利用Cydia Substrate进行Android HOOK（二）

在前面关于Substrate的介绍中我们已经讲了用Substrate hook java代码，现在我们讲下怎么用它hook native代码。hook native代码我们需要编写Substrate extensions，它跟native库一样被视作标准的android包的一部分， 将作为一个共享库被编译 (使用复合扩展名.cy.so)。

一、相关API

（1）MSConfig

 

名称	描述
Filter:Executable	开发者试图hook的可执行文件的完整路径。一般为zygote, "/system/bin/app_process"。
Filter:Library	开发者试图hook的lib库的名称，比如hook __android_log, 则指定 "liblog.so".

如：

MSConfig(MSFilterExecutable, "/system/bin/app_process")
MSConfig(MSFilterLibrary, "liblog.so")

（2）void MSHookFunction(void *symbol, void *hook, void **old);

参数	描述
symbol	被替换代码的地址，一般是一个函数
hook	The address of an ABI-compatible replacement for the code at the address referenced by symbol.
old	指向函数指针的指针，用来调用原函数的实现。如果不需要对原函数进行处理则为NULL

示例：

 void *(*oldConnect)(int, const sockaddr *, socklen_t);

 void *newConnect(
     int socket, const sockaddr *address, socklen_t length
 ) {
     if (address->sa_family == AF_INET) {
         sockaddr_in *address_in = address;
         if (address_in->sin_port == htons()) {
             sockaddr_in copy = *address_in;
             address_in->sin_port = htons();
             return oldConnect(socket, &copy, length);
         }
     }

     return oldConnect(socket, address, length);
 }

 MSHookFunction(&connect, &newConnect, &oldConnect);

（3）void *MSFindSymbol(MSImageRef image, const char *name);

参数	描述
image	指定一个有效的image引用（通过调用MSGetImageByName返回的结果）。如果为NULL，则会搜索所有image
name	待查找的原始镜像符号的名称。这并非如dlopen所加载的高级符号，它可能需要以下划线为前缀或其他特定平台的编码。
return	符号的地址（调整为ARM/Thumb类型），如果不能定位符号则返回NULL

示例：

 MSImageRef image;
 image = MSGetImageByName("/usr/lib/libSystem.B.dylib");

 void *(*palloc)(size_t);
 palloc = (void *(*)(size_t)) MSFindSymbol(image, "_malloc");

 void *data = (*palloc)();
 free(data);

（4）MSImageRef MSGetImageByName(const char *file);

参数	描述
file	根据so或者动态库的完整路径加载image
return	可以被其它API使用的image引用，如果image没有加载则为NULL

示例：

 MSImageRef image;
 image = MSGetImageByName("/system/lib/libc.so");
 if (image != NULL)
     /* image is loaded */;

二、使用示例

下面以前一篇过签名验证的hook代码为例讲解native hook的代码编写过程：

1.创建android native工程HookVerify，so层hook并不需要界面（作为Cydia Substrate的扩展模块），所以在新建工程时无需建activity。接下来在工程目录下新建jni文件夹，并将libsubstrate.so，libsubstrate-dvm.so，substrate.h三个文件拷贝至jni文件夹下。

在jni目录下创建HookVerify.cy.cpp文件。

2.配置Manifest文件

需要添加权限：<uses-permission android:name="cydia.permission.SUBSTRATE"/>

由于我们只使用native code，将android:hasCode设为false。

3.Android.mk文件编写：

LOCAL_PATH := $(call my-dir)
include $(CLEAR_VARS)
LOCAL_MODULE    := substrate
LOCAL_SRC_FILES := libsubstrate.so
include $(PREBUILT_SHARED_LIBRARY)
include $(CLEAR_VARS)
LOCAL_MODULE    := substrate-dvm
LOCAL_SRC_FILES := libsubstrate-dvm.so
include $(PREBUILT_SHARED_LIBRARY)
include $(CLEAR_VARS)
LOCAL_MODULE    := HookVerify
#一定要有.cy作后缀
LOCAL_SRC_FILES := HookVerify.cy.cpp
LOCAL_LDLIBS := -llog
LOCAL_ARM_MODE := arm
LOCAL_LDLIBS += -L$(LOCAL_PATH) -lsubstrate-dvm -lsubstrate
include $(BUILD_SHARED_LIBRARY)

4.HookVerify.cy.cpp代码：

 #include <jni.h>
 #include "substrate.h"
 #include <android/log.h>
 #include <unistd.h>
 #include <stdio.h>
 #include <fcntl.h>
 #include <sys/types.h>
 #include <string.h>
 #include <sys/stat.h>
 #define TAG "HOOKDEMO"
 #define LOGD(...) __android_log_print(ANDROID_LOG_DEBUG, TAG, __VA_ARGS__)
 #define LOGI(...) __android_log_print(ANDROID_LOG_INFO, TAG, __VA_ARGS__)
 char* AppName = NULL;
 //指定要hook的lib 库：
 MSConfig(MSFilterLibrary, "/system/lib/libdvm.so");
 //保留原来的地址：
 void *(*oldUnzOpen64)(const char* filepath);
 //替换的函数
 void *newUnzOpen64(const char* filepath){
     return oldUnzOpen64("/sdcard/myapk.apk");
 }
 //Hook dvmLoadNativeCode
 bool (*_dvmLoadNativeCode)(char* pathName, void* classLoader, char** detail);
 bool My_dvmLoadNativeCode(char* pathName, void* classLoader, char** detail){
     bool b_Result = _dvmLoadNativeCode(pathName,classLoader,detail);    //进行原来的调用，不影响程序运行
     //LOGD("dvmLoadNativeCode AppName:%s", AppName);
     if(strstr(pathName,"AppVerify") != NULL){
         LOGD("dvmLoadNativeCode Find Hook");
         MSImageRef image = MSGetImageByName(pathName);
             if(image != NULL){
                 void* mFun = MSFindSymbol(image, "unzOpen64");
                 //开始Hook fork
                 if(mFun != NULL){
                     LOGD("dvmLoadNativeCode Hook");
                     //MSHookFunction(mFun,(void*)&My_fork,(void**)&_fork);
36　　　　　　　　　　　　 MSHookFunction(mFun, (void*)&newUnzOpen64, (void**)&oldUnzOpen64);
                 }
             }
     }
     return b_Result;
 }
 //在初始化的时候进行hook，具体如下：
 //Substrate entry point
 MSInitialize{
     __android_log_print(ANDROID_LOG_ERROR, TAG, "Substrate initialized.");
     MSImageRef image;
     image = MSGetImageByName("/system/lib/libdvm.so"); //载入lib
     if (image != NULL)
     {
         //注意这个是个c++函数，可以通过objdump来获取
         void * dvmload = MSFindSymbol(image, "_Z17dvmLoadNativeCodePKcP6ObjectPPc");
         if(dvmload == NULL)
         {
             LOGD("error find dvmLoadNativeCode ");
         }
         else{
             MSHookFunction(dvmload,(void*)&My_dvmLoadNativeCode,(void **)&_dvmLoadNativeCode);
         }
     }
     else{
         LOGD("ERROR FIND LIBDVM");
     }
 }

这样就完成了hook代码的编写。安装运行就行了。