一、前言
今天我们来看一下阿里的一个开源框架Dexposed,关于这个框架网上已经有很多解析了,但是都是讲解原理,而且讲的不是很清楚,这里因为工作中的需要就研究了一下,所以这里就先讲解一下这个框架的原理,然后在通过一个例子来看看他如何使用,最后在用它来实现应用的热修复问题。
二、知识点准备
首先在讲解这个框架的时候,我们先来了解几个知识点:
1、关于之前的Xposed框架
我们在很早就知道了这个框架,本来想整理一下顺便说一下这个框架的,但是这个框架网上说的很多,而且也很详细,所以就不做太多的解析了,这里就大致说一下他的中心思想和核心原理。
通过进行设备root之后,替换/system/bin/app_process程序控制zygote进程,使得app_process在启动过程中会加载XposedBridge.jar这个jar包,从而完成对Zygote进程及其创建的Dalvik虚拟机的劫持。
那么这里就引出了一个问题,为什么要替换app_process程序呢?
关于app_process程序网上也有很多讲解了,他其实是一个程序,存放在system/bin目录下的,他的作用就是启动一个程序,比如我们熟知的zygote进程,还有所有app启动,app_process只要找到需要运行程序的main函数也就是入口函数,然后执行,他不仅能执行C/C++程序,也可以执行Java程序,其实在之前我们遇到过一个情况,就是想在Android中运行一个Java程序的jar,其实那个就是用的app_process命令启动的。运行的命令也很简单:
app_process [java-options] cmd-dir start-class-name [options]
我们可以查看他的源码app_main.cpp:
从app_process的main函数(在app_main.cpp里面)可以看出,app_process有两种启动方式:一种是init.rc里面的这种方式,这种方式将会以zygote模式启动com.android.internal.os.ZygoteInit,并将进程名称改为zygote;另外一种是以非zygote模拟启动com.android.internal.os.RuntimeInit,并调用它的main方法,main的最后会执行finishInit,finishInit是一个native方法,这个方法会调用app_process的onStarted方法,在onStarted里面将会调用真正要执行的class:
在这里不想介绍的太多,因为后面会说到Android的一个应用的启动过程的时候,再详细解析。这里我们知道一个点就是Android中的所有程序都是通过app_process命令启动,而且app_process命令还可以启动任何Java程序,比如我们用到的am命令,这个命令Java源码和shell源码位于:Android源码目录\frameworks\base\cmds\
我们可以查看他的java源码内部实现:
指定有一个入口函数main
然后再看看他shell源码:
看到了这里首先设置CLASSPATH变量,就是am.jar的路径,然后开始执行命令,命令中需要指定具体的类名。
这里我们也学会了如何在Android中执行一个jar文件啦。
那么从上面我们分析了app_process命令的作用,那么我们就知道了为什么Xposed框架需要替换app_process命令了:
首先在Android系统中,应用程序进程都是由Zygote进程孵化出来的,而Zygote进程是由Init进程启动的。Zygote进程在启动时会创建一个Dalvik虚拟机实例,每当它孵化一个新的应用程序进程时,都会将这个Dalvik虚拟机实例复制到新的应用程序进程里面去,从而使得每一个应用程序进程都有一个独立的Dalvik虚拟机实例。这也是Xposed选择替换app_process的原因。
Zygote进程在启动的过程中,除了会创建一个Dalvik虚拟机实例之外,还会将Java运行时库加载到进程中来,以及注册一些Android核心类的JNI方法来前面创建的Dalvik虚拟机实例中去。注意,一个应用程序进程被Zygote进程孵化出来的时候,不仅会获得Zygote进程中的Dalvik虚拟机实例拷贝,还会与Zygote一起共享Java运行时库。这也就是可以将XposedBridge这个jar包加载到每一个Android应用程序中的原因。XposedBridge有一个私有的Native(JNI)方法hookMethodNative,这个方法也在app_process中使用。这个函数提供一个方法对象利用Java的Reflection机制来对内置方法覆写。
看到了吧,这就是Xposed框架选择app_proess作为入口的一个原因,因为这个入口有两个好处:
1》、一旦修改了,就可以修改了所有的app
2》、这里的时机是最早的,可以加载所有的东西
上面就简单的分析了一下Xposed框架的实现原理,这个是我们需要了解的第一个知识点。
2、修改非native方法为native方法
第二我们需要了解的知识点是,如何将Android中一个非native方法改成native的,并且可以将这个native方法指定成特定执行的函数。之前有篇文章就很详细的讲解了我们如何修改系统的获取Mac地址的方法,原理很简单:
将系统的获取Mac地址的方法getMacAddress改成native的,然后指定nativeFunc为dvmResolveNativeMethod这个函数,这个函数是dvm提供的。其中dvmResolveNativeMethod调用了dvmLookupInternalNativeMethod和lookupSharedLibMethod来查找jni中注册的native函数。 dalvik最后将执行得到的java native函数.
通过上面的代码片段,我们了解到要对一个java函数进行hook需要步骤有
[1] 把修改method的属性修改成native
[2] 修改method的registersSize、insSize、nativeFunc、computeJniArgInfo
[3] RegisterNatives注册目标method的native函数
然后我们将系统获取Mac地址的方法getMacAddress和我们自己的一个函数做一次注册:
{“android/net/wifi/WifiInfo”,”getMacAddress”,”()Ljava/lang/String;”,(void*)test}
那么这里的test函数就是我们自己想要做事的函数,可以返回任意值啦~~
这个知识点很重要,也是我们今天说的核心知识点
三、原理分析
分析完了上面的两个知识点,下面我们就来正式看看Dexposed框架的原理了,首先我们通过一张图来了解一下:
看到了吧,其实不是很复杂,主要分为Java层和Native层的,
第一、首先我们来分析一下Java层的DexposedBridge.java类
1、hookMethodNative方法:
这个方法是一个native类型的。
参数说明:
1)需要hook的方法对象
2)需要hook的方法所属的类
3)方法的slot值,关于这个slot的含义就是方法中局部变量存储的最小单位,一个Slot可以存放一个32位以内的数据类型.在Java程序编译为Class文件时,在方法的Code属性的max_locals数据项中确定了该方法所需要分配局部变量表的最大容量.
4)额外附加信息,比如我们需要hook方法的回调的对象,hook方法的返回类型,参数类型等信息,下面看到hookMethodNative方法的调用地方。
2、invokeSuperNative和invokeOriginalMethodNative方法
这两个方法也是native的,而且这两个方法比较好理解,就是执行需要hook方法的父类方法和原方法,因为我们在hook住一个方法的时候,肯定需要决定是否要调用父类方法还是原来的方法。
3、handleHookedMethod方法
这个方法是整个Dexposed框架Java层最核心的一个方法,这个方法就是用来替换我们需要hook的那个方法,具体如何替换的等下面说到native层再说。然后这个方法中做了三件事:
1、执行需要hook之前的所有回调方法beforeMethod
2、执行被hook的原生方法
3、执行需要hook之后的所有回调方法afterMethod
这个方法就是我们偷龙转凤的上层核心方法,同时在这里我们可以看到Dexposed框架还有一个好处就是AOP编程,关于AOP的概念就是面向切面编程,能够在我们需要拦截或者hook的一个方法之前或者之后能做些什么,JavaWeb中的spring框架的一个核心就是AOP编程。
第二、上面分析完了DexposedBridge.java核心类,下面来看一下native层的实现 dexposed.cpp
1、initNative函数
这个初始化函数,主要获取我们在DexposedBridge.java中的一些方法对应的Method对象,后面会用到。
这个方法在JNI_OnLoad这个函数中调用的,我们知道这个函数是当so文件加载的时候就会被调用的。所以一般在这里做初始化操作。在这个方法中还做了哪些事呢?
还有dexposedInfo函数:
这个函数主要获取设备的一些信息,其实他对应的上层Java类就是SystemProperty.java类。
还有就是一个dexposedOnVmCreated函数:
这个函数干了两件事,一件事是获取需要hook的类对象,还有就是执行注册jni函数:
register_com_taobao_android_dexposed_DexposedBridge
这里注册了DexposedBridge.java中的hookMethodNative方法
2、com_taobao_android_dexposed_DexposedBridge_hookMethodNative函数
这个函数做了两件事:
1)、构造出DexposedHookInfo信息:
DexposedHookInfo的结构体信息定义在dexposed.h头文件中。就是需要hook的方法的信息
2)、将需要hook的方法改成native的,然后指定他的nativeFunc为dexposedCallHandler函数
3、dexposedCallHandler函数
这个方法首先获取我们刚刚构造的DexposedHookInfo信息
然后执行dexposedHandleHookedMethod方法
这个方法在initNative中初始化了,就是Java层中DexposedBridge.java中国的handleHookedMethod方法。
好了到这里我们就分析完了native层的代码,下面来总结一下:
1、首先在JNI_OnLoad函数中做了三件事:
1)获取设备信息dexposedInfo
2)注册JNI方法(com_taobao_android_dexposed_DexposedBridge_hookMethodNative)
3)初始化信息(获取Java层DexposedBridge中方法的Method对象)
2、然后在com_taobao_android_dexposed_DexposedBridge_hookMethodNative函数中主要做了两件事:
1)把Java层传递的信息构造成DexposedInfo信息
2)设置hook方法为native,并且指定nativeFunc函数
3、最后在执行第二步中的nativeFunc函数dexposedCallHandler函数中主要做了两件事:
1)获取刚刚构造的DexposedInfo信息
2)调用Java层DexposedBridge.java中的handleHookedMethod方法
所以我们在整个过程中可以看到,先通过JNI注册,从Java世界转到Native世界,然后在native世界中主要修改被hook方法的一些信息,然后在通过反射调用handleHookedMethod回到Java世界。
四、案例分析
1、Hook系统的方法
上面讲解完了Dexposed框架的实现原理,下面就通过例子来看看他的功能,这里我们选择Hook系统的Log类:
这里直接调用DexposedBridge.findAndHookMethod方法来实现的,注意这里做了一个设备的判断,如果是5.0+的话就hook程序本身的showLog方法,如果不是就hook系统的Log中的d方法。
最后一个参数可以看到,是一个回调,就是让我们来操作执行hook方法之前和之后的一些操作,这里在afterHookedMethod方法中将日志消息显示在屏幕中的TextView了,我们运行看一下效果:
这里我们可以成功的hook掉系统的方法。
那么分析到这里,需要总结一下:
1》、Xposed框架是需要root的,他的功能很全,能够hook掉系统方法,同时也可以hook掉其他应用的一些方法。
2》、Dexposed框架是不需要root的,但是他只能hook掉在自己的应用进程中的一些方法,其他应用进程是没办法hook的
所以我们可以对比一下这两个框架各有好处。一般做游戏外挂啥的,Dexposed是做不到的,而Xposed是可以做到的。
2、实现热修复功能
那么分析到这里我们还没有结束,还有我们今天一个重要的知识点,就是如何使用Dexposed框架实现应用热修复,所谓热修复,就是在应用发布之后,在某个模块出现问题,可以在线修复,不需要从新发版。这个之前其实弄过这快,用动态加载技术既可以做到,可以将每个模块做成动态加载的,然后如果哪个模块有问题的话,就在线更新修复之后的模块(一般是dex或者jar的形式),那么既然我们介绍了Dexposed框架,而且知道他能hook掉自己应用进程的方法,那么有一个思路,就是我们可以在线提供一个具备一定协议的模块,然后在这个模块中我们调用DexposedBridge的一些方法,然后hook掉我们应用中出现问题的模块方法,从而达到热修复功能。具体可以看下面一张图:
下面我们来通过一个例子看看,修复应用中一个展示对话框的功能:
首先看一下热修复工程PatchExample
就一个类,修复对话框类:
这个类也够简单吧,但是需要注意的是,每个修复类必须遵从IPatch协议接口。
下面我们编译这个修复包,然后将其copy到需要修复应用的cache目录下:
adb push PatchDemo.apk /sdcard/Android/data/com.taobao.dexposed/cache/
为什么是这个目录呢,下面来分析一下宿主应用中的热修复代码:
看到了吧,这里就这么调用就可以啦,真正我们在使用的时候,应该是从网上下载apk,然后保存到本地进行load操作的。
不过这里我们先不运行,我们先来看看Patch的源码:
这里有一个核心的方法,就是loadAllCallbacks方法:
这里使用了DexFile类,得到apk中的dex文件中所有的类,然后判断哪些类实现了IPatch协议。
最后在调用协议遵从的handlePatch方法。实现热修复功能。
好了分析完了代码之后,下面我们来运行程序看看:
不过我们在修复的过程中遇到了这个错误,其实这个错误我在之前介绍过讲解动态加载那篇文章中说到过,就是我们宿主工程中有了IPatch类的定义,动态修复模块中也引用了这个IPatch类,所以导致相同类被加载了两次的错误。这里我们需要修改的就是修复模块中不要引用宿主模块中已经有的jar,那么这里就有一个问题了,怎么才能编译出一个不包含指定jar的apk包呢?这个在Eclipse中我是没找到好的办法的,最后是ant脚本进行操作的,就是只要保证工程编译通过,同时不要将指定的jar包包含到apk中。具体如何使用ant脚本打包出一个apk,不了解的同学可以参看:如何使用Ant脚本编译出apk包 这里就不在做太多的介绍了。
我们修复了之后的apk,然后运行:
看到了吧,这里就修复成功啦~~
五、技术概要
好了到这里我们就讲解完了Dexposed这个框架,已经如何使用这个框架来实现应用的热修复功能。下面来总结一下知识点:
1、Dexposed框架是免root实现hook的,但是他也有局限性就是只能hook本应用中的一些方法。
2、Dexposed框架hook方法的原理,就是首先修改需要hook的方法为native方法,然后在设置nativeFunc值为我们需要处理的函数然后这个函数在用反射机制调用上层的Java代码即可
3、Dexposed框架实现热修复,是基于hook技术,每个需要修复的模块都需要遵循一个协议,然后采用hook技术,去hook掉需要修复的方法,实现替换功能。
总结Dexposed框架其实就一句话:
找到比较好的时机(JNI_OnLoad),修改hook方法,然后挂钩上层Java代码,实现偷龙转凤的功能
本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去编码美丽小密圈自取,欢迎加入小密圈一起学习探讨技术
六、总结
这里就介绍完了Dexposed框架的一些知识,在实际项目中我们还会遇到一些问题,但是这篇文章只是讲解了这个框架的实现原理,在实际的使用过程中还是会遇到一些问题的,到时候在进行处理即可。
《Android应用安全防护和逆向分析》
点击立即购买:京东 天猫
更多内容:点击这里
关注微信公众号,最新技术干货实时推送
转载请注明:尼古拉斯.赵四 » Android中免Root实现Hook的Dexposed框架实现原理解析以及如何实现应用的热修复