一、前言
在之前已經介紹過了Android中一款hook神器Xposed,那個框架使用非常簡單,方法也就那幾個,其實最主要的是我們如何找到一個想要hook的應用的那個突破點。需要逆向分析app即可。不了解Xposed框架的同學可以查看:Android中hook神器Xposed使用詳解;關于hook使用以及原理不多解釋了。今天我們再來看另外一個hook神器Cydia Substrate,關于這個神器網上也已經介紹了,應該有的同學已經使用過了,因為最近在破解一個游戲,奈何想hook他的一個so中的一個方法,Xposed幾乎沒法用,所以得操刀這個框架了,所以就單獨抽出來介紹這個框架。他的一個優(yōu)點就在于Hook底層方法非常方便,對so中的方法hook操作非常便捷。
二、環(huán)境搭建
下面就來介紹這個框架如何安裝使用,本文會介紹這個框架如何hook Java層和Native層功能,首先我們來看一下如何安裝這個框架,本人操作的環(huán)境:
設備系統(tǒng):小米三+原生CM 4.4系統(tǒng)
框架版本:0.9.4010
是否root:必須root
關于這個環(huán)境,可能有的同學操作最大的問題就在于設備和系統(tǒng),不同設備不同系統(tǒng),這個框架或許安裝會失敗,具體問題可能需要你們自己去解決了。關于框架apk和功能jar包下載地址可以去官網:http://www.cydiasubstrate.com
三、Hook Java層功能
搭建好了環(huán)境,下面就直接操作了,首先來看看如何Hook Java層功能
第一步:導入jar包
第二步:編寫hook入口類
具體api這里不多介紹了,就那么幾個,沒必要詳細介紹,這里對系統(tǒng)的imei進行hook操作了。網上很多人都對系統(tǒng)顏色值進行了hook,這里也順帶操作一下:
第三步:配置xml信息
在AndroidManifest.xml中需要配置兩個地方,一個是使用權限,一個是聲明hook的入口類即可。
第四步:安裝運行
代碼編寫完成之后,直接運行安裝即可,前提是你需要正確安裝Cydia框架apk,安裝成功界面如下:
然后我們安裝hook工程apk,會出現這個提示:
點擊,進入框架界面,點擊重啟即可。然后我們查看系統(tǒng)界面顏色以及返回的imei值:
查看顏色的確變成騷氣的粉色了,再看看imei值的修改:
imei值也成功的hook成功了。到這里我們就用Substrate框架hook了Java層功能。當然這些功能Xposed也是可以做到的哦。
四、Hook Native層功能
那么下面繼續(xù)來看如何hook native層的功能,也是本文的重點哦。
第一步:創(chuàng)建一個Native工程
這里用Eclipse操作,簡單便捷,有很多人問我為什么不用AS,我想說在我心中Eclipse最好用,AS真心好丑,不想用而已。
第二步:導入Substrate的native功能包
上圖可以看到,需要導入一個substrate.h頭文件,和兩個so功能包。native層應用都是這么干的,提供一個頭文件告訴你api,具體實現在so包中。
第三步:尋找hook的函數名
這里網上沒有好的hook代碼,這里我們?yōu)榱烁玫牟榭催@個工具的牛逼之處,弄一個比較實際的案例就是hook系統(tǒng)加載dex的函數,這樣我們就可以獲取到每個應用的dex文件了,這種方式對于早期加固是一個比較好的脫殼方案。在之前介紹脫殼我們會使用IDA在指定函數處下個斷點,那么我們這里如果要hook的話,就需要找到這個加載dex的函數名稱,這里一定要記的是導出的函數名,首先我們導出設備的libdvm.so文件:system/lib/libdvm.so
然后使用IDA打開,尋找加載dex函數:
切換到Exports視圖頁面,然后搜索dexFileParse函數,點進去:
看到了,我們需要得到的是EXPORT的函數名,需要hook的是他,這個一定要注意,不然hook沒效果的。找到函數之后還得獲悉函數的參數類型和返回類型,這個也好辦,因為我們有android源碼,所以直接在源碼中找這個函數參數說明已經返回值說明即可。因為Native層hook的其實是函數指針的替換,所以如果想hook原來的函數,必須新建一個和原來一樣的函數功能,然后傳遞函數指針即可。這個函數的參數和返回值定義如下:
DexFile dexFileParse(const unsigned __int8 , unsigned int, int);
參數含義非常簡單,第一個參數表示dex文件的起始地址,第二個參數是dex文件的長度,有這兩個參數我們就可以寫入文件了。這里我們需要獲取DexFile類型,這個直接在Android源碼目錄下找到這個頭文件DexFile.h即可。然后導入工程中。這樣我們就找到了需要hook的函數已經說明了,下面就開始編寫hook代碼了。
第四步:編寫hook代碼
在編寫hook代碼之前,我們需要考慮這幾件事:
第一件事:我們hook之后的dex存在哪?怎么存?我們這里直接通過當前的pid值獲取進程名,然后將其憑借作為dex的文件名,這樣每個進程的dex文件就不會沖突了。這里要理解一點:一個進程對應一個DVM,加載一個dex文件。所以這里hook其實就是注入每個進程,在每個進程中在hook每個函數功能。
第二件事:需要過濾系統(tǒng)進程,并不是所有的進程都是我們想要hook的,而且這些進程未必有dex文件,比如鼻祖進程zygote,而這些進程過濾規(guī)則,需要我們自己打印看結果。然后構造。
下面開始寫代碼了,首先定義我們想要hook的so文件:
MSConfig(MSFilterLibrary, "/system/lib/libdvm.so");
主要是第二個參數,是需要hook的so路徑。然后在入口處開始hook代碼:
這里首先找到so中需要hook函數符號,然后直接調用MSHookFunction傳入符號,新函數地址,舊函數地址即可。這里可以看到在C中指針是多么強大,實現了函數的回調機制,而且非常方便。然后繼續(xù)來看新定義的hook函數功能:
這里先獲取當前進程名稱,然后構造dex文件名,保存dex文件,最后一定要記得返回原始的函數,不能影響正常的流程。這里還要記得過濾規(guī)則,不要對每個進程都進行操作,并不是每個進程都是有效的。而這些過濾規(guī)則是根據自己打印進程名來自行添加即可。
第五步:編寫MK文件
上面代碼已經編寫完成了,下面來編寫編譯腳本吧,主要注意編譯之后的文件名一定要有cy結尾,不然是hook失敗的,然后就是需要導入substrate的so庫文件:
第六步:安裝并運行
和之前一樣,運行之后,需要重啟設備,然后先看看native層的log信息:
然后再去目錄中查看保存的dex文件信息:
dex文件都保存成功了,這樣會發(fā)現如果對于早期的加殼,可以采用這種方式進行脫殼操作的。也不需要用IDA進行調試dump出dex文件了。
五、說明
關于native層hook就介紹完了,這里還是需要說明幾點:
第一點:hook之前需要分析so獲取需要hook的函數名稱,參數返回值定義,這個和hook Java層一樣,必須先找到突破點才能進行下一步。
第二點:hook可能會有一些錯誤,因為是native層比java層錯誤信息難發(fā)現,所以最好是在某些地方加一些日志觀察結果。
如果在使用過程中發(fā)現hook失敗,注意檢查這幾個條件:
第一個:xml中是否配置了權限和入口
第二個:編譯腳本MK中的后綴名是否為cy
項目下載地址:https://github.com/fourbrother/CydiaSubstrateHook
六、總結
關于CydiaSubstrate框架就介紹到這里了,后面會分析如何hook游戲的so文件來進行破解工作,有了這個框架再也不怕hook難了,native層代碼也可以一覽無余了。
更多內容:點擊這里
關注微信公眾號,最新技術干貨實時推送
編碼美麗技術圈
微信掃一掃進入我的"技術圈"世界
掃一掃加小編微信添加時請注明:“編碼美麗”非常感謝!
