首先进入 View 的 setonClickListener 方法,我们看到 onClickListener 对象被保存在了一个叫做 ListenerInfo 的内部类里,其中 mListenerInfo 是 View 的成员变量。
public void setonClickListener(@Nullable onClickListener l) {
if (!isClickable()) {
setClickable(true);
}
getListenerInfo().monClickListener = l;
}
ListenerInfo getListenerInfo() {
if (mListenerInfo != null) {
return mListenerInfo;
}
mListenerInfo = new ListenerInfo();
return mListenerInfo;
}
ListeneInfo 里面保存了 View 的各种监听事件,比如 OnClickListener、OnLongClickListener、onKeyListener 等等。
static class ListenerInfo {
//…
public onClickListener mOnClickListener;
protected onLongClickListener mOnLongClickListener;
private onKeyListener mOnKeyListener;
private onTouchListener mOnTouchListener;
private onHoverListener mOnHoverListener;
private onGenericMotionListener mOnGenericMotionListener;
private onDragListener mOnDragListener;
//…
}
我们的目标是 Hook OnClickListener,所以就要在给 View 设置监听事件后,替换 onClickListener 对象,注入自定义的 *** 作。
public class HookView {
public static void hookonClickListener(View view) {
try {
// 通过反射获取到 getListenerInfo() 方法
@SuppressLint(“DiscouragedPrivateApi”)
Method getListenerInfo = View.class.getDeclaredMethod(“getListenerInfo”);
// 设置访问权限
getListenerInfo.setAccessible(true);
// 调用 view 的 getListenerInfo() 获取到 ListenerInfo
Object listenerInfo = getListenerInfo.invoke(view);
// 通过反射获取到 ListenerInfo 的 Class 对象
@SuppressLint(“PrivateApi”)
Class> listenerInfoClass = Class.forName(“android.view.View$ListenerInfo”);
// 获取到 monClickListener 成员变量
Field monClickListener = listenerInfoClass.getDeclaredField(“mOnClickListener”);
// 设置访问权限
mOnClickListener.setAccessible(true);
// 获取 monClickListener 属性的值
View.onClickListener originonClickListener = (View.OnClickListener) mOnClickListener.get(listenerInfo);
// 创建 onClickListener 代理对象
HookedonClickListener hookedonClickListener = new HookedonClickListener(originOnClickListener);
// 为 monClickListener 属性重新赋值
mOnClickListener.set(listenerInfo, hookedOnClickListener);
} catch (NoSuchMethodException | IllegalAccessException | InvocationTargetException | ClassNotFoundException | NoSuchFieldException e) {
e.printStackTrace();
}
}
static class HookedonClickListener implements View.onClickListener {
private final View.onClickListener origin;
HookedonClickListener(View.onClickListener origin) {
this.origin = origin;
}
@Override
public void onClick(View v) {
Log.e(“HookedOnClickListener”, “onClick”);
if (origin != null) {
origin.onClick(v);
}
}
}
}
到这里,我们成功 Hook 了 OnClickListener,在点击之前和点击之后可以执行某些 *** 作,达到了我们的目的。下面是调用的部分,在给 Button 设置 onClickListener 后,执行 Hook *** 作。
btn_test.setonClickListener(new View.onClickListener() {
@Override
public void onClick(View v) {
Toast.makeText(v.getContext(), “Button Click”, Toast.LENGTH_SHORT).show();
}
});
HookView.hookonClickListener(btn_test);
Native Hook
Android Native Hook 主要分为两种:PLT Hook、Inline Hook。
PLT Hook我对 Native 开发不熟,这里仅仅做下了解。以下章节摘自Android Native Hook技术路线概述。
先来介绍一下 Android PLT Hook 的基本原理。Linux 在执行动态链接的 ELF 的时候,为了优化性能使用了一个叫延时绑定的策略。
延时绑定的策略是为了解决原本静态编译时要把各种系统 API 的具体实现代码都编译进当前 ELF 文件里导致文件巨大臃肿的问题。所以当在动态链接的 ELF 程序里调用共享库的函数时,第一次调用时先去查找 PLT 表中相应的项目,而 PLT 表中再跳跃到 GOT 表中希望得到该函数的实际地址,但这时 GOT 表中指向的是 PLT 中那条跳跃指令下面的代码,最终会执行 _dl_runtime_resolve() 并执行目标函数。
第二次调用时也是 PLT 跳转到 GOT 表,但是 GOT 中对应项目已经在第一次 _dl_runtime_resolve() 中被修改为函数实际地址,因此第二次及以后的调用直接就去执行目标函数,不用再去执行 _dl_runtime_resolve() 了。
因此,PLT Hook 通过直接修改 GOT 表,使得在调用该共享库的函数时跳转到的是用户自定义的 Hook 功能代码。
了解 PLT Hook 的原理后,可以进一步分析出这种技术的特点:
由于修改的是 GOT 表中的数据,因此修改后,所有对该函数进行调用的地方就都会被 Hook 到。这个效果的影响范围是该 PLT 和 GOT 所处的整个 so 库。因此,当目标 so 库中多行被执行代码都调用了该 PLT 项所对应的函数,那它们都会去执行 Hook 功能。
PLT 与 GOT 表中仅仅包含本 ELF 需要调用的共享库函数项目,因此不在 PLT 表中的函数无法 Hook 到。
那么这些特点会
导致什么呢?
T 表中的数据,因此修改后,所有对该函数进行调用的地方就都会被 Hook 到。这个效果的影响范围是该 PLT 和 GOT 所处的整个 so 库。因此,当目标 so 库中多行被执行代码都调用了该 PLT 项所对应的函数,那它们都会去执行 Hook 功能。
PLT 与 GOT 表中仅仅包含本 ELF 需要调用的共享库函数项目,因此不在 PLT 表中的函数无法 Hook 到。
那么这些特点会[外链图片转存中…(img-9y4iAqbR-1642513119077)]
导致什么呢?
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)