Android对so进行简单hook思路解析

目录
  • 1、什么是Hook
  • 2、对App的so进行Hook的一种思路
  • 3、一个最基本的JNI sample程序代表目标宿主Apk
  • 4、开始Hook
    • 4.1、编写Hook代码

1、什么是Hook

Hook 技术又叫做钩子函数,在系统没有调用该函数之前,钩子程序就先捕获该消息,钩子函数先得到控制权,这时钩子函数既可以加工处理(改变)该函数的执行行为,还可以强制结束消息的传递。简单来说,就是把系统的程序拉出来变成我们自己执行代码片段。

2、对App的so进行Hook的一种思路

我们知道现在JNI在Android开发中是特别重要的,使用JNI有什么好处呢?

  • Preference,C/C++在运行性能上面甩Java几条GAI
  • Security,更多的加密解密还是放在Native上。

优点不止这两点,比如在Native里面开辟空间并不受JVM管理,JVM怎么使用native memory。这里不再赘述。

本文提供一种对Android上so库进行Hook的一种思路,不涉及ELF的查看修改,不改动对方的调用方式。 思路就是一招偷梁换柱,用自己的so替换App的so,让对象调用自己的so的时候调用我们自己写的so,我们再调用原来的so,这样就可以获得对方so方法的输入输出。

可以应用在想获取对方App的数据传递格式或者无法破解对方的加解密,但是可以通过hook获取对方的数据格式再调用对方的加解密方法得到自己想要的结果。

3、一个最基本的JNI sample程序代表目标宿主Apk

这里我们自己准备一个宿主Apk,直接用AndroidStudio新建一个支持JNI的工程,勾选Include C++ support,默认生成一个Android工程。

默认的MainActivity.java和native-lib.cpp分别长这样子:

//MainActivity
public class MainActivity extends Activity {
    static {
        System.loadLibrary("native-lib");
    }
    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
        TextView tv = (TextView) findViewById(R.id.sample_text);
        tv.setText(stringFromJNI());
    }
    public native String stringFromJNI(String param);
}
//native-lib.cpp
#include <jni.h>
#include <string>
extern "C" JNIEXPORT jstring JNICALL
Java_com_hook_yocn_MainActivity_stringFromJNI(
        JNIEnv* env,
        jobject /* this */) {
    std::string hello = "Hello from C++";
    return env->NewStringUTF(hello.c_str());
}

我们为了逻辑清晰稍微做一点修改,逻辑是希望传入一个字符串,然后在C++里面对字符串的每个字符都+1操作,也就是 java -> kbwb。改完之后代码长这个样子:

//MainActivity.java
public class MainActivity extends Activity {
    static {
        System.loadLibrary("native-lib");
    }
    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
        TextView tv = (TextView) findViewById(R.id.sample_text);
        tv.setText(stringFromJNI("java"));
    }
    public native String stringFromJNI(String param);
}
//native-lib.cpp
#include <jni.h>
#include <string>
#include <android/log.h>
#define LOG_TAG "hook"
#define LOGV(...)  __android_log_print(ANDROID_LOG_VERBOSE,LOG_TAG,__VA_ARGS__)
#define LOGE(...)  __android_log_print(ANDROID_LOG_ERROR,LOG_TAG,__VA_ARGS__)
extern "C" JNIEXPORT jstring JNICALL
Java_com_hook_yocn_MainActivity_stringFromJNI(JNIEnv *env, jobject obj, jstring param) {
    int length = (env)->GetStringLength(param);
    const char *nativeString = (env)->GetStringUTFChars(param, 0);
    char *resultChars = new char[length + 1];
    for (int i = 0; i < length; ++i) {
        resultChars[i] = nativeString[i] + 1;
    }
    resultChars[length] = '\0';
    std::string par = resultChars;
    LOGE("输入参数->%s,长度:%d", nativeString, length);
    LOGE("输出结果->%s", resultChars);
    return env->NewStringUTF(resultChars);
}

我们跑一下,如果正常的话,输出应该是:

现在准备工作就做完了,我们有了一个目标宿主Apk,下面开始着手进行Hook。

4、开始Hook

我们需要一台root了的手机或者一个Android模拟器,这里我用模拟器演示。
先理一下思路,按照我们的理解,需要以下几步:

  • 4.1、 编写Hook的代码,并打包成so
  • 4.2、 找到目标app我们要替换的so的存放目录,把对方的so复制一份,用我们自己写的so替换掉对方的so。
  • 4.3、 重新运行app查看调用结果

我们按照思路一步步往下走:

4.1、编写Hook代码

因为上面的宿主Apk是我们自己写的,所以我们知道调用的方法名字,而面对一个我们并不了解的陌生Apk的时候,Apk尤其是so对我们来说完全是一个黑盒,这个时候我们怎么知道要怎么编写Hook的代码呢?

  • 使用IDA查看对方的so文件,这个我也不熟悉,大牛随便用。
  • 换个思路,so我们看不了,但是我们可以查看java代码,可以从java代码中找思路。
  • 什么都不用,直接运行,哪个方法报错我们就准备神呢么方法。我们用这个方法讲解。

所以我们先编一个空的so出来,命名为libhook.so,或者随便找个so直接到第4.2步,找到app的so存放目录。这个目录一般在data/data/packageName/lib/xxx.so,比如我现在宿主包名是com.ahook.yocn,需要hook的so叫做libnative-lib.so,所以目录应该是在/data/data/com.ahook.yocn/lib/native-lib.so
我们直接在terminal里面执行:

// 我们自己的libhook.so push到内存卡并且重命名为libnative-lib.so
adb push libhook.so /mnt/sdcard/libnative-lib.so
// 进到手机目录
adb shell
// 获取root权限
su
// 到so存放目录
cd /data/data/com.ahook.yocn/lib
// 宿主的so拷贝一份,因为我们还要调用,起个别名,我们还要用
cp libnative-lib.so libnative-lib-src.so
// 将我们push进来的so拷贝到当前目录并覆盖宿主apk的so
cp /mnt/sdcard/libnative-lib.so .

su是为了获取root权限,因为data/data/目录需要root权限才可以进。我们退出app(如果没有退出的话),重新打开app,不出意料会报错,如果没有报错可能是上面的so拷贝没有生效,需要double check。

2019-07-06 21:49:45.531 12052-12052/com.ahook.yocn E/com.ahook.yocn: No implementation found for java.lang.String com.hook.yocn.MainActivity.stringFromJNI(java.lang.String) (tried Java_com_hook_yocn_MainActivity_stringFromJNI and Java_com_hook_yocn_MainActivity_stringFromJNI__Ljava_lang_String_2)
2019-07-06 21:49:45.533 12052-12052/com.ahook.yocn E/AndroidRuntime: FATAL EXCEPTION: main
    Process: com.ahook.yocn, PID: 12052
    java.lang.UnsatisfiedLinkError: No implementation found for java.lang.String com.hook.yocn.MainActivity.stringFromJNI(java.lang.String) (tried Java_com_hook_yocn_MainActivity_stringFromJNI and Java_com_hook_yocn_MainActivity_stringFromJNI__Ljava_lang_String_2)
        at com.hook.yocn.MainActivity.stringFromJNI(Native Method)
        at com.hook.yocn.MainActivity.onCreate(MainActivity.java:21)
 ......

报错告诉我们有一个全限定名为com.hook.yocn.MainActivity.stringFromJNI的方法没有找到,这个方法接受一个String参数,并且有一个String返回值~
So,我们找到了宿主Apk调用的第一个方法的名字,并且知道它的参数和返回值,我们可以开始干活了。

// hook.cpp
#include <jni.h>
#include <string.h>
#include <vector>
#include <stdio.h>
#include <android/log.h>
#include <android/bitmap.h>
#include <unistd.h>
#include <sys/stat.h>
#include <string>
#define LOG_TAG "hook"
#define LOGV(...)  __android_log_print(ANDROID_LOG_VERBOSE,LOG_TAG,__VA_ARGS__)
#define LOGE(...)  __android_log_print(ANDROID_LOG_ERROR,LOG_TAG,__VA_ARGS__)
using namespace std;
extern "C" {
#include <stdio.h>
#include <stdlib.h>
#include <dlfcn.h>
//宿主动态链接库路径
#define LIB_CACULATE_PATH "/data/data/com.ahook.yocn/lib/libnative-lib-src.so"
//函数指针
typedef jstring (*CAC_FUNC)(JNIEnv *env, jobject thiz, jstring param);
jstring callFunc(JNIEnv *env, jobject thiz, jstring param) {
    void *handle;
    char *error;
    CAC_FUNC cac_func = NULL;
    //打开动态链接库
    handle = dlopen(LIB_CACULATE_PATH, RTLD_LAZY);
    if (!handle) {
        LOGV("dlopen: %s\n", dlerror());
    }
    //清除之前存在的错误
    dlerror();
    //获取一个函数
    *(void **) (&cac_func) = dlsym(handle, "Java_com_hook_yocn_MainActivity_stringFromJNI");
    if ((error = const_cast<char *>(dlerror())) != NULL) {
        LOGV("dlsym: %s\n", error);
    }
    jstring ret = (*cac_func)(env, thiz, param);
//    printfJstring(env, thiz, ret);
    //关闭动态链接库
//    dlclose(handle);
    return ret;
}
JNIEXPORT jstring JNICALL
Java_com_hook_yocn_MainActivity_stringFromJNI(JNIEnv *env, jobject thiz, jstring param) {
    LOGE("Java_com_hook_yocn_MainActivity_stringFromJNI");
    string hookPre = "Hook_Head ";
    string paramString = (env)->GetStringUTFChars(param, 0) + hookPre;
    string modifyString = hookPre + paramString;
    jstring modifyParam = env->NewStringUTF(modifyString.c_str());
    jstring ss = callFunc(env, thiz, modifyParam);
    string rawResult = (env)->GetStringUTFChars(ss, 0);
    string hookEndString = rawResult + " Hook_End";
    return env->NewStringUTF(hookEndString.c_str());
}
} //extern "C"
//Android.mk
LOCAL_PATH := $(call my-dir)
include $(CLEAR_VARS)
LOCAL_LDLIBS    := -llog -ljnigraphics
LOCAL_MODULE    := hook
APP_PROJECT_PATH:= LOCAL_PATH
LOCAL_SRC_FILES := hook.cpp
LOCAL_CFLAGS    =  -ffast-math -O3 -funroll-loops
include $(BUILD_SHARED_LIBRARY)
//Application.mk
APP_STL := gnustl_static
APP_CPPFLAGS := -frtti -fexceptions
APP_ABI := x86
APP_PLATFORM := android-28

代码很简单

  • 实现一个Java_com_hook_yocn_MainActivity_stringFromJNI的JNI方法接受一个jstring,返回一个jstring。
  • 找到宿主原来的so,存到LIB_CACULATE_PATH里,使用dlopen方法打开并且调用它自己的stringFromJNI方法并且得到一个jstring返回值。这里我们可以对方法的输入输出任意修改

我本身更熟悉ndk-build,如果熟悉makefile,也可以用makefile。因为我用的是模拟器所以Application.mk里面APP_ABI数x86,如果用真机的是arm架构的可以修改成armeabi-v7a,编写完之后目录结构差不多这样子的,然后进到jni目录执行ndk-build可以得到libhook.so。

得到了so之后我们执行

adb push libhook.so /mnt/sdcard/libnative-lib.so
...

然后重复上面的代码替换掉宿主的so。执行完之后重新打开app,应该能看到下面这样的输出。

如果能够得到结果就说明我们hook成功了。可能宿主apk的方法不止一个,我们成功模拟了第一个方法后后面的还会报错,所以我们需要一直重复上面的步骤直到运行正常或者得到我们想要的数据为止。

我们整理一下思路:

  • 找到目标app我们要替换的so的存放目录,把对方的so复制一份。
  • 打个空的so包后者随便找个so,用我们自己的so替换掉对方的so。
  • 重新运行app查看调用结果,这时候肯定会出错,根据出错的全限定方法名编写我们的hook代码
  • 根据全限定名和输入输出编写宿主需要的代码,用输入调用宿主的so得到输出,对输出加工后返回回去,相当于一个代理模式
  • 重复1234步直到宿主app运行正常或者得到我们想要的数据。

如果有问题可以去看源码,本文源码:github.com/yocn/HookSo…

以上就是Android对so进行简单hook思路解析的详细内容,更多关于Android so hook的资料请关注我们其它相关文章!

(0)

相关推荐

  • Android开发sensor旋转屏问题解决示例

    目录 一.查询 activity xml 配置screenOrientation信息: 二.事件发生时间点分析: 三.logcat查看sensor激活状态: 状态栏--控制按钮--“方向锁定” 开启时,en=0 即 sensor关闭! 四.查看APP是否注册旋转屏sensor 五.sensorservice 信息 bugreport dumpsys sensorservice信息查看 注册的sensor信息 相关sensor: bugreport device_orient 信息查看上报事件 六

  • Android进程间大数据通信LocalSocket详解

    目录 前言 服务端初始化 客户端初始化 数据传输 发送数据 接收数据 传输复杂数据 写数据 读数据 传输超大数据 写入 读取 前言 说起Android进行间通信,大家第一时间会想到AIDL,但是由于Binder机制的限制,AIDL无法传输超大数据. 那么我们如何在进程间传输大数据呢? Android中给我们提供了另外一个机制:LocalSocket 它会在本地创建一个socket通道来进行数据传输. 那么它怎么使用? 首先我们需要两个应用:客户端和服务端 服务端初始化 override fun

  • Android性能优化getResources()与Binder导致界面卡顿优化

    目录 背景 观测 1. trace体现UI绘制操作严重耗时 2. 排查measure和layout慢的原因:可疑的多次binder 3. binder:在哪.谁为.为何频繁调用 4. binder:频繁调用的具体定位 结论 方案 背景 某轮测试发现,我们的设备运行一个第三方的App时,卡顿感非常明显: 界面加载很慢,菊花转半天 滑屏极度不跟手,目测观感帧率低于15 对比机(竞品)也会稍微一点卡,但是好很多,基本不会有很大感觉的卡顿 可以初步判定我们的设备存在性能问题,亟需优化,拉平到竞品水准.

  • Android Studio gradle配置packagingOptions打包so库重复

    目录 正文 pickFirst 匹配 doNotStrip 设置 merge 将匹配的文件都添加到APK中 exclude 过滤 正文 在安卓开发中,通常会使用到gradle来编译,在安卓项目的app目录下的build.gradle中是用来对编译进行配置的,packagingOptions 是其中的一个打包配置,常见的设置项有exclude.pickFirst.doNotStrip.merge. 在日常代码开发中,我们需要知其然,而知其所以然,本文章知识也是Android日常瘦身的的必备知识.

  • Android NDK 开发中 SO 包大小压缩方法详解

    目录 背景 1.STL的使用方式 2.不使用Exception和RTTI RTTI Exception 3.使用 gc-sections去除没有用到的函数 4.去除冗余代码 5.设置编译器的优化flag 6.设置编译器的 Visibility Feature 7.设置编译器的Strip选项 8.去除C++代码中的iostream相关代码 总结 背景 这周在做Yoga包的压缩工作.Yoga本身是用BUCK脚本编译的,而最终编译出几个包大小大总共约为7M,不能满足项目中对于APK大小的限制,因此需要

  • Android 单例模式 Singleton 简单实例设计模式解析

    单例模式 Singleton 简单实例设计模式解析 前言 今天我来全面总结一下Android开发中最常用的设计模式 - 单例模式. 关于设计模式的介绍,可以看下我之前写的:1分钟全面了解"设计模式" 目录 1. 引入 1.1 解决的是什么问题 之前说过,设计模式 = 某类特定问题的解决方案,那么单例模式是解决什么问题的解决方案呢? 含义:单例 =一个实例: 解决的问题:降低对象之间的耦合度 解决方法:单例模式,即实现一个类只有一个实例化对象,并提供一个全局访问点 1.2 实例引入 接下

  • Android Studio 3.0 新功能全面解析和旧项目适配问题

    简介: Android Studio是Android的官方IDE.它是专为Android而打造,可以加快您的开发速度,帮助您为每款Android设备构建最优应用. 它提供专为Android开发者量身定制的工具,其中包括丰富的代码编辑.调试.测试和性能分析工具. 上周四,Google 终于在经历大半年的打磨锤炼之后正式发布 Android Studio 3.0 版本,给广大安卓开发人员一份满意的答卷.如往常一样,每次新版开发工具的发布,很多谨慎点的朋友仍担心稳定性.是否存在坑等问题,选择隔岸观火,

  • Android中Progress的简单实例

    Android中Progress的简单实例 Android中Progress网上的demo都是瞎扯淡,当然,你们也可以认为我的demo是瞎扯淡,因为,毕竟要理解别人的思路,很头疼,主要还是知道思路,然后一步一步慢慢来.今天我讲的是Progress的实现,如果看了我之前的博客,应该多少有些了解.话不多说,来看实例: xml东西不多,自己定义把,因为Progress包括了一级读取和二级读取,所以主要是根据按钮来实现,下面就是一个点击事件: public void onClick(View v) {

  • Android自定义View实现简单的圆形Progress效果

    先给大家展示下效果图,如果感觉不错,请参考实现思路: 我们要实现一个自定义的再一个圆形中绘制一个弧形的自定义View,思路是这样的: 先要创建一个类ProgressView,继承自View类,然后重写其中的两个构造方法,一个是一个参数的,一个是两个参数的,因为我们要在xml文件中使用该自定义控件,所以必须要定义这个两个参数的构造函数.创建完了这个类后,我们先不去管它,先考虑我们实现的这个自定义View,我们想让它的哪些部分可以由使用者自己指定,比如说这个Demo中我们让他的外面圆的外边框颜色和宽

  • Android随手笔记44之JSON数据解析

    JSON(JavaScript Object Notation)是一种轻量级的数据交换格式,采用完全独立于语言的文本格式,为Web应用开发提供了一种理想的数据交换格式. 本文将主要介绍在Android开发中,如何在服务器端创建JSON数据,以及如何在Android客户端对JSON数据进行解析. 1.JSON数据结构 在JSON中有两种数据结构:对象和数组. 1.1对象 在JSON中,一个对象以"{"(左括号)开始,"}"(右括号)结束.每个"名称"

  • Android MeasureSpec的理解和源码的解析

    Android  MeasureSpec的理解和源码的解析 MeasureSpec的创建规则: 实例详解: package cc.ww; import android.view.View; import android.view.View.MeasureSpec; import android.view.ViewGroup.LayoutParams; import android.view.ViewGroup.MarginLayoutParams; import android.widget.L

  • Android 仿今日头条简单的刷新效果实例代码

    点击按钮,先自动进行下拉刷新,也可以手动刷新,刷新完后,最后就多一行数据.有四个选项卡. 前两天导师要求做一个给本科学生预定机房座位的app,出发点来自这里.做着做着遇到很多问题,都解决了.这个效果感觉还不错,整理一下. MainActivity package com.example.fragmentmytest; import android.content.DialogInterface; import android.graphics.Color; import android.os.B

  • Android init.rc文件简单介绍

    Android init.rc文件简单介绍 init.rc脚本是由Android中linux的第一个用户级进程init进行解析的. init.rc 文件并不是普通的配置文件,而是由一种被称为"Android初始化语言"(Android Init Language,这里简称为AIL)的脚本写成的文件. 该文件在ROM中是只读的,即使有了root权限,可以修改该文件也没有.因为我们在根目录看到的文件只是内存文件的镜像.也就是说,android启动后,会将init.rc文件装载到内存.而修改

  • vue解决跨域路由冲突问题思路解析

    vue 简介 Vue.js(读音 /vjuː/, 类似于 view) 是一套构建用户界面的渐进式框架. Vue 只关注视图层, 采用自底向上增量开发的设计. Vue 的目标是通过尽可能简单的 API 实现响应的数据绑定和组合的视图组件. Vue 学习起来非常简单,本教程基于 Vue 2.1.8 版本测试. 当我们在路由里面配置成以下代理可以解决跨域问题 proxyTable: { '/goods/*': { target: 'http://localhost:3000' }, '/users/*

  • Android ListView与RecycleView的对比使用解析

    ListView,就如其名,是用来显示列表的一种View,而RecycleView,是其的加强版,今天带来的是这两个几乎具有相同的功能的对比使用 先从ListView说起吧 ListView: 1.在布局文件中使用ListView,并为其定义一个id,方便我们之后的调用,宽高与父控件相同 2.准备数据,将数据添加到ArrayAdapter适配器当中 3.在Activity的java文件中使用findviewbyid找到ListView实例,为其设置Adapter 4.实现ListView的ite

随机推荐