网站 › 『移动安全区』 › Android hook so 库中函数

wxkly8888 发表于 2021-12-7 14:20

Android hook so 库中函数

本帖最后由 wxkly8888 于 2021-12-7 14:24 编辑

最近博主发现一个android 反编译神器 androidFaker，这个工具能hook java 和so库中的函数，甚至可以直接将apk 打开为AndroidStudio标准工程直接run起来。

传送门：(https://github.com/Efaker/FakerAndroid)

博主想着能否借助这款神器，来破解下之前《教我兄弟学Android逆向系列课程》中的apk签名验证。最终成功实现了原文的目标：

`爆破李华Demo中的用户名和密码 要求输入任意用户名和密码 会提示登陆成功`

没有看过这系列文章的同学可以去看看，写的很不错，附传送门：

[《教我兄弟学Android逆向系列课程+附件导航帖》](https://www.52pojie.cn/thread-742703-1-1.html)
[《教我兄弟学Android逆向08 IDA爆破签名验证》](https://www.52pojie.cn/thread-732955-1-1.html)

本文的demo 不需要手机root, 不需要修改arm指令，所需要的仅仅是

`1. 待破解的apk
2. Android Studio(带AndroidFaker的插件，不会装插件的同学可以参考下fakerAndroid 的github的说明)
3. IDA， 用于so库的函数地址的查找`

####FakerAndroid打开Apk文件

通过Android studio 直接打开源apk文件



打开之后的项目目录如下:



#### hook so库函数

1. 通过《教我兄弟学Android逆向08 IDA爆破签名验证》我们知道，源apk在so方法中做了签名以及用户名密码校验。

   主要是check 这个jni方法。

   ```java
   package demo2.jni.com.myapplication;
   
   public class myJNI {
       static {
         System.loadLibrary("JniTest");
       }
   
   public native String check(Object arg1, String arg2, String arg3) {
   }
   
   }
   ```

   

   2.通过IDA 打开源apk文件中的libJniTest.so库，查找check函数偏移地址。

   这里需要注意的是选取正确的so文件，，如果你的手机是armeabi-v7a的，需打开armeabi-v7a 文件夹下的so文件，如果是V8的 需打开armeabi-v8a的so文件。我这个demo跑在模拟器上，所以我这边需要打开的是x86文件夹下的so文件。



3. 在native-lib.cpp文件进行so库函数的hook

   在`Java_com_fakerandroid_boot_FakerApp_fakeApp`这个回调函数中里进行hook,其中`functionAdress`填入刚才check函数的偏移地址。

   `fakeCpp` 将源地址的函数替换成我们的hook 函数。这里我们在fakerMethod 直接返回 `登录成功`，代码如下：

   ```cpp
   jstring fakeMethod(JNIEnv *env){：
       LOGI("fake method called");
       jstring toast = env->NewStringUTF("登录成功");
       return toast;
   }
   extern "C"
   JNIEXPORT void JNICALL
   Java_com_fakerandroid_boot_FakerApp_fakeApp(JNIEnv *env, jobject thiz, jobject application) {
      //so库在内存的基准地址
      long base = baseImageAddr("libJniTest.so");
      LOGE("baseImageAddr : %ld",base);
      //通过IDA获取此方法的地址0x000006E0;
      long functionAdress=base+0x000006E0;
      LOGE("functionAdress : %ld",functionAdress);
       //将源方法替换成我们自己的fakeMethod
      fakeCpp((void *) (functionAdress), (void *) fakeMethod, reinterpret_cast<void **>(&functionAdress));
   }
   ```


4.打包测试

fakerAndroid 厉害的地方在于反编译之后可以直接在android studio中run起来，当然你也可以重新签名源apk。最后看下效果图：



至此，成功hook了源apk中的check函数。
演示代码地址：https://pan.baidu.com/s/1SjPrfIfdVQ06pBfXlhXndg密码：npba

wxkly8888 发表于 2021-12-8 10:13

无闻无问 发表于 2021-12-7 19:13
最终还是需要ida去分析so嘛…

IDA的作用是获取函数的偏移地址，不需要去分析及修改arm指令，其他工具也能做到的

Sinozo 发表于 2024-11-20 17:52

你好 想请问一下用的As版本和Gradle的版本 我之前使用的As版本不明白为什么没有办法导入插件

wantwill 发表于 2021-12-7 15:53

谢谢分享

52new 发表于 2021-12-7 16:04

终于有人发fakeandroid的教程了

水木青枫 发表于 2021-12-7 17:37

谢谢分享

longforus 发表于 2021-12-7 18:07

谢谢分享,又发现了一个好东西, 虽然麻烦了一点,但是在特殊的时候,可能会很有用

无闻无问 发表于 2021-12-7 19:13

最终还是需要ida去分析so嘛…

dipper 发表于 2021-12-7 21:11

谢谢分享，很好的教程

luoye1997 发表于 2021-12-8 08:47

解决了这个问题，谢谢

o0蜗牛 发表于 2021-12-8 10:18

非常感谢详细讲解

查看完整版本: Android hook so 库中函数