Hook.jpg

前几天受高人指点意外发现了开启Android世界的新大陆，就是这个叫Hook（''钩子''）的东西。听起来很神奇，周末抽时间研究了一番，发现确实是一个值得去研究的技术。

什么是 Hook？

江湖上称它为“钩子”，它能够在事件传送到终点前截获并监控事件的传输。它能够将自己的代码“融入”被钩住的进程中，成为目标进程的一部分。这么说来，它可以Hook住系统的API，然后通过注入自己代码的方式去改变系统方法的行为、以及对系统方法的监听；除此以外，它还能通过实现一个程序，去篡改其他应用程序的行为。

原理：Hook技术本质是函数调用，由于处于Linux用户状态，每个进程有自己独立的进程控件，所以必须先注入所要Hook的进程空间，修改其内存中进程代码，替换过程表的符号地址，通过ptrace函数附加进程，向远程进程注入so库，从而达到监控以及远程进程关键函数挂钩

Xposed框架

要是说起这个框架，那可就真的牛逼了。什么微信自动抢红包、微信步数作弊......这些骚操作都是这个框架干出来的。
在Android系统中，应用程序进程以及系统服务进程都是由Zygote 进程 fork 出来的。Xposed框架深入到Android核心机制中，正式通过改造Zygote 进程来实现一系列的操作。
其使用方法我这里不做过多的说明，百度就能有一大堆的使用教程。

关于Xposed框架的具体实现原理，我建议可以参考Dalvik虚拟机原理及Xposed hook原理这篇文章。

劫持登录Demo

又是这个栗子...不过不要紧，我们最重要的是学习原理和用法，一通百通。

  btnHook.setOnClickListener(new View.OnClickListener() {
            @Override
            public void onClick(View view) {
                String userName = etUserame.getText().toString();
                String userPassword = etPassword.getText().toString();
                if (checkInfo(userName, userPassword)) {
                    Toast.makeText(getApplicationContext(), "登录成功", Toast.LENGTH_SHORT).show();
                } else {
                    Toast.makeText(getApplicationContext(), "登录失败", Toast.LENGTH_SHORT).show();
                }
            }
        });

private boolean checkInfo(String userName, String userPassword) {
        return userName.equals("jy") && userPassword.equals("123");
    }

我模拟了一个登录的情景，并规定只有输入用户名和密码分别是jy和123的条件下才能正常登录。
为了实现劫持登录的效果，这里新建一个类去实现 IXposedHookLoadPackage，然后重写 handleLoadPackage 方法。

 /**
     * 包加载时候的回调
     */

    @Override
    public void handleLoadPackage(XC_LoadPackage.LoadPackageParam lpparam) throws Throwable {

        XposedBridge.log("Loaded app : " + lpparam.packageName);

        XposedHelpers.findAndHookMethod("cn.edu.hrbeu.jy.hooktest.MainActivity", lpparam.classLoader, "checkInfo",
                String.class, String.class, new XC_MethodHook() {
                    @Override
                    protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                        XposedBridge.log("hook start");
                        XposedBridge.log("参数1： " + param.args[0]);
                        XposedBridge.log("参数2： " + param.args[1]);
                    }

                    @Override
                    protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                        XposedBridge.log("劫持前返回的result： " + param.getResult());
                        param.setResult(true);
                        XposedBridge.log("劫持后返回的result： " + param.getResult());
                        XposedBridge.log("hook finish");
                    }
                });
    }

在启动了任意应用程序之后，都会执行一次这个方法，然后根据 packageName 来找到你需要去Hook的某个app的某个方法。这里，我找到了我的 MainActivity 以及验证登录信息的 checkInfo() 方法。
在 findAndHookMethod()中有两个回调方法，根据名字可以看出一个是方法执行前的回调，另一个是方法执行之后的回调。

先来看看程序界面和运行结果：

11111111.png

执行结果.png

可以看到的是，我输入的内容与我之前设定的账号密码并不同，但还是显示了登录成功。来简单分析一下：

首先，我输入了错误的账号密码，所以正常情况我的checkInfo()方法会返回 false 。所以劫持前的result 会返回 false，就像Log日志里面的一样。然后我将 param.setResult(true);将返回的结果设置成了 true...再作为最终的结果返回，所以说无论我输入什么都会显示登录成功...

分析

虽然我做的只是最简单的修改了自己实现的方法，但是其实无论是系统API 还是说别的app里面的方法，只要知道方法名和参数类型，理论上我们都可以去Hook住它们，并且可以监听或者修改这些方法的一些行为。