Android对so进行简单hook思路解析
目录
- 1、什么是Hook
- 2、对App的so进行Hook的一种思路
- 3、一个最基本的JNI sample程序代表目标宿主Apk
- 4、开始Hook
- 4.1、编写Hook代码
1、什么是Hook
Hook 技术又叫做钩子函数,在系统没有调用该函数之前,钩子程序就先捕获该消息,钩子函数先得到控制权,这时钩子函数既可以加工处理(改变)该函数的执行行为,还可以强制结束消息的传递。简单来说,就是把系统的程序拉出来变成我们自己执行代码片段。
2、对App的so进行Hook的一种思路
我们知道现在JNI在Android开发中是特别重要的,使用JNI有什么好处呢?
- Preference,C/C++在运行性能上面甩Java几条GAI
- Security,更多的加密解密还是放在Native上。
优点不止这两点,比如在Native里面开辟空间并不受JVM管理,JVM怎么使用native memory。这里不再赘述。
本文提供一种对Android上so库进行Hook的一种思路,不涉及ELF的查看修改,不改动对方的调用方式。 思路就是一招偷梁换柱,用自己的so替换App的so,让对象调用自己的so的时候调用我们自己写的so,我们再调用原来的so,这样就可以获得对方so方法的输入输出。
可以应用在想获取对方App的数据传递格式或者无法破解对方的加解密,但是可以通过hook获取对方的数据格式再调用对方的加解密方法得到自己想要的结果。
3、一个最基本的JNI sample程序代表目标宿主Apk
这里我们自己准备一个宿主Apk,直接用AndroidStudio新建一个支持JNI的工程,勾选Include C++ support,默认生成一个Android工程。
默认的MainActivity.java和native-lib.cpp分别长这样子:
//MainActivity public class MainActivity extends Activity { static { System.loadLibrary("native-lib"); } @Override protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.activity_main); TextView tv = (TextView) findViewById(R.id.sample_text); tv.setText(stringFromJNI()); } public native String stringFromJNI(String param); } //native-lib.cpp #include <jni.h> #include <string> extern "C" JNIEXPORT jstring JNICALL Java_com_hook_yocn_MainActivity_stringFromJNI( JNIEnv* env, jobject /* this */) { std::string hello = "Hello from C++"; return env->NewStringUTF(hello.c_str()); }
我们为了逻辑清晰稍微做一点修改,逻辑是希望传入一个字符串,然后在C++里面对字符串的每个字符都+1操作,也就是 java -> kbwb。改完之后代码长这个样子:
//MainActivity.java public class MainActivity extends Activity { static { System.loadLibrary("native-lib"); } @Override protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.activity_main); TextView tv = (TextView) findViewById(R.id.sample_text); tv.setText(stringFromJNI("java")); } public native String stringFromJNI(String param); } //native-lib.cpp #include <jni.h> #include <string> #include <android/log.h> #define LOG_TAG "hook" #define LOGV(...) __android_log_print(ANDROID_LOG_VERBOSE,LOG_TAG,__VA_ARGS__) #define LOGE(...) __android_log_print(ANDROID_LOG_ERROR,LOG_TAG,__VA_ARGS__) extern "C" JNIEXPORT jstring JNICALL Java_com_hook_yocn_MainActivity_stringFromJNI(JNIEnv *env, jobject obj, jstring param) { int length = (env)->GetStringLength(param); const char *nativeString = (env)->GetStringUTFChars(param, 0); char *resultChars = new char[length + 1]; for (int i = 0; i < length; ++i) { resultChars[i] = nativeString[i] + 1; } resultChars[length] = '\0'; std::string par = resultChars; LOGE("输入参数->%s,长度:%d", nativeString, length); LOGE("输出结果->%s", resultChars); return env->NewStringUTF(resultChars); }
我们跑一下,如果正常的话,输出应该是:
现在准备工作就做完了,我们有了一个目标宿主Apk,下面开始着手进行Hook。
4、开始Hook
我们需要一台root了的手机或者一个Android模拟器,这里我用模拟器演示。
先理一下思路,按照我们的理解,需要以下几步:
- 4.1、 编写Hook的代码,并打包成so
- 4.2、 找到目标app我们要替换的so的存放目录,把对方的so复制一份,用我们自己写的so替换掉对方的so。
- 4.3、 重新运行app查看调用结果
我们按照思路一步步往下走:
4.1、编写Hook代码
因为上面的宿主Apk是我们自己写的,所以我们知道调用的方法名字,而面对一个我们并不了解的陌生Apk的时候,Apk尤其是so对我们来说完全是一个黑盒,这个时候我们怎么知道要怎么编写Hook的代码呢?
- 使用IDA查看对方的so文件,这个我也不熟悉,大牛随便用。
- 换个思路,so我们看不了,但是我们可以查看java代码,可以从java代码中找思路。
- 什么都不用,直接运行,哪个方法报错我们就准备神呢么方法。我们用这个方法讲解。
所以我们先编一个空的so出来,命名为libhook.so
,或者随便找个so直接到第4.2
步,找到app的so存放目录。这个目录一般在data/data/packageName/lib/xxx.so
,比如我现在宿主包名是com.ahook.yocn
,需要hook的so叫做libnative-lib.so
,所以目录应该是在/data/data/com.ahook.yocn/lib/native-lib.so
。
我们直接在terminal里面执行:
// 我们自己的libhook.so push到内存卡并且重命名为libnative-lib.so adb push libhook.so /mnt/sdcard/libnative-lib.so // 进到手机目录 adb shell // 获取root权限 su // 到so存放目录 cd /data/data/com.ahook.yocn/lib // 宿主的so拷贝一份,因为我们还要调用,起个别名,我们还要用 cp libnative-lib.so libnative-lib-src.so // 将我们push进来的so拷贝到当前目录并覆盖宿主apk的so cp /mnt/sdcard/libnative-lib.so .
su是为了获取root权限,因为data/data/目录需要root权限才可以进。我们退出app(如果没有退出的话),重新打开app,不出意料会报错,如果没有报错可能是上面的so拷贝没有生效,需要double check。
2019-07-06 21:49:45.531 12052-12052/com.ahook.yocn E/com.ahook.yocn: No implementation found for java.lang.String com.hook.yocn.MainActivity.stringFromJNI(java.lang.String) (tried Java_com_hook_yocn_MainActivity_stringFromJNI and Java_com_hook_yocn_MainActivity_stringFromJNI__Ljava_lang_String_2) 2019-07-06 21:49:45.533 12052-12052/com.ahook.yocn E/AndroidRuntime: FATAL EXCEPTION: main Process: com.ahook.yocn, PID: 12052 java.lang.UnsatisfiedLinkError: No implementation found for java.lang.String com.hook.yocn.MainActivity.stringFromJNI(java.lang.String) (tried Java_com_hook_yocn_MainActivity_stringFromJNI and Java_com_hook_yocn_MainActivity_stringFromJNI__Ljava_lang_String_2) at com.hook.yocn.MainActivity.stringFromJNI(Native Method) at com.hook.yocn.MainActivity.onCreate(MainActivity.java:21) ......
报错告诉我们有一个全限定名为com.hook.yocn.MainActivity.stringFromJNI的方法没有找到,这个方法接受一个String参数,并且有一个String返回值~
So,我们找到了宿主Apk调用的第一个方法的名字,并且知道它的参数和返回值,我们可以开始干活了。
// hook.cpp #include <jni.h> #include <string.h> #include <vector> #include <stdio.h> #include <android/log.h> #include <android/bitmap.h> #include <unistd.h> #include <sys/stat.h> #include <string> #define LOG_TAG "hook" #define LOGV(...) __android_log_print(ANDROID_LOG_VERBOSE,LOG_TAG,__VA_ARGS__) #define LOGE(...) __android_log_print(ANDROID_LOG_ERROR,LOG_TAG,__VA_ARGS__) using namespace std; extern "C" { #include <stdio.h> #include <stdlib.h> #include <dlfcn.h> //宿主动态链接库路径 #define LIB_CACULATE_PATH "/data/data/com.ahook.yocn/lib/libnative-lib-src.so" //函数指针 typedef jstring (*CAC_FUNC)(JNIEnv *env, jobject thiz, jstring param); jstring callFunc(JNIEnv *env, jobject thiz, jstring param) { void *handle; char *error; CAC_FUNC cac_func = NULL; //打开动态链接库 handle = dlopen(LIB_CACULATE_PATH, RTLD_LAZY); if (!handle) { LOGV("dlopen: %s\n", dlerror()); } //清除之前存在的错误 dlerror(); //获取一个函数 *(void **) (&cac_func) = dlsym(handle, "Java_com_hook_yocn_MainActivity_stringFromJNI"); if ((error = const_cast<char *>(dlerror())) != NULL) { LOGV("dlsym: %s\n", error); } jstring ret = (*cac_func)(env, thiz, param); // printfJstring(env, thiz, ret); //关闭动态链接库 // dlclose(handle); return ret; } JNIEXPORT jstring JNICALL Java_com_hook_yocn_MainActivity_stringFromJNI(JNIEnv *env, jobject thiz, jstring param) { LOGE("Java_com_hook_yocn_MainActivity_stringFromJNI"); string hookPre = "Hook_Head "; string paramString = (env)->GetStringUTFChars(param, 0) + hookPre; string modifyString = hookPre + paramString; jstring modifyParam = env->NewStringUTF(modifyString.c_str()); jstring ss = callFunc(env, thiz, modifyParam); string rawResult = (env)->GetStringUTFChars(ss, 0); string hookEndString = rawResult + " Hook_End"; return env->NewStringUTF(hookEndString.c_str()); } } //extern "C" //Android.mk LOCAL_PATH := $(call my-dir) include $(CLEAR_VARS) LOCAL_LDLIBS := -llog -ljnigraphics LOCAL_MODULE := hook APP_PROJECT_PATH:= LOCAL_PATH LOCAL_SRC_FILES := hook.cpp LOCAL_CFLAGS = -ffast-math -O3 -funroll-loops include $(BUILD_SHARED_LIBRARY) //Application.mk APP_STL := gnustl_static APP_CPPFLAGS := -frtti -fexceptions APP_ABI := x86 APP_PLATFORM := android-28
代码很简单
- 实现一个Java_com_hook_yocn_MainActivity_stringFromJNI的JNI方法接受一个jstring,返回一个jstring。
- 找到宿主原来的so,存到LIB_CACULATE_PATH里,使用dlopen方法打开并且调用它自己的stringFromJNI方法并且得到一个jstring返回值。这里我们可以对方法的输入输出任意修改
我本身更熟悉ndk-build,如果熟悉makefile,也可以用makefile。因为我用的是模拟器所以Application.mk里面APP_ABI数x86,如果用真机的是arm架构的可以修改成armeabi-v7a
,编写完之后目录结构差不多这样子的,然后进到jni目录执行ndk-build可以得到libhook.so。
得到了so之后我们执行
adb push libhook.so /mnt/sdcard/libnative-lib.so ...
然后重复上面的代码替换掉宿主的so。执行完之后重新打开app,应该能看到下面这样的输出。
如果能够得到结果就说明我们hook成功了。可能宿主apk的方法不止一个,我们成功模拟了第一个方法后后面的还会报错,所以我们需要一直重复上面的步骤直到运行正常或者得到我们想要的数据为止。
我们整理一下思路:
- 找到目标app我们要替换的so的存放目录,把对方的so复制一份。
- 打个空的so包后者随便找个so,用我们自己的so替换掉对方的so。
- 重新运行app查看调用结果,这时候肯定会出错,根据出错的全限定方法名编写我们的hook代码
- 根据全限定名和输入输出编写宿主需要的代码,用输入调用宿主的so得到输出,对输出加工后返回回去,相当于一个代理模式
- 重复1234步直到宿主app运行正常或者得到我们想要的数据。
如果有问题可以去看源码,本文源码:github.com/yocn/HookSo…
以上就是Android对so进行简单hook思路解析的详细内容,更多关于Android so hook的资料请关注我们其它相关文章!