这篇文章将为大家详细讲解有关如何进行Android Hook技术的实践,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。
在学习Android插件化的过程中有用到Hook相关技术,下文对Hook相关技术做也给简单的介绍,并写两个小Demo,当你了解了Hook之后可能会对你以后的碰到问题时多了一个解题思路
image.png
Hook单词的意思就是钩子,那我们在什么时候用到这个钩子呢,如上图所示,在一个事件或者动作执行的过程中,截获相关事件或者动作,加入自己的代码或者替换装自己的代理对象,这就叫Hook
本文主要是采用java反射机制拿到要执行的对象或者方法就行修改或者替换
关注点:在hook的时候我们首先需要找到要Hook的对象,什么样的对象比较好Hook呢,那就是单例和静态变量,单例和静态变量在进程中不容易发生变化,相对容易被定位到,二普通象则比价容易发生变化(随时有可能被销毁),。我们根据这个原则找到所谓的Hook点
以上就是我对Hook的理解,且是还挺简单的,但实践是检验真理的唯一标准,下面我会写两个小Demo
本例子Hook的是一个工具类
/**
* 打印机工具类,提供黑白打印和彩色打印
*/public class PrintUtil {
private static IPrint colorPrint = new ColorPrint(); //彩色打印机
private static IPrint blackWhitePrint = new BlackWhitePrint(); //黑白打印机
public static void colorPrint(String content){
colorPrint.print(content);
} public static void blackWhitePrint(String content){
blackWhitePrint.print(content);
}
}
工具类如上
private void operate4(){// HookHelper.hookPrint();
PrintUtil.blackWhitePrint("黑白内容");
PrintUtil.colorPrint("彩色内容");
}
image.png
正常结果如上 ,下面我们对PrintUtil进行hook ,首先我们先找Hook点,在PrintUtil中有两个静态变量,这就是我们要找的Hook点 具体代码如下
/**
* 对printUtil进行hook处理
*/
public static void hookPrint(){ try {
Class<?> printClass = Class.forName("com.example.shiyagang.myapplication.util.PrintUtil");
Field colorPrintField= printClass.getDeclaredField("colorPrint");
Field blackWhitePrintField = printClass.getDeclaredField("blackWhitePrint");
colorPrintField.setAccessible(true);
blackWhitePrintField.setAccessible(true);
colorPrintField.set(null,new BlackWhitePrint());
blackWhitePrintField.set(null,new ColorPrint());
}catch (Exception e){
e.printStackTrace();
}
}
我们通过反射对PrintUtil的两个静态变量进行替换
替换完执行结果如下
image.png
彩色打印机打出了黑白内容,我们成功了,嘿嘿
这个例子我们在context.startActivity的调用链,找到相关的hook点进行替换。我们首先分下context.startActivity的流程,Context.startActivity其实走到了ContextImpl的startActivity
[图片上传中...(image-318cbb-1573653549464-1)]
<figcaption></figcaption>
如上图所示最终调用了ActivityThread类的mInstrumentation成员的execStartActivity方法;注意到,ActivityThread 实际上是主线程,而主线程一个进程只有一个,因此这里是一个良好的Hook点
我们要拿到ActivityThread的mInstrumentation ,首先得拿到ActivityThread的实例
ActivityThread类里面有一个静态方法currentActivityThread可以帮助我们拿到ActivityThread的实例
通过以上步骤我们就能进行相关hook了
/**
* 对activityThread进行Hook
*
*/
public static void attachContext() throws Exception{ // 先获取到当前的ActivityThread对象
Class<?> activityThreadClass = Class.forName("android.app.ActivityThread");
Method currentActivityThreadMethod = activityThreadClass.getDeclaredMethod("currentActivityThread");
currentActivityThreadMethod.setAccessible(true);
Object currentActivityThread = currentActivityThreadMethod.invoke(null); // 拿到mInstrumentation 字段
Field mInstrumentationField = activityThreadClass.getDeclaredField("mInstrumentation");
mInstrumentationField.setAccessible(true);
Instrumentation mInstrumentation = (Instrumentation) mInstrumentationField.get(currentActivityThread); // 创建代理对象
Instrumentation evilInstrumentation = new EvilInstrumentation(mInstrumentation); // 偷梁换柱
mInstrumentationField.set(currentActivityThread, evilInstrumentation);
}
EvilInstrumentation的代理对象如下:
/**
* Instrumentation 的静态代理类
*/public class EvilInstrumentation extends Instrumentation { private static final String TAG = EvilInstrumentation.class.getSimpleName(); // ActivityThread中原始的对象, 保存起来
Instrumentation mBase; public EvilInstrumentation(Instrumentation base) {
mBase = base;
} public ActivityResult execStartActivity(
Context who, IBinder contextThread, IBinder token, Activity target,
Intent intent, int requestCode, Bundle options) {
Log.e(TAG, "我们Hook了 Activity的启动流程"); try {
Method execStartActivity = Instrumentation.class.getDeclaredMethod( "execStartActivity",
Context.class, IBinder.class, IBinder.class, Activity.class,
Intent.class, int.class, Bundle.class);
execStartActivity.setAccessible(true); return (ActivityResult) execStartActivity.invoke(mBase, who,
contextThread, token, target, intent, requestCode, options);
} catch (Exception e) { throw new RuntimeException("出问题了,去适配吧");
}
}
}
下面我们看下Activity的代码 ,我们在attachBaseContext中进行Hook
private void operate3(){
Intent intent = new Intent(getApplicationContext(),SecondActivity.class);
intent.addFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
getApplicationContext().startActivity(intent);
} @Override
protected void attachBaseContext(Context newBase) { super.attachBaseContext(newBase); try { // 在这里进行Hook
HookHelper.attachContext();
} catch (Exception e) {
e.printStackTrace();
}
}
image.png
入上图所示我们已经成功了,我们在这只是打印了一个日志,当然你可以干任何事情
关于如何进行Android Hook技术的实践就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。
亿速云「云服务器」,即开即用、新一代英特尔至强铂金CPU、三副本存储NVMe SSD云盘,价格低至29元/月。点击查看>>
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
原文链接:http://blog.itpub.net/69952849/viewspace-2664089/