教程
如何在Mac上配置Kubernetes
Android应用结束自身进程的方法
SpringMVC学习 十三 拦截器栈
中国驻洛杉矶总领馆举行新春招待会
HttpClient get post 发送
11 - three.js 笔记 - 绘制三维字体模型
Mysql递归获取某个父节点下面的所有子节点和子节点上的所有父节点
每日归档
更多
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)
2024-04-28(0)
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022