Android hook技术浅析与小实践

最新推荐文章于 2025-07-12 09:15:12 发布
最新推荐文章于 2025-07-12 09:15:12 发布
阅读量1.3k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: android开发 文章标签: hook 反射
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013164584/article/details/85008255
本文介绍了Android的hook技术,解释了沙箱机制、hook的含义和目的,以及代理的概念和分类。详细探讨了反射机制,并阐述了hook技术的分类,包括API hook和系统消息hook。文章通过一个小实践展示了如何进行API hook,涉及找到hook点、选择代理方式以及替换对象的过程,强调了hook技术需要结合反射、代理和Android底层知识来掌握。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、什么是沙箱机制?

沙箱是一个虚拟系统程序,沙箱提供的环境相对于每一个运行的程序的进程空间都是独立的,程序的运行互不干扰,而且不会对现有的系统产生影响。

二、什么是hook?

hook的意思是勾住。比如A发送消息给B,在消息过去之前,可以先把消息勾住,不让其传递,你可以先执行你的操作(或者说先执行你的钩子函数)。
专业的说法就是:hook技术,能够改变API执行的结果,将系统的API函数执行重定向。

三、为什么需要hook?

android系统的沙箱机制使我们不能通过一个程序改变其他程序的某些行为,但是hook技术正好可以解决此类问题。

四、代理是什么?

举例生活中,比如我经常需要买一些香港的东西,又不太现实每次自己亲自去,只能找一些代购帮我们去买。那代购就比较坑了,不仅坑你的钱,还可能坑你的货品,给你带回了假货回来。

五、代理分类?

1.静态代理
2.动态代理

六、反射机制?

Java反射机制主要提供了以下功能: 在运行时判断任意一个对象所属的类;在运行时构造任意一个类的对象;在运行时判断任意一个类所具有的成员变量和方法;在运行时调用任意一个对象的方法;生成动态代理。
在运行状态中,对于任意一个类,都能够获取到这个类的所有属性和方法,对于任意一个对象,都能够调用它的任意一个方法和属性(包括私有的方法和属性),这种动态获取的信息以及动态调用对象的方法的功能就称为java语言的反射机制。通俗点讲,通过反射,该类对我们来说是完全透明的,想要获取任何东西都可以。

七、hook技术分类?

分类1 —— API hook:
分类2 —— 系统消息hook:

八、小实践

以下我们对API hook举一个详细的例子:

步骤
1.寻找hook点。一般是静态变量或单例对象,尽量hook public的对象和方法,减轻因非public而导致的各版本不一致带来的工作。
2.选择合适的代理方式。动态代理适用于接口。
3.偷梁换柱。使用反射机制用代理对象替换掉被hook的对象

举例 hook startActivity:
1.寻找hook点。
》》对于Context.startActivity,由于Context的实现类为ContextImpl,因此直接分析ContextImpl类的startActivity()。

    @Override
    public void startActivity(Intent intent, Bundle options) {
        warnIfCallingFromSystemProcess();
        if ((intent.getFlags()&Intent.FLAG_ACTIVITY_NEW_TASK) == 0
                && options != null && ActivityOptions.fromBundle(options).getLaunchTaskId() == -1) {
            throw new AndroidRuntimeException(
                    "Calling startActivity() from outside of an Activity "
                    + " context requires the FLAG_ACTIVITY_NEW_TASK flag."
                    + " Is this really what you want?");
        }
        mMainThread.getInstrumentation().execStartActivity(
                getOuterContext(), mMainThread.getApplicationThread(), null,
                (Activity) null, intent, -1, options);
    }

》》这里,实际上使用了ActivityThread类的mInstrumentation成员的execStartActivity方法;而ActivityThread 实际上是主线程,因为主线程一个进程只有一个,所以这里是一个良好的Hook点。
》》Hook主线程对象:要将这个主线程对象里面的mInstrumentation替换成修改过的代理对象;要替换主线程对象里面的字段,得先拿到主线程对象的引用,如何获取呢? 》》ActivityThread类里面有一个静态方法currentActivityThread,通过它可以拿到这个对象类;但ActivityThread是一个隐藏类,需用反射去获取。

2.选择合适代理方式
》》拿到currentActivityThread后,要修改它的mInstrumentation字段为修改后的代理对象。因此需要先实现这个代理对象,由于JDK动态代理只支持接口,而这个Instrumentation是一个类,因此只能手写一个静态代理类,用来覆盖掉原始的方法。

3.偷梁换柱
》》采用反射直接修改即可。

完整代码如下:
HookUtil

public class HookUtil {
    public static void  attachContext() throws Exception {
        //先获取到当前的ActivityThread对象
        Class<?> activityThreadClass = Class.forName("android.app.ActivityThread");
        Method currentActivityThreadMethod = activityThreadClass.getDeclaredMethod("currentActivityThread");
        currentActivityThreadMethod.setAccessible(true);
        Object currentActivityThread = currentActivityThreadMethod.invoke(null);
        // 拿到原始的 mInstrumentation字段
        Field mInstrumentationField = activityThreadClass.getDeclaredField("mInstrumentation");
        mInstrumentationField.setAccessible(true);
        Instrumentation mInstrumentation = (Instrumentation) mInstrumentationField.get(currentActivityThread);
        // 创建代理对象
        Instrumentation evilInstrumentation = new EvilInstrumentation(mInstrumentation);
        //偷梁换柱
        mInstrumentationField.set(currentActivityThread, evilInstrumentation);
    }
}

EvilInstrumentation

public class EvilInstrumentation extends Instrumentation {
    private static final String TAG = "EvilInstrumentation";

    Instrumentation mBase;

    public EvilInstrumentation(Instrumentation mBase) {
        this.mBase = mBase;
    }
    public ActivityResult execStartActivity(
            Context who, IBinder contextThread, IBinder token, Activity target,
            Intent intent, int requestCode, Bundle options) {

        Log.d(TAG, " Hook之前 打印 execStartActivity");

        // 开始调用原始的方法, 调不调用随你,但是不调用的话, 所有的startActivity都失效了.
        // 由于这个方法是隐藏的,因此需要使用反射调用;首先找到这个方法
        try {
            Method execStartActivity = Instrumentation.class.getDeclaredMethod(
                    "execStartActivity",
                    Context.class, IBinder.class, IBinder.class, Activity.class,
                    Intent.class, int.class, Bundle.class);
            execStartActivity.setAccessible(true);
            return (ActivityResult) execStartActivity.invoke(mBase, who,
                    contextThread, token, target, intent, requestCode, options);
        } catch (Exception e) {
            throw new RuntimeException("do not support!");
        }
    }
}

AActivity

public class AActivity extends AppCompatActivity {

    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);

        Button tv = new Button(this);
        tv.setText("Test");

        setContentView(tv);
        tv.setOnClickListener(new View.OnClickListener() {
            @Override
            public void onClick(View v) {
                Intent i = new Intent(AActivity.this, BActivity.class);
                i.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK );//必须添加
                getApplication().startActivity(i);
            }
        });
    }

    @Override
    protected void attachBaseContext(Context newBase) {
        super.attachBaseContext(newBase);
        try {
            HookUtil.attachContext();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

BActivity


public class BActivity extends AppCompatActivity {

    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);

    }
}

运行程序可以看到会打印信息:Hook之前 打印 execStartActivity

注意:
不添加setFlags(Intent.FLAG_ACTIVITY_NEW_TASK )会报错噢。
在这里插入图片描述

九、总结

hook技术涉及到的知识点主要有反射、代理及android的一些底层知识,需要花更多的时间去学习和总结才能较好地掌握好hook相关的内容。

Android性能优化(6):浅析类加载机制热修复技术
老蒋也疯狂
12-29 3612
文章目录1. 类加载反射1.1 类加载机制1.1.1 类加载器1.1.1.1 Java中的ClassLoader1.1.1.2 Android中的ClassLoader1.1.2 双亲委托模式1.1.3 ClassLoader的加载过程1.1.4 类的链接1.1.5 类的初始化1.2 Java反射机制2. 热修复技术2.1 热修复方案2.1.1 Tinker2.1.2 QZone超级补丁2.1...
万物皆可 Hook,探究 Xposed 框架 Hook 原理
杏仁技术站
07-15 3315
作者 |俞家欢低头需要勇气,抬头需要实力引言平时用着 Android 手机,喜欢折腾的同学或多或少都接触过 Xposed 框架,解锁、Root、刷包,一气呵成。本文将从原理和实践两部分带大...
Android Hook技术实践
12-27
不需要在manifest中注册activity,都可以打开activity页面,根据动脑学院Danny老师讲的hook技术实现的
理解 Android Hook 技术以及简单实战
chuanao8829的博客
04-17 830
1. 什么是 Hook Hook 英文翻译过来就是「钩子」的意思,那我们在什么时候使用这个「钩子」呢?在 Android 操作系统中系统维护着自己的一套事件分发机制。应用程序,包括应用触发事件和后台逻辑处理,也是根据事件流程一步步地向下执行。而「钩子」的意思,就是在事件传送到终点前截获并监...
深入理解Android代码Hook技术
最新发布
weixin_28888459的博客
07-12 271
Hook,直译为“钩子”,在计算机科学中指的是一种特殊的技术手段,通过它可以改变程序的执行流程。它可以视为一种事件监听机制,一旦预设的事件或条件触发,Hook就会激活,执行预定义的处理代码。Xposed框架是Android平台上的一个强大工具,它允许用户在不修改APK的情况下改变系统和应用程序的行为。它通过Hook机制在运行时对方法进行拦截,从而达到修改系统行为的目的。Xposed框架使用了Linux的ptrace机制来实现对方法调用的拦截。
Android中的HOOK技术
m0_62787113的博客
06-04 1739
HOOK技术
Android Hook技术初探
JohanMan的博客
11-30 1106
原谅我见识短浅,Android竟然还能这么玩!!什么是Hook首先我们来了解一下,什么是HookHook有什么用?我们都知道有一种设计模式 - 模板方法模式,原理是父类定义多个方法,但是不实现任何内容,然后将这些方法组合起来,来实现某种功能。 其中的没有实现的方法我们就称之为“Hook”钩子方法,主要目的是留给子类定制自己的东西。而这里的Hook有点不一样,运用反射技术和代理模式,以实现改变An
安卓QQ,hook
04-28
可抓到 Sharekey, Publickey, Privatekey 用于登录解包
Android插件化初体验
朱利源的博客
12-27 1382
最近把Activity启动流程整体看了一遍,估摸着弄个啥来巩固下,发现插件化正好是这块技术实践,而说道插件化其实有好几种实现方式,这里我用的是hook的方式实现,主要目的呢是为了对activity启动流程有个整体的认识,当然了本篇的插件化也只是一个demo版本并没有任何兼容适配,重在流程和原理的理解。 概述 插件化顾名思义,就是将一个APK拆成多个,当需要的时候下载对应插件APK加载的技术。...
浅析如何打造一款自己的安卓APM SDK
zhengdavid02的博客
01-22 2249
浅析如何打造一款自己的安卓APM SDK 背景 首先,APM是什么?APM即(Applicaton Performance Management)应用性能管理,主要针对企业应用的一些关键业务和用户体验,行为逻辑进行检测和优化。随着互联网行业的发展,企业对于应用的可靠性和用户行为的检测提取提出了更高的要求,以此来达到优化产品,提高用户体验的目的。目前,市场上针对这一业务场景2b的需求,涌现出了很多的...
Flutter 跨端网络抓包 (以Android 为例)
dingdegao的博客
10-09 2637
背景 在很多公司测试环境使用的是内网测试,我们公司也是。 但是我们有点扯的是内网的域名没有配置内网域名解析,必须手动配置hosts才可以正常访问测试环境的域名。 如下: # localhost is used to configure the loopback interface # when the system is booting. Do not change this entry. ##...
Android native Hook工具
12-24
Android进程so注入Hook java方法的原理和使用(一)中介绍的Android native Hook工具文件,已经在android模拟器上进行Hook测试,能够成功,提供给需要的朋友,也为自己备份一下。
Android Inline Hook原理图
08-13
Android Inline Hook原理图
Android hook api
01-09
android hook api,Deceptive signature
Android Hook机制
m0_56144365的博客
11-21 3649
其实Hook并不是Android的专属。其实在Android出现之前,HOOK(钩子,挂钩)是一种实现Windows平台下类似于中断的机制。HOOK机制允许应用程序拦截并处理Windows消息或指定事件,当指定的消息发出后,HOOK程序就可以在消息到达目标窗口之前将其捕获,从而得到对消息的控制权,进而可以对该消息进行处理或修改,加入我们所需的功能,PC端游戏外挂用的就是这个原理。
android hook 模拟点击_Androidhook点击事件的示例
weixin_39933438的博客
12-22 445
Hook是一种思想,也就是将原来的事件,替换到我们自己的事件,方便我们做一些切入处理。目的是不修改原来的代码,同时也避免遗漏的N多类里面处理。最近需要在现有的app中设置统计埋点。去业务代码里埋的话似乎耦合度太高。所以决定使用hook的方法对事件进行埋点处理。这里先记一下对点击事件hook的基本流程。1.先建一个代理类实现View.OnClickListener,用来做点击后的后续处理。impor...
Android Hook 机制之简单实战
2401_84132496的博客
04-14 1250
最后为了帮助大家深刻理解Android相关知识点的原理以及面试相关知识,这里放上相关的我搜集整理的24套腾讯、字节跳动、阿里、百度2019-2021面试真题解析,我把技术点整理成了视频和PDF(实际上比预期多花了不少精力),包知识脉络 + 诸多细节。还有高级架构技术进阶脑图、Android开发面试专题资料帮助大家学习提升进阶,也节省大家在网上搜索资料的时间来学习,也可以分享给身边好友一起学习。
Java基础知识点面试题,安卓程序员必备hook技术之进阶篇
m0_60607203的博客
08-07 303
方式1:使用Activity自带的startActivity 示例代码 private void startActivityByActivity() { Intent i = new Intent(MainActivity.this, Main2Activity.class); startActivity(i); } 程序执行走向图. 代码追踪: 这里有个if(mParent==null)判定,先看true分支: 发现一个坑,mInstrumentatio
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值