A. 请教android中有类似hook功能的函数吗侦听某个函数的调用
java层应该没有,如果kernel linux有的话,那么android的底层应该有。不过android有权限安全机制。这个没了解
B. 如何hook android framework
1.向目标进程注入代码(注入so,并调用该so里的一个函数)。首先调用ptrace函数,调试com.android.browser进程,在这里我们需要遍历该进程加载的libc.so,这里有我们需要的dlopen,dlsym等函数的地址,我们先中断com.android.phone,修改其寄存器...
C. frida native层 hook的思路技巧
frida的native层
记录一下学到的技巧
对于hook native层时,静态分析so后发现有些方法字段啥的,跟踪链太长,进程跳转太过于导致无法向上,有时直接不知道从何处分析。
首先日志打开,这个是必须的,大部分的日志都是由一个字段来控制,找到这个字段修改它,在打印的日志的中,你会发现惊喜。
有的关键日志在并没有被打印出来,思路又陷入的僵局。
可以尝试hook libart.so 拿到jni的一些函数的值
比如findclass, getcharutf8String等等。
打印这个的函数值时,顺便打印下调用栈。
图片来自大佬的GitHub
https://github.com/lasting-yang/frida_hook_libart
frida inlineHook 中,有时候hook一些寄存器,会报错,这是因为他的指令又长又短,在32位中会常见,64位中都是长指令比较稳定不会报错。
如果你的是32位还报错,你可以向上或者向下的地址hook,观察你要hook的寄存器是否在其他的地址也能拿到值。
有的时候hook一些so时,so还未加载,到时地址是null的,在低版本中你可以hook dlopen, Mole.findExportByName(null, 'dlopen');
在这个so被加载后再进行hook。dlopen,是底层用来加载so的函数;在高版本中hook android_dlopen_ext,;
有的时候修改参数的type 为JNIEnv* 时,修改失败(目前我没碰见,看到就记录下),可以导入jni.h来解决这个问题,还有一个简单方法是
shift+f11 打开loaded type libraries
然后右键 选择load type libaray,打开下面的窗口,选择Android arm就可以了
pass-----待记录
D. android怎么实现hook
几天前,在看雪安卓版块的论坛上,看到有人发表了一份dalvik hook的实现代码,这里小弟果断献丑下,给提供一份dalvik hook的另外一种实现。
首先解释下dalvik虚拟机中的Method结构体,Method结构体声明在源码目录树下的dalvik/vm/oo/Object.h文件内,在dalvik的世界中,每一个java方法都有一个对应的Method对象,
dalvik虚拟机在执行java方法时,就会通过该方法的Method对象调用到方法的具体实现代码,Method结构体内有个成员,名位insns,该字段保存着java方法具体的实现代码。那么我今天提供的这个dalvik hook的实现原理就是通过修改Method对象中的insns字段的值来达到hook java的目的。
这里简短的用文字的形式描述下Hook的实现过程。
现在有一个返回字符串的函数原型声明为:
public String truth()
{
return "hello from truth";
}
另外声明一个方法为:
public String fake()
{
return "fake string";
}
之后,该类被加载后,分别获得truth和fake方法的Method对象,并将fake方法的实现代码赋值给truth的Method对象,之后,应用程序调用truth方法时,获得的字符串为"fake string"。
E. 如何hook android sdk
1.1 概述
Xposed 是 GitHUB 上 rovo89 大大设计的一个针对 Android 平台的动态劫持项目,通过替换 /system/bin/app_process 程序控制 zygote 进程,使得 app_process 在启动过程中会加载 XposedBridge.jar 这个 jar 包,从而完成对系统应用的劫持。
Xposed 框架的基本运行环境如下:
因为 Xposed 工作原理是在 /system/bin 目录下替换文件,在 install 的时候需要root 权限,但是运行时不需要 root 权限。
需要在 Android 4.0 以上版本的机器中
2. GitHub 上的 Xposed 资源梳理一下,可以这么分类:
XposedBridge.jar : XposedBridge.jar 是 Xposed 提供的 jar 文件,负责在 Native层与 FrameWork 层进行交互。 /system/bin/app_process 进程启动过程中会加载该jar 包,其它的 Moles 的开发与运行都是基于该 jar 包的。
Xposed : Xposed 的 C++ 部分,主要是用来替换 /system/bin/app_process ,并为 XposedBridge 提供 JNI 方法。
XposedInstaller : Xposed 的安装包,负责配置 Xposed 工作的环境并且提供对基于 Xposed 框架的 Moles 的管理。
XposedMods :使用 Xposed 开发的一些 Moles ,其中 AppSettings 是一个可以进行权限动态管理的应用
1.2 Mechanism :原理
1.2.1 Zygote
在 Android 系统中,应用程序进程都是由 Zygote 进程孵化出来的,而 Zygote 进程是由 Init 进程启动的。 Zygote 进程在启动时会创建一个 Dalvik 虚拟机实例,每当它孵化一个新的应用程序进程时,都会将这个 Dalvik 虚拟机实例复制到新的应用程序进程里面去,从而使得每一个应用程序进程都有一个独立的 Dalvik 虚拟机实例。
Zygote 进程在启动的过程中,除了会创建一个 Dalvik 虚拟机实例之外,还会将 Java运行时库加载到进程中来,以及注册一些 Android 核心类的 JNI 方法来前面创建的 Dalvik 虚拟机实例中去。注意,一个应用程序进程被 Zygote 进程孵化出来的时候,不仅会获得 Zygote 进程中的 Dalvik 虚拟机实例拷贝,还会与 Zygote 一起共享 Java 运行时库。这也就是可以将XposedBridge 这个 jar 包加载到每一个 Android 应用程序中的原因。 XposedBridge 有一个私有的 Native ( JNI )方法 hookMethodNative,这个方法也在 app_process 中使用。这个函数提供一个方法对象利用 Java 的 Reflection 机制来对内置方法覆写。具体的实现可以看下文的 Xposed 源代码分析。
1.2.2 Hook/Replace
Xposed 框架中真正起作用的是对方法的 hook 。在 Repackage 技术中,如果要对APK 做修改,则需要修改 Smali 代码中的指令。而另一种动态修改指令的技术需要在程序运行时基于匹配搜索来替换 smali 代码,但因为方法声明的多样性与复杂性,这种方法也比较复杂。
在 Android 系统启动的时候, zygote 进程加载 XposedBridge 将所有需要替换的 Method 通过 JNI 方法 hookMethodNative 指向 Native 方法 xposedCallHandler , xposedCallHandler 在转入 handleHookedMethod 这个 Java 方法执行用户规定的 Hook Func 。
XposedBridge 这个 jar 包含有一个私有的本地方法: hookMethodNative ,该方法在附加的 app_process 程序中也得到了实现。它将一个方法对象作为输入参数(你可以使用 Java 的反射机制来获取这个方法)并且改变 Dalvik 虚拟机中对于该方法的定义。它将该方法的类型改变为 native 并且将这个方法的实现链接到它的本地的通用类的方法。换言之,当调用那个被 hook 的方法时候,通用的类方法会被调用而不会对调用者有任何的影响。在 hookMethodNative 的实现中,会调用 XposedBridge中的handleHookedMethod这个方法来传递参数。 handleHookedMethod 这个方法类似于一个统一调度的 Dispatch 例程,其对应的底层的 C++ 函数是 xposedCallHandler 。而 handleHookedMethod 实现里面会根据一个全局结构 hookedMethodCallbacks 来选择相应的 hook函数,并调用他们的 before, after 函数。
当多模块同时 Hook 一个方法的时候, Xposed 会自动根据 Mole 的优先级来排序,调用顺序如下:
A.before -> B.before -> original method -> B.after -> A.after
2 源代码分析
2.1 Cpp 模块
其文件分类如下:
app_main.cpp :类似 AOSP 中的 frameworks/base/cmds/app_process/app_main.cpp,即/system/bin/app_process 这个 zygote 真实身份的应用程序的源代码。关于zygote 进程的分析可以参照 Android:AOSP&Core 中的 Zygote 进程详解。
xposed.cpp :提供给 app_main.cpp 的调用函数以及 XposedBridge 的 JNI 方法的实现。主要完成初始化工作以及 Framework 层的 Method 的 Hook 操作。
xposed.h , xposed_offsets.h :头文件
Xposed 框架中的 app_main.cpp 相对于 AOSP 的 app_main.cpp 中修改之处主要为区分了调用 runtime.start() 函数的逻辑。 Xposed 框架中的 app_main.cpp 在此处会根据情况选择是加载 XposedBridge 类还是 ZygoteInit 或者 RuntimeInit 类。而实际的加载 XposedBridge 以及注册 JNI 方法的操作发生在第四步: xposedOnVmCreated中。
1.包含 cutils/properties.h ,主要用于获取、设置环境变量, xposed.cpp 中需要将XposedBridge 设置到 ClassPath 中。
2.包含了 dlfcn.h ,用于对动态链接库的操作。
3.包含了 xposed.h ,需要调用 xposed.cpp 中的函数,譬如在虚拟机创建时注册 JNI 函数。
4.增加了 initTypePointers 函数,对于 Android SDK 大于等于 18 的会获取到 atrace_set_tracing_enabled 函数指针,在 Zygote 启动时调用。
5.AppRuntime 类中的 onVmCreated 函数中增加 xposedOnVmCreated 函数调用。
6.源代码中的 Log* 全部重命名为 ALog*, 所以 Logv 替换为 Alogv ,但是功能不变。
7.Main 函数开始处增加了大量的代码,但是对于 SDK 版本小于 16 的可以不用考虑。
2.1.1 Main 函数: zygote 入口
int main(int argc, char* const argv[])
F. android里怎样hook socket过程
/***第一种:客户端Socket通过构造方法连接服务器***/ //客户端Socket可以通过指定IP地址或域名两种方式来连接服务器端,实际最终都是通过IP地址来连接服务器 //新建一个Socket,指定其IP地址及端口号 Socket socket = newSocket("192.168.0.7",。可以看看安卓巴士的教程:http://www.apkbus.com/thread-463776-1-1.html
G. 如何hook dlopen和dlsym底层函数
逆向分析过程有时候需要hook dlopen和dlsym函数,打印调用的库或者函数名。
利用cydia substrate的动态库,或者ThomasKing大大的ELF-ARM-HOOK-Library 两个都行,但是cydia 支持x86的hook,模拟器hook 比较方便(个人见解)。
我用的是cydia 实
H. android中的View被注解,如何Hook
用注解吧 打个@SuppressLint("ClickableViewAccessibility") 这个警告是说,有可能会和点击事件发生冲突如果你在touch中返回了true,那么就不会响应onClick事件了你必须调用一下view.performClick(),才会触发 view.setOnTouchListener(new View.OnTouchListener() { @SuppressLint("ClickableViewAccessibility") @Override public boolean onTouch(View v, MotionEvent event) { // TODO Auto-generated method stub return false; } });