? ?在前面關于Substrate的介紹中我們已經講了用Substrate hook java代碼，現在我們講下怎么用它hook native代碼。hook native代碼我們需要編寫Substrate extensions，它跟native庫一樣被視作標準的android包的一部分， 將作為一個共享庫被編譯 (使用復合擴展名.cy.so)。

一、相關API

（1）MSConfig

名稱	描述
Filter:Executable	開發者試圖hook的可執行文件的完整路徑。一般為zygote, "/system/bin/app_process"。
Filter:Library	開發者試圖hook的lib庫的名稱，比如hook __android_log, 則指定 "liblog.so".

如： MSConfig(MSFilterExecutable, "/system/bin/app_process") MSConfig(MSFilterLibrary, "liblog.so")

（2）void MSHookFunction(void *symbol, void *hook, void **old);

參數描述

symbol?	?被替換代碼的地址，一般是一個函數
hook	The address of an ABI-compatible replacement for the code at the address referenced by?symbol.
old	指向函數指針的指針，用來調用原函數的實現。如果不需要對原函數進行處理則為NULL

示例： 1 void *(*oldConnect)(int, const sockaddr *, socklen_t); 2 3 void *newConnect( 4 int socket, const sockaddr *address, socklen_t length 5 ) { 6 if (address->sa_family == AF_INET) { 7 sockaddr_in *address_in = address; 8 if (address_in->sin_port == htons(6667)) { 9 sockaddr_in copy = *address_in; 10 address_in->sin_port = htons(7001); 11 return oldConnect(socket, &copy, length); 12 } 13 } 14 15 return oldConnect(socket, address, length); 16 } 17 18 MSHookFunction(&connect, &newConnect, &oldConnect);

（3）void *MSFindSymbol(MSImageRef image, const char *name);

參數描述

image	指定一個有效的image引用（通過調用MSGetImageByName返回的結果）。如果為NULL，則會搜索所有image
name	待查找的原始鏡像符號的名稱。這并非如dlopen所加載的高級符號，它可能需要以下劃線為前綴或其他特定平臺的編碼。
return	符號的地址（調整為ARM/Thumb類型），如果不能定位符號則返回NULL

示例： 1 MSImageRef image; 2 image = MSGetImageByName("/usr/lib/libSystem.B.dylib"); 3 4 void *(*palloc)(size_t); 5 palloc = (void *(*)(size_t)) MSFindSymbol(image, "_malloc"); 6 7 void *data = (*palloc)(1024); 8 free(data);

（4）MSImageRef MSGetImageByName(const char *file);

參數描述

file	根據so或者動態庫的完整路徑加載image
return	可以被其它API使用的image引用，如果image沒有加載則為NULL

示例： 1 MSImageRef image; 2 image = MSGetImageByName("/system/lib/libc.so"); 3 if (image != NULL) 4 /* image is loaded */;

二、使用示例

下面以前一篇過簽名驗證的hook代碼為例講解native hook的代碼編寫過程：

1.創建android native工程HookVerify，so層hook并不需要界面（作為Cydia Substrate的擴展模塊），所以在新建工程時無需建activity。接下來在工程目錄下新建jni文件夾，并將libsubstrate.so，libsubstrate-dvm.so，substrate.h三個文件拷貝至jni文件夾下。 在jni目錄下創建HookVerify.cy.cpp文件。

2.配置Manifest文件 需要添加權限：<uses-permission android:name="cydia.permission.SUBSTRATE"/> 由于我們只使用native code，將android:hasCode設為false。 3.Android.mk文件編寫： LOCAL_PATH := $(call my-dir)include $(CLEAR_VARS) LOCAL_MODULE := substrate LOCAL_SRC_FILES := libsubstrate.so include $(PREBUILT_SHARED_LIBRARY)include $(CLEAR_VARS) LOCAL_MODULE := substrate-dvm LOCAL_SRC_FILES := libsubstrate-dvm.so include $(PREBUILT_SHARED_LIBRARY)include $(CLEAR_VARS) LOCAL_MODULE := HookVerify #一定要有.cy作后綴 LOCAL_SRC_FILES := HookVerify.cy.cpp LOCAL_LDLIBS := -llog LOCAL_ARM_MODE := arm LOCAL_LDLIBS += -L$(LOCAL_PATH) -lsubstrate-dvm -lsubstrate include $(BUILD_SHARED_LIBRARY) 4.HookVerify.cy.cpp代碼： 1 #include <jni.h> 2 #include "substrate.h" 3 #include <android/log.h> 4 #include <unistd.h> 5 #include <stdio.h> 6 #include <fcntl.h> 7 #include <sys/types.h> 8 #include <string.h> 9 #include <sys/stat.h> 10 #define TAG "HOOKDEMO" 11 #define LOGD(...) __android_log_print(ANDROID_LOG_DEBUG, TAG, __VA_ARGS__) 12 #define LOGI(...) __android_log_print(ANDROID_LOG_INFO, TAG, __VA_ARGS__) 13 char* AppName = NULL; 14 //指定要hook的lib 庫： 15 MSConfig(MSFilterLibrary, "/system/lib/libdvm.so"); 16 //保留原來的地址： 17 void *(*oldUnzOpen64)(const char* filepath); 18 //替換的函數 19 void *newUnzOpen64(const char* filepath){ 20 return oldUnzOpen64("/sdcard/myapk.apk"); 21 } 22 //Hook dvmLoadNativeCode 23 bool (*_dvmLoadNativeCode)(char* pathName, void* classLoader, char** detail); 24 bool My_dvmLoadNativeCode(char* pathName, void* classLoader, char** detail){ 25 bool b_Result = _dvmLoadNativeCode(pathName,classLoader,detail); //進行原來的調用，不影響程序運行 26 //LOGD("dvmLoadNativeCode AppName:%s", AppName); 27 if(strstr(pathName,"AppVerify") != NULL){ 28 LOGD("dvmLoadNativeCode Find Hook"); 29 MSImageRef image = MSGetImageByName(pathName); 30 if(image != NULL){ 31 void* mFun = MSFindSymbol(image, "unzOpen64"); 32 //開始Hook fork 33 if(mFun != NULL){ 34 LOGD("dvmLoadNativeCode Hook"); 35 //MSHookFunction(mFun,(void*)&My_fork,(void**)&_fork); 36　　　　　　　　　　　　 MSHookFunction(mFun, (void*)&newUnzOpen64, (void**)&oldUnzOpen64); 37 } 38 } 39 } 40 return b_Result; 41 } 42 //在初始化的時候進行hook，具體如下： 43 //Substrate entry point 44 MSInitialize{ 45 __android_log_print(ANDROID_LOG_ERROR, TAG, "Substrate initialized."); 46 MSImageRef image; 47 image = MSGetImageByName("/system/lib/libdvm.so"); //載入lib 48 if (image != NULL) 49 { 50 //注意這個是個c++函數，可以通過objdump來獲取 51 void * dvmload = MSFindSymbol(image, "_Z17dvmLoadNativeCodePKcP6ObjectPPc"); 52 if(dvmload == NULL) 53 { 54 LOGD("error find dvmLoadNativeCode "); 55 } 56 else{ 57 MSHookFunction(dvmload,(void*)&My_dvmLoadNativeCode,(void **)&_dvmLoadNativeCode); 58 } 59 } 60 else{ 61 LOGD("ERROR FIND LIBDVM"); 62 } 63 }

這樣就完成了hook代碼的編寫。安裝運行就行了。

原文地址：?http://www.cnblogs.com/goodhacker/p/4912904.html

總結

以上是生活随笔為你收集整理的利用Cydia Substrate进行Android HOOK（2）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。