攻
我们知道jni校验签名也不可靠,可以被动态hook绕过。代码如下:
class HookSignHandler(var base : Any) : InvocationHandler {
companion object{
internal var signature = "xxx"
fun hook(context: Context){
try{
var activityThreadClass = Class.forName("android.app.ActivityThread")
var currentActicityThreadMethod = activityThreadClass.getDeclaredMethod("currentActivityThread")
var currentActivityThread = currentActicityThreadMethod.invoke(null)
var sPackageManagerField = activityThreadClass.getDeclaredField("sPackageManager")
sPackageManagerField.isAccessible = true;
var sPackageManager = sPackageManagerField.get(currentActivityThread)
var iPackageManagerInterface = Class.forName("android.content.pm.IPackageManager")
var proxy = Proxy.newProxyInstance(iPackageManagerInterface.classLoader, arrayOf(iPackageManagerInterface), HookSignHandler(sPackageManager))
sPackageManagerField.set(currentActivityThread, proxy)
var pm = context.packageManager
var mPMField = pm.javaClass.getDeclaredField("mPM")
mPMField.isAccessible = true
mPMField.set(pm, proxy)
}
catch (e : Exception){
Log.e("hook", "hook", e)
}
}
}
override fun invoke(proxy: Any?, method: Method, args: Array<out Any>): Any {
if("getPackageInfo".equals(method.name)){
...
}
return method.invoke(base, *args)
}
}
复制代码只要得到了签名的signature,并且在application中添加
HookSignHandler.Companion.hook(this);
复制代码这时无论java层还是jni层,当获取getPackageManager()时,它的mPM都是已经被代理的对象,这样当执行getPackageInfo()函数(实际上是执行mPM的对应函数)就会返回设置好的signature,而不是当前app的签名,这样就绕过了。
防
那么怎么防止这种手段? 那就是每次使用getPackageManager()时都检查一下它是否被代理。代码如下:
try {
Field mPM = getPackageManager().getClass().getDeclaredField("mPM");
mPM.setAccessible(true);
if(Proxy.isProxyClass(mPM.get(getPackageManager()).getClass())){
Toast.makeText(this, "hook!!", Toast.LENGTH_LONG).show();
}
} catch (Exception e) {
e.printStackTrace();
}
复制代码Proxy本身提供了一个函数isProxyClass来检查当前对象的类是否是代理类。
我们将mPM对象获取到,用isProxyClass验证它的class即可。
那么这个这就涉及到了动态代理proxy的原理了。
动态代理
首先,动态代理一定需要一个接口,就是说代理的类必须实现某个接口,否则无法代理该类。比如上面的mPM就是实现接口android.content.pm.IPackageManager
这是为什么?这也与动态代理的原理有关。
简单来说,当我们设置动态代理后,实际上会自动生成一个类
public final class $Proxy0 extends Proxy implements XXXXX
{
public $Proxy0(InvocationHandler paramInvocationHandler) throws
{
super(paramInvocationHandler);
}
...
}
复制代码这样就一下子清晰了,因为实现了同一个接口,所以可以设置给原对象而不产生问题。
但是它又继承了Proxy类,而且可以看到构造函数中将之前创建的InvocationHandler也传进来了,这样就可以调用到原对象的函数了。
它的详细代码就不展示和一一解释了,简单来说就是它实现了接口,在每个函数中再去执行InvocationHandler的invoke,就实现了代理。
这也是为什么动态代理一定需要一个接口的原因。
Proxy.newProxyInstance()函数就是创建一个$Proxy0这个类的对象,然后设置给原对象,就代理上了。
那么isProxyClass的原理就清晰了,我们只要知道这个对象是不是继承Proxy即可。代码:
public static boolean isProxyClass(Class<?> cl) {
return Proxy.class.isAssignableFrom(cl) && proxyClassCache.containsValue(cl);
}
复制代码可以看到使用了isAssignableFrom,那么再来说一说这个函数。
isAssignableFrom和instanceof
这两个作用类似,从例子上看:B extends A
A.class.isAssignableFrom(B.class); 表示A是B的父类,注意两边都是Class
b instanceOf A 判断A是否是b对象的类。这里b是B类的对象。A是B的父类,所以也一样是b对象的类
关注公众号:BennuCTech,获取更多干货