之前我们演示过了如何在Java层Hook系统的API方法,但是我们都知道很多安全级别较高的操作我们都不会在Java层来完成,而且Java层很多的API都是通过JNI的方式在Native层完成的,所以对Java层的API方法Hook意义不是很大。本节我们就具体来说说在Android中如何使用CydiaSubstrate框架完成Native层的Hook操作。
#### **CydiaSubstrate框架针对Native层Hook的支持**
对于CydiaSubstrate框架来说,其给我们提供了类似在Java中的API方法,如在Native层的MSJavaHookClassLoad函数(类似Java中的hookClassLoad方法)、MSJavaHookMethod函数(类似Java中的hookMethod)。作者的意图就是为了让我们能够在Native层使用JNI完成Java函数的Hook。其中两个函数的具体定义如下:
~~~
/**
* 通过JNI Hook Java中的ClassLoad
*
* @jni jni指针
* @name 待Hook的类,字符串形式
* @callback Hook后的回调
* @data 自定义参数数据
*/
voidMSJavaHookClassLoad(JNIEnv *jni, constchar*name, void(*callback)(JNIEnv *, jclass, void *), void *data);
/**
* 通过JNI Hook Java中的指定方法
*
* @jni jni指针
* @_class jclass
* @methodId 待Hook方法ID
* @hook Hook后待替换的函数
* @old Hook前原函数的指针
*/
voidMSJavaHookMethod(JNIEnv *jni, jclass _class, jmethodID methodId, void *hook, void **old);
~~~
上述的两个函数确实比较有用,但是却不是我们最想要的结果。在Native层Hook我们还是希望针对原生函数进行Hook操作。其实针对Native层的Hook原理,我们在本章的开头已经给各位读者介绍了。CydiaSubstrate只是针对其做了一个良好的封装操作,让我们更方便地使用。下面是CydiaSubstrate框架提供的Hook函数方法。
~~~
/** 根据具体的地址路径加载动态库
* 类似于dlopen
*
* @return 动态库ImageRef
*/
MSImageRef MSGetImageByName(constchar *file);
/**
* 根据指定库找到其中函数的偏移量
* 类似于dlsym
*
* @image 指定的动态库
* @name 指定函数的名称
* @return 指定函数的指针(兼容ARM/Thumb)找不到返回NULL
*/
void *MSFindSymbol(MSImageRef image, constchar *name);
/**
* Hook Native层中的指定函数
*
* @symbol 待Hook函数指针
* @hook Hook后待替换的函数指针
* @old Hook前函数指针
*/
voidMSHookFunction(void *symbol, void *hook, void **old);
~~~
看到上面的函数说明估计读者们都跃跃欲试了,而且相信很多读者已经能够猜出如何使用CydiaSubstrate框架了。下面我们还是详细地说明一下,除了了解其提供的API函数之外,使用CydiaSubstrate框架还需要注意的一些注意事项。
* 基于CydiaSubstrate框架的动态库必须以“.cy.so”(系统默认是“.so”)作为后缀。
* 在AndroidManifest.xml文件中需要声明cydia.permission.SUBSTRATE权限。
* 需要在Native C/CPP方法前添加Config配置。
~~~
MSConfig(MSFilterExecutable, "/system/bin/app_process")
~~~
#### **通过JNI改变系统颜色**
与之前的尝试Hook系统API小节一样,如我们希望完成Hook Android系统中的Resources类,并将系统中的颜色都改为紫罗兰色。思路也是一样的,我们只需要拿到系统中Resources类的getColor方法,将其返回值做修改即可。那么我们使用原生方法实现,需要完成以下几个步骤。
**1.在AndroidManifest.xml中声明权限与安装方式**
因为是系统组件代码,我们需要设置其安装方式是internalOnly与hasCode=“false”,这样能够方便CydiaSubstrate框架获取我们的逻辑。当然还需要声明SUBSTRATE权限,具体的操作如下AndroidManifest.xml内容所示。
~~~
<?xml version="1.0" encoding="utf-8"?>
<!-- internalOnly 系统内部安装,禁止安装到sd卡 -->
<manifest xmlns:android="http://schemas.android.com/apk/res/android"
package="com.example.hooknative"
android:installLocation="internalOnly"
android:versionCode="1"
android:versionName="1.0" >
<!-- 声明Substrate权限 -->
<uses-permission android:name="cydia.permission.SUBSTRATE" />
<uses-sdk
android:minSdkVersion="8"
android:targetSdkVersion="21" />
<!-- hasCode=false,系统组件,不运行APP中的逻辑 -->
<application android:hasCode="false" >
</application>
</manifest>
~~~
**2.新创建项目的cpp文件,导入所需的库**
这里我们新创建一个原生代码文件HookNative.cy.cpp(后缀必须为.cy.cpp,编译后则会出现.cy.so文件),并将CydiaSubstrate的库文件libsubstrate.so、libsubstrate-dvm.so、substrate.h一起复制到jni目录下(这里需要根据不同平台选择,我们这里选择的是ARM平台的库),jni目录如图8-20所示。
当然,我们还需要编写Makefile文件Android.mk,指定Substrate库参与编译,并引入一些必要的库。内容如下所示。
~~~
LOCAL_PATH := $(call my-dir)
# substrate-dvm 库
include $(CLEAR_VARS)
LOCAL_MODULE:= substrate-dvm
LOCAL_SRC_FILES := libsubstrate-dvm.so
include $(PREBUILT_SHARED_LIBRARY)
# substrate 库
include $(CLEAR_VARS)
LOCAL_MODULE:= substrate
LOCAL_SRC_FILES := libsubstrate.so
include $(PREBUILT_SHARED_LIBRARY)
include $(CLEAR_VARS)
LOCAL_MODULE := HookNative.cy
LOCAL_SRC_FILES := HookNative.cy.cpp
LOCAL_LDLIBS+= -L$(SYSROOT)/usr/lib -llog
LOCAL_LDLIBS+= -L$(LOCAL_PATH) -lsubstrate-dvm -lsubstrate
include $(BUILD_SHARED_LIBRARY)
~~~
**3.载入配置文件与CydiaSubstrate入口**
在HookNative.cy.cpp代码文件中,使用CydiaSubstrate框架的API,还需要在其中声明一些东西,如MSConfig配置app_process的路径,声明MSInitialize作为一个CydiaSubstrate插件的入口。我们还会应用一些开发中必要的头文件与LOG声明,如这里我们的HookNative.cy.cpp内容为:
~~~
#include<android/log.h>
#include<substrate.h>
#define LOG_TAG "native_hook"
#define LOGI(...) __android_log_print(ANDROID_LOG_INFO, LOG_TAG, __VA_ARGS__)
// 载入配置文件
MSConfig(MSFilterExecutable, "/system/bin/app_process")
// Cydia初始化入口
MSInitialize {
}
~~~
**4.Hook并替换其方法**
其修改方法与上一节的Hook Java中的方法类似,我们只需要修改相关的函数完成Hook即可。如这里我们使用MSJavaHookClassLoad方法Hook系统的Resources类,并使用MSJavaHookMethod方法Hook其getColor方法,替换其方法。具体实现如下所示。
~~~
#include<android/log.h>
#include<substrate.h>
#define LOG_TAG "native_hook"
#define LOGI(...) __android_log_print(ANDROID_LOG_INFO, LOG_TAG, __VA_ARGS__)
// 载入配置文件
MSConfig(MSFilterExecutable, "/system/bin/app_process")
// getColor方法Hook前原函数指针
static jint (*_Resources$getColor)(JNIEnv *jni, jobject _this, ...);
// getColor方法Hook后被替换的函数
static jint $Resources$getColor(JNIEnv *jni, jobject _this, jint rid) {
jint color = _Resources$getColor(jni, _this, rid);
returncolor & ~0x0000ff00 | 0x00ff0000;
}
// Hook住Resources class的回调
static void OnResources(JNIEnv *jni, jclass resources, void*data) {
// hook其对应的getColor方法
jmethodID method = jni->GetMethodID(resources, "getColor", "(I)I");
if(method != NULL)
MSJavaHookMethod(jni, resources, method,
&$Resources$getColor, &_Resources$getColor);
}
// Cydia初始化入口
MSInitialize {
// Hook Java中的Resources
MSJavaHookClassLoad(NULL, "android/content/res/Resources", &OnResources);
}
~~~
**5.编译、安装、重启验证**
同样,因为CydiaSubstrate是Hook Zygote进程,而且我们Hook的又是系统的Resources方法,所以我们希望验证都需要重启一下设备。我们可以选择CydiaSubstrate中的软重启,这里我们对系统的设置页面Hook前后都做了一个截图,对比截图如图8-21所示。
:-: 
本例中我们继续之前Java中Hook的思想,完成了在原生代码中使用JNI针对Java中的API进行Hook操作。因为CydiaSubstrate框架中的hookClassLoad方法、hookMethod方法底层实现也是如此,所以我们使用起来很类似。
#### **Hook后替换指定应用中的原生方法**
讨论了太久的Java层面的API Hook工作,也举了很多例子,本节中我们就看看如何使用CydiaSubstrate框架完成原生函数的Hook。
例如,现在我们有一个应用程序(包名为:com.example. testndklib),其主要功能就是按下界面上的“test”按钮后,通过JNI调用Native的test函数,在系统的Log中输入一个当前我有多少钱的整数值。界面如图8-22所示。
:-: 
使用JNI调用的test函数,写在NDK库testNDKlib中,会调用一个名叫getMoney的函数,显示我当前有多少钱。当然,这里我们直接硬编码了,返回值为100的整数。中间,我们还将 getMoney 函数的地址通过 Log 打印出来。testNDKlib.cpp内容如下所示。
~~~
#include<stdio.h>
#include<jni.h>
#include<android/log.h>
extern"C" {
#define LOGI(...) __android_log_print(ANDROID_LOG_INFO, "cydia_native", __VA_ARGS__)
/**
* 测试函数getMoney,返回一个整数
*/
int getMoney(void) {
// 打印方法函数地址
LOGI(" getMoney() function address in : %p\n", &getMoney);
return100;
}
// 一个JNI的test函数
jstring Java_com_example_testndklib_MainActivity_test(JNIEnv* env,
jobject thiz) {
LOGI(" I have %d money.\n", getMoney());
return0;
}
}
~~~
运行一下程序,单击“test”按钮,拿到了系统输出的 Log,与我们输出的预期一样。笔者将DDMS上输出的Log截图,如图8-23所示。
:-: 
现在我们希望Hook此so文件,找到其中的getMoney函数,替换它让它给我们返回整数值999999(类似一个游戏修改金币的外挂)。针对之前我们讨论的Hook的原理,我们需要做如下几步操作。
1. 加载原生库,libtestNDKlib.so。
2. 找到对应的函数符号地址,MSFindSymbol。
3. 替换函数,MSHookFunction。
这里我们在完成1、2步骤的时候,我们同时也用dlopen与dlsym方式实现给大家演示一下。之前的环境配置逻辑以及权限声明逻辑与上一个例子类似,这里我们不做赘述,直接看一下cpp文件中的内容,具体如下:
~~~
#include<android/log.h>
#include<substrate.h>
#include<stdio.h>
#define LOG_TAG "cydia_native"
#define LOGI(...) __android_log_print(ANDROID_LOG_INFO, LOG_TAG, __VA_ARGS__)
// 初始化CydiaSubstrate
MSConfig(MSFilterExecutable, "/system/bin/app_process")
// 原函数指针
int (*original_getMoney)(void);
/**
* 替换后的函数
*/
int replaced_getMoney(void)
{
LOGI(" replaced_getMoney() function address in : %p\n", &replaced_getMoney);
return999999;
}
/**
*
* 找到指定链接库中的函数地址
*
* @libraryname 链接库地址
* @symbolname 函数名
* @return 对应的函数地址
*/
void* lookup_symbol(char* libraryname, char* symbolname)
{
// dlopen打开指定库,获得句柄
void*imagehandle = dlopen(libraryname, RTLD_GLOBAL | RTLD_NOW);
if(imagehandle != NULL) {
// 获得具体函数
void* sym = dlsym(imagehandle, symbolname);
if(sym != NULL) {
returnsym;
} else{
LOGI("(lookup_symbol) dlsym didn't work");
returnNULL;
}
} else{
LOGI("(lookup_symbol) dlerror: %s", dlerror());
returnNULL;
}
}
//初始化
MSInitialize
{
// 获得libtestNDKlib.so动态库中getMoney函数的地址
MSImageRef image;
image = MSGetImageByName(
"/data/data/com.example.testndklib/lib/libtestNDKlib.so");
void* getAgeSym = MSFindSymbol(image, "getMoney");
// MSImageRef与 MSFindSymbol 也可以写为如下所示找到getMoney函数的地址
//
// void * getAgeSym = lookup_symbol(
// "/data/data/com.example.testndklib/lib/libtestNDKlib.so",
// "getMoney");
// 将getMoney函数替换为 replaced_getMoney函数
MSHookFunction(getAgeSym, (void*) &replaced_getMoney,
(void**) &original_getMoney);
}
~~~
编译后安装到已经安装了CydiaSubstrate框架的系统中,重启Android设备。如果在整个系统编译与配置没有什么错误的情况下,我们发现CydiaSubstrate框架会打出Log说Loding什么什么 so 文件了。这里我们看见,LodinglibnativeHook.cy.so 说明我们之前开发的 Hook 其中的getMoney方法已经生效了,如图8-24所示。
:-: 
这个时候我们继续运行程序,进入我们刚才的test应用程序。单击“test”按钮,获取调用JNI中的test函数打印我有多少钱。我们能够在DDMS中清楚地看到,getMoney函数已经被一个名为“replace_getMoney”的函数替换了,其地址也已经被替换了。我们也看到使用替换后的值输出为“I have 999999 money”,如图8-25所示
:-: 
#### **使用Hook进行广告拦截**
对于Android操作系统我们知道,Java层都是建立在原生C/C++语言上的,特别是针对一些系统级别的API函数。上面我们演示了如何对用户自定义函数进行Hook,下面我们演示一下如何对Native层的系统API进行Hook。
如这里我们希望对系统中的网络请求API进行Hook,然后过滤掉一些广告相关的请求,完成广告拦截功能,其具体的流程如图8-26所示。
:-: 
这里我们查看Android操作系统的POSIX定义的源码Poxis.Java文件,发现其针对网络请求函数的定义是在native完成的,如图8-27所示。
:-: 
对于此类的问题,我们就不得不在native完成Hook与函数替换工作了。所以我们还是使用CydiaSubstrate框架,对系统的API函数connect进行Hook与替换。如下代码所示,我们使用MSHookFunction对native层中的connect函数进行Hook替换至newConnect函数。
~~~
#define LOG_TAG "cydia_native"
#define LOGI(...) __android_log_print(ANDROID_LOG_INFO, LOG_TAG, __VA_ARGS__)
// 初始化CydiaSubstrate
MSConfig(MSFilterExecutable, "/system/bin/app_process")
// 原connect函数指针
int *(*oldConnect)(int,const sockaddr *, socklen_t);
int *newConnect(int socket, const sockaddr *address, socklen_t length) {
char ip[128] = { 0 };
int port = -1;
if(address->sa_family == AF_INET) {
sockaddr_in *address_in = (sockaddr_in*) address;
// 获取 ip
inet_ntop(AF_INET, (void*) (structsockaddr*) &address_in->sin_addr, ip,128);
// 获取端口
port = ntohs(address_in->sin_port);
// 过滤掉172.22.156.129的请求
if(strcmp(ip, "172.22.156.129") == 0) {
LOGI("发现广告请求");
struct sockaddr_in my_addr;
int my_len = sizeof(struct sockaddr_in);
bzero(&my_addr, sizeof(my_addr));
my_addr.sin_family = AF_INET;
my_addr.sin_port = htons(80);
my_addr.sin_addr.s_addr = inet_addr("127.0.0.1");
return oldConnect(socket, (const sockaddr*) &my_addr, sizeof(my_addr));
}
return oldConnect(socket, address, length);
}
}
//初始化
MSInitialize{
MSHookFunction((void*) &connect, (void*) &newConnect,(void**) &oldConnect);
}
~~~
这里我们只是简单地将IP为172.22.156.129的请求重定向到本地127.0.0.1,即让类似的广告请求拿不到数据。此类方式的广告过滤属于比较原始暴力类型的过滤方法,但却也简单有效。熟悉connect的读者应该会发现,如果已经能够替换掉connect函数,其实我们能做到的事情远远比拦截一个广告请求大得多,比如跳转至钓鱼网站,收集私密发送数据等。
#### **参考文章:**
[《Android安全技术揭秘与防范》—第8章8.4节Hook原生应用程序](https://yq.aliyun.com/articles/99873?spm=5176.100239.blogcont99909.21.6fd61614MywzAl#)
- 前言
- Android系统的体系结构
- Dalvik VM 和 JVM 的比较
- Android 打包应用程序并安装的过程
- Android ADB工具
- Android应用开发
- Android UI相关知识总结
- Android 中window 、view、 Activity的关系
- Android应用界面
- Android中的drawable和bitmap
- AndroidUI组件adapterView及其子类和Adapter的关系
- Android四大组件
- Android 数据存储
- SharedPreference
- Android应用的资源
- 数组资源
- 使用Drawable资源
- Material Design
- Android 进程和线程
- 进程
- 线程
- Android Application类的介绍
- 意图(Intent)
- Intent 和 Intent 过滤器(Google官网介绍)
- Android中关于任务栈的总结
- 任务和返回栈(官网译文)
- 总结
- Android应用安全现状与解决方案
- Android 安全开发
- HTTPS
- 安卓 代码混淆与打包
- 动态注入技术(hook技术)
- 一、什么是hook技术
- 二、常用的Hook 工具
- Xposed源码剖析——概述
- Xposed源码剖析——app_process作用详解
- Xposed源码剖析——Xposed初始化
- Xposed源码剖析——hook具体实现
- 无需Root也能Hook?——Depoxsed框架演示
- 三、HookAndroid应用
- 四、Hook原生应用程序
- 五、Hook 检测/修复
- Android 应用的逆向与加固保护技术
- OpenCV在Android中的开发
- Android高级开发进阶
- 高级UI
- UI绘制流程及原理
- Android新布局ConstraintLayout约束布局
- 关键帧动画
- 帧动画共享元素变换
- Android异步消息处理机制完全解析,带你从源码的角度彻底理解
- Android中为什么主线程不会因为Looper.loop()里的死循环卡死?
- 为什么 Android 要采用 Binder 作为 IPC 机制?
- JVM 中一个线程的 Java 栈和寄存器中分别放的是什么?
- Android源码的Binder权限是如何控制?
- 如何详解 Activity 的生命周期?
- 为什么Android的Handler采用管道而不使用Binder?
- ThreadLocal,你真的懂了吗?
- Android屏幕刷新机制