一、前言
在之前已經介紹過了Android中一款hook神器Xposed，那個框架使用非常簡單，方法也就那幾個，其實最主要的是我們如何找到一個想要hook的應用的那個突破點。需要逆向分析app即可。不了解Xposed框架的同學可以查看：Android中hook神器Xposed使用詳解；關于hook使用以及原理不多解釋了。今天我們再來看另外一個hook神器Cydia Substrate，關于這個神器網上也已經介紹了，應該有的同學已經使用過了，因為最近在破解一個游戲，奈何想hook他的一個so中的一個方法，Xposed幾乎沒法用，所以得操刀這個框架了，所以就單獨抽出來介紹這個框架。他的一個優點就在于Hook底層方法非常方便，對so中的方法hook操作非常便捷。

二、環境搭建
下面就來介紹這個框架如何安裝使用，本文會介紹這個框架如何hook Java層和Native層功能，首先我們來看一下如何安裝這個框架，本人操作的環境：
設備系統：小米三+原生CM 4.4系統
框架版本：0.9.4010
是否root：必須root
關于這個環境，可能有的同學操作最大的問題就在于設備和系統，不同設備不同系統，這個框架或許安裝會失敗，具體問題可能需要你們自己去解決了。關于框架apk和功能jar包下載地址可以去官網：http://www.cydiasubstrate.com

三、Hook Java層功能
搭建好了環境，下面就直接操作了，首先來看看如何Hook Java層功能
第一步：導入jar包

第二步：編寫hook入口類

具體api這里不多介紹了，就那么幾個，沒必要詳細介紹，這里對系統的imei進行hook操作了。網上很多人都對系統顏色值進行了hook，這里也順帶操作一下：

第三步：配置xml信息

在AndroidManifest.xml中需要配置兩個地方，一個是使用權限，一個是聲明hook的入口類即可。

第四步：安裝運行
代碼編寫完成之后，直接運行安裝即可，前提是你需要正確安裝Cydia框架apk，安裝成功界面如下：

然后我們安裝hook工程apk，會出現這個提示：


點擊，進入框架界面，點擊重啟即可。然后我們查看系統界面顏色以及返回的imei值：


查看顏色的確變成騷氣的粉色了，再看看imei值的修改：


imei值也成功的hook成功了。到這里我們就用Substrate框架hook了Java層功能。當然這些功能Xposed也是可以做到的哦。

四、Hook Native層功能
那么下面繼續來看如何hook native層的功能，也是本文的重點哦。
第一步：創建一個Native工程

這里用Eclipse操作，簡單便捷，有很多人問我為什么不用AS，我想說在我心中Eclipse最好用，AS真心好丑，不想用而已。

第二步：導入Substrate的native功能包
上圖可以看到，需要導入一個substrate.h頭文件，和兩個so功能包。native層應用都是這么干的，提供一個頭文件告訴你api，具體實現在so包中。

第三步：尋找hook的函數名
這里網上沒有好的hook代碼，這里我們為了更好的查看這個工具的牛逼之處，弄一個比較實際的案例就是hook系統加載dex的函數，這樣我們就可以獲取到每個應用的dex文件了，這種方式對于早期加固是一個比較好的脫殼方案。在之前介紹脫殼我們會使用IDA在指定函數處下個斷點，那么我們這里如果要hook的話，就需要找到這個加載dex的函數名稱，這里一定要記的是導出的函數名，首先我們導出設備的libdvm.so文件：system/lib/libdvm.so

然后使用IDA打開，尋找加載dex函數：


切換到Exports視圖頁面，然后搜索dexFileParse函數，點進去：


看到了，我們需要得到的是EXPORT的函數名，需要hook的是他，這個一定要注意，不然hook沒效果的。找到函數之后還得獲悉函數的參數類型和返回類型，這個也好辦，因為我們有android源碼，所以直接在源碼中找這個函數參數說明已經返回值說明即可。因為Native層hook的其實是函數指針的替換，所以如果想hook原來的函數，必須新建一個和原來一樣的函數功能，然后傳遞函數指針即可。這個函數的參數和返回值定義如下：
DexFile dexFileParse(const unsigned __int8 , unsigned int, int);
參數含義非常簡單，第一個參數表示dex文件的起始地址，第二個參數是dex文件的長度，有這兩個參數我們就可以寫入文件了。這里我們需要獲取DexFile類型，這個直接在Android源碼目錄下找到這個頭文件DexFile.h即可。然后導入工程中。這樣我們就找到了需要hook的函數已經說明了，下面就開始編寫hook代碼了。

第四步：編寫hook代碼
在編寫hook代碼之前，我們需要考慮這幾件事：
第一件事：我們hook之后的dex存在哪？怎么存？我們這里直接通過當前的pid值獲取進程名，然后將其憑借作為dex的文件名，這樣每個進程的dex文件就不會沖突了。這里要理解一點：一個進程對應一個DVM，加載一個dex文件。所以這里hook其實就是注入每個進程，在每個進程中在hook每個函數功能。
第二件事：需要過濾系統進程，并不是所有的進程都是我們想要hook的，而且這些進程未必有dex文件，比如鼻祖進程zygote，而這些進程過濾規則，需要我們自己打印看結果。然后構造。
下面開始寫代碼了，首先定義我們想要hook的so文件：
MSConfig(MSFilterLibrary, "/system/lib/libdvm.so");
主要是第二個參數，是需要hook的so路徑。然后在入口處開始hook代碼：

這里首先找到so中需要hook函數符號，然后直接調用MSHookFunction傳入符號，新函數地址，舊函數地址即可。這里可以看到在C中指針是多么強大，實現了函數的回調機制，而且非常方便。然后繼續來看新定義的hook函數功能：


這里先獲取當前進程名稱，然后構造dex文件名，保存dex文件，最后一定要記得返回原始的函數，不能影響正常的流程。這里還要記得過濾規則，不要對每個進程都進行操作，并不是每個進程都是有效的。而這些過濾規則是根據自己打印進程名來自行添加即可。

第五步：編寫MK文件
上面代碼已經編寫完成了，下面來編寫編譯腳本吧，主要注意編譯之后的文件名一定要有cy結尾，不然是hook失敗的，然后就是需要導入substrate的so庫文件：

第六步：安裝并運行
和之前一樣，運行之后，需要重啟設備，然后先看看native層的log信息：

然后再去目錄中查看保存的dex文件信息：


dex文件都保存成功了，這樣會發現如果對于早期的加殼，可以采用這種方式進行脫殼操作的。也不需要用IDA進行調試dump出dex文件了。

五、說明
關于native層hook就介紹完了，這里還是需要說明幾點：
第一點：hook之前需要分析so獲取需要hook的函數名稱，參數返回值定義，這個和hook Java層一樣，必須先找到突破點才能進行下一步。
第二點：hook可能會有一些錯誤，因為是native層比java層錯誤信息難發現，所以最好是在某些地方加一些日志觀察結果。
如果在使用過程中發現hook失敗，注意檢查這幾個條件：
第一個：xml中是否配置了權限和入口
第二個：編譯腳本MK中的后綴名是否為cy

項目下載地址：https://github.com/fourbrother/CydiaSubstrateHook

六、總結
關于CydiaSubstrate框架就介紹到這里了，后面會分析如何hook游戲的so文件來進行破解工作，有了這個框架再也不怕hook難了，native層代碼也可以一覽無余了。

作者：JiangWei_App
鏈接：http://www.jianshu.com/p/a9cd686a158d
來源：簡書

著作權歸作者所有。商業轉載請聯系作者獲得授權，非商業轉載請注明出處。

總結

以上是生活随笔為你收集整理的Android逆向之旅---Native层的Hook神器Cydia Substrate使用详解的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。