您的当前位置:首页Xposed框架实现Android中的Hook

Xposed框架实现Android中的Hook

2024-12-13 来源:哗拓教育
Hook.jpg

前几天受高人指点意外发现了开启Android世界的新大陆,就是这个叫Hook(''钩子'')的东西。听起来很神奇,周末抽时间研究了一番,发现确实是一个值得去研究的技术。


什么是 Hook?

江湖上称它为“钩子”,它能够在事件传送到终点前截获并监控事件的传输。它能够将自己的代码“融入”被钩住的进程中,成为目标进程的一部分。这么说来,它可以Hook住系统的API,然后通过注入自己代码的方式去改变系统方法的行为、以及对系统方法的监听;除此以外,它还能通过实现一个程序,去篡改其他应用程序的行为。

原理:Hook技术本质是函数调用,由于处于Linux用户状态,每个进程有自己独立的进程控件,所以必须先注入所要Hook的进程空间,修改其内存中进程代码,替换过程表的符号地址,通过ptrace函数附加进程,向远程进程注入so库,从而达到监控以及远程进程关键函数挂钩


Xposed框架

要是说起这个框架,那可就真的牛逼了。什么微信自动抢红包、微信步数作弊......这些骚操作都是这个框架干出来的。
在Android系统中,应用程序进程以及系统服务进程都是由Zygote 进程 fork 出来的。Xposed框架深入到Android核心机制中,正式通过改造Zygote 进程来实现一系列的操作。
其使用方法我这里不做过多的说明,百度就能有一大堆的使用教程。


劫持登录Demo

又是这个栗子...不过不要紧,我们最重要的是学习原理和用法,一通百通。

  btnHook.setOnClickListener(new View.OnClickListener() {
            @Override
            public void onClick(View view) {
                String userName = etUserame.getText().toString();
                String userPassword = etPassword.getText().toString();
                if (checkInfo(userName, userPassword)) {
                    Toast.makeText(getApplicationContext(), "登录成功", Toast.LENGTH_SHORT).show();
                } else {
                    Toast.makeText(getApplicationContext(), "登录失败", Toast.LENGTH_SHORT).show();
                }
            }
        });

private boolean checkInfo(String userName, String userPassword) {
        return userName.equals("jy") && userPassword.equals("123");
    }

我模拟了一个登录的情景,并规定只有输入用户名和密码分别是jy和123的条件下才能正常登录。
为了实现劫持登录的效果,这里新建一个类去实现 IXposedHookLoadPackage,然后重写 handleLoadPackage 方法。

 /**
     * 包加载时候的回调
     */

    @Override
    public void handleLoadPackage(XC_LoadPackage.LoadPackageParam lpparam) throws Throwable {

        XposedBridge.log("Loaded app : " + lpparam.packageName);

        XposedHelpers.findAndHookMethod("cn.edu.hrbeu.jy.hooktest.MainActivity", lpparam.classLoader, "checkInfo",
                String.class, String.class, new XC_MethodHook() {
                    @Override
                    protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                        XposedBridge.log("hook start");
                        XposedBridge.log("参数1: " + param.args[0]);
                        XposedBridge.log("参数2: " + param.args[1]);
                    }

                    @Override
                    protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                        XposedBridge.log("劫持前返回的result: " + param.getResult());
                        param.setResult(true);
                        XposedBridge.log("劫持后返回的result: " + param.getResult());
                        XposedBridge.log("hook finish");
                    }
                });
    }

在启动了任意应用程序之后,都会执行一次这个方法,然后根据 packageName 来找到你需要去Hook的某个app的某个方法。这里,我找到了我的 MainActivity 以及验证登录信息的 checkInfo() 方法。
findAndHookMethod()中有两个回调方法,根据名字可以看出一个是方法执行前的回调,另一个是方法执行之后的回调。

先来看看程序界面和运行结果:

11111111.png 执行结果.png

可以看到的是,我输入的内容与我之前设定的账号密码并不同,但还是显示了登录成功。来简单分析一下:

首先,我输入了错误的账号密码,所以正常情况我的checkInfo()方法会返回 false 。所以劫持前的result 会返回 false,就像Log日志里面的一样。然后我将 param.setResult(true);将返回的结果设置成了 true...再作为最终的结果返回,所以说无论我输入什么都会显示登录成功...


分析

虽然我做的只是最简单的修改了自己实现的方法,但是其实无论是系统API 还是说别的app里面的方法,只要知道方法名和参数类型,理论上我们都可以去Hook住它们,并且可以监听或者修改这些方法的一些行为。

显示全文