几种Dalvik Hook方案研究

Dalvik Hook的基本原理

如上一篇文章所述,每个java方法在虚拟机内部都对应一个Method结构体(可以将JNI的jmethodID强转为指向此Method结构体首地址的指针得到),Dalvik Hook通常通过修改Method结构体内容实现.常见的两种hook思路:

• 将被hook方法Method结构体的accessFlags置native标志位,并将nativeFunc指向自定义的函数.可以将多个被hook的方法都转向统一的自定义函数,在此函数中进行方法的分发处理.特点是比较灵活,实现起来有一定难度.
• 声明一个与被hook方法完全相同的新方法,将新方法的Method结构体覆盖到被hook的Method结构体上. 特点是相对简单,但是不够灵活.

几种常见的Dalvik Hook框架实现细节

这里分析三个常见的Dalvik Hook框架:AndFix,DDI和Xposed(均在github开源,链接见附录).其实现细节如下:

其中–表示未修改,ACC_NATIVE,ACC_PUBLIC定义于/dalvik/libdex/DexFile.h, DALVIK_JNI_NO_ARG_INFO定义于/dalvik/vm/JniInternal.h.
值得注意的是DDI框架将registersSize和insSize全部修改为1,是因为其代码只hook了部分类的toString函数,并没有通用性.另外将jniArgInfo修改为DALVIK_JNI_NO_ARG_INFO在部分CPU架构上会出现问题(x86强制要求jniArgInfo为有效值,否则调用方法时直接崩溃).

几种常见的Dalvik Hook框架比较

其实结合以上两篇文章实现一个通用的不依赖android源码的Dalvik Hook框架不是难事:)

参考资料

(文章参考的是以下几个项目2016年12月10日左右的版本)

• https://github.com/alibaba/AndFix
• https://github.com/rovo89
• https://github.com/crmulliner/ddi