【安卓逆向】xposed hook native 函数
最近开始学习用xp框架来hook native函数。然后看了珍惜大佬和littleQ Q佬的视频,已经可以做简单的hook native层函数的传参,写篇文章记录下。
# Sets the minimum version of CMake required to build the native library.
#指定 需要CMAKE的 最小版本要求
cmake_minimum_required(VERSION 3.10.2)
# Creates and names a library, sets it as either STATIC
# or SHARED, and provides the relative paths to its source code.
# You can define multiple libraries, and CMake builds them for you.
# Gradle automatically packages shared libraries with your APK.
include_directories(
src/main/jni/dobby
)
#添加内联汇编支持
enable_language(C ASM)
#添加一个 远程链接库
add_library( # Sets the name of the library. (我们用C/C++ 文件生成的 动态库 so名字 )
LVmp
# Sets the library as a shared library.(表明用于共享的 动态库 so结尾)
SHARED
# Provides a relative path to your source file(s).(
# 这里就是 我们的 C的 文件的 路径 可以修改 有多少个 文件
# 就添加多个 文件 如果 需要 生成 多个 so就需要 添加多个 add_library)
src/main/jni/main.cpp
)
include_directories(dobby)
add_library(local_dobby STATIC IMPORTED)
set_target_properties(local_dobby PROPERTIES IMPORTED_LOCATION ${CMAKE_CURRENT_SOURCE_DIR}/libs/${ANDROID_ABI}/libdobby.a)
# Searches for a specified prebuilt library and stores the path as a
# variable. Because CMake includes system libraries in the search path by
# default, you only need to specify the name of the public NDK library
# you want to add. CMake verifies that the library exists before
# completing its build.
find_library( # Sets the name of the path variable.(调用系统的日志库)
log-lib
# Specifies the name of the NDK library that
# you want CMake to locate.
log)
# Specifies libraries CMake should link to your target library. You
# can link multiple libraries, such as libraries you define in this
# build script, prebuilt third-party libraries, or system libraries.
find_library(android-lib android)
target_link_libraries( # Specifies the target library. 链接 我们自己生成的库 名字要和add_library 一样
LVmp
# Links the target library to the log library
# included in the NDK.
local_dobby
${log-lib}
${android-lib}
)
hook逻辑是写在main.cpp里的,然后我们要把dobby这个hook框架集成到项目里,这样main.cpp里就能使用dobby的hook api。最后打包成一个so文件。
main.h
#ifndef FENXIANG_MAIN_H
#define FENXIANG_MAIN_H
#include <jni.h>
#include <android/log.h>
#include <string.h>
#include <malloc.h>
#include <stdbool.h>
#include <stdlib.h>
#include <stdio.h>
#include <dlfcn.h>
#include <link.h>
#include <inttypes.h>
#include <unistd.h>
void *(*old_strstr)(char *, char *) = nullptr;
#endif //FENXIANG_MAIN_H
main.cpp
void *new_strstr(char *a1, char *a2) {
__android_log_print(6, "test", "strstr hook %s %s", a1, a2);
void *result = old_strstr(a1, a2);
// 这里strstr返回结果是字符串,我们把指针强转成char *。如果匹配到则返回a1,没匹配到则返回null。
__android_log_print(6, "test", "strstr result %s", (char *)result);
return result;
}
jint JNICALL JNI_OnLoad(JavaVM *vm, void *reserved) {
__android_log_print(6, "test", "插件 JNI_OnLoad 开始加载 ");
//在 onload 改变 指定函数 函数地址 替换成自己的
JNIEnv *env = nullptr;
if (vm->GetEnv((void **) &env, JNI_VERSION_1_6) == JNI_OK) {
// hook strstr
void *strstr_addr = DobbySymbolResolver("/system/lib/libc.so", "strstr", nullptr);
__android_log_print(6, "test", "strstr_addr -> %x ",strstr_addr);
DobbyHook(strstr_addr, (void *) new_strstr, (void **) &old_strstr);
return JNI_VERSION_1_6;
}
return 0;
}
这里的代码是只hook libc.so 的 strstr 函数。
做个简单说明,这里用DobbySymbolResolver 通过符号来获取函数在目标app里的函数地址。第一个参数是so的路径,第二个参数是hook 函数在so里的符号。
函数地址也等于so在内存里的地址+函数在so里的偏移地址(0x66438)。
我们用ida打开它并搜索strstr
可以看到他的符号就是strstr。
DobbyHook,这个就是hook api了。第一个参数就是获取到的函数地址,第二个参数是我们自己定义的方法。在走到真正的strstr函数前,他会先走到我们定义的方法里,这样我们就能拿到strstr函数的传参了,然后第三个参数old_strstr就是原本的strstr函数。
有没有感觉和JS 里的hook很像,JS里是用apply方法来传递参数到原函数,并获取返回值的。
最后安装xp插件到手机里之后,去路径 /data/app/(app包名)-(一串不知名字符串)/lib/(arm/arm64)/ 下查看编译好的so了。
不会以为到这里就结束了吧!?好戏才刚刚开始~
接着我们需要把so注入到目标app中,不是xp插件去加载 LVmp.so哈。
intversion = android.os.Build.VERSION.SDK_INT;
Log.e(TAG,"当前系统 版本号 " + version);
//android 9.0没有 doLoad 方法
if (version >= 28) {
XposedHelpers.callMethod(Runtime.getRuntime(), "nativeLoad", path, arg);
} else {
XposedHelpers.callMethod(Runtime.getRuntime(), "doLoad", path, arg);
}
安卓9的话,底层代码加载so是走 nativeLoad方法,安卓9以下则走doLoad方法。path是我们libLVmp.so的路径,arg是目标app的classLoader。如果我们hook的是系统so,那我们注入的时机一定要快,需要在app加载自己so之前。所以我们要在app启动的时候,拿到context,用context去得到目标app的classLoader,然后让目标app加载我们的so。
class_loader = context.getClassLoader();
这是安卓8里的源码,System.loadLibraray最终会走到了doLoad方法
获取目标app的context有几种方式,通过hook如下方法获取
1. android.content.ContextWrapper 的 getApplicationContext
2. Application.class 的 attach (加壳app会触发)
3. android.app.ContextImpl 的 createAppContext
4. 内存漫游。感兴趣的可以看看珍惜大佬写的文章,https://bbs.pediy.com/thread-269094.htm
5. 直接创建context
如果是hook 目标app的so,我们是要在目标app加载完毕后再注入so,否则会找不到这个so导致hook失败。
我们可以hook java层的nativeload或doload方法,在afterHookedMethod的时候注入我们的so,这个时候我们还能拿到目标app加载so时使用的classLoder,来为我们所用~
目标app so的路径则应该是
/data/app/(app包名)-(一串不知名字符串)/lib/(arm/arm64)/xxx.so
打开app后, /proc/(pid)/maps 文件里有该app加载的所有so的路径,以及其在内存里的地址区间。
加载so后,如果so中有JNI_OnLoad方法的话,就会优先执行JNI_OnLoad方法,所以我们会将hook 逻辑的代码放到JNI_OnLoad中。 JNI_OnLoad有执行则说明 so 注入成功了~
1. 集成dobby hook 框架
2. 利用dobby api 编写我们的hook代码,打包成so
3. 将so注入到目标app中,实现hook
4. 要注意注入so的时机。如果是hook 系统so的函数,我们需要在app加载其本身的so之前。
如果是hook app某个so里的函数,我们需要等这个so加载后,注入我们的so。
有不懂的小伙伴可以私聊问我~目前我也有不少盲区,可以一起学习
我想在一个没有Sass引擎的类中使用Sass颜色函数。我已经在项目中使用了sassgem,所以我认为搭载会像以下一样简单:classRectangleincludeSass::Script::FunctionsdefcolorSass::Script::Color.new([0x82,0x39,0x06])enddefrender#hamlengineexecutedwithcontextofself#sothatwithintemlateicouldcall#%stop{offset:'0%',stop:{color:lighten(color)}}endend更新:参见上面的#re
我正在尝试用ruby中的gsub函数替换字符串中的某些单词,但有时效果很好,在某些情况下会出现此错误?这种格式有什么问题吗NoMethodError(undefinedmethod`gsub!'fornil:NilClass):模型.rbclassTest"replacethisID1",WAY=>"replacethisID2andID3",DELTA=>"replacethisID4"}end另一个模型.rbclassCheck 最佳答案 啊,我找到了!gsub!是一个非常奇怪的方法。首先,它替换了字符串,所以它实际上修改了
我有一些代码在几个不同的位置之一运行:作为具有调试输出的命令行工具,作为不接受任何输出的更大程序的一部分,以及在Rails环境中。有时我需要根据代码的位置对代码进行细微的更改,我意识到以下样式似乎可行:print"Testingnestedfunctionsdefined\n"CLI=trueifCLIdeftest_printprint"CommandLineVersion\n"endelsedeftest_printprint"ReleaseVersion\n"endendtest_print()这导致:TestingnestedfunctionsdefinedCommandLin
如何在Ruby中按名称传递函数?(我使用Ruby才几个小时,所以我还在想办法。)nums=[1,2,3,4]#Thisworks,butismoreverbosethanI'dlikenums.eachdo|i|putsiend#InJS,Icouldjustdosomethinglike:#nums.forEach(console.log)#InF#,itwouldbesomethinglike:#List.iternums(printf"%A")#InRuby,IwishIcoulddosomethinglike:nums.eachputs在Ruby中能不能做到类似的简洁?我可以只
说在前面这部分我本来是合为一篇来写的,因为目的是一样的,都是通过独立按键来控制LED闪灭本质上是起到开关的作用,即调用函数和中断函数。但是写一篇太累了,我还是决定分为两篇写,这篇是调用函数篇。在本篇中你主要看到这些东西!!!1.调用函数的方法(主要讲语法和格式)2.独立按键如何控制LED亮灭3.程序中的一些细节(软件消抖等)1.调用函数的方法思路还是比较清晰地,就是通过按下按键来控制LED闪灭,即每按下一次,LED取反一次。重要的是,把按键与LED联系在一起。我打算用K1来作为开关,看了一下开发板原理图,K1连接的是单片机的P31口,当按下K1时,P31是与GND相连的,也就是说,当我按下去时
最近因为项目需要,需要将Android手机系统自带的某个系统软件反编译并更改里面某个资源,并重新打包,签名生成新的自定义的apk,下面我来介绍一下我的实现过程。APK修改,分为以下几步:反编译解包,修改,重打包,修改签名等步骤。安卓apk修改准备工作1.系统配置好JavaJDK环境变量2.需要root权限的手机(针对系统自带apk,其他软件免root)3.Auto-Sign签名工具4.apktool工具安卓apk修改开始反编译本文拿Android系统里面的Settings.apk做demo,具体如何将apk获取出来在此就不过多介绍了,直接进入主题:按键win+R输入cmd,打开命令窗口,并将路
我需要一个通过输入字符串进行计算的方法,像这样function="(a/b)*100"a=25b=50function.something>>50有什么方法吗? 最佳答案 您可以使用instance_eval:function="(a/b)*100"a=25.0b=50instance_evalfunction#=>50.0请注意,使用eval本质上是不安全的,尤其是当您使用外部输入时,因为它可能包含注入(inject)的恶意代码。另请注意,a设置为25.0而不是25,因为如果它是整数a/b将导致0(整数)。
我需要从json记录中获取一些值并像下面这样提取curr_json_doc['title']['genre'].map{|s|s['name']}.join(',')但对于某些记录,curr_json_doc['title']['genre']可以为空。所以我想对map和join()使用try函数。我试过如下curr_json_doc['title']['genre'].try(:map,{|s|s['name']}).try(:join,(','))但是没用。 最佳答案 你没有正确传递block。block被传递给参数括号外的方法
在这段Ruby代码中:ModuleMClassC当我尝试运行时出现“'M:Module'的未定义方法'helper'”错误c=M::C.new("world")c.work但直接从另一个类调用M::helper("world")工作正常。类不能调用在定义它们的同一模块中定义的模块函数吗?除了将类移出模块外,还有其他解决方法吗? 最佳答案 为了调用M::helper,你需要将它定义为defself.helper;结束为了进行比较,请查看以下修改后的代码段中的helper和helper2moduleMclassC
也许这听起来很荒谬,但我想知道这对Ruby是否可行?基本上我有一个功能...defadda,bc=a+breturncend我希望能够将“+”或其他运算符(例如“-”)传递给函数,这样它就类似于...defsuma,b,operatorc=aoperatorbreturncend这可能吗? 最佳答案 两种可能性:以方法/算子名作为符号:defsuma,b,operatora.send(operator,b)endsum42,23,:+或者更通用的解决方案:采取一个block:defsuma,byielda,bendsum42,23,