[分享]Xposed Hook Apk不在classes.dex中定义的类-Android安全-看雪-安全社区|安全招聘|kanxue.com

[分享]Xposed Hook Apk不在classes.dex中定义的类

发表于: 2018-3-15 10:21 20356

[分享]Xposed Hook Apk不在classes.dex中定义的类

fooree

2018-3-15 10:21

20356

一直在论坛学习，学到了很多知识，分享一下。

其实都不必绕那么多的圈子，来完成Hook。

Hook一个类，我们不要关心这个类在哪个DexClassLoader中；因为在Xposed模块加载的时候，Apk应用程序的类都没有加载，通过哪个DexClassLoader加载，我们也不知道。

我们知道的是，所有的类都是通过ClassLoader的loadClass方法加载的。我们只需要Hook loadClass方法，就能得到所有的类（除非该方法被重写

）。

我们直接上代码，其中classes是我们定义的一个List/Set对象，具体怎么用，看你自己的需求。

        // 第一步：Hook方法ClassLoader#loadClass(String)
        findAndHookMethod(ClassLoader.class, "loadClass", String.class, new XC_MethodHook() {
            @Override
            protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                if (param.hasThrowable()) return;
                Class<?> cls = (Class<?>) param.getResult();
                String name = cls.getName();
                if (classes.contains(name)) {
                    // 所有的类都是通过loadClass方法加载的
                    // 所以这里通过判断全限定类名，查找到目标类
                    // 第二步：Hook目标方法
                    findAndHookMethod(cls, "methodName", paramTypes, new XC_MethodHook() {
                        @Override
                        protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                            // TODO
                        }

                        @Override
                        protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                            // TODO
                        }
                    });
                }
            }
        });

        // 第一步：Hook方法ClassLoader#loadClass(String)
        findAndHookMethod(ClassLoader.class, "loadClass", String.class, new XC_MethodHook() {
            @Override
            protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                if (param.hasThrowable()) return;
                Class<?> cls = (Class<?>) param.getResult();
                String name = cls.getName();
                if (classes.contains(name)) {
                    // 所有的类都是通过loadClass方法加载的
                    // 所以这里通过判断全限定类名，查找到目标类
                    // 第二步：Hook目标方法
                    findAndHookMethod(cls, "methodName", paramTypes, new XC_MethodHook() {
                        @Override
                        protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                            // TODO
                        }

                        @Override
                        protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                            // TODO
                        }
                    });
                }
            }
        });

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・46

免费・2

支持

最新回复 (27) 1 2 ▶
ugui 雪币： 10 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 1 关注私信	ugui 2 楼正好解决了我滴问题，3q 2018-3-15 11:20 0
WX学徒雪币： 23 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	WX学徒 3 楼 ugui 正好解决了我滴问题，3q[em_52] 那感情好。个人公众号“安卓Xposed框架交流”持续更新，欢迎关注 2018-3-15 21:08 0
tDasm 雪币： 14855 活跃值： (6083) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 4 楼 Github链接打不开，麻烦把APK提供下载。 2018-3-16 10:48 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 5 楼，这个真是极好的思路 2018-3-16 12:14 0
fooree 雪币： 24 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 28 粉丝 4 关注私信	fooree 6 楼 zylyy [em_41]，这个真是极好的思路这种方式用了很长时间了，不需要考虑更多细节 2018-3-16 17:52 0
fooree 雪币： 24 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 28 粉丝 4 关注私信	fooree 7 楼 tDasm Github链接打不开，麻烦把APK提供下载。公众号“安卓Xposed框架交流”里有完整的代码介绍 2018-3-16 17:54 0
聖blue 雪币： 6818 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 358 粉丝 1 关注私信	聖blue 8 楼 2018-3-17 10:03 0
friendanx 雪币： 7885 活跃值： (2285) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 185 粉丝 2 关注私信	friendanx 9 楼谢谢分享，不错不错。、 2018-3-17 14:17 0
tDasm 雪币： 14855 活跃值： (6083) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 10 楼 fooree 公众号“安卓Xposed框架交流”里有完整的代码介绍不需要看介绍，原理都知道。只是不想写代码，拿来就用。麻烦把APK放这里 2018-3-18 16:28 0
supperlitt 雪币： 1385 活跃值： (5609) 能力值： ( LV3，RANK：25 ) 在线值：发帖 19 回帖 396 粉丝 30 关注私信	supperlitt 11 楼跟我使用的最终结果差不多，不过方式不一样，我是直接把几个dex转成jar,然后倒入，然后所有类都hook,不过是在进入Main的oncreate之后了，书上说应该是在自定义Application中进行dex加载的， 2018-3-19 10:49 0
WX学徒雪币： 23 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	WX学徒 12 楼 supperlitt 跟我使用的最终结果差不多，不过方式不一样，我是直接把几个dex转成jar,然后倒入，然后所有类都hook,不过是在进入Main的oncreate之后了，书上说应该是在自定义Application中进行 ... 除了classes.dex其他的dex可以任意加载，和appplication没有关系 2018-3-19 14:51 0
bjhrwzh 雪币： 4687 活跃值： (253) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 143 粉丝 1 关注私信	bjhrwzh 13 楼这个还是比较简便的。不用关心classloader了。只要拿到加载类就可以hook了 2018-3-19 17:00 0
lykseek 雪币： 416 活跃值： (509) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 35 粉丝 22 关注私信	lykseek 14 楼这个挺实用的 2018-3-21 14:48 0
ckis 雪币： 241 活跃值： (231) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 144 粉丝 22 关注私信	ckis 15 楼比如 A.class 调用 B.getText() 在loadClass里能拦截到B.class的加载吗？我测试结果是不能求解楼主 2018-4-5 10:59 0
ckis 雪币： 241 活跃值： (231) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 144 粉丝 22 关注私信	ckis 16 楼安卓4.4.4和 7.1.2测试发现该方法失败并非所有类都在ClassLoader.loadClass方法内加载比如我15楼的情况B.class无法捕捉到希望楼主再验证一下原贴的方法 2018-4-6 09:55 0
WX学徒雪币： 23 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	WX学徒 17 楼 ckis 安卓4.4.4和 7.1.2测试发现该方法失败并非所有类都在ClassLoader.loadClass方法内加载比如我15楼的情况B.class无法捕捉到希望楼主再验证一下原 ... 能发个apk和类名给我吗？Java类加载机制就是这样的我测试下 2018-4-7 08:48 0
ckis 雪币： 241 活跃值： (231) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 144 粉丝 22 关注私信	ckis 18 楼网上随便下载一个app都能测微信优酷淘宝京东... 你会发现楼主的方法能拦截到的类非常有限 2018-4-7 17:56 0
gaybc 雪币： 33 活跃值： (322) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	gaybc 19 楼有点有限.. 很多壳的attachBaseContext都很好找不太稳定 2018-4-10 00:01 0
WX学徒雪币： 23 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	WX学徒 20 楼 gaybc 有点有限.. 很多壳的attachBaseContext都很好找不太稳定 hook过棒棒加壳的app和三六零加壳的app，在4.4.4上还可以，hook的类都找到了，和attachBaseContext好像没有关系 2018-4-11 09:35 0
蔡金成雪币： 12 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 45 粉丝 1 关注私信	蔡金成 21 楼恩思路不错, 脱壳也可以在这里弄. 2018-4-18 17:21 0
virjar 雪币： 1867 活跃值： (3973) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 242 粉丝 151 关注私信	virjar 1 22 楼似乎只能拦截到部分class，貌似是因为classloader的隐式加载导致的。可以在这里打印这个函数所有被加载的类，我测试的时候似乎只有三五个记录（一个classloader似乎只有三五个加载记录）。当然我也不知道是不是我的环境问题。后来，我换了一个姿势实现了的这个功能 ,见： https://gitee.com/virjar/xposedhooktool/blob/master/app/src/main/java/com/virjar/xposedhooktool/tool/ClassLoadMonitor.java 方式就是，通过hook classloader的方式，收集所有的classloader对象。然后每当增加了一个classloader，就去强制调用这个classloader来loadclass，如果load成功，那么就是这个classloader的，否则可能能够加载这个Class的classloader还没有出现，继续等待。然后，我这样做还是有问题。因为这种方案提前了class的初始化，本身可能class被用到的时候才会定义，但是我在对应的classloader被构造之后里面就进行了class的定义。如果这个class对这个定义时机比较敏感，那么确实可能引发未知问题（我又一次玩爱加密的壳就遇到过，也不是程序闪退，app也能打开，就是某些功能似乎发生了变化，业务不正常了）。 2018-5-22 17:26 0
WX学徒雪币： 23 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	WX学徒 23 楼 virjar 似乎只能拦截到部分class，貌似是因为classloader的隐式加载导致的。可以在这里打印这个函数所有被加载的类，我测试的时候似乎只有三五个记录（一个classloader似乎只有三五个加载记录） ... 发现只有Dalvik的hook loadclass方法才有用 art无效 2018-5-22 20:51 0
La0s 雪币： 905 活跃值： (1047) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 1 关注私信	La0s 24 楼感谢楼主，很受用 https://la0s.github.io/2018/06/20/xposed/ 2018-7-23 19:54 0
koflfy 雪币： 102 活跃值： (2050) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 398 粉丝 4 关注私信	koflfy 1 25 楼 mark 2018-7-25 01:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fooree

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (27) 1 2 ▶
ugui 雪币： 10 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 1 关注私信	ugui 2 楼正好解决了我滴问题，3q 2018-3-15 11:20 0
WX学徒雪币： 23 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	WX学徒 3 楼 ugui 正好解决了我滴问题，3q[em_52] 那感情好。个人公众号“安卓Xposed框架交流”持续更新，欢迎关注 2018-3-15 21:08 0
tDasm 雪币： 14855 活跃值： (6083) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 4 楼 Github链接打不开，麻烦把APK提供下载。 2018-3-16 10:48 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 5 楼，这个真是极好的思路 2018-3-16 12:14 0
fooree 雪币： 24 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 28 粉丝 4 关注私信	fooree 6 楼 zylyy [em_41]，这个真是极好的思路这种方式用了很长时间了，不需要考虑更多细节 2018-3-16 17:52 0
fooree 雪币： 24 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 28 粉丝 4 关注私信	fooree 7 楼 tDasm Github链接打不开，麻烦把APK提供下载。公众号“安卓Xposed框架交流”里有完整的代码介绍 2018-3-16 17:54 0
聖blue 雪币： 6818 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 358 粉丝 1 关注私信	聖blue 8 楼 2018-3-17 10:03 0
friendanx 雪币： 7885 活跃值： (2285) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 185 粉丝 2 关注私信	friendanx 9 楼谢谢分享，不错不错。、 2018-3-17 14:17 0
tDasm 雪币： 14855 活跃值： (6083) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 10 楼 fooree 公众号“安卓Xposed框架交流”里有完整的代码介绍不需要看介绍，原理都知道。只是不想写代码，拿来就用。麻烦把APK放这里 2018-3-18 16:28 0
supperlitt 雪币： 1385 活跃值： (5609) 能力值： ( LV3，RANK：25 ) 在线值：发帖 19 回帖 396 粉丝 30 关注私信	supperlitt 11 楼跟我使用的最终结果差不多，不过方式不一样，我是直接把几个dex转成jar,然后倒入，然后所有类都hook,不过是在进入Main的oncreate之后了，书上说应该是在自定义Application中进行dex加载的， 2018-3-19 10:49 0
WX学徒雪币： 23 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	WX学徒 12 楼 supperlitt 跟我使用的最终结果差不多，不过方式不一样，我是直接把几个dex转成jar,然后倒入，然后所有类都hook,不过是在进入Main的oncreate之后了，书上说应该是在自定义Application中进行 ... 除了classes.dex其他的dex可以任意加载，和appplication没有关系 2018-3-19 14:51 0
bjhrwzh 雪币： 4687 活跃值： (253) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 143 粉丝 1 关注私信	bjhrwzh 13 楼这个还是比较简便的。不用关心classloader了。只要拿到加载类就可以hook了 2018-3-19 17:00 0
lykseek 雪币： 416 活跃值： (509) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 35 粉丝 22 关注私信	lykseek 14 楼这个挺实用的 2018-3-21 14:48 0
ckis 雪币： 241 活跃值： (231) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 144 粉丝 22 关注私信	ckis 15 楼比如 A.class 调用 B.getText() 在loadClass里能拦截到B.class的加载吗？我测试结果是不能求解楼主 2018-4-5 10:59 0
ckis 雪币： 241 活跃值： (231) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 144 粉丝 22 关注私信	ckis 16 楼安卓4.4.4和 7.1.2测试发现该方法失败并非所有类都在ClassLoader.loadClass方法内加载比如我15楼的情况B.class无法捕捉到希望楼主再验证一下原贴的方法 2018-4-6 09:55 0
WX学徒雪币： 23 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	WX学徒 17 楼 ckis 安卓4.4.4和 7.1.2测试发现该方法失败并非所有类都在ClassLoader.loadClass方法内加载比如我15楼的情况B.class无法捕捉到希望楼主再验证一下原 ... 能发个apk和类名给我吗？Java类加载机制就是这样的我测试下 2018-4-7 08:48 0
ckis 雪币： 241 活跃值： (231) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 144 粉丝 22 关注私信	ckis 18 楼网上随便下载一个app都能测微信优酷淘宝京东... 你会发现楼主的方法能拦截到的类非常有限 2018-4-7 17:56 0
gaybc 雪币： 33 活跃值： (322) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	gaybc 19 楼有点有限.. 很多壳的attachBaseContext都很好找不太稳定 2018-4-10 00:01 0
WX学徒雪币： 23 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	WX学徒 20 楼 gaybc 有点有限.. 很多壳的attachBaseContext都很好找不太稳定 hook过棒棒加壳的app和三六零加壳的app，在4.4.4上还可以，hook的类都找到了，和attachBaseContext好像没有关系 2018-4-11 09:35 0
蔡金成雪币： 12 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 45 粉丝 1 关注私信	蔡金成 21 楼恩思路不错, 脱壳也可以在这里弄. 2018-4-18 17:21 0
virjar 雪币： 1867 活跃值： (3973) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 242 粉丝 151 关注私信	virjar 1 22 楼似乎只能拦截到部分class，貌似是因为classloader的隐式加载导致的。可以在这里打印这个函数所有被加载的类，我测试的时候似乎只有三五个记录（一个classloader似乎只有三五个加载记录）。当然我也不知道是不是我的环境问题。后来，我换了一个姿势实现了的这个功能 ,见： https://gitee.com/virjar/xposedhooktool/blob/master/app/src/main/java/com/virjar/xposedhooktool/tool/ClassLoadMonitor.java 方式就是，通过hook classloader的方式，收集所有的classloader对象。然后每当增加了一个classloader，就去强制调用这个classloader来loadclass，如果load成功，那么就是这个classloader的，否则可能能够加载这个Class的classloader还没有出现，继续等待。然后，我这样做还是有问题。因为这种方案提前了class的初始化，本身可能class被用到的时候才会定义，但是我在对应的classloader被构造之后里面就进行了class的定义。如果这个class对这个定义时机比较敏感，那么确实可能引发未知问题（我又一次玩爱加密的壳就遇到过，也不是程序闪退，app也能打开，就是某些功能似乎发生了变化，业务不正常了）。 2018-5-22 17:26 0
WX学徒雪币： 23 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	WX学徒 23 楼 virjar 似乎只能拦截到部分class，貌似是因为classloader的隐式加载导致的。可以在这里打印这个函数所有被加载的类，我测试的时候似乎只有三五个记录（一个classloader似乎只有三五个加载记录） ... 发现只有Dalvik的hook loadclass方法才有用 art无效 2018-5-22 20:51 0
La0s 雪币： 905 活跃值： (1047) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 1 关注私信	La0s 24 楼感谢楼主，很受用 https://la0s.github.io/2018/06/20/xposed/ 2018-7-23 19:54 0
koflfy 雪币： 102 活跃值： (2050) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 398 粉丝 4 关注私信	koflfy 1 25 楼 mark 2018-7-25 01:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复