前言：

现在 市面上的 Hook 框架有很多 ，Xposed,Frida,YAHAK 等 

Frida 是目前最火的 ，跨平台注入 框架 ，支持 java和 Naive 层

安卓 目前 沙盒注入 方式 应该 就 两种Ptrace 和 Zygote

各有各的优点和短板  曾经Hook之王 Xposed 在 Native层显得比较无力

也就导致 市场上很多 模块都 不能 进行Native层的 Hook 

一直在想着 能不能 试着 完善一下。

如何利用xposed Hook Native层 函数 - 简书

在之前这篇帖子里  简单实现了 Xposed 在 4.4的 版本的 NativeHook 

主要 原理就是 在加载 被Hook So的 时候 利用Xposed拦截 

在 java层 调用System.load函数 把Xposed 模块里面的so进行 加载注入  

在so里面 直接调用 dlopen拿到 被Hook So地址 即可

在高版本里面 是不允许直接 System.load 的 认为是 不安全的 

大概意思就是说 直接 System.load 容易被串改 在高版本会失效 应该使用 System.loadLib

这个函数是加载 app内部 Lib下So的函数   但最终 都会调用 doLoad函数 （具体 可以参考对应源码 ）我们就从 这个函数入手

Xposed 先挂钩 作为 So名字 作为 条件过滤依据 

这块 有个问题 就是 怎么把 Xposed模块里面的 So注入到 目标 进程中  

在 4.4 版本的时候 可以 直接 System.load 打开即可 然后进行 装载和链接

这个 问题 我想了很长时间 有两种 可行方案 

第一种方案 ：可以吧 模块里的 so 利用shell权限 进行 copy 直接 拷贝到 被 Hook的 lib下面 

然后 System.loadLib 去加载即可 因为 因为shell需要 root 会导致 被 Hook 进程 申请 Root权限才可以 

（比如 Hook A app 因为 Xposed 走的是 A所在的进程  所以如果 在 代码里申请 Root 最终 会提示A app 申请 Root）

进行操作 不方便 和 不实用 

第二种方案：直接利用反射 调用 doLoad  函数 进行 So的 加载  如图

第一个 参数 是 So的 路径 第二个参数 Classloader 其实他是一个 PathClassloader

如果 发现 加载的 So 是被Hook的 So 便进行 注入 把第二个 参数 传入 进去 反射备用

这块的 Path是 绝对路径  有人会问 为什么要这么写    

我在Hook 这个 函数的时候  把参数 1 打印了一下 可以看到 加载的 是 So的绝对路径

（这块 楼主 也有一件事 不太懂 为什么 路径 要加个 -1 很奇怪 算了 照葫芦画瓢  先这么写 ）

这里科普一下 /data/data/ 下面 都是 App的数据 而/data/App/下面放的是 app 包 

然后吧 路径 改成自己Xposed模块里的 So 进行  注入 成功！

这块有个调用时机 问题 一定要在 目标 So加载完毕 以后 在进行 注入 

因为后期需要 实现 突破 7.0  dlopen 限制  需要遍历 内存对应的Map文件 

下来 开始 在 Xposed模块的 so得 JNI_OnLoad 进行  挂钩 Hook 楼主用的是 InlineHook

在 4.4 版本 以前 可以 直接 dlopen直接打开 任意目录的 So 进制 装载和链接 

在 4.4的 时候 直接打开 被Hook的 so即可 

在高版本 因为 权限问题 不能 直接打开 

楼上图片参考 地址 https://www.cnblogs.com/eniac1946/p/7515557.html

突破 dlopen 限制 楼主 用的是  感谢大佬提供的 轮子 

GitHub - lizhangqu/dlfcn_compat: 兼容Android 7.0 dlfcn(dlopen、dlsym、dlclose、dlerror)

主要是遍历 Map文件 拿到so的 地址 和 dlopen的 Hook

（具体可参考 项目的 reademe）

下面 我们看看 内存里的 文件对应内容 楼主用的是 7.1的 安卓  系统 

利用GG修改器 导出内存  看看 对应 文件的 地址的映射 和 路径 

有人 会问 这个 怎么导出的？ 

内存 管理页面 点导出 内存 

结束地址 随便 输入 

保存即可 

（GG修改器 是个 神器 ，可以 用来 dex脱壳  So 还原 ，Dll提取等 直接操作内存  感兴趣可以 学学  ）

将路径 改为 绝对路径

直接 dlopen打开 

拿到 句柄 以后 直接进行 用dlsym 拿到 对应函数地址 用 InlineHook 进行 挂钩  

还是以loadbuffer函数 为 目标 函数 dump lua文件 

在 my_luaL_loadbuffer 进行保存 

保存成功 

上面的 只是一个 demo 一个Hook的 模板 

Xposed 模块 可以用 这种方式 进行 so层的 Hook和 注入 

具体代码 上传到 

XPOSED 实现ART NativeHook Demo

-------------------------------------------

2020年9月21日18:36:08

在之前版本里面是通过调用doLoad函数进行反射加载模块So文件8.0还可以

但是在9.0,10.0发现不可行。去源码里面搜索在Runtime.java里面已经没有这个方法

找到了一个替换方法nativeLoad 参数类型也一样

兼容了一下在Android 10里面也可以支持这种

在获取模块So文件路径的时候在高版本里面

/data/app下面会有一个随机字符串，每次安装都会变所以写死路径不可以

//data/app/com.lyh.nkddemo-YuNFiNvInJyE3ahHYBXAQw==/base.apk

大概长这样 

我在模块里面获取安装的app路径，然后将后面的base.apk换成/lib/arm/模块so

即可解决

增加了开源库 dlfc 寻找So指定格式，只需要传入一个需要的 包名|So名字

在安卓10 data/app下面的包名都是这种加密的。

想要定位很难，在遍历Map文件的时候字符串分割，两个都满足就认为是匹配项

代码也很简单。在兼容原来逻辑 加个判断。

这块有个很坑的地方 就是fgets函数 读取文件每一行的时候会加个回车

直接打开是打不开的 。

当时对比发现都一样卡了很久，直到打印字符串长度的时候才发现多一位字符串

代码上传了有需求可以down 下来看看 ，根据自己需求改改。有啥问题也可以帖子下面留言。

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界