Cydia Substrate是一个代码修改平台.它可以修改任何主进程的代码,不管是用Java还是C/C++(native代码)编写的.而Xposed只支持HOOK app_process中的java函数,因此Cydia Substrate是一款强大而实用的HOOK工具.
官网地址:http://www.cydiasubstrate.com/
官方教程:http://www.cydiasubstrate.com/id/38be592b-bda7-4dd2-b049-cec44ef7a73b
SDK下载地址:http://asdk.cydiasubstrate.com/zips/cydia_substrate-r2.zip
Substrate几个重要API介绍
1.MS.hookClassLoad
该方法实现在指定的类被加载的时候发出通知。因为一个类可以在任何时候被加载,所以Substrate提供了一个方法用来检测用户感兴趣的类何时被加载.
name 包名+类名,使用java的.符号
hook MS.ClassLoadHook的一个实例,当这个类被加载的时候,它的 classLoaded 方法会被执行。
2.MS.hookMethod
该API允许开发者提供一个回调函数替换原来的方法,这个回调函数是一个实现了MS.MethodHook接口的对象,是一个典型的匿名内部类。它包含一个invoked函数。
_class 加载的目标类,为classLoaded传下来的类参数
member 通过反射得到的需要hook的方法(或构造函数). 注意:不能HOOK字段 (在编译的时候会进行检测).
hook MS.MethodHook的一个实例,其包含的invoked方法会被调用,用以代替member中的代码
_class 加载的目标类,为classLoaded传下来的类参数
member 通过反射得到的需要hook的方法(或构造函数). 注意:不能HOOK字段 (在编译的时候会进行检测).
alteration An instance of MS.MethodAlteration whose boxedinvoked method will be called instead of member. This instance will also be filled in using information from the original implementation, allowing you to use invoke to call the original method implementation.
建议使用第二种方式,这种方式使用起来简单并且很少出错,不需要一个单独的MS.MethodPointer类实例。
1.安装框架app:http://www.cydiasubstrate.com/download/com.saurik.substrate.apk
2.打开Android studio 新建工程 选择Add no activity
3.将SDK中的substrate-api.jar复制到app/libs文件夹中.
4.修改配置文件Manifest.xml
5.创建一个类,类名为Main.类中包含一个static方法initialize,当插件被加载的时候,该方法中的代码就会运行,完成一些必要的初始化工作,相当于main函数入口.
6.添加hook代码
运行后测试效果为:
参考来至:
http://drops.wooyun.org/tips/8084
http://www.it165.net/pro/html/201410/23548.html
简介
Cydia Substrate是一个很强大的工具,他提供了很便利的方法帮助你去hook so和java中的方法。
在本例中,出于学习的目的,我使用Cydia Substrate来hook每个进程的dvmLoadNativeCode函数,以达到监控加载so顺序的功能。
Cydia Substrate相关链接
使用指南:http://www.cydiasubstrate.com/inject/android/
SDK下载:http://www.cydiasubstrate.com/id/73e45fe5-4525-4de7-ac14-6016652cc1b8/
框架APK下载:http://www.cydiasubstrate.com/download/com.saurik.substrate.apk
本文demo代码: https://github.com/mohuihui/CydiaSubstrateAndroidNativeHOOK
Hook模块编译指南
1. 创建一个android程序,如果没什么特殊需要,可以不创建activity(这个不是必须)。
2. 将SDK下载到本地。目录结构是这样的:
3. 在android工程中新建jni文件夹,然后加入相关的头文件substrate.h和库文件,例如我的工程只支持arm,那么就加入cydia_substrate\lib\armeabi下的两个so。目录结构如下:
4. 在AndroidManifest.xml中注册cydia的自定义权限cydia.permission.SUBSTRATE。
另外,设置 android:hasCode 为 "false"
android:installLocation 为 "internalOnly".
如下所示
[html] view plain copy
-
<manifest xmlns:android="http://schemas.android.com/apk/res/android"
-
android:installLocation="internalOnly"
-
>
-
<application android:hasCode="false">
-
</application>
-
<uses-permission android:name="cydia.permission.SUBSTRATE"/>
-
</manifest>
5. 编写Hook模块代码,即上面的test.cpp
[cpp] view plain copy
-
#include <jni.h>
-
#include "substrate.h"
-
#include <android/log.h>
-
#include <unistd.h>
-
#include <stdio.h>
-
#include <fcntl.h>
-
#include <sys/types.h>
-
#include <string.h>
-
#include <sys/stat.h>
-
-
#define TAG "HOOKTEST"
-
#define LOGD(...) __android_log_print(ANDROID_LOG_DEBUG, TAG, __VA_ARGS__)
-
#define LOGI(...) __android_log_print(ANDROID_LOG_INFO, TAG, __VA_ARGS__)
-
-
MSConfig(MSFilterLibrary, "libdvm.so"); // 要hook的so库,后缀名即可。
-
-
bool (*_dvmLoadNativeCode)(char* pathName, void* classLoader, char** detail);
-
-
bool fake_dvmLoadNativeCode(char* soPath, void* classLoader, char** detail)
-
{
-
LOGD("fake_dvmLoadNativeCode soPath:%s", soPath);
-
return _dvmLoadNativeCode(soPath,classLoader,detail);
-
}
-
-
//Substrate entry point
-
MSInitialize{
-
LOGD("Substrate initialized.");
-
MSImageRef image;
-
image = MSGetImageByName("/system/lib/libdvm.so"); // 此处要绝对路径
-
if (image != NULL)
-
{
-
LOGD("dvm image: 0x%08X", (void*)image);
-
void * dvmload = MSFindSymbol(image, "_Z17dvmLoadNativeCodePKcP6ObjectPPc");
-
if(dvmload == NULL)
-
{
-
LOGD("error find dvmLoadNativeCode.");
-
}
-
else
-
{
-
MSHookFunction(dvmload,(void*)&fake_dvmLoadNativeCode,(void **)&_dvmLoadNativeCode);
-
LOGD("hook dvmLoadNativeCode sucess.");
-
}
-
}
-
else{
-
LOGD("can not find libdvm.");
-
}
-
}
6. 编写Android.mk
[html] view plain copy
-
LOCAL_PATH := $(call my-dir)
-
include $(CLEAR_VARS)
-
LOCAL_MODULE := substrate
-
LOCAL_SRC_FILES := libsubstrate.so
-
include $(PREBUILT_SHARED_LIBRARY)
-
-
include $(CLEAR_VARS)
-
LOCAL_MODULE := substrate-dvm
-
LOCAL_SRC_FILES := libsubstrate-dvm.so
-
include $(PREBUILT_SHARED_LIBRARY)
-
-
include $(CLEAR_VARS)
-
# 注意:此处substrate规定模块名必须以.cy结尾
-
LOCAL_MODULE := test.cy
-
LOCAL_SRC_FILES := test.cpp
-
LOCAL_LDLIBS := -llog
-
LOCAL_ARM_MODE := arm
-
LOCAL_LDLIBS += -L$(LOCAL_PATH) -lsubstrate-dvm -lsubstrate
-
include $(BUILD_SHARED_LIBRARY)
7. ndk-build之后会在android工程中生成libs目录,结构如下:
8. build android工程即可生成hook模块的apk安装包。
使用指南
1. 下载Cydia Substrate框架apk并安装到手机上。
http://www.cydiasubstrate.com/download/com.saurik.substrate.apk
2. 安装在上面编译出来的hook模块apk。此时,Cydia Substrate框架apk会提示你有新的模块可以使用。
3. 打开框架apk,点击“Link Substrate Files”,之后点击“Restart System”就可以使用了。
4. Hook native demo运行之后,会打印每个程序加载so的情况,如下图:
总结
本例就当是给大家使用Cydia Substrate框架的抛砖引玉了,希望各路大神能写出更多更好的插件来方便后来人。
如果看了本篇文章还有不明白的,欢迎留言探讨交流。
源码
https://github.com/mohuihui/CydiaSubstrateAndroidNativeHOOK
补充说明
cmake配置
cmake_minimum_required(VERSION 3.4.1)
add_library(
module.cy
SHARED
src/main/cpp/module.cy.cpp )
include_directories( src/main/cpp/)
add_library( libsubstrate SHARED IMPORTED)
set_target_properties(libsubstrate PROPERTIES IMPORTED_LOCATION ${CMAKE_SOURCE_DIR}/src/main/jniLibs/${ANDROID_ABI}/libsubstrate.so)
add_library( libsubstrate-dvm SHARED IMPORTED)
set_target_properties(libsubstrate-dvm PROPERTIES IMPORTED_LOCATION ${CMAKE_SOURCE_DIR}/src/main/jniLibs/${ANDROID_ABI}/libsubstrate-dvm.so)
find_library( # Sets the name of the path variable.
log-lib
# Specifies the name of the NDK library that
# you want CMake to locate.
log )
# Specifies libraries CMake should link to your target library. You
# can link multiple libraries, such as libraries you define in this
# build script, prebuilt third-party libraries, or system libraries.
target_link_libraries( # Specifies the target library.
module.cy
libsubstrate
libsubstrate-dvm
# Links the target library to the log library
# included in the NDK.
${log-lib} )
gradle build配置
apply plugin: 'com.android.application'
android {
compileSdkVersion 26
defaultConfig {
applicationId "pro.xuji.myapplication"
minSdkVersion 15
targetSdkVersion 26
versionCode 1
versionName "1.0"
testInstrumentationRunner "android.support.test.runner.AndroidJUnitRunner"
externalNativeBuild {
cmake {
cppFlags "-frtti -fexceptions"
}
}
ndk{
moduleName "native-lib" //生成的so名字
ldLibs "log", "z", "m"
abiFilters "armeabi" //输出指定三种abi体系结构下的so库。目前可有可无。
}
}
buildTypes {
release {
minifyEnabled false
proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro'
}
}
externalNativeBuild {
cmake {
path "CMakeLists.txt"
}
}
}
dependencies {
implementation fileTree(dir: 'libs', include: ['*.jar'])
implementation 'com.android.support:appcompat-v7:26.1.0'
implementation 'com.android.support.constraint:constraint-layout:1.0.2'
testImplementation 'junit:junit:4.12'
androidTestImplementation 'com.android.support.test:runner:1.0.1'
androidTestImplementation 'com.android.support.test.espresso:espresso-core:3.0.1'
}