愛奇藝開源的一個針對 Android 平臺 ELF (可執(zhí)行文件和動態(tài)庫) 的 PLT (Procedure Linkage Table) hook 庫。

xhook 一直在穩(wěn)定性和兼容性方面做著持續(xù)的優(yōu)化。

??????????????oooo????????????????????????????oooo????????
??????????????`888????????????????????????????`888????????
??oooo????ooo??888?.oo.????.ooooo.???.ooooo.???888??oooo??
???`88b..8P'???888P"Y88b??d88'?`88b?d88'?`88b??888?.8P'???
?????Y888'?????888???888??888???888?888???888??888888.????
???.o8"'88b????888???888??888???888?888???888??888?`88b.??
??o88'???888o?o888o?o888o?`Y8bod8P'?`Y8bod8P'?o888o?o888o

特征

• 支持 Android 4.0 (含) 以上版本 (API level >= 14)。

• 支持 armeabi, armeabi-v7a 和 arm64-v8a。

• 支持?ELF HASH?和?GNU HASH?索引的符號。

• 支持?SLEB128?編碼的重定位信息。

• 不需要 ROOT 權限。

• 不依賴于任何的第三方動態(tài)庫。

• 純 C 的代碼。比較小的庫體積。

編譯

你需要 google NDK 來編譯 xhook。

最新版本的 xhook 在開發(fā)和調試中使用的 NDK 版本是?r16b。

• 編譯動態(tài)庫 (libxhook.so 和其他的用于測試的動態(tài)庫)

./build_libs.sh

• 把動態(tài)庫安裝到 Demo 工程的 libs 目錄中

./install_libs.sh

• 清除動態(tài)庫

./clean_libs.sh

Demo

cd?./xhookwrapper/
./gradlew?assembleDebug
adb?install?./app/build/outputs/apk/debug/app-debug.apk

API

外部 API 頭文件:?libxhook/jni/xhook.h

1. 注冊 hook 信息

int?xhook_register(const?char??*pathname_regex_str,??
???????????????????const?char??*symbol,??
???????????????????void????????*new_func,??
???????????????????void???????**old_func);

在當前進程的內存空間中，在每一個符合正則表達式?pathname_regex_str?的已加載ELF中，每一個調用?symbol?的 PLT 入口點的地址值都將給替換成?new_func。之前的 PLT 入口點的地址值將被保存在?old_func?中。

new_func?必須具有和原函數(shù)同樣的函數(shù)聲明。

成功返回 0，失敗返回 非0。

pathname_regex_str?只支持?POSIX BRE?定義的正則表達式語法。

2. 執(zhí)行 hook

int?xhook_refresh(int?async);

根據(jù)前面注冊的 hook 信息，執(zhí)行真正的 hook 操作。

給?async?參數(shù)傳?1?表示執(zhí)行異步的 hook 操作，傳?0?表示執(zhí)行同步的 hook 操作。

成功返回 0，失敗返回 非0。

xhook 在內部維護了一個全局的緩存，用于保存最后一次從?/proc/self/maps?讀取到的 ELF 加載信息。每次一調用?xhook_refresh?函數(shù)，這個緩存都將被更新。xhook 使用這個緩存來判斷哪些 ELF 是這次新被加載到內存中的。我們每次只需要針對這些新加載的 ELF 做 hook 就可以了。

3. 清除緩存

void?xhook_clear();

清除 xhook 的緩存，重置所有的全局標示。

如果你確定你需要的所有 PLT 入口點都已經(jīng)被替換了，你可以調用這個函數(shù)來釋放和節(jié)省一些內存空間。

4. 啟用/禁用 調試信息

void?xhook_enable_debug(int?flag);

給?flag?參數(shù)傳?1?表示啟用調試信息，傳?0?表示禁用調試信息。 (默認為：禁用)

調試信息將被輸出到 logcat，對應的 TAG 為：xhook。

5. 啟用/禁用 SFP (段錯誤保護)

void?xhook_enable_sigsegv_protection(int?flag);

給?flag?參數(shù)傳?1?表示啟用 SFP，傳?0?表示禁用 SFP。 (默認為：啟用)

xhook 并不是一個常規(guī)的業(yè)務層的動態(tài)庫。在 xhook 中，我們不得不直接計算一些內存指針的值。在一些極端的情況和環(huán)境下，讀或者寫這些指針指向的內存會發(fā)生段錯誤。根據(jù)我們的測試，xhook 的行為將導致 APP 崩潰率增加 “一千萬分之一” (0.0000001)。（具體崩潰率可能會增加多少，也和你想要 hook 的庫和符號有關）。最終，我們不得不使用某些方法來防止這些無害的崩潰。我們叫它SFP (段錯誤保護)，它是由這些調用和值組成的：sigaction()，?SIGSEGV，?siglongjmp()?和?sigsetjmp()。

在 release 版本的 APP 中，你應該始終啟用 SFP，這能防止你的 APP 因為 xhook 而崩潰。在 debug 版本的 APP 中，你應該始終禁用 SFP，這樣你就不會丟失那些一般性的編碼失誤導致的段錯誤，這些段錯誤是應該被修復的。

應用舉例

//監(jiān)測內存泄露
xhook_register(".*\\.so$",?"malloc",??my_malloc,??NULL);
xhook_register(".*\\.so$",?"calloc",??my_calloc,??NULL);
xhook_register(".*\\.so$",?"realloc",?my_realloc,?NULL);
xhook_register(".*\\.so$",?"free",????my_free,????NULL);

//監(jiān)控?sockets?生命周期
xhook_register(".*\\.so$",?"getaddrinfo",?my_getaddrinfo,?NULL);
xhook_register(".*\\.so$",?"socket",??????my_socket,??????NULL);
xhook_register(".*\\.so$",?"setsockopt"???my_setsockopt,??NULL);
xhook_register(".*\\.so$",?"bind",????????my_bind,????????NULL);
xhook_register(".*\\.so$",?"listen",??????my_listen,??????NULL);
xhook_register(".*\\.so$",?"connect",?????my_connect,?????NULL);
xhook_register(".*\\.so$",?"shutdown",????my_shutdown,????NULL);
xhook_register(".*\\.so$",?"close",???????my_close,???????NULL);

//過濾出和保存部分安卓?log?到本地文件
xhook_register(".*\\.so$",?"__android_log_write",??my_log_write,??NULL);
xhook_register(".*\\.so$",?"__android_log_print",??my_log_print,??NULL);
xhook_register(".*\\.so$",?"__android_log_vprint",?my_log_vprint,?NULL);
xhook_register(".*\\.so$",?"__android_log_assert",?my_log_assert,?NULL);

//追蹤某些調用
xhook_register("^/system/.*$",?"mmap",???my_mmap,???NULL);
xhook_register("^/vendor/.*$",?"munmap",?my_munmap,?NULL);

//防御某些注入攻擊
xhook_register(".*com\\.hacker.*\\.so$",?"malloc",??my_malloc_always_return_NULL,?NULL);
xhook_register(".*/libhacker\\.so$",?????"connect",?my_connect_with_recorder,?????NULL);

//修復某些系統(tǒng)?bug
xhook_register(".*some_vendor.*/libvictim\\.so$",?"bad_func",?my_nice_func,?NULL);

//現(xiàn)在執(zhí)行?hook!
xhook_refresh(1);

許可證

Copyright (c) 2018-present, 愛奇藝, Inc. All rights reserved.

xhook 中大多數(shù)的源碼使用 MIT 許可證，另外的一些源碼使用 BSD 樣式的許可證。

詳細信息請查看 LICENSE 文件。