adbi的java hook实现代码ddi不在之前下载的文件中,下载地址:https://github.com/crmulliner/ddi,具体的编译看readme里面很详细的介绍了。注意ddi代码不能单独使用要跟之前的adbi相结合,因为adbi提供了注入so。本文不对代码进行详细的剖析(你可以看参考资料的文章),分析下2个问题:java如何hook;如何执行自己的java函数。
java hook:
其实在ddi的java hook和xposed的hook原理(不清楚的看我之前xposed的分析)是相同的,都是改变被hook函数的accessflag;将原本的java函数变成native函数,从而去执行自己定义的native函数;它实现的代码在dalvik_hook.c的dalvik_hook函数中。但不同于xposed是,它没有直接修改Mehtod结构的insns和nativeFunc而是调用了dvmUseJNIBridge函数来修改insns和nativeFunc。但在我看这个函数时发现其跟android源码中的dvmRegisterJNIMethod很相似:
static bool dvmRegisterJNIMethod(ClassObject* clazz, const char* methodName, const char* signature, void* fnPtr) { // 解释下参数: // clazz:类名"shy/luo/jni/ClassWithJni"; // methodName:需要注册的jni方法名 nanosleep; // signature:方法的签名 实质是方法的参数和返回值,区别不同参数的函数 // fnPtr: jni方法函数地址 即shy_luo_jni_ClassWithJni_nanosleep函数;dalvik执行的就是这个函数,很重要哎 Method* method; ...... method = dvmFindDirectMethodByDescriptor(clazz, methodName, signature); ...... dvmUseJNIBridge(method, fnPtr); ...... }
dvmRegisterJNIMethod(关于此函数的解析,看dalvik浅析二:jni、so)函数中用dvmFindDirectMethodByDescriptor找到函数在dalvik中的Method结构,然后再dvmUseJNIBridge为Method注册native函数(在正常情况下,该Method的accessflag就是native所以无需修改)。下面来看ddi中的dalvik_hook函数实现
void* dalvik_hook(struct dexstuff_t *dex, struct dalvik_hook_t *h) { //dalvik_hook_t结构体中已包含函数所属的class、name、signature ...... h->method = dex->dvmFindVirtualMethodHierByDescriptor_fnPtr(target_cls, h->method_name, h->method_sig); if (h->method == 0) { h->method = dex->dvmFindDirectMethodByDescriptor_fnPtr(target_cls, h->method_name, h->method_sig); } ...... //保留method的属性带以后还原 h->iss = h->method->insSize; h->rss = h->method->registersSize; h->oss = h->method->outsSize; // 这里要处理 h->method->insSize = h->n_iss; h->method->registersSize = h->n_rss; h->method->outsSize = h->n_oss; h->method->jniArgInfo = 0x80000000; // <--- also important;这里很重要,下面要分析 ...... h->access_flags = h->method->a; //保留原先函数的accessflag h->method->a = h->method->a | h->af; // make method native ...... // bind function dex->dvmUseJNIBridge_fnPtr(h->method, h->native_func); ...... }
显而易见,dalvik_hook按dvmRegisterJNIMethod的逻辑来编写的,所以hook其实是自己为java函数注册了一个jni方法!(熟读源码理解实现机制,你会发现很多框架和工具都是基于源码的)ok,上面的知识点大部分都是熟悉,注意蓝色代码很重要的是函数使用的dalvik寄存器个数,xposed也对其进行修正但不同的是jniArgInfo属性,xposed没对它修改,看下对jniArgInfo的描述
jniArgInfo:这个变量记录了一些预先计算好的信息,从而不需要在调用的时候再通过方法的参数和返回值实时计算了,方便了JNI的调用,提高了调用的速度。如果第一位为1(即0x80000000),则Dalvik虚拟机会忽略后面的所有信息,强制在调用时实时计算;
可以这么理解jniArgInfo相当于jni方法的cache标识符,若jniArgInfo不为0x80000000则dalvik会按之前调用过的jni方法去执行。回到xposed和ddi的区别:
xposed:在loadPackage时hook函数,而在此时绝对没有执行过函数的jni方法;
ddi:在app运行时hook函数,我们可不敢肯定此时没有执行过jni方法啊
执行自己的java函数:
在so中执行了上面的java hook后,app在调用被hook函数时就会执行我们的自定义的native函数。那我们又怎样去执行我们自己的java函数呢(难道不可以直接在native函数中实现逻辑?当然可以啊,但java开发android简单啊)?很简单,1.加载自己的dex(包含自定义java函数的文件);2.找到自定义java函数地址3.执java函数。下面对以上三步用到的知识点剖析。
const DalvikNativeMethod dvm_dalvik_system_DexFile[] = { // /dalvik/vm/native/dalvik_system_DexFile.cpp基于源码4.4 520 { "openDexFileNative", "(Ljava/lang/String;Ljava/lang/String;I)I", 521 Dalvik_dalvik_system_DexFile_openDexFileNative }, 522 { "openDexFile", "([B)I", 523 Dalvik_dalvik_system_DexFile_openDexFile_bytearray }, 524 { "closeDexFile", "(I)V", 525 Dalvik_dalvik_system_DexFile_closeDexFile }, 526 { "defineClassNative", "(Ljava/lang/String;Ljava/lang/ClassLoader;I)Ljava/lang/Class;", 527 Dalvik_dalvik_system_DexFile_defineClassNative }, 528 { "getClassNameList", "(I)[Ljava/lang/String;", 529 Dalvik_dalvik_system_DexFile_getClassNameList }, 530 { "isDexOptNeeded", "(Ljava/lang/String;)Z", 531 Dalvik_dalvik_system_DexFile_isDexOptNeeded }, 532 { NULL, NULL, NULL }, 533};
第一、二步的知识点都在上面的代码里。加载dex的知识我们在app加壳的文章中有所提及,ddi利用Dalvik_dalvik_system_DexFile_openDexFileNative直接加载目录里的dex文件。关于第二步找函数是利用Dalvik_dalvik_system_DexFile_defineClassNative来实现,具体可以看dalvik浅析三:类加载。 这里我有一点不明白的是为什么调用了Dalvik_dalvik_system_DexFile_defineClassNative还要再去调用(*env)->FindClass去得到ClassObject,明明2者都是调用dvmFindClassNoInit去实现的啊,有谁知道告诉我!第三步更简单了,得到函数的ClassObject后直接找到methodID,再调用CallVoidMethodA就可以在native执行java函数啦。
最后添幅图来理解下ddi的整个执行过程吧
当然你也可以在my_init中hook到自定义native函数2中,省去native函数1的执行。
ok,adbi的分析就到此为止啦。总结下adbi在hijack中利用ptrace在目标进程注入代码,该代码会加载so;而在so里面可以进行so和java hook:
so hook:找到native函数的指令利用Inline hook去修改它,就可以在执行native函数时去执行自定义的函数;
java hook:改变函数的accessflag去执行自己的native函数,而在native中去执行自定义的java函数
参考资料: