爲幫助童鞋們更有節奏感地學習,本文分爲Demo篇和實戰篇來作敘述。
先簡單介紹Xposed框架(下文簡稱:Xposed)
關於Xposed
簡介
Xposed是一個很強大的android平臺上的hook工具,其可以在不修改APK文件的情況下影響程序運行的框架服務,且在功能不衝突的情況下同時運作。開發者可以基於Xposed製作出很多功能強大的模塊,用於android的逆向破解,應用美化等方面,現在市面上很多搶紅包,消息防撤回,應用破解收費模塊應用也是基於此。
原理
刷入Xposed時會向系統寫入並替換掉系統一些關鍵文件,下面是安裝包文件結構:
META-INF/ 裏面有flash-script.sh腳本文件,用於配置各個文件安裝位置
system/bin/ 主要爲替換系統的Zygote進程執行文件對應的xposed版文件,如app_process
system/framework/XposedBridge.jar jar包位置
system/lib so文件所在位置
system/lib64 so(適用於64架構)文件所在位置
system/xposed.prop xposed版本說明文件
- 我們都知道Zygote進程是Android的核心,所有的應用以及系統服務進程都是由Zygote進程fork出來的。
- 系統啓動時會開啓此進程,對應的執行文件是/system/bin/app_process,由於app_process文件被替換,所以啓動了Xposed版的Zygote進程。
- 該進程會加載Xposed相關類庫和函數,其中包括XposedBridge.jar庫。
- XposedBridge.jar中的XposedBridge.main函數完成對系統的一些關鍵函數進行hook以及Xposed模塊的初始化。
- Xposed在進行hook java方法時,利用修改過的虛擬機將方法註冊爲native方法,JVM調用java函數時,如果該函數爲native的,就調用它的nativeFunc,這樣方法在調用時,就會調用到這個native方法。
- 在這個native方法中,Xposed直接調用了一個java方法,這個java方法裏面對原方法進行了調用,並在調用前後插入了鉤子,於是就hook住了這個方法。
簡要流程如下:
你可能沒有完全看懂,沒有關係,不是本文重點,簡單瞭解下有助於對下文的理解。
劫持登錄Demo
編寫Xposed模塊
- Android Studio(下文簡稱:AS)新建Android項目工程,本文名爲“XposedDemo”,然後新建module(模塊),本文名爲“HookLoginModule”。
- 在HookLoginModule下的build.gradle中添加依賴(更多版本依賴點此訪問):
compileOnly 'de.robv.android.xposed:api:82'
注意: 一定爲“compileOnly”,老版本AS請用“provided”,不能爲“implementation”或“compile”
- 在模塊中的AndroidManifest.xml下的application標籤裏添加如下內容:
<!--模塊申明,true表示申明爲xposed模塊-->
<meta-data
android:name="xposedmodule"
android:value="true" />
<!--模塊說明,一般爲模塊的功能描述-->
<meta-data
android:name="xposeddescription"
android:value="這個模塊是用來劫持登錄的" />
<!--模塊兼容版本-->
<meta-data
android:name="xposedminversion"
android:value="54" />
- 新建Hook入口類HookLogin實現xposed的接口IXposedHookLoadPackage並重寫方法handleLoadPackage:
public class HookLogin implements IXposedHookLoadPackage {
public void handleLoadPackage(XC_LoadPackage.LoadPackageParam lpparam) {
}
}
- 在模塊的src/main/assets(若沒有assets目錄請新建個)下新建文件xposed_init並將HookLogin類的完整類名寫進去以完成Hook入口類的註冊:
cn.icheny.xposed.HookLogin
好了,Xposed模塊已完成了基本的編寫,接下來寫Demo項目
編寫Demo項目
- 本文爲了簡化直接使用XposedDemo下的“app”模塊,更名爲“LoginDemo”
- 新建登錄Activity爲“LoginActivity”並編寫如下代碼:
public class LoginActivity extends AppCompatActivity {
EditText mTvUsername, mTvPassword;
@Override
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_login);
mTvUsername = findViewById(R.id.tv_username);
mTvPassword = findViewById(R.id.tv_password);
}
/**
* 登錄
*/
public void login(View view) {
String username = mTvUsername.getText().toString();
String password = mTvPassword.getText().toString();
if (TextUtils.isEmpty(username)) {
Toast.makeText(this, "請輸入用戶名", Toast.LENGTH_SHORT).show();
return;
} else if (TextUtils.isEmpty(password)) {
Toast.makeText(this, "請輸入密碼", Toast.LENGTH_SHORT).show();
return;
}
if (checkLogin(username, password)) {
startActivity(new Intent(this, LoginSuccessActivity.class));
}
}
/**
* 模擬後臺服務器校驗登錄
*
* @param username 用戶名
* @param password 密碼
*/
public boolean checkLogin(String username, String password) {
if ("admin".equals(username) && "admin123".equals(password)) {
return true;
}
Toast.makeText(this, "用戶名或密碼不正確!", Toast.LENGTH_SHORT).show();
return false;
}
}
- 在對應的佈局中編輯登錄界面代碼如下:
<?xml version="1.0" encoding="utf-8"?>
<LinearLayout xmlns:android="http://schemas.android.com/apk/res/android"
android:layout_width="match_parent"
android:layout_height="match_parent"
android:orientation="vertical"
android:padding="30dp">
<EditText
android:id="@+id/tv_username"
android:layout_width="match_parent"
android:layout_height="wrap_content"
android:layout_marginTop="30dp"
android:hint="請輸入用戶名..."
android:imeOptions="actionNext"
android:textSize="18dp" />
<EditText
android:id="@+id/tv_password"
android:layout_width="match_parent"
android:layout_height="wrap_content"
android:layout_marginTop="30dp"
android:hint="請輸入密碼..."
android:imeOptions="actionDone"
android:inputType="textPassword"
android:textSize="18dp" />
<Button
android:layout_width="match_parent"
android:layout_height="wrap_content"
android:layout_marginTop="30dp"
android:onClick="login"
android:text="登錄"
android:textSize="18dp" />
</LinearLayout>
通過LoginActivity中的代碼可以瞭解用戶名必須爲“admin”密碼爲“admin123”才能完成登錄。那麼我們運行LoginDemo驗證下:
演示圖成功驗證了代碼邏輯。
Hook劫持
- 編輯HookLogin下的handleLoadPackage方法:
......
public void handleLoadPackage(XC_LoadPackage.LoadPackageParam lpparam) {
if (lpparam == null) {
return;
}
Log.e(TAG, "Load app packageName:" + lpparam.packageName);
/**
* 過濾非目標應用,本文目標應用即LoginDemo,包名爲:cn.icheny.logindemo
*/
if (!"cn.icheny.logindemo".equals(lpparam.packageName)) {
return;
}
//固定格式
XposedHelpers.findAndHookMethod(
"cn.icheny.logindemo.LoginActivity", // 需要hook的方法所在類的完整類名
lpparam.classLoader, // 類加載器,固定這麼寫就行了
"checkLogin", // 需要hook的方法名,checkLogin(username,password)
String.class, // 第一個參數,用戶名
String.class, // 第二個參數,密碼
// Hook回調
new XC_MethodHook() {
@Override
/**
* checkLogin被hook前執行下面的方法
*/
protected void beforeHookedMethod(MethodHookParam param) {
Log.e(TAG, "劫持開始了↓↓↓↓↓↓");
}
/**
* checkLogin被hook後執行下面的方法
*/
protected void afterHookedMethod(MethodHookParam param) {
// hook 用戶名和密碼
String username = (String) param.args[0];
String password = (String) param.args[1];
Log.e(TAG, "用戶名:" + username + " 密碼:" + password);
// 被hook後返回自己指定的值(true,表示方法checkLogin調用返回值爲true)
param.setResult(true);
Log.e(TAG, "劫持結束了↑↑↑↑↑↑");
}
}
);
}
......
代碼中我們對LoginActivity下的“checkLogin(String username, String password)”方法進行hook,讓其直接返回true,即用戶名和密碼輸入任何字符都能登錄成功。beforeHookedMethod和afterHookedMethod即前文所述“前後插鉤”的實現方法。
- 代碼已經註釋的很清晰,如果你還沒看懂,可以下方評論幫助我優化文章,接下我們將寫好的Xposed模塊HookLoginModule編譯apk安裝到手機中,在Xposed Installer中勾選使用該模塊,然後重啓手機。
3. 接下來再次打開LoginDemo應用來驗證Hook代碼:
演示圖成功驗證了Hook代碼邏輯,這樣我們的Xposed模塊就大工造成了,Demo篇到此結束!
XposedDemo下載:https://github.com/ausboyue/XposedDemo