Android Hook (1) Dexposed原理

原文地址：http://www.zhaoxiaodan.com/android/Android-Hook(1)-dexposed%E5%8E%9F%E7%90%86.html

dexposed 这个项目相当不错, 之前就想着怎么动态替换jvm中的代码, 一直没有思路; 现在好好学习一下

准备源码库

因为dexposed其实是用了dvm和art调用class的方式来做的, 而dvm和art的头文件什么的在android源码中, 所以下一份源码, 具体办法见上一个博文: 准备android源码库

最简单的hook

Demo1中有个test函数, 在调用hook之前正常返回”11111”; 调用hook之后, 却返回”newTestMethod”, 被我们给修改了

public class Demo1
{String TAG = "===[hookdemo]===";public static String staticTest(String param1){return "staticTest";}public String test(String param1){return "11111";}public void demo(){String param1 = "param1";Log.d(TAG, "===========before hook test:" + this.test(param1));hook(Demo1.class, "test", "(Ljava/lang/String;)Ljava/lang/String;");Log.d(TAG, "===========after hook test:" + this.test(param1));Log.d(TAG, "===========before hook staticTest:" + this.staticTest(param1));hook(Demo1.class, "staticTest", "(Ljava/lang/String;)Ljava/lang/String;");Log.d(TAG, "===========after hook staticTest:" + this.staticTest(param1));}private native void hook(Class<?> clazzToHook, String methodName, String methodSig);
}

ndk 中的部分

#include <jni.h>
#include "log.h"
#include "Dalvik.h"static void showMethodInfo(const Method* method)
{//看看method的各个属性都是啥:LOGD("accessFlags:%d",method->accessFlags);LOGD("clazz->descriptor:%s",method->clazz->descriptor);LOGD("clazz->sourceFile:%s",method->clazz->sourceFile);LOGD("methodIndex:%d",method->methodIndex);LOGD("name:%s",method->name);LOGD("shorty:%s",method->shorty);
}/**
 * 使用jni GetMethodID 方法获取jmethodID 强制转为 Method 的hook 方法 示例
 */
static void newTestMethod(const u4* args, JValue* pResult,const Method* method, struct Thread* self) {// args 是原来函数的参数数组, 原来test函数只有一个String型参数// 并且要注意, 如果是不是static函数, 下标0 是函数所在类的实例obj// 在dvm中Object,  jni 中的jobject 和 java 中的 Object类 都不是同一个东西// String类对应StringObject// 取出参数打印出来看看StringObject* param1 = NULL;if(dvmIsStaticMethod(method))param1 = (StringObject*)args[0];elseparam1 = (StringObject*)args[1];LOGD("param1:%s",dvmCreateCstrFromString(param1));//JValue 是个union ,要返回int 就 pResult->i=1; 返回Object对象就 pResult->l = ojb;// 但是, 在dvm中的Object,  jni 中的jobject 和 java 中的 Object类 都不是同一个东西// 所以, 我们这里使用dvm的函数来创建一个StringObject*pResult->l = dvmCreateStringFromCstr("newTestMethod");// 一般情况应该使用宏 : RETURN_XXX(result);return;
}extern "C" JNIEXPORT void JNICALL
Java_com_zhaoxiaodan_hookdemo_Demo1_hook(JNIEnv *env, jobject instance, jobject clazzToHook,jstring methodName_, jstring methodSig_) {const char *methodName = env->GetStringUTFChars(methodName_, 0);const char *methodSig = env->GetStringUTFChars(methodSig_, 0);jmethodID methodIDToHook = env->GetMethodID((jclass) clazzToHook,methodName,methodSig);// 找不到有可能是个staticif(nullptr == methodIDToHook){env->ExceptionClear();methodIDToHook = env->GetStaticMethodID((jclass) clazzToHook,methodName,methodSig);}if(methodIDToHook != nullptr){//主要在这里替换//jmethodID 在dvm里实际上就是个Method 结构体Method* method = (Method*) methodIDToHook;//看看method的各个属性都是啥:showMethodInfo(method);//设置Method 的 accessFlags 为 枚举型// ACC_NATIVE 表示 这个method 切换成了一个native 方法// 这个枚举 在 dalvik/libdex/DexFile.h// 类似:// ACC_PUBLIC       = 0x00000001,       // class, field, method, ic// ACC_PRIVATE      = 0x00000002,       // field, method, ic// ACC_PROTECTED    = 0x00000004,       // field, method, icSET_METHOD_FLAG(method, ACC_NATIVE);//既然是一个native方法, 那就把 nativeFunc 指针指向我们的hook, 用来替换test的新方法method->nativeFunc = &newTestMethod;// registersSize是函数栈大小, insSize是参数占用大小// 如果是native方法, 就没有额外开销了// 所有开销就是参数占用, 所以把它设置成跟参数占用空间method->registersSize=method->insSize;//未知method->outsSize=0;}env->ReleaseStringUTFChars(methodName_, methodName);env->ReleaseStringUTFChars(methodSig_, methodSig);
}

运行之后得到:

/===[hookdemo]===﹕ ===========before hook test:11111
/[---hookdemo---]﹕ accessFlags:1
/[---hookdemo---]﹕ clazz->descriptor:Lcom/zhaoxiaodan/hookdemo/MainActivity;
/[---hookdemo---]﹕ clazz->sourceFile:MainActivity.java
/[---hookdemo---]﹕ methodIndex:334
/[---hookdemo---]﹕ name:test
/[---hookdemo---]﹕ shorty:LL
/[---hookdemo---]﹕ param1:param1
/===[hookdemo]===﹕ ===========after hook test:newTestMethod
/===[hookdemo]===﹕ ===========before hook staticTest:staticTest
/dalvikvm﹕ GetMethodID: not returning static method Lcom/zhaoxiaodan/hookdemo/MainActivity;.staticTest (Ljava/lang/String;)Ljava/lang/String;
/[---hookdemo---]﹕ accessFlags:9
/[---hookdemo---]﹕ clazz->descriptor:Lcom/zhaoxiaodan/hookdemo/MainActivity;
/[---hookdemo---]﹕ clazz->sourceFile:MainActivity.java
/[---hookdemo---]﹕ methodIndex:0
/[---hookdemo---]﹕ name:staticTest
/[---hookdemo---]﹕ shorty:LL
/[---hookdemo---]﹕ param1:param1
/===[hookdemo]===﹕ ===========after hook staticTest:newTestMethod

原理就是, Method结构体表示了一个java层函数, 而其中的accessFlags属性如果是ACC_NATIVE , dvm在call 原java层函数的时候, 则会转向调用属性nativeFunc 所指向的函数

所以我们把不是native的java层函数的accessFlags强制改为ACC_NATIVE, 然后把nativeFunc 指向我们的新函数, 则完成了方法的修改

只不过, 这里使用native方法替换了java层的原方法

参考文章

编译屏障和内存屏障 : 需要设置的 ANDROID_SMP 是啥 ?
Dalvik虚拟机JNI方法的注册过程分析