[分享]Xposed Hook Apk不在classes.dex中定义的类-Android安全-看雪-安全社区|安全招聘|kanxue.com

[分享]Xposed Hook Apk不在classes.dex中定义的类

发表于: 2018-3-15 10:21 20888

[分享]Xposed Hook Apk不在classes.dex中定义的类

fooree

2018-3-15 10:21

20888

一直在论坛学习，学到了很多知识，分享一下。

其实都不必绕那么多的圈子，来完成Hook。

Hook一个类，我们不要关心这个类在哪个DexClassLoader中；因为在Xposed模块加载的时候，Apk应用程序的类都没有加载，通过哪个DexClassLoader加载，我们也不知道。

我们知道的是，所有的类都是通过ClassLoader的loadClass方法加载的。我们只需要Hook loadClass方法，就能得到所有的类（除非该方法被重写

）。

我们直接上代码，其中classes是我们定义的一个List/Set对象，具体怎么用，看你自己的需求。

        // 第一步：Hook方法ClassLoader#loadClass(String)
        findAndHookMethod(ClassLoader.class, "loadClass", String.class, new XC_MethodHook() {
            @Override
            protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                if (param.hasThrowable()) return;
                Class<?> cls = (Class<?>) param.getResult();
                String name = cls.getName();
                if (classes.contains(name)) {
                    // 所有的类都是通过loadClass方法加载的
                    // 所以这里通过判断全限定类名，查找到目标类
                    // 第二步：Hook目标方法
                    findAndHookMethod(cls, "methodName", paramTypes, new XC_MethodHook() {
                        @Override
                        protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                            // TODO
                        }

                        @Override
                        protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                            // TODO
                        }
                    });
                }
            }
        });

        // 第一步：Hook方法ClassLoader#loadClass(String)
        findAndHookMethod(ClassLoader.class, "loadClass", String.class, new XC_MethodHook() {
            @Override
            protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                if (param.hasThrowable()) return;
                Class<?> cls = (Class<?>) param.getResult();
                String name = cls.getName();
                if (classes.contains(name)) {
                    // 所有的类都是通过loadClass方法加载的
                    // 所以这里通过判断全限定类名，查找到目标类
                    // 第二步：Hook目标方法
                    findAndHookMethod(cls, "methodName", paramTypes, new XC_MethodHook() {
                        @Override
                        protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                            // TODO
                        }

                        @Override
                        protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                            // TODO
                        }
                    });
                }
            }
        });

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・47

免费・2

支持

最新回复 (27) 1 2 ▶
ugui 雪币： 10 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 1 关注私信	ugui 2 楼正好解决了我滴问题，3q 2018-3-15 11:20 0
WX学徒雪币： 23 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	WX学徒 3 楼 ugui 正好解决了我滴问题，3q[em_52] 那感情好。个人公众号“安卓Xposed框架交流”持续更新，欢迎关注 2018-3-15 21:08 0
tDasm 雪币： 15924 活跃值： (7163) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 673 粉丝 20 关注私信	tDasm 4 楼 Github链接打不开，麻烦把APK提供下载。 2018-3-16 10:48 0
zylyy 雪币： 144 活跃值： (718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 356 粉丝 3 关注私信	zylyy 5 楼，这个真是极好的思路 2018-3-16 12:14 0
fooree 雪币： 24 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 28 粉丝 5 关注私信	fooree 6 楼 zylyy [em_41]，这个真是极好的思路这种方式用了很长时间了，不需要考虑更多细节 2018-3-16 17:52 0
fooree 雪币： 24 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 28 粉丝 5 关注私信	fooree 7 楼 tDasm Github链接打不开，麻烦把APK提供下载。公众号“安卓Xposed框架交流”里有完整的代码介绍 2018-3-16 17:54 0
聖blue 雪币： 6818 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 358 粉丝 1 关注私信	聖blue 8 楼 2018-3-17 10:03 0
friendanx 雪币： 8260 活跃值： (2913) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 187 粉丝 2 关注私信	friendanx 9 楼谢谢分享，不错不错。、 2018-3-17 14:17 0
tDasm 雪币： 15924 活跃值： (7163) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 673 粉丝 20 关注私信	tDasm 10 楼 fooree 公众号“安卓Xposed框架交流”里有完整的代码介绍不需要看介绍，原理都知道。只是不想写代码，拿来就用。麻烦把APK放这里 2018-3-18 16:28 0
supperlitt 雪币： 1387 活跃值： (5614) 能力值： ( LV3，RANK：25 ) 在线值：发帖 19 回帖 396 粉丝 33 关注私信	supperlitt 11 楼跟我使用的最终结果差不多，不过方式不一样，我是直接把几个dex转成jar,然后倒入，然后所有类都hook,不过是在进入Main的oncreate之后了，书上说应该是在自定义Application中进行dex加载的， 2018-3-19 10:49 0
WX学徒雪币： 23 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	WX学徒 12 楼 supperlitt 跟我使用的最终结果差不多，不过方式不一样，我是直接把几个dex转成jar,然后倒入，然后所有类都hook,不过是在进入Main的oncreate之后了，书上说应该是在自定义Application中进行 ... 除了classes.dex其他的dex可以任意加载，和appplication没有关系 2018-3-19 14:51 0
bjhrwzh 雪币： 4687 活跃值： (388) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 146 粉丝 1 关注私信	bjhrwzh 13 楼这个还是比较简便的。不用关心classloader了。只要拿到加载类就可以hook了 2018-3-19 17:00 0
lykseek 雪币： 411 活跃值： (539) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 35 粉丝 23 关注私信	lykseek 14 楼这个挺实用的 2018-3-21 14:48 0
ckis 雪币： 241 活跃值： (236) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 144 粉丝 22 关注私信	ckis 15 楼比如 A.class 调用 B.getText() 在loadClass里能拦截到B.class的加载吗？我测试结果是不能求解楼主 2018-4-5 10:59 0
ckis 雪币： 241 活跃值： (236) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 144 粉丝 22 关注私信	ckis 16 楼安卓4.4.4和 7.1.2测试发现该方法失败并非所有类都在ClassLoader.loadClass方法内加载比如我15楼的情况B.class无法捕捉到希望楼主再验证一下原贴的方法 2018-4-6 09:55 0
WX学徒雪币： 23 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	WX学徒 17 楼 ckis 安卓4.4.4和 7.1.2测试发现该方法失败并非所有类都在ClassLoader.loadClass方法内加载比如我15楼的情况B.class无法捕捉到希望楼主再验证一下原 ... 能发个apk和类名给我吗？Java类加载机制就是这样的我测试下 2018-4-7 08:48 0
ckis 雪币： 241 活跃值： (236) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 144 粉丝 22 关注私信	ckis 18 楼网上随便下载一个app都能测微信优酷淘宝京东... 你会发现楼主的方法能拦截到的类非常有限 2018-4-7 17:56 0
gaybc 雪币： 33 活跃值： (332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	gaybc 19 楼有点有限.. 很多壳的attachBaseContext都很好找不太稳定 2018-4-10 00:01 0
WX学徒雪币： 23 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	WX学徒 20 楼 gaybc 有点有限.. 很多壳的attachBaseContext都很好找不太稳定 hook过棒棒加壳的app和三六零加壳的app，在4.4.4上还可以，hook的类都找到了，和attachBaseContext好像没有关系 2018-4-11 09:35 0
蔡金成雪币： 12 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 45 粉丝 1 关注私信	蔡金成 21 楼恩思路不错, 脱壳也可以在这里弄. 2018-4-18 17:21 0
virjar 雪币： 1867 活跃值： (4263) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 230 粉丝 152 关注私信	virjar 1 22 楼似乎只能拦截到部分class，貌似是因为classloader的隐式加载导致的。可以在这里打印这个函数所有被加载的类，我测试的时候似乎只有三五个记录（一个classloader似乎只有三五个加载记录）。当然我也不知道是不是我的环境问题。后来，我换了一个姿势实现了的这个功能 ,见： b8bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8W2k6g2)9J5k6h3y4G2L8g2)9J5c8Y4k6A6M7X3A6S2M7W2)9J5c8Y4S2H3L8%4y4W2k6r3S2G2L8$3E0@1L8$3!0D9i4K6u0r3j5X3I4G2j5W2)9J5c8X3#2S2M7%4c8W2M7W2)9J5c8X3q4H3M7q4)9J5c8Y4y4J5j5#2)9J5c8X3#2S2K9h3&6Q4x3V1k6B7j5i4k6S2i4K6u0r3j5$3!0E0i4K6u0r3N6X3W2J5K9X3q4J5i4K6u0r3P5s2m8G2M7$3g2V1K9r3!0G2K9%4c8G2L8$3I4Q4x3V1k6@1L8$3!0D9i4K6u0r3b7$3I4S2M7%4y4x3L8$3q4V1e0h3!0F1K9i4c8G2M7W2)9J5k6h3A6S2N6X3p5`. 方式就是，通过hook classloader的方式，收集所有的classloader对象。然后每当增加了一个classloader，就去强制调用这个classloader来loadclass，如果load成功，那么就是这个classloader的，否则可能能够加载这个Class的classloader还没有出现，继续等待。然后，我这样做还是有问题。因为这种方案提前了class的初始化，本身可能class被用到的时候才会定义，但是我在对应的classloader被构造之后里面就进行了class的定义。如果这个class对这个定义时机比较敏感，那么确实可能引发未知问题（我又一次玩爱加密的壳就遇到过，也不是程序闪退，app也能打开，就是某些功能似乎发生了变化，业务不正常了）。 2018-5-22 17:26 0
WX学徒雪币： 23 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	WX学徒 23 楼 virjar 似乎只能拦截到部分class，貌似是因为classloader的隐式加载导致的。可以在这里打印这个函数所有被加载的类，我测试的时候似乎只有三五个记录（一个classloader似乎只有三五个加载记录） ... 发现只有Dalvik的hook loadclass方法才有用 art无效 2018-5-22 20:51 0
La0s 雪币： 905 活跃值： (1127) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 1 关注私信	La0s 24 楼感谢楼主，很受用 969K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6D9j5e0m8K6i4K6u0W2k6$3W2@1K9s2g2T1i4K6u0W2K9h3!0Q4x3V1j5J5x3o6p5^5i4K6u0r3x3o6k6Q4x3V1j5J5x3q4)9J5c8Y4S2H3L8%4y4W2k6q4)9J5c8R3`.`. 2018-7-23 19:54 0
koflfy 雪币： 102 活跃值： (2815) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 417 粉丝 5 关注私信	koflfy 1 25 楼 mark 2018-7-25 01:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fooree

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (27) 1 2 ▶
ugui 雪币： 10 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 1 关注私信	ugui 2 楼正好解决了我滴问题，3q 2018-3-15 11:20 0
WX学徒雪币： 23 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	WX学徒 3 楼 ugui 正好解决了我滴问题，3q[em_52] 那感情好。个人公众号“安卓Xposed框架交流”持续更新，欢迎关注 2018-3-15 21:08 0
tDasm 雪币： 15924 活跃值： (7163) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 673 粉丝 20 关注私信	tDasm 4 楼 Github链接打不开，麻烦把APK提供下载。 2018-3-16 10:48 0
zylyy 雪币： 144 活跃值： (718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 356 粉丝 3 关注私信	zylyy 5 楼，这个真是极好的思路 2018-3-16 12:14 0
fooree 雪币： 24 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 28 粉丝 5 关注私信	fooree 6 楼 zylyy [em_41]，这个真是极好的思路这种方式用了很长时间了，不需要考虑更多细节 2018-3-16 17:52 0
fooree 雪币： 24 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 28 粉丝 5 关注私信	fooree 7 楼 tDasm Github链接打不开，麻烦把APK提供下载。公众号“安卓Xposed框架交流”里有完整的代码介绍 2018-3-16 17:54 0
聖blue 雪币： 6818 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 358 粉丝 1 关注私信	聖blue 8 楼 2018-3-17 10:03 0
friendanx 雪币： 8260 活跃值： (2913) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 187 粉丝 2 关注私信	friendanx 9 楼谢谢分享，不错不错。、 2018-3-17 14:17 0
tDasm 雪币： 15924 活跃值： (7163) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 673 粉丝 20 关注私信	tDasm 10 楼 fooree 公众号“安卓Xposed框架交流”里有完整的代码介绍不需要看介绍，原理都知道。只是不想写代码，拿来就用。麻烦把APK放这里 2018-3-18 16:28 0
supperlitt 雪币： 1387 活跃值： (5614) 能力值： ( LV3，RANK：25 ) 在线值：发帖 19 回帖 396 粉丝 33 关注私信	supperlitt 11 楼跟我使用的最终结果差不多，不过方式不一样，我是直接把几个dex转成jar,然后倒入，然后所有类都hook,不过是在进入Main的oncreate之后了，书上说应该是在自定义Application中进行dex加载的， 2018-3-19 10:49 0
WX学徒雪币： 23 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	WX学徒 12 楼 supperlitt 跟我使用的最终结果差不多，不过方式不一样，我是直接把几个dex转成jar,然后倒入，然后所有类都hook,不过是在进入Main的oncreate之后了，书上说应该是在自定义Application中进行 ... 除了classes.dex其他的dex可以任意加载，和appplication没有关系 2018-3-19 14:51 0
bjhrwzh 雪币： 4687 活跃值： (388) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 146 粉丝 1 关注私信	bjhrwzh 13 楼这个还是比较简便的。不用关心classloader了。只要拿到加载类就可以hook了 2018-3-19 17:00 0
lykseek 雪币： 411 活跃值： (539) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 35 粉丝 23 关注私信	lykseek 14 楼这个挺实用的 2018-3-21 14:48 0
ckis 雪币： 241 活跃值： (236) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 144 粉丝 22 关注私信	ckis 15 楼比如 A.class 调用 B.getText() 在loadClass里能拦截到B.class的加载吗？我测试结果是不能求解楼主 2018-4-5 10:59 0
ckis 雪币： 241 活跃值： (236) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 144 粉丝 22 关注私信	ckis 16 楼安卓4.4.4和 7.1.2测试发现该方法失败并非所有类都在ClassLoader.loadClass方法内加载比如我15楼的情况B.class无法捕捉到希望楼主再验证一下原贴的方法 2018-4-6 09:55 0
WX学徒雪币： 23 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	WX学徒 17 楼 ckis 安卓4.4.4和 7.1.2测试发现该方法失败并非所有类都在ClassLoader.loadClass方法内加载比如我15楼的情况B.class无法捕捉到希望楼主再验证一下原 ... 能发个apk和类名给我吗？Java类加载机制就是这样的我测试下 2018-4-7 08:48 0
ckis 雪币： 241 活跃值： (236) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 144 粉丝 22 关注私信	ckis 18 楼网上随便下载一个app都能测微信优酷淘宝京东... 你会发现楼主的方法能拦截到的类非常有限 2018-4-7 17:56 0
gaybc 雪币： 33 活跃值： (332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	gaybc 19 楼有点有限.. 很多壳的attachBaseContext都很好找不太稳定 2018-4-10 00:01 0
WX学徒雪币： 23 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	WX学徒 20 楼 gaybc 有点有限.. 很多壳的attachBaseContext都很好找不太稳定 hook过棒棒加壳的app和三六零加壳的app，在4.4.4上还可以，hook的类都找到了，和attachBaseContext好像没有关系 2018-4-11 09:35 0
蔡金成雪币： 12 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 45 粉丝 1 关注私信	蔡金成 21 楼恩思路不错, 脱壳也可以在这里弄. 2018-4-18 17:21 0
virjar 雪币： 1867 活跃值： (4263) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 230 粉丝 152 关注私信	virjar 1 22 楼似乎只能拦截到部分class，貌似是因为classloader的隐式加载导致的。可以在这里打印这个函数所有被加载的类，我测试的时候似乎只有三五个记录（一个classloader似乎只有三五个加载记录）。当然我也不知道是不是我的环境问题。后来，我换了一个姿势实现了的这个功能 ,见： b8bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8W2k6g2)9J5k6h3y4G2L8g2)9J5c8Y4k6A6M7X3A6S2M7W2)9J5c8Y4S2H3L8%4y4W2k6r3S2G2L8$3E0@1L8$3!0D9i4K6u0r3j5X3I4G2j5W2)9J5c8X3#2S2M7%4c8W2M7W2)9J5c8X3q4H3M7q4)9J5c8Y4y4J5j5#2)9J5c8X3#2S2K9h3&6Q4x3V1k6B7j5i4k6S2i4K6u0r3j5$3!0E0i4K6u0r3N6X3W2J5K9X3q4J5i4K6u0r3P5s2m8G2M7$3g2V1K9r3!0G2K9%4c8G2L8$3I4Q4x3V1k6@1L8$3!0D9i4K6u0r3b7$3I4S2M7%4y4x3L8$3q4V1e0h3!0F1K9i4c8G2M7W2)9J5k6h3A6S2N6X3p5`. 方式就是，通过hook classloader的方式，收集所有的classloader对象。然后每当增加了一个classloader，就去强制调用这个classloader来loadclass，如果load成功，那么就是这个classloader的，否则可能能够加载这个Class的classloader还没有出现，继续等待。然后，我这样做还是有问题。因为这种方案提前了class的初始化，本身可能class被用到的时候才会定义，但是我在对应的classloader被构造之后里面就进行了class的定义。如果这个class对这个定义时机比较敏感，那么确实可能引发未知问题（我又一次玩爱加密的壳就遇到过，也不是程序闪退，app也能打开，就是某些功能似乎发生了变化，业务不正常了）。 2018-5-22 17:26 0
WX学徒雪币： 23 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	WX学徒 23 楼 virjar 似乎只能拦截到部分class，貌似是因为classloader的隐式加载导致的。可以在这里打印这个函数所有被加载的类，我测试的时候似乎只有三五个记录（一个classloader似乎只有三五个加载记录） ... 发现只有Dalvik的hook loadclass方法才有用 art无效 2018-5-22 20:51 0
La0s 雪币： 905 活跃值： (1127) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 1 关注私信	La0s 24 楼感谢楼主，很受用 969K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6D9j5e0m8K6i4K6u0W2k6$3W2@1K9s2g2T1i4K6u0W2K9h3!0Q4x3V1j5J5x3o6p5^5i4K6u0r3x3o6k6Q4x3V1j5J5x3q4)9J5c8Y4S2H3L8%4y4W2k6q4)9J5c8R3`.`. 2018-7-23 19:54 0
koflfy 雪币： 102 活跃值： (2815) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 417 粉丝 5 关注私信	koflfy 1 25 楼 mark 2018-7-25 01:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复