前言

我们以前介绍过Xposed，这个只可以Hook java层，如果要hook native层就要使用InlineHook了，以前的文章都有提到。今天介绍一个既可以Hook java层又可以Hook native层的框架，就是Cydia Substrate。

环境

安装Cydia Substrate apk

使用adb install安装后，进入到app

1、点击Link Substrate Files

2、获取root权限

3、重启设备

如下图说明安装成功了

image.png

java层Hook

创建项目后把so文件和jar文件拷贝到指定目录，jar添加进来

image.png

新建一个Hook的入口类HookTest.java

HookTest.java

package com.example.cydiasubstratehook;

import java.lang.reflect.Method;

import android.util.Log;

import com.saurik.substrate.MS;

public class HookTest {

public static final String SHARK = "Shark";

/**

* substrate 初始化后的入口

*/

static void initialize() {

// Hook System Color

//先hook 类加载时

//参数一是类名 参数二是实现MS.ClassLoadHook的类

//在classLoaded中完成业务逻辑

MS.hookClassLoad("android.content.res.Resources",

new MS.ClassLoadHook() {

@SuppressWarnings({ "unchecked", "rawtypes" })

public void classLoaded(Class> resources) {

Method getColor;

try {

//从这个类获取getColor方法对象

getColor = resources.getMethod("getColor",

Integer.TYPE);

} catch (NoSuchMethodException e) {

getColor = null;

}

if (getColor != null) {

//保存原来的方法

final MS.MethodPointer old = new MS.MethodPointer();

//hook方法

MS.hookMethod(resources, getColor,

new MS.MethodHook() {

//hook方法的业务逻辑

public Object invoked(Object resources,

Object... args) {

try {

//调用原来的方法

int color = (Integer) old

.invoke(resources, args);

//修改返回值

return color & ~0x0000ff00

| 0x00ff0000;

} catch (Throwable e) {

Log.i(SHARK,

"hook color err:"

+ Log.getStackTraceString(e));

}

return 0xFFFFFFFF;

}

}, old);

} else {

Log.i(SHARK, "getColor == null");

}

}

});

}

}

这里我们拿Hook系统的字体颜色做例子

initialize方法是substrate 初始化后的入口，注释都很明白了。Hook也无非是哪几样东西，这里先hook加载类在hook方法。最后修改返回值就可以了。

配置AndroidManifest.xml

AndroidManifest.xml

package="com.example.cydiasubstratehook"

android:versionCode="1"

android:versionName="1.0" >

android:minSdkVersion="19"

android:targetSdkVersion="19" />

android:allowBackup="true"

android:icon="@drawable/ic_launcher"

android:label="@string/app_name"

android:theme="@style/AppTheme" >

android:name=".MainActivity"

android:label="@string/app_name" >

android:name="com.saurik.substrate.main"

android:value="com.example.cydiasubstratehook.HookTest" />

一个是要加入substrate权限

一个是在meta-data中声明substrate的入口类

编译安装后手机会有信息提示

image.png

点击进入，重启设备

image.png

重启后可以看到效果

image.png

Hook Native层

重点在这里

hook Native选择以前我们做过的一个案例，Android源码分析 之 分析Dalvik下Dex加载流程寻找脱壳点，以前我们是通过修改源码进行内存dump的，现在我们使用Hook DexFileParse函数这个脱壳点进行内存dump

添加文件

image.png

这里我们在jni目录中加了三个文件

DexFile.h： 因为可能会用到一些函数的定义和结构所以我们从源码处拷贝过来并引用进代码中

Android.mk：ndk的Makefile文件

hookdvm.cpp：hook的代码

Android.mk

LOCAL_PATH := $(call my-dir)

#加入substrate的so

include $(CLEAR_VARS)

LOCAL_MODULE := substrate

LOCAL_SRC_FILES := libsubstrate.so

include $(PREBUILT_SHARED_LIBRARY)

include $(CLEAR_VARS)

LOCAL_MODULE := substrate-dvm

LOCAL_SRC_FILES := libsubstrate-dvm.so

include $(PREBUILT_SHARED_LIBRARY)

include $(CLEAR_VARS)

#这里一定要注意编译的文件名必须是cy结尾的

LOCAL_MODULE := hookdvm.cy

LOCAL_SRC_FILES := hookdvm.cpp

LOCAL_LDLIBS := -llog

LOCAL_ARM_MODE := arm

LOCAL_LDLIBS += -L$(LOCAL_PATH) -lsubstrate-dvm -lsubstrate

include $(BUILD_SHARED_LIBRARY)

这个应该不用说写过makefile的都应该看得懂。主要注意hookdvm的LOCAL_MODULE必须是cy结尾的

#include

#include "substrate.h"

#include

#include

#include

#include

#include

#include

#include

#include

#include "DexFile.h"

#define TAG "Shark"

#define LOGD(...) __android_log_print(ANDROID_LOG_DEBUG, TAG, __VA_ARGS__)

#define LOGI(...) __android_log_print(ANDROID_LOG_INFO, TAG, __VA_ARGS__)

const char* ex0 = "re-initialized>";

const char* ex1 = "zygote";

const char* ex2 = "app_process";

const char* ex3 = "/system/bin/dexopt";

const char* ex4 = "com.google.android.gms";

const char* ex5 = "com.google.android.gms.persistent";

const char* ex6 = "com.google.process.gapps";

const char* ex7 = "com.google.android.gms.wearable";

const char* ex8 = "com.android.phone";

const char* ex9 = "com.android.systemui";

const char* ex10 = "com.google.android.gms.unstable";

const char* ex11 = "android.process.acore";

const char* ex12 = "android.process.media";

const char* ex13 = "dexopt";

#define BUF_SIZE 1024

MSConfig(MSFilterLibrary, "/system/lib/libdvm.so");

const char* workDir = "/sdcard/hookdex/";

//得到进程的名称

void getNameByPid(pid_t pid, char *task_name) {

char proc_pid_path[BUF_SIZE];

char buf[BUF_SIZE];

sprintf(proc_pid_path, "/proc/%d/status", pid);

FILE* fp = fopen(proc_pid_path, "r");

if(NULL != fp){

if(fgets(buf, BUF_SIZE-1, fp) == NULL){

fclose(fp);

}

fclose(fp);

sscanf(buf, "%*s %s", task_name);

}

}

//是否需要过滤系统进程

int exclude(char* s){

int i = !strcmp(s,ex0)||!strcmp(s,ex1)||!strcmp(s,ex2)||!strcmp(s,ex3)||

!strcmp(s,ex4)||!strcmp(s,ex5)||!strcmp(s,ex6)||!strcmp(s,ex7)||

!strcmp(s,ex8)||!strcmp(s,ex9)||!strcmp(s,ex10)||!strcmp(s,ex11)||

!strcmp(s,ex12)||!strcmp(s,ex13);

return i;

}

//检测目录是否存在

int checkDir()

{

mode_t myMode = 777 ;

if(0 == access(workDir,0)) {//目录存在

return 0;

} else{

if(0 == mkdir(workDir,myMode)) {

return 0;

}

else {

return 1;

}

}

}

//老DexFileParse的保存

DexFile* (*oldDexFileParse)(const u1* data, size_t length, int flags);

DexFile* newDexFileParse(const u1* addr, size_t len, int dvmdex)

{

char buf[200];

char pname[50];

pid_t pid = getpid();

//得到进程名称

getNameByPid(pid, pname);

//判断是否需要Hook

if(exclude(pname)){

LOGI("exclude process:%s", pname);

return oldDexFileParse(addr, len, dvmdex);

}

LOGD("call dvm dex pid:%d,pname:%s", pid, pname);

sprintf(buf,"/sdcard/hookdex/%s_%d.dex", pname, pid);

FILE* file = fopen(buf, "wb");

if(!file){

LOGD("error open sdcard file to write");

}else{

//内存dump

fwrite(addr, 1, len, file);

fclose(file);

LOGD("write dex:%s len=%d succ!", buf, (int)len);

}

//进行原来的调用，不影响程序运行

return oldDexFileParse(addr,len,dvmdex);

}

MSInitialize{

LOGD("Substrate initialized.");

//创建目录

if(checkDir()){

LOGD("create dir err...");

return;

}else{

LOGD("create dir succ...");

}

//打开libdvm.so得到MSImageRef

MSImageRef image = MSGetImageByName("/system/lib/libdvm.so");

if (image != NULL){

//得到dexFileParse函数的地址，_Z12dexFileParsePKhji为导出名称，使用ida查看得到

void * dexload = MSFindSymbol(image, "_Z12dexFileParsePKhji");

if(dexload == NULL){

LOGD("error find _Z12dexFileParsePKhji");

}else{

//进行hook

MSHookFunction(dexload, (void*)&newDexFileParse, (void **)&oldDexFileParse);

}

}else{

LOGD("ERROR FIND LIBDVM");

}

}

Cydia Substrate已经封装了MSGetImageByName和MSFindSymbol供我们得到函数的内存地址。最后调用MSHookFunction进行hook，原来的函数地址保存在oldDexFileParse中。

我们要Hook系统的dexFileParse函数，这个函数在/system/lib/libdvm.so中。导出它使用ida打开搜索得到他的导出名称。

image.png

_Z12dexFileParsePKhji这个就是我们要Hook的名称。

在Hook时我使用int exclude(char* s)进行了过滤，并不是所有的进程都是我们想要hook的，而且这些进程未必有dex文件，比如鼻祖进程zygote，而这些进程过滤规则，需要我们自己打印看结果。然后构造。

运行

按照上面的方法编译安装重启手机

运行软件后，查看/sdcard/hooktest目录

image.png

引用