Albatross 是一个功能强大的 Android Hook 框架,不仅支持方法级别的 Hook,现在还支持指令级别的 Hook,允许开发者在 Android 7(Nougat)到最新的 Android 16之间,对任意方法中的某条或某段 Dalvik 字节码指令的运行结果进行监控和修改。以下将介绍 Albatross 的指令级 Hook 功能,包括虚拟机模型、寄存器分配机制以及具体 API 的使用方式,并通过一个完整示例进行演示。
在深入 Albatross 的指令 Hook 之前,我们先了解 Android ART 虚拟机使用的 寄存器模型,以及它与传统的 栈模型 的区别。
优点:结构简单,易于实现。
缺点:频繁的栈操作导致性能较差。
优点:减少内存访问,提升性能。
缺点:指令编码更复杂。
在 ART 虚拟机中,每个方法都有一个虚拟寄存器池,数量由 .registers 伪指令指定。这些寄存器用于保存局部变量、参数和中间计算结果。
Albatross 提供了以下核心 API 来进行指令级 Hook:
该类提供了对当前执行上下文中虚拟寄存器的访问能力:
以下是一个完整的指令级 Hook 示例,展示了如何 Hook getCaller(View) 方法的指令,修改运行过程中的值。
对应的 Dalvik 指令:
Dalvik PC = 4 对应 move-result-object 指令执行完。
通过hookgetCaller方法中dexPc=0到dexPc=10的指令范围,在dexPc=4(即move-result-object v0指令执行时)修改v0寄存器的值,将调用者类改为当前类。
Albatross 的指令级 Hook 功能为 Android 开发者提供了前所未有的灵活性和控制力。通过理解 ART 虚拟机的寄存器模型和 Dalvik 指令结构,开发者可以在任意方法的任意指令位置插入自定义逻辑,实现高级调试、行为注入、逻辑绕过等功能。
结合 InstructionCallback 和 InvocationContext,开发者可以实时读写寄存器内容,甚至修改执行流程,这使得 Albatross 成为 Android 动态分析和逆向工程的利器。
提示:如需获取 Dalvik PC 值,可使用 jadx-gui 或 smali 工具查看反编译代码中的 .line 和指令偏移。
public static InstructionListener hookInstruction(Member member, int minDexPc, int maxDexPc, InstructionCallback callback)
public static InstructionListener hookInstruction(Member member, int minDexPc, int maxDexPc, InstructionCallback callback)
| 参数 |
类型 |
说明 |
member |
Member |
要 Hook 的方法(Method/Constructor) |
minDexPc |
int |
起始 Dalvik PC 值(包括) |
maxDexPc |
int |
结束 Dalvik PC 值(包括) |
callback |
InstructionCallback |
指令执行时的回调 |
public interface InstructionCallback {
void onEnter(Member method, Object self, int dexPc, InvocationContext invocationContext);
}
public interface InstructionCallback {
void onEnter(Member method, Object self, int dexPc, InvocationContext invocationContext);
}
| 参数 |
类型 |
说明 |
method |
Member |
当前执行的方法 |
self |
Object |
方法调用者(this,静态方法为null) |
dexPc |
int |
当前 Dalvik PC 值 (偏移量) |
invocationContext |
InvocationContext |
当前执行上下文,用于读写寄存器 |
public void getCaller(View view) {
Class<?> caller = Albatross.getCallerClass();
textView.setText("caller:" + caller.getName() + ":" + callerCount++);
}
public void getCaller(View view) {
Class<?> caller = Albatross.getCallerClass();
textView.setText("caller:" + caller.getName() + ":" + callerCount++);
}
InstructionListener listener = null;
public void instruction(View view) throws NoSuchMethodException {
if (listener == null) {
Method getCaller = AlbatrossDemoMainActivity.class.getDeclaredMethod("getCaller", View.class);
listener = Albatross.hookInstruction(getCaller, 0, 10, (method, self, dexPc, invocationContext) -> {
assert dexPc <= 10;
assert dexPc >= 0;
assert method == getCaller;
assert self == AlbatrossDemoMainActivity.this;
assert invocationContext.NumberOfVRegs() == 7;
Albatross.log("onEnter:" + dexPc);
Object receiver = invocationContext.GetParamReference(0);
assert receiver == self;
Object v = invocationContext.GetParamReference(1);
assert (v instanceof View);
if (dexPc == 4) {
invocationContext.SetVRegReference(0, AlbatrossDemoMainActivity.class);
}
});
} else {
listener.unHook();
listener = null;
}
}
InstructionListener listener = null;
public void instruction(View view) throws NoSuchMethodException {
if (listener == null) {
Method getCaller = AlbatrossDemoMainActivity.class.getDeclaredMethod("getCaller", View.class);
listener = Albatross.hookInstruction(getCaller, 0, 10, (method, self, dexPc, invocationContext) -> {
assert dexPc <= 10;
assert dexPc >= 0;
assert method == getCaller;
assert self == AlbatrossDemoMainActivity.this;
assert invocationContext.NumberOfVRegs() == 7;
Albatross.log("onEnter:" + dexPc);
Object receiver = invocationContext.GetParamReference(0);
assert receiver == self;
Object v = invocationContext.GetParamReference(1);
assert (v instanceof View);
if (dexPc == 4) {
invocationContext.SetVRegReference(0, AlbatrossDemoMainActivity.class);
}
});
} else {
listener.unHook();
listener = null;
}
}
caller:qing.albatross.demo.AlbatrossDemoMainActivity:0
caller:qing.albatross.demo.AlbatrossDemoMainActivity:0
.method public getCaller(Landroid/view/View;)V
.registers 7
.param p1, "view" # Landroid/view/View;
.line 180
invoke-static {}, Lqing/albatross/core/Albatross;->getCallerClass()Ljava/lang/Class;
move-result-object v0
// 寄存器数量:7个(v0-v6,p0-p1)
.registers 7
// 调用Albatross.getCallerClass()并将结果存入v0
invoke-static {}, Lqing/albatross/core/Albatross;->getCallerClass()Ljava/lang/Class;
move-result-object v0
// 后续逻辑:使用v0的值构建字符串并更新textView
传播安全知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2025-7-27 10:19
被WanQing编辑
,原因: 添加项目地址
