- busybox安装
1.0 BusyBox说明
Busy是一个集成了部分linux命令和工具的软件。BusyBox开发的目的是可以在android系统上继续使用linux中的命令,如grep,find等。
1.1 BusyBox下载与安装
BusyBox下载地址:https://busybox.net/downloads/binaries/
下载完成之后,将文件重命名为busybox,然后使用push命令,将busybox推到手机,然后使用adb shell进入手机,在busybox文件所在目录运行./busybox --install ./,这个会将busybox安装到当前目录。
一定要将busybox安装到system/xbin目录下,要不然后续使用时可能会出现问题
将busybox安装到
system/xbin目录下
首先要看system当前挂载信息
输入adb shell,然后输入mount可以看到信息,如下图
mount
然后将system修改为可读写
remount
接着将busybox移动到xbin目录,然后运行上述安装命令即可。
1.2 so库编译
1.2.1 在使用时,需要根据自己的需要对arthook_demo.h文件和arthook_demo.c文件进行修改。原始的文件内容如下所示
arthook_demo.h
arthook_demo.c
在
arthook_demo.h文件中,主要需要根据需要修改MYHOOKCLASS的值,MYHOOKCLASS变量记录的是1.2.3 使用ndk编译。
打开终端,在
ARTDroid/examples/arthook_demo/jni目录下,运行ndk_build
ARTDroid so库编译
编译完成之后,生成的so库所在的目录是
ARTDroid/examples/arthook_demo/libs文件夹。
- libarthook思路
2.1 FindClass
2.2 GetMethodID
2.3 获取虚表的偏移地址
2.4 获取虚表的长度
2.5 在虚表中寻找MethodID
2.6 修改找到的方法的指针,指向patch method - sh文件分析
3.1 install.sh
3.1.1 check_dependencies
在环境变量PATH中查看是否有SDK路径和NDK路径,有则继续执行,没有则结束并提醒用户将其添加到PATH中。
3.1.2 check_first_run
判断是否是第一次运行demo,判断的方法是判断判断是否存在DIR/.first_run.no文件,如果存在,则说明不是第一次运行,如果不存在则是第一次运行,此时创建DIR/.first_run.no,并将IS_FIRST_RUN的值改为true
3.1.3 compile_all
进入到DIR目录,然后判断IS_FIRST_RUN是否为true,为true则继续。进入DIR/adbi文件夹,运行clean.sh和build.sh。然后在DIR文件夹下,运行clean.sh和build.sh。
3.1.4 push_to_device
使用adb push,将libarthookdemo.so和hijack移动到手机的/data/local/tmp文件夹下。
3.2 adbi/build.sh
进入到adbi/hijack/jni目录,运行ndk-build命令生成hijack,然后进入到adbi/instruments/base/jni目录,运行ndk-build命令生成base.a文件,进入到adbi/instruments/example/jni目录,运行ndk-build生成libexample.so文件。
3.3 DIR/build.sh
进入到arthook/core/jni目录下,然后在终端运行ndk-build命令,将jni目录编译得到libarthook.so文件,然后进入到examples/arthook_demo/jni目录下,运行ndk-build命令,得到libarthookdemo.so
3.4 runhijack.sh
runhijack.sh完成的动作是导入libarthookdemo.so和hijack.bin文件。
3.4.1 文件首先检查了依赖,主要是确定手机上已经将busybox安装到/system/xbin目录下。
3.4.2 判断参数,如果参数为空则提示用户,打印help信息。
3.4.3 如果参数是-t,则打印相关信息,并执行/data/local/tmp/hijack -p pid -l /data/local/tmp/libarthookdemo.so -d -D 2
3.5 hijack.c
在3.4中可知,runhijack.sh最终会运行hijack.bin。而这个文件是有hijack.c编译得到的,所以这里继续分析hijack.c文件,以main方法为入口。 - 使用
4.0 在使用之前,首先需要关闭SELinux,关闭命令是setenforce 0。
4.1 运行srcipts/install.sh
install.sh会调用ndk编译需要的文件。具体的代码分析在第三部分有说明。
4.2 push文件到手机
将编译好的文件传到手机,这些文件包括/examples/classes.dex,/adbi/hijack/libs/armeabi/hijack,scripts/device/init.sh,scripts/device/runhijack.sh,examples/arthook_demo/libs/armeabi/libarthookdemo.so.上传完成之后,data/local/tmp目录下的文件应该是这样的
4.3 修改dex/opt的所有者。
首先用ps命令查看我们要测试的apk的USER,如下图中,我要测试的apk对应的USER是u0_a54,然后使用chown命令,将dex/opt的所有者改为u0_a54.具体的命令是chown u0_a54:u0_a54 dex/opt
4.4 运行runhijack.sh文件。
运行runhijack.sh文件时,会提示用户输入相应的参数,如下图所示。
可以看到有两种方式,一个是添加-s+包名,另一个是-t+pid。我这里用的是-t+pid。首先确定下opt所属的USER名字,如下图,为u0_a64
然后用ps命令,可以看到u0_a64对应的pid为1038
重新运行runhijack.sh文件,添加参数,如下图所示
接着在app上点击,可以看到已经hook成功。
对应的日志记录如下
在运行install.sh文件时,可能会提示缺少一些so文件后者a文件,主要是因为adbi目录下的内容没有被编译,使用ndk-build自己进行编译之后重新运行install.sh即可
PTRACE_GETREGS ptrace(PTRACE_GETREGS,pid,0,data) 读取寄存器的值,pid表示被跟踪的子进程,data为用户变量地址,用于返回读到的数据。这个指令会读取17个基本寄存器的值
PTRACE_ATTACH ptrace(PTRACE_ATTACH,pid) 跟踪指定的pid进程。被跟踪进程将成为当前进程的子进程并进入中止状态
