一、前言

Android中hook框架已经非常多了,最优秀的当属Xposed和Substrate了,这两个框架我在之前的文章都详细介绍过了,不了解的同学,可以转战这里:http://www.wjdiankong.cn;但是这两个框架用于破解逆向是非常有用的,可惜他们最大的局限性就是需要root权限,这个几乎现阶段可能阻碍了很多产品的商业化,毕竟国内人的安全意识越来越高了。所以这里就需要借助一个免root的hook框架了。而对于免root的框架最大的好处就在于无需root权限,但是弊端就是只能hook自身,对于系统其它app无能无力,就有人好奇了,只能hook自己有个卵用,的确是没什么用,但是也并非一点用都没有。

二、免root的hook功能用途

关于Android中的Hook机制,我在之前已经说得非常详细了,大致就两个方式:

第一个方式:root权限,直接hook系统,可以干掉所有app。

第二种方式:免root权限,但是只能hook自身。

对于免root权限只能hook自身,并非一点用都没有,比如我之前介绍到的自动破解签名校验工具kstools,就是借助这个原理实现,不了解原理的同学可以看这里:Android中自动破解签名校验工具kstools,我们在破解逆向app的时候,需要反编译,二次打包,那么这时候其实我们想针对于这个app做点手脚,就可以借助这个技术,比如现在想改一个app,使得他获取系统的imei值是随机的,有这种需求的,有的游戏有的功能会用设备的imei值做唯一处理,随机imei值的话就可以跳过这个功能了。那么这时候我们可以反编译这游戏,在游戏入口处加上hook代码,即hook游戏自身的imei值即可,这就是需求,只需要hook这一款游戏即可。这样无需在用xposed来编写外挂了。游戏二次打包即可使用了。

三、以往hook框架原理分析

那么其实免root进行hook功能在之前我已经介绍过了一款阿里的开源框架Dexposed了,不过这个框架已经废弃了,取而代之的是AndFix,原理很简单在native层把Java层的方法强制改成native类型,然后在将方法的native标志指向自定义的native函数即可。这样原来的方法就会走到自定义的native函数中,这个框架是非常优秀的AOP框架,可惜兼容性问题不能继续维护了。取而代之的是AndFix,关于它的原理就更简单了,他没有了AOP功能,直接将原始方法和自定义的新方法信息进行对换,这样原来方法执行的逻辑就是新的方法了。这个框架主要用于热修复,所以没必要需要AOP功能了。而今天介绍的这款框架原理也是类似,只不过觉得比较好的是,他把大部分的功能都放到了Java层,这样的兼容性就非常好了,而且自身的兼容也很优秀。

四、Legend框架原理分析

下面就来介绍一下他的原理,代码量不是很多,框架下载地址可以去github上:https://github.com/asLody/legend,下载下来直接运行就ok了,我们继续来分析它的代码吧:

进入这个方法查看:

到这里我们会发现,他是编译传入进来的class类,然后编译他所有用到了Hook注解的方法,获取其需要hook的方法信息,具体样式为:类名::方法名@参数1#参数2#...

然后解析完了注解获取方法签名信息之后,开始调用hookMethod进行hook操作:

这里看到,每个hook方法必须是static类型的,然后会区分是art还是dalvik的,分别处理,这里直接分析dalvik方法,后面的代码是有一个缓存池,用于缓存每次替换完之后的原始方法信息,为了后面会调用原始方法功能。下面继续来看dalvik方法的hook代码:

这里首先会获取原始方法和hook新方法对应的dalivk的数据结构信息,这个就是框架的核心点了,关于dalivk对应的方法结构体信息大致如下:

  • accessFlags: 各个不同标志位表示此方法的多个属性,其中标志位0x00000100表明此方法是native的
  • registersSize: 该方法总共用到的寄存器个数,包含输入参数所用到的寄存器,还有方法内部另外使用到的寄存器,在调用方法时会为其申请栈内存
  • outsSize: 该方法调用其他方法时使用到的寄存器个数,注意:只有此方法为非native方法时,此值才有效.
  • insSize: 该方法输入参数用到的寄存器个数(registersSize包含此值)
  • insns: 若方法类型为1,这里指向实际的字节码首地址;若方法类型为2,这里指向实际的JNI函数首地址;若方法类型为3,这里为null
  • jniArgInfo: 当方法类型为2时有效,记录了一些预先计算好的信息(具体信息格式与实际CPU架构有关,但总是包含返回值类型),从而不需要在调用的时候再通过方法的参数和返回值实时计算了,提高了JNI调用的速度。如果第一位为1(即0x80000000),则Dalvik虚拟机会忽略后面的所有信息,强制在调用时实时计算
  • nativeFunc: 若方法类型为1,此值无效;若方法类型为2,这里指向dvmCallJNIMethod;若方法类型为3,这里指向实际的处理函数(DalvikBridgeFunc类型)
还记得最后一个参数吗?当初介绍Dexposed框架就是利用这个参数进行操作的,他对应的就是一个方法的native函数,对于AndFix框架,其实也就是直接替换方法的这些结构体信息即可。
 
替换新旧方法的结构体信息,做到移花积木的功能:
然后就把替换之后额数据写入到内存中,而这里我们要注意的是,操作内存,Java实在不靠谱的,所以这里需要将工作移动到native层做,操作内存数据,指针是万能的,所以就跑到C++中干了:
这里看到,其实不是写入内存,而是对内存数据的一个替换,直接利用指针方便快捷。
 

五、案例用法

那么到这里,其实我们就大致分析完了这个框架的功能,关于art类型的可以自行分析代码,原理都是一样的,这里的hook机制非常简洁,直接构造出新旧方法对应的虚拟机数据结构,然后替换信息,会写到内存中即可。和阿里的AndFix框架原理几乎一样。分析完了原理之后,接下来才是正事,演示一个案例,这里主要介绍两个案例,首先来看看如何hook系统的imei值:
这里需要用到注解,形式如:类名::方法名,因为这里没有参数信息,所以忽略,然后在定义一个新的hook方法,每个hook方法第一个参数必须是hook方法所属的类类型,这里直接返回imei值为110,然后在获取imei值看看效果:
看到了,hook成功了,操作就是这么简单。
 
下面再来看一个例子,就是hook应用中所有的webview加载的url值,这个也是这次我要分析这个框架的原因,因为项目需要,想拦截应用所有webview加载的url值:
这里看到了,我们一般用WebView加载url都会走shouldOverrideUrlLoading方法,所以直接hook这个方法即可,看到这里的注解类型也好理解:类名::方法名@参数1#参数2...,这里还有一个重要的知识就是调用callSuper方法可以调用原来的方法,这样我们只做了一层拦截,不要破坏原始方法的执行流程,而这里可以调用原始方法其实就是利用之前提到的原始方法缓存池功能即可实现,这里可以看出有AOP的意思了。运行看一下效果:
这里会把每个页面加载请求的url进行拦截了,这就是我项目想要的功能。
 
因为上面分析了框架的原理,大部分功能都是在Java层做的,这样很大程度上能够做到兼容,因为这样,我也想尝试利用这个框架来操作项目,毕竟也算是一种尝试。
 
注意:
1、框架可以选择不使用注解的方式进行hook,直接使用api方式,具体用法参见github上说明。
2、hook的时机最好要早,一般在程序的入口处即可。

android免root hook框架legend的更多相关文章

  1. Android中免root的hook框架Legend原理解析

    一.前言 Android中hook框架已经非常多了,最优秀的当属Xposed和Substrate了,这两个框架我在之前的文章都详细介绍过了,不了解的同学,可以转战这里:http://www.wjdia ...

  2. Android免Root无侵入AOP框架Dexposed

    Dexposed框架是阿里巴巴无线事业部近期开源的一款在Android平台下的免Root无侵入运行期AOP框架,该框架基于AOP思想,支持经典的AOP使用场景,可应用于日志记录,性能统计,安全控制,事 ...

  3. Dexposed:android免Root无侵入Aop框架

    在网上看到了阿里推出的一个android开源项目,名为Dexposed, 是一个Android平台下的无侵入运行期AOP框架.旨在解决像性能监控.在线热补丁等移动开发常见难题,典型使用场景为: AOP ...

  4. Android 免Root实现Apk静默安装,覆盖兼容市场主流的98%的机型

    地址:http://blog.csdn.net/sk719887916/article/details/46746991 作者: skay 最近在做apk自我静默更新,在获取内置情况下,或者已root ...

  5. android免root兼容所有版本ui调试工具

    SwissArmyKnife是什么 SwissArmyKnife 是一款方便调试android UI的工具,可以兼容所有android版本,不需要root权限.可以直接在android手机屏幕上显示当 ...

  6. Android Hook框架adbi的分析(2)--- inline Hook的实现

    本文博客地址:http://blog.csdn.net/qq1084283172/article/details/74452308 一. Android Hook框架adbi源码中inline Hoo ...

  7. Android Hook框架adbi的分析(1)---注入工具hijack

    本文博客地址:http://blog.csdn.net/qq1084283172/article/details/74055505 一.Android Hook框架adbi的基本介绍 adbi是And ...

  8. Android平台dalvik模式下java Hook框架ddi的分析(1)

    本文博客地址:http://blog.csdn.net/qq1084283172/article/details/75710411 一.前 言 在前面的博客中已经学习了作者crmulliner编写的, ...

  9. Android Hook框架adbi源码浅析(一)

    adbi(The Android Dynamic Binary Instrumentation Toolkit)是一个Android平台通用hook框架,基于动态库注入与inline hook技术实现 ...

随机推荐

  1. JAVA中会存在内存泄露吗

    所谓内存泄露就是指一个不再被程序使用的对象或变量一直被占据在内存中.java中有垃圾回收机制,它可以保证一对象不再被引用的时候,即对象编程了孤儿的时候,对象将自动被垃圾回收器从内存中清除掉.由于Jav ...

  2. StringBuild的一个小问题

    今天在项目开发的过程中写了一小段代码: sb_result.AppendFormat("{\"SmsmTaskModeName\":\"{0}\",\ ...

  3. 数据预处理之独热编码(One-Hot Encoding)(转载)

    问题由来 在很多机器学习任务中,特征并不总是连续值,而有可能是分类值. 例如,考虑一下的三个特征: ["male", "female"] ["from ...

  4. 疯狂JAVA——第八章 java集合

    集合类主要负责保存.盛装其他数据,因此集合类也被称为容器类. 数组元素既可以是基本类型的值,也可以是对象(实际上是保存的对象的引用): 集合里只能保存对象.

  5. conductor FAQ

    在一段时间后(如1小时,1天等),您如何安排将任务放入队列中? 轮询任务后,更新任务的状态IN_PROGRESS并将其callbackAfterSeconds设置为所需的时间.任务将保留在队列中,直到 ...

  6. 开始一个Android的appium实例

      1.查看Android的应用包名和activity的方法   (网上有很多种方法,这里应用的是查看日志的方法) CMD中输入>adb logcat -c                   ...

  7. 用Python提取XML里的内容,存到Excel中

    最近做一个项目是解析XML文件,提取其中的chatid和lt.timestamp等信息,存到excel里. 1.解析xml,提取数据 使用python自带的xml.dom中的minidom(也可以用l ...

  8. count++线程安全与 synchronized对性能影响的测试

    一个计时器,同时开启100个线程,每个线程休眠1ms钟后,将全局静态变量count加1,这100个线程创建完之后,休眠500ms,计算总耗时,程序如下: public class Counter { ...

  9. poj1611(并查集简单应用)

    题目链接:http://poj.org/problem?id=1611 思路: 显然是一个并查集的题,很简单,只要将一个group中的学生并在一起,最后遍历1到n-1,看有多少学生的祖先与0的祖先相等 ...

  10. KMS激活win10专业版失败

    关闭防火墙.杀毒软件之类,激活就成功了. 有个小发现,选择更改产品密钥,输入W269N-WFGWX-YVC9B-4J6C9-T83GX,同时用KMS激活,可能成功率比较高!(专业版的,来自http:/ ...