一、前言

在之前已經介紹過了Android中一款hook神器Xposed，那個框架使用非常簡單，方法也就那幾個，其實最主要的是我們如何找到一個想要hook的應用的那個突破點。需要逆向分析app即可。不瞭解Xposed框架的同學可以檢視：Android中hook神器Xposed使用詳解；關於hook使用以及原理不多解釋了。今天我們再來看另外一個hook神器Cydia Substrate，關於這個神器網上也已經介紹了，應該有的同學已經使用過了，因為最近在破解一個遊戲，奈何想hook他的一個so中的一個方法，Xposed幾乎沒法用，所以得操刀這個框架了，所以就單獨抽出來介紹這個框架。他的一個優點就在於Hook底層方法非常方便，對so中的方法hook操作非常便捷。

二、環境搭建

下面就來介紹這個框架如何安裝使用，本文會介紹這個框架如何hook Java層和Native層功能，首先我們來看一下如何安裝這個框架，本人操作的環境：

裝置系統：小米三+原生CM 4.4系統

框架版本：0.9.4010

是否root：必須root

關於這個環境，可能有的同學操作最大的問題就在於裝置和系統，不同裝置不同系統，這個框架或許安裝會失敗，具體問題可能需要你們自己去解決了。關於框架apk和功能jar包下載地址可以去官網：http://www.cydiasubstrate.com

三、Hook Java層功能

搭建好了環境，下面就直接操作了，首先來看看如何Hook Java層功能

第一步：匯入jar包

第二步：編寫hook入口類

具體api這裡不多介紹了，就那麼幾個，沒必要詳細介紹，這裡對系統的imei進行hook操作了。網上很多人都對系統顏色值進行了hook，這裡也順帶操作一下：

第三步：配置xml資訊

在AndroidManifest.xml中需要配置兩個地方，一個是使用許可權，一個是宣告hook的入口類即可。

第四步：安裝執行

程式碼編寫完成之後，直接執行安裝即可，前提是你需要正確安裝Cydia框架apk，安裝成功介面如下：

然後我們安裝hook工程apk，會出現這個提示：

點選，進入框架介面，點選重啟即可。然後我們檢視系統介面顏色以及返回的imei值：

檢視顏色的確變成騷氣的粉色了，再看看imei值的修改：

imei值也成功的hook成功了。到這裡我們就用Substrate框架hook了Java層功能。當然這些功能Xposed也是可以做到的哦。

四、Hook Native層功能

那麼下面繼續來看如何hook native層的功能，也是本文的重點哦。

第一步：建立一個Native工程

這裡用Eclipse操作，簡單便捷，有很多人問我為什麼不用AS，我想說在我心中Eclipse最好用，AS真心好醜，不想用而已。

第二步：匯入Substrate的native功能包

上圖可以看到，需要匯入一個substrate.h標頭檔案，和兩個so功能包。native層應用都是這麼幹的，提供一個頭檔案告訴你api，具體實現在so包中。

第三步：尋找hook的函式名

這裡網上沒有好的hook程式碼，這裡我們為了更好的檢視這個工具的牛逼之處，弄一個比較實際的案例就是hook系統載入dex的函式，這樣我們就可以獲取到每個應用的dex檔案了，這種方式對於早期加固是一個比較好的脫殼方案。在之前介紹脫殼我們會使用IDA在指定函式處下個斷點，那麼我們這裡如果要hook的話，就需要找到這個載入dex的函式名稱，這裡一定要記的是匯出的函式名，首先我們匯出裝置的libdvm.so檔案：system/lib/libdvm.so

然後使用IDA開啟，尋找載入dex函式：

切換到Exports檢視頁面，然後搜尋dexFileParse函式，點進去：

看到了，我們需要得到的是EXPORT的函式名，需要hook的是他，這個一定要注意，不然hook沒效果的。找到函式之後還得獲悉函式的引數型別和返回型別，這個也好辦，因為我們有Android原始碼，所以直接在原始碼中找這個函式引數說明已經返回值說明即可。因為Native層hook的其實是函式指標的替換，所以如果想hook原來的函式，必須新建一個和原來一樣的函式功能，然後傳遞函式指標即可。這個函式的引數和返回值定義如下：

DexFile* dexFileParse(const unsigned __int8 *, unsigned int, int);

引數含義非常簡單，第一個引數表示dex檔案的起始地址，第二個引數是dex檔案的長度，有這兩個引數我們就可以寫入檔案了。這裡我們需要獲取DexFile型別，這個直接在Android原始碼目錄下找到這個標頭檔案DexFile.h即可。然後匯入工程中。這樣我們就找到了需要hook的函式已經說明了，下面就開始編寫hook程式碼了。

第四步：編寫hook程式碼

在編寫hook程式碼之前，我們需要考慮這幾件事：

第一件事：我們hook之後的dex存在哪？怎麼存？我們這裡直接通過當前的pid值獲取程序名，然後將其憑藉作為dex的檔名，這樣每個程序的dex檔案就不會衝突了。這裡要理解一點：一個程序對應一個DVM，載入一個dex檔案。所以這裡hook其實就是注入每個程序，在每個程序中在hook每個函式功能。

第二件事：需要過濾系統程序，並不是所有的程序都是我們想要hook的，而且這些程序未必有dex檔案，比如鼻祖程序zygote，而這些程序過濾規則，需要我們自己列印看結果。然後構造。

下面開始寫程式碼了，首先定義我們想要hook的so檔案：

MSConfig(MSFilterLibrary, "/system/lib/libdvm.so");

主要是第二個引數，是需要hook的so路徑。然後在入口處開始hook程式碼：

這裡首先找到so中需要hook函式符號，然後直接呼叫MSHookFunction傳入符號，新函式地址，舊函式地址即可。這裡可以看到在C中指標是多麼強大，實現了函式的回撥機制，而且非常方便。然後繼續來看新定義的hook函式功能：

這裡先獲取當前程序名稱，然後構造dex檔名，儲存dex檔案，最後一定要記得返回原始的函式，不能影響正常的流程。這裡還要記得過濾規則，不要對每個程序都進行操作，並不是每個程序都是有效的。而這些過濾規則是根據自己列印程序名來自行新增即可。

第五步：編寫MK檔案

上面程式碼已經編寫完成了，下面來編寫編譯指令碼吧，主要注意編譯之後的檔名一定要有cy結尾，不然是hook失敗的，然後就是需要匯入substrate的so庫檔案：

第六步：安裝並執行

和之前一樣，執行之後，需要重啟裝置，然後先看看native層的log資訊：

然後再去目錄中檢視儲存的dex檔案資訊：

dex檔案都儲存成功了，這樣會發現如果對於早期的加殼，可以採用這種方式進行脫殼操作的。也不需要用IDA進行除錯dump出dex檔案了。

五、說明

關於native層hook就介紹完了，這裡還是需要說明幾點：

第一點：hook之前需要分析so獲取需要hook的函式名稱，引數返回值定義，這個和hook Java層一樣，必須先找到突破點才能進行下一步。

第二點：hook可能會有一些錯誤，因為是native層比java層錯誤資訊難發現，所以最好是在某些地方加一些日誌觀察結果。

如果在使用過程中發現hook失敗，注意檢查這幾個條件：

第一個：xml中是否配置了許可權和入口

第二個：編譯指令碼MK中的字尾名是否為cy

六、總結

關於CydiaSubstrate框架就介紹到這裡了，後面會分析如何hook遊戲的so檔案來進行破解工作，有了這個框架再也不怕hook難了，native層程式碼也可以一覽無餘了。

更多內容：點選這裡

關注微信公眾號，最新技術乾貨實時推送

掃一掃加小編微信
新增時請註明：“編碼美麗”非常感謝！