Android Hook 简介

1.Hook基本概述

Hook翻译过来是钩子的意思,我们都知道无论是手机还是电脑运行的时候都依赖系统各种各样的API,当某些API不能满足我们的要求时,我们就得去修改某些api,使之能满足我们的要求。这样api hook就自然而然的出现了。我们可以通过api hook,改变一个系统api的原有功能。基本的方法就是通过hook“接触”到需要修改的api函数入口点,改变它的地址指向新的自定义的函数。当然这种技术同样适用于Android系统,在Android开发中,我们同样能利用Hook的原理让系统某些方法运行时调用的是我们定义的方法,从而满足我们的要求。

2.Android中Xposed与Cydia Substrate简述

Android hook中有两个比较好用的框架Xposed和Cydia Substrate,但它们都是得在手机root得前提下才能用的,下面先简单介绍下着两种框架的原理

Xposed:是一款可以在不修改APK的情况下影响程序运行的框架服务,基于Xposed能够制作出许多功能强大的模块,且在功能不冲突的情况下同时运作。其主要原理是通过替换/system/bin/app_process程序控制zygote进程,使得app_process在启动过程中会加载XposedBridge.jar这个jar包,从而完成对Zygote进程及其创建的Dalvik虚拟机的劫持。

Xposed框架是基于一个Android的本地服务应用XposedInstaller,与一个提供API 的jar文件来完成的。所以,安装使用Xposed框架需要完成以下几个步骤:

  • 1、安装XposedInstall.apk本地服务应用,官网下载地址为:http://repo.xposed.info/module/de.robv.android.xposed.installer

  • 2、安装好后进入XposedInstaller应用程序,并需要激活框架(需要root权限,国内有的机子可能还不支持)。

  • 3、下载Xposed API库XposedBridgeApi-.jar,在代工程中引用,至于具体的api怎么用,网上有很多,可以自己去搜下。

Cydia Substrate:使用过苹果手机的用户应该对Cydia Substrate框架来说一点都不会陌生,因为Cydia Substrate框架为苹果用户提供了越狱相关的服务框架。当然,Cydia Substrate也推出了Android版。Cydia Substrate是一个代码修改平台,它可以修改任何主进程的代码,不管是用Java还是C/C++(native代码)编写的,具体步骤如下:

  • 1、同样需要下载安装一个Android本地服务的substrate.apk,可以在其官网下载

  • 2、安装substrate后,需要“Link Substrate Files”(连接本地的Substrate服务文件),需要Root权限的,连接后还需要重启设备才能够生效。

  • 3、下载使用Cydia Substrate库 ,在代工程中引用,至于具体的api怎么调用,有兴趣的可以自己去搜下,官网有说明。

小结从上面的两个框架可以看出,当手机root后,我们能利用hook干很多事,比如修改微信运动步数,修改手机字体颜色,伪造gps位置,微信自动抢红包等等,差不多手机对我们就是透明的了,想怎么弄都行。

3.不依赖第三方库,利用java反射实现简单的hook

我们都知道Activity是得在AndroidManifest.xml中配置的,今天就以一个简单的例子来看看hook的强大之处,新建一个Android项目时里有个MainActivity,我们在创建一个TestActivity,不在AndroidManifest.xml中配置,利用hook技术,让应用启动的时候,显示的是我们写的TestActivity。
我们先简单说下Activity的启动流程,Activity启动时候一般都是通过startActivity的方式启动的,并没有看到调研new Activity()啥的,其实这都是在系统里完成的,在Instrumentation.java中两个重载的方法来创建Activity的实例,如下:

//frameworks/base/core/java/android/app/Instrumentation.java  
public Activity newActivity(Class<?> clazz, Context context,  
        IBinder token, Application application, Intent intent, ActivityInfo info,  
        CharSequence title, Activity parent, String id,  
        Object lastNonConfigurationInstance) throws InstantiationException,  
        IllegalAccessException {  
    Activity activity = (Activity)clazz.newInstance();  
    ActivityThread aThread = null;  
    activity.attach(context, aThread, this, token, 0, application, intent,  
            info, title, parent, id,  
            (Activity.NonConfigurationInstances)lastNonConfigurationInstance,  
            new Configuration(), null, null, null);  
    return activity;  
}
  public Activity newActivity(ClassLoader cl, String className,  
          Intent intent)  
          throws InstantiationException, IllegalAccessException,  
          ClassNotFoundException {  
      return (Activity)cl.loadClass(className).newInstance();  
  } 

今天我们要做的就是当MainActivity在创建实例时,我们用TestActivity的实例来替换掉,这样应用启动的就是我们测试用的TestActivity

  • 1.写一个InstrumentationHook继承系统的Instrumentation,并重写父类的newActivity方法
public class InstrumentationHook extends Instrumentation {  
  
    @Override  
    public Activity newActivity(Class<?> clazz, Context context, IBinder token,  
                                Application application, Intent intent, ActivityInfo info,  
                                CharSequence title, Activity parent, String id,  
                                Object lastNonConfigurationInstance) throws InstantiationException,  
            IllegalAccessException {  
        Log.d(this, " CustomInstrumentation#newActivity call 1");  
        return super.newActivity(clazz, context, token, application, intent, info,  
                title, parent, id, lastNonConfigurationInstance);  
    }  
  
    @Override  
    public Activity newActivity(ClassLoader cl, String className, Intent intent)  
            throws InstantiationException, IllegalAccessException,  
            ClassNotFoundException {  
        Log.d(this, " CustomInstrumentation#newActivity call 3 parmas className:" + className + " intent:" + intent.toString());  
        Activity activity = createActivity(intent);  
        if (activity != null) {  
            return activity;  
        }  
        return super.newActivity(cl, className, intent);  
    }  
  
    /*可以在createActivity拦截替换某个activity,下面自是一个简单例子*/  
    protected Activity createActivity(Intent intent) {  
        String className = intent.getComponent().getClassName();  
        Log.d(this, "createActivity className=" + className);  
        if ("hook.jason.com.androidhook.MainActivity".equals(className)) {  
            try {  
                Class<? extends Activity> PluginActivity = (Class<? extends Activity>) Class  
                        .forName("hook.jason.com.androidhook.TestActivity");  
                return PluginActivity.newInstance();  
            } catch (Exception e) {  
                e.printStackTrace();  
            }  
        }  
        return null;  
    }  
}
  • 2.获取当前应用的ActivityThread,并替换系统默认定义的mInstrumentation实例
/** 
 * Created by Yin.Jason on 17/3/18. 
 * Email:Jason.Yin365@gmail.com 
 */  
  
public class HookManager {  
    static Object activityThreadInstance;  
  
    public static void init() throws ClassNotFoundException,  
            NoSuchMethodException, IllegalAccessException,  
            IllegalArgumentException, InvocationTargetException {  
        Class<?> activityThread = Class.forName("android.app.ActivityThread");  
        Method currentActivityThread = activityThread  
                .getDeclaredMethod("currentActivityThread");  
        activityThreadInstance = currentActivityThread.invoke(null);  
    }  
  
    public static void injectInstrumentation() throws NoSuchFieldException,  
            IllegalAccessException, IllegalArgumentException {  
        Log.i(HookManager.class, " start injectInstrumentation");  
        Field field_instrumentation = activityThreadInstance.getClass()  
                .getDeclaredField("mInstrumentation");  
        field_instrumentation.setAccessible(true);  
        InstrumentationHook instrumentationHook = new InstrumentationHook();  
        field_instrumentation.set(activityThreadInstance, instrumentationHook);  
    }  
}  
  • 3.在MyApplication的onCreate里替换ActivityThread里的mInstrumentation变量
public class MyApplication extends Application {  
    @Override  
    public void onCreate() {  
        try {  
            Log.d(this, " onCreate starting init");  
            HookManager.init();  
            HookManager.injectInstrumentation();  
        } catch (Exception e) {  
            Log.d(this, " onCreate e:" + e.toString());  
        }  
        super.onCreate();  
    }  
} 

运行后界面如下:


图片.png

具体log如下:

03-18 17:28:55.621 436-436/hook.jason.com.androidhook D/AndroidHook: MyApplication :  onCreate starting init
03-18 17:28:55.623 436-436/hook.jason.com.androidhook I/AndroidHook: Class :  start injectInstrumentation
03-18 17:28:55.633 436-436/hook.jason.com.androidhook D/AndroidHook: InstrumentationHook :  CustomInstrumentation#newActivity call 3 parmas className:hook.jason.com.androidhook.MainActivity intent:Intent { act=android.intent.action.MAIN cat=[android.intent.category.LAUNCHER] flg=0x10000000 cmp=hook.jason.com.androidhook/.MainActivity }
03-18 17:28:55.633 436-436/hook.jason.com.androidhook D/AndroidHook: InstrumentationHook : createActivity className=hook.jason.com.androidhook.MainActivity
03-18 17:28:55.674 436-436/hook.jason.com.androidhook D/AndroidHook: TestActivity : onCreate
03-18 17:28:55.752 436-436/hook.jason.com.androidhook D/AndroidHook: TestActivity : onResume
03-18 17:28:55.775 436-436/hook.jason.com.androidhook D/AndroidHook: TestActivity : onPause
03-18 17:28:55.789 436-436/hook.jason.com.androidhook D/AndroidHook: TestActivity : onAttachedToWindow
03-18 17:39:55.838 436-436/hook.jason.com.androidhook D/AndroidHook: TestActivity : onRestart
03-18 17:39:55.855 436-436/hook.jason.com.androidhook D/AndroidHook: TestActivity : onResume
03-18 17:40:26.044 436-436/hook.jason.com.androidhook D/AndroidHook: TestActivity : onPause 

从log中可以看出MainActivity的onCreate方法根本没有运行,走的是没有配置的TestActivity类
源码下载地址

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,616评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,020评论 3 387
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,078评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,040评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,154评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,265评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,298评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,072评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,491评论 1 306
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,795评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,970评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,654评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,272评论 3 318
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,985评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,223评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,815评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,852评论 2 351

推荐阅读更多精彩内容

  • Android 自定义View的各种姿势1 Activity的显示之ViewRootImpl详解 Activity...
    passiontim阅读 171,914评论 25 707
  • afinalAfinal是一个android的ioc,orm框架 https://github.com/yangf...
    passiontim阅读 15,417评论 2 45
  • 1. 什么是 Hook Hook 英文翻译过来就是「钩子」的意思,那我们在什么时候使用这个「钩子」呢?在 Andr...
    落英坠露阅读 81,388评论 10 149
  • 沉香几墨满室闻, 风翻随阅葬花文。 宝黛情嗔多留问, 旧园如今莫寻门。
    刘陌Stanger阅读 135评论 0 0
  • “我们讨厌这样,如此太繁琐了” 结婚状况稳定,李蒙和洛克西好谈论其他话题,两颗永动却从不交汇的黑球,滋滋狐疑,游戏...
    彭先生10阅读 227评论 -2 2