有了上一篇JustTrustMe源码解读作铺垫，下面我讲解用frida实现JustTrustMe就很容易了。但是还是有些难点，比如JustTrustMe中有一些自定义的类和方法。那到底如何用frida的方式来实现自定义的类和方法？

自定义类虽然在frida语法中可以用registerClass的方式实现，但是由于类太复杂。我们可以把实现好的java代码打包成dex然后inject到目标进程中再跑hook脚本。

梳理JustTrustMe Main.java中内部类有如下3个：

同学们要对技术要有自己的判断力，虽然frida有registerClass让你用js语法定义一个类这样的功能。但是，这只是frida的附属价值。你看到这样的技术，了解一下就得了。不用学它，浪费精力！frida的openClassFile摆在那里让你可以注入dex，你居然还用registerClass。那你跟放弃用计算器，手动算数有什么区别？有什么本质的提高吗？并没有，还JB浪费时间。别人在进步，你在原地踏步！
IDA和GDB都说自己反汇编，哪个更好你没点B数吗？
Java和C++都说自己是面向对象，面向对象封装性哪个更好你没点B数吗？

除了以上3个类，JustTrustMe还有几个静态方法需要我们实现。可以说上面几个类，最终都是通过这几个方法使用的。比如getSCCM()、getEmptySSLFactory()、getCCM()等
我们还是用Java直接实现，那么这些方法。

关于怎么打包涉及到一些技术细节，暂时不便透露。感兴趣的朋友可以去https://github.com/CreditTone/hooker看我的radar.dex里面有所有打包好的代码。

现在JustTrustMe除hook逻辑之外的所有自定义类和方法我们现在全部搞定了。我们可以正式开始用frida来实现JustTrustMe所有hook点了。

我们还是按上一篇《实现frida版的JustTrustMe（一）JustTrustMe官方源码学习》的源码解读顺序来逐一实现。为了让大家更容易理解，我不贴JustTrustMe的代码了。我贴每个hook点的伪代码，然后跟上frida的实现。这样大家会理解的清晰一点。

上节分析：三个构造方法的目的都是在new DefaultHttpClient之后替换connManager参数。而getSCCM()方法就是返回一个不安全的ClientConnectionManager。

上节分析：X509TrustManagerExtensions原方法会进行一系列的效应证书和服务器是否可信。这里xposed用了XC_MethodReplacement直接替换方法的执行体。

上节分析：原NetworkSecurityTrustManager类的checkPins方法List参数原型是List<X509Certificate>。校验X509Certificate集合是否合法，如果不合法就会抛CertificateException。这里xposed用了XC_MethodReplacement直接替换方法的执行体，并且什么都没做。

上节分析：这个稍微有点复杂，但目的很简单。就是为了替换TrustManager，而TrustManager不可以直接传进来，是内部创建一个sslcontext来包装一个TrustManager[]。所以要new一个自定义的sslcontext然后把ImSureItsLegitTrustManager传进去。sslcontext对象要进行init()所以整个代码看起来比较多。

分析：逻辑过于简单，不解释了

上节分析：强制让isSecure返回true

上节分析: 如果存在com.android.org.conscrypt.TrustManagerImpl这个类的，并且返回的TrustManager[]的长度大于0，并且TrustManager[]第0个是com.android.org.conscrypt.TrustManagerImpl实例，则什么都不操作。否则直接把返回值改成TrustManager[]{new ImSureItsLegitTrustManager()}

上节分析：让setDefaultHostnameVerifier方法失效，让setSSLSocketFactory失效，让setHostnameVerifier失效

上节分析：不用第0和低2个参数，而第1个参数使用TrustManager[]{new ImSureItsLegitTrustManager()}

上节分析：由于xposed基于zygote进程孵化app进程，hook非常早。所以如果它想对应用层的类进行hook的话，必须等Application的attach调用之后才能拿到应用级的ClassLoader。那么在attach之后他又进行了processOkHttp、processHttpClientAndroidLib、processXutils方法的调用，分别对应okhttp库的hook、httpclientandroidlib库的hook、org.xutils.http的hook。这三个是应用喜欢用的三方http库。

上节分析okhttp包名不统一问题：由于okhttp 2.x和3.x包名相差比较大。所以这里第一个hook你可以看到justTrustMe试图去找com.squareup.okhttp.CertificatePinner类，这是为了尽量兼容老安卓项目。

上节分析CertificatePinner.check：无论是okhttp2.x还是3.x、4.x都是有CertificatePinner.check(String str, List<Certificate> list)这个方法的。可以上面第一二个hook做的是XC_MethodReplacement，并且什么都不操作。对比原check方法，我们知道这个目的是为了阻止check抛SSLPeerUnverifiedException异常。

上节分析：第三四个hook OkHostnameVerifier.verify()，校验hostname是否合法最终会调用verify(str, (X509Certificate) sSLSession.getPeerCertificates()[0]);说明还是对远程服务证书进行了校验，这里直接用return true替代了原来的逻辑。

上节分析：一个冷门http库的hook

上节分析：一个冷门http库的hook

到此为止，JustTrustMe所有的hook点除了webviewclient之外全部用frida实现了。我们merge一下。

JustTrustMe的官方源码hook点虽然全部实现，但是由于Android一直在更新和app的混淆不断变强使得我们hook点经常hook不到。那么下一篇我们就来看看如何添加这些新的hook点和对抗混淆frida版本的JustTrustMe

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)