高版本Android真机逆向测试环境搭建

  • Post author:
  • Post category:其他




高版本Android真机逆向测试环境搭建

618购入了新机Xiaomi K50,真滴便宜又好用,续航很强界面很丝滑。正好拿来做逆向测试机?

怎么可能!这也太奢侈了!不过淘汰的Xiaomi Note 7 pro正好可以胜任这个工作,之前使用的老爷机Samsung SM-N9009 可以退居二线,进仓库吃灰了。

老爷机虽然用起来很卡(跟虚拟机有一拼),但有它的好处,

360一键root

这种玩意儿就可以随便搞定,轻松打造测试环境,毕竟只有Android6.0,还是好欺负。但是新手机Android版本号直接飙到了Android9,老方法不太好使了,而且小米系统还被

魔改

过,系统文件结构跟正常机子不一样,比如

boot.img中解包不出default.prop(老鸟应该懂)

,这使得很多脚本工具都用不了了,因此必须重新研究测试环境怎么搭。

而且之前的老机子Hook框架没搭起来,就靠一个断点调试手撸太费劲了,这次怎么说也得把Xposed整明白。



高版本真机Root方案-Magisk框架

跟主流的一键root不同,magisk可以管理整个系统的root权限树,并且可以选择性地加装或卸载安全选项,比如你可以将手机在可调式和不可调试间切换。然而magisk安装需要重刷系统镜像,也就导致了门槛较高,但我却认为这是一劳永逸的事情,对系统进行越权操作时,重刷系统是迟早地事。然而由于Magisk对原有的文件系统做了蒙版(内存覆盖),使得很多对系统权限要求较高的操作,如xposed Hook框架需要改写系统system文件,又比如

设置真机可调式

需要解包boot.img重写default.prop配置文件等等,依托于面具框架蒙版机制,都可以轻松执行,因此

Magisk是我最推荐的高版本root方案

在没有面具框架之前,Hook框架从头装,default.prop从头刷,而在面具框架中,你只需要导入几个zip包就能把这些事情一键解决。

所谓”磨刀不误砍柴工“,面具框架就是最重要的刀具,装了就可以砍瓜切菜,否则就要跟垃圾虚拟机纠缠不清、纠结于system系统文件编辑权限不足、为xposed无法联网问题而苦恼。



刷系统

一般网上第一步会告诉你如何dump出原版boot.img文件然后用fastboot刷入手机,我

绝对不推荐这个方法

,安全测试面临很多越权需求,要求对手机文件系统做出较大变更,你无法保证每一步都是对的,即便是”老江湖“也会因为疲劳而犯错,因此必须要学会如何从

存档点

开始玩,否则手机

变砖了

早晚还得重刷系统,之前修改的boot.img还得重新弄。这里以红米Note7 pro为例,简单讲解一下

手机系统开发版fastboot线刷

流程。



解锁BootLoader

首先需要在开发者选项中设置设备解锁状态,需要SIM卡联网绑定小米账号,获取解锁权限,

注意小米账号的注册手机必须与联网SIM卡手机号一致,否则会解锁失败

。解锁后关机,按住**电源键+音量-**键,进入FastBoot模式。

2fb979f05fbf7daac55ac2b810d556ef.png



小米官网

申请解锁手机,无需审核即可下载Bootloader解锁工具(申请了个寂寞),打开工具登录账号一键解锁。



下载官方系统包

之后到官网上下载对应机型的

系统开发版镜像

,一般是压缩包格式的不要被第三方平台骗了,官网就有开发版,而且是免费的,那些收费的平台给的镜像纯纯nt,买下来后发现机型不适配,直接吐血,我承认我被坑的很惨



fastboot刷机

最后下载好

小米刷机工具

导入系统文件夹即可一键刷机,这里注意系统解压路径中

不要带空格,最好直接解压在硬盘根目录下

,我没有特意测过,反正因为工具要调用fastboot命令行,因此对路径的要求比较苛刻。

78823642e2fa9279cf774ec92538271b.png



Magisk安装教程

目前安卓12、11、10、9、8、7通用。


FastBoot



Magisk

的优点

  1. 无需第三方

    Recovery

  2. 不影响系统升级(完整包升级)



环境准备

  1. BootLoader已解锁(

    必须解锁

    ,小米手机参考:

    magiskcn.com/unlock-mi

  2. 小米10Pro12+512

  3. MIUI12.5开发版21.5.20(安卓11)(支持稳定版,解锁BL一样可刷)

  4. Windows电脑一台



系统包启动镜像修补

  • 从系统安装文件夹(如:D:\xiaomi\images)下找到boot.img镜像文件,使用adb命令上传到手机
adb push boot.img /storage/emulated/0/
  • 想纯用手机操作,可以打开

    MT管理器

    ,找到我们下载好的系统包,点开zip包,长按

    boot.img

    提取出来到

    Dowmload

    目录

    3ab8fa8b0ed32f5426659662582227de.png

  • 如果系统包里面没有

    boot.img

    ,只有

    payload.bin

    ,请参考这个教程提取:

    magiskcn.com/payload-boot

  • 手机下载安装:

    Magisk最新版

  • 打开Magisk【安装 – 选择并修补一个文件 – 弹窗文件管理窗口(找到刚刚提取的

    boot.img

    )- 开始】

    6831e285c0b537b7e525b24a91e1be4c.png

  • 修补结束,会生成一个名字为(

    magisk_patched-版本号_随机字符.img

    )的文件(每次生成的随机字符都不一样)

    59d838e4875945fefbf93f1835364d5d.png
    手机连接到电脑,



  • boot.img



    magisk_patched-2X000_xxxxx.img

    两个文件复制到电脑



刷入面具镜像

  • 按住**电源键+音量-**键,进入FastBoot模式。数据线连接手机,输入命令:
fastboot flash boot magisk_patched-2X000_xxxxx.img

a73dce33be895d9516ccce4a91a4ea41.png

  • 出现下面这三行代码,就是成功刷入了。
Sending 'boot' (131072 KB) OKAY [ 3.049s]
Writing 'boot'             OKAY [ 0.587s]
Finished. Total time: 4.582s
  • 重启手机(开机有震动基本没问题了)耐心等手机开机。(显示Magisk的版本,就是刷好了的)

    (A/B)(Ramdisk)(SAR)

    这是手机分区,老款手机会显示“否”。新出的手机一般都显示“是”。不影响使用。

  • PS:很多人可能不知道fastboot工具怎么下载,看见各种教程在那秀操作,自己却连工具在哪都不知道,多气啊。其实这玩意儿就算AndroidSDK工具组件platform-tools中的一个,和ADB放在一起,只要你安装了AndroidSDK,这些工具基本都有了,也可以在Android官网单独下载platform-tools,这样可以随意更换工具版本,还是很重要的



开启真机可调式

动态调试对App逆向有多重要呢?就像民以食为天,有调试才能谈逆向,否则就是闹着玩。安装面具框架后,开启调试权限就会简单很多,安装MagiskHide Props Config 模块即可永久修改真机可调式权限。



一般机型开启调试流程

d2b4825fc9dd322a40a849a1122179ca.png

  • getprop ro.debuggable查看属性值

  • 重启后再次查看,如果不是1则:设置ro.debuggable=1,ro.secure=0,安装

    adbd-Insecure-v2.00

    之后再执行adb root就可以啦。



解决boot.img的ramdisk无default.prop文件的问题

死用教程自然是走不远的,笔者在开启调试权限时就遇到了boot.img镜像中无法解包出default.prop文件的问题,这一问题进而导致了默认的MagiskHide props中没有ro.debuggable这个选项的问题,一度被这个问题卡了很久,测试了很多方法都以失败告终,多次

变砖

搞得人心力憔悴。

然功夫不负有心人,经过研究发现,上述所谓MagiskHide Props Config永久映射方案,相当于再启动前帮你自动运行如下面具的props Mask命令,其本质上是一种props变量的动态覆盖方案。

adb shell #adb进入命令行模式
su #切换至超级用户
magisk resetprop ro.debuggable 1
stop;start; #一定要通过该方式重启

如果查看default.prop文件可以发现,依然为ro.debuggable=0。小米手机系统经过特殊魔改,boot.img下无法直接解包出default.prop文件,小米系统会从其他位置获取default.prop文件属性,我们不知道这个文件在哪,因此静态default.prop覆盖方案肯定行不通。既然这样,何不使用MagiskHide Props Config进行动态覆盖,你default.prop爱咋地咋地,我直接改内存去了。

理解了原理就好办,只需要自己重新定义一个custom props 名字就叫ro.debuggable,把原先的环境变量值覆盖掉,这事儿就解决了,就这么简单。



EDXposed Hook框架搭建

Hook相比调试权限没有那么必要,但在逆向大项目时也变得必不可少,它可谓效率神器。调试器虽然可以动态运行Java方法,但劣势在于只能针对一两个入口点做测试,Smali插座可以任意位置插入代码,但它的缺点却多得数不过来,重新打包App耗时长、App签名保护问题、要熟练掌握Smali语法,批量插入代码难度大,代码功能复杂时很难插入等等。

那么Hook就是一个可以快速、批量插入代码片段且无需打包App的代码修改方案,而且使用Java语言即可编写,开发效率非常高,也没有代码长度限制,想开发多长都行,唯一的缺点就是没法打包Apk发给别人用,害,到时候用smali重新写一下不久完了,有些App业务逻辑都得摸索半天,还各种加密,还想改两下就给别人用,别做梦了。



EDXposed和Xposed的区别

EDXposed和Xposed就是一个东西,只是前者能支持在高版本的android上运行,得益于面具框架支持,无需入侵系统的system文件夹即可发挥Xposed的功能,在网上搜索一下EDXposed的模块开发教程,你会发现几乎没有,因为它和Xposed的模块开发方式一模一样,有些人可能不明白为什么Android换了这么多代,启动器也换成EDXposed了,原有的Xposed模块也不用升级就能兼容呢?还不是因为底层几乎没变过,xposed直接与虚拟机通信,这属于很底层的机制了,这玩意儿要是大改那还不得闹翻天。



EDXposed安装

安装本身没什么难度,难在找资源,不要以为Xposed和Magisk人人都提,它们就是大平台产品了。充其量也就是个人爱好者开发的项目,单纯因为好用所以被大家传的广,个人项目的特点就是:服务不稳定、更新不稳定。原作者的资源链说不定啥时候就失效了,它们的从属模块更是没有一个

所谓官网

进行统一管理,都是些工程师自己写着玩的,很多模块仓库都是个人建的,说没就没,所以把这些资源收集好,说不定哪天链接就GG了。

自从新版面具下架了模块搜索功能之后,面具的模块下载位置就成了信息差,你知道有这个模块不难,但你就是不知道在哪下载,应该有第三方搜索工具可以解决这个问题,不过我懒得弄了,直接下载别人分享的资源:

https://pan.baidu.com/s/1Bfop9zcA6eccDy8Y5i09Gg 提取码:o6s0

  • 打开Magisk – 模块 – 从本地导入模块 – 选择riru.zip和edxposed.zip进行安装,这里注意一定要先装riru.zip,否则edxposed.zip装不上,然后重启手机

    4754535063057538649506c30e9b23b2.png

    3a2a52cca7c80e9d11d20ca70effd193.png

  • 重启后安装EdXposedInstaller.apk,进入App提示已激活,就安装成功了

    afb84e131dd27ab3eb9363e3072a166d.png



编写一个Xposed模块



前言

在互联网上,关于Xposed模块编写的教程可谓是一抓一大把。但由于时间的推移,很多工具和方法都发生了变化(如Eclipse退出安卓编程舞台,AndroidStudio 不断升级导致其一些设置也随之变化等)也正因此,网上的教程往往有一些时限性,比如现如今 provide 这个关键字已经被舍弃了却仍有人在用,还有些说要把jar包放到lib文件夹而非libs文件夹……种种错误或者落伍的教程对新手产生了很大的误导。 笔者近日收到过朋友初学Xposed模块编写时的求助,看了一些他找的参考教程,觉得多多少少都存在点问题,因此萌生了写一篇关于在最新AndriodStudio 开发环境下实现Xposed模块开发入门的文章。



Xposed 模块编写简介

Xposed 框架的原理就不多说了,它部署在ROOT后的安卓手机上,通过替换/system/bin/app_process程序控制zygote进程,使得app_process在启动过程中会加载XposedBridge.jar这个jar包,从而完成对Zygote进程及其创建的Dalvik虚拟机的劫持。可以让我们在不修改APK源码的情况下,通过自己编写的模块来影响程序运行的框架服务,实现类似于自动抢红包、微信消息自动回复等功能。

其实,从本质上来讲,Xposed 模块也是一个 Android 程序。但与普通程序不同的是,想要让写出的Android程序成为一个Xposed 模块,要额外多完成以下四个硬性任务:

1、让手机上的xposed框架知道我们安装的这个程序是个xposed模块。

2、模块里要包含有xposed的API的jar包,以实现下一步的hook操作。

3、这个模块里面要有对目标程序进行hook操作的方法。

4、要让手机上的xposed框架知道,我们编写的xposed模块中,哪一个方法是实现hook操作的。

这就引出我即将要介绍的四大件(与前四步一一对照):

1、AndroidManifest.xml

2、XposedBridgeApi-xx.jar 与 build.gradle

3、实现hook操作的具体代码

4、xposed_Init

牢记以上四大件,按照顺序一个一个实现,就能完成我们的第一个Xposed模块编写。下面我们就开始吧!



迈开第一步,新建项目并编辑AndroidManifest.xml

  • 首先打开AndroidStudio(以版本3.1为例,还在用老版本的请升级),建立一个工程,提示我们选择“Activity”,那就选一个Empty Activity吧。(这个是模块的界面,随意选择即可)。

    e7cbfc81fe987b3c056acf29acb12e50.png

  • 我们可以把项目查看方式设置为Project模式,以方便查看。然后在 “项目名称/app/src/main/”目录下找到AndroidManifest.xml,双击之,并在指定位置插入以下三段代码:

    <meta-data android:name="xposedmodule" android:value="true" />
    
    <meta-data android:name="xposeddescription" android:value="这是一个Xposed例程" />
    
    <meta-data android:name="xposedminversion" android:value="82" />
    

    0ede18b2b634194727a17daa30b6ef78.png

  • 插入之后,如果你把手机连上AndroidStudio ,点击“编译”或者“运行”的话,手机就会启动刚刚编写的这个程序。而在手机里的Xposed框架中也会显示出这个模块:

    1c52b2546de9c45e88c32da9ba468137.png

    说明Xposed框架已经认出了我们写的程序。但先别高兴太早——虽然框架已经觉得他是一个Xposed模块了,但我们自己心里清楚,这个模块还啥都不会干呢。下一步,我们让这个模块长点本事。



    搞定XposedBridgeApi-xx.jar 与 build.gradle

我们知道,Xposed模块主要功能是用来Hook其他程序的各种函数。但是,如何让前一步中的那个“一穷二白”的模块长本事呢?那就要引入 XposedBridgeApi.jar 这个包,你可以理解为一把兵器,模块有了这把宝刀才能施展出Hook本领。以前,都需要手动下载诸如XposedBridgeApi-54.jar 、 XposedBridgeApi-82.jar 等jar包,然后手工导入到libs目录里,才能走下一步道路。其实在AndroidStudio 3.1里面,我们完全不用这么麻烦,只需要多写一行代码,就让AndroidStuido自动给我们配置XposedBridgeApi.jar !下面操作开始(序号接着上一节):

  • 在 “项目名称/app/src/main/”目录下找到build.gradle,在图示位置加上:

    repositories {
    
        jcenter()
    
    }
    

    以及

    compileOnly 'de.robv.android.xposed:api:82'
    
    compileOnly 'de.robv.android.xposed:api:82:sources'
    
  • 这句代码是告诉AndroidStuido使用jcenter作为代码仓库,从这个仓库里远程寻找 de.robv.android.xposed:api:82 这个API。这个网上很少有Xposed教程介绍它的!(我们不用自己找XposedBridgeApi.jar了。注意!此处要用compileOnly这个修饰符!网上有些写的是provide ,现在已经停用了!)如图:

    7cf4ca50f6fe5cc4cba538150a6af60c.png

  • 写完之后, build.gradle会提示文件已经修改,是否同步。点击 “sync now”,同步即可:

    b59e4f91be22a3b935a766947a36a10c.png

  • 【ps:如果网络不通,或者同步不畅,就不要进行第三步的repositories { jcenter()}这个步骤了,改做这个步骤:】

    手动下载XposedBridgeApi-82.jar ,拖放到“项目名称/app/libs/”里面(不是网上说的单独建立lib文件夹,那是很久以前的故事了!),然后右键“Add As Library” 自行添加这个jar包。而compileOnly ‘de.robv.android.xposed:api:82’和 compileOnly ‘de.robv.android.xposed:api:82:sources’这两句仍然照常添加。



实现hook操作的具体代码

  • 在“施展刀法”(编写hook代码)之前,我们先要立一个靶子。在界面上画一个按钮,并在MainAcitiviy里写代码如下:

    package com.example.root.xposd_hook_new;
    
    import android.support.v7.app.AppCompatActivity;
    
    import android.os.Bundle;
    
    import android.view.View;
    
    import android.widget.Button;
    
    import android.widget.Toast;
    
    public class MainActivity extends AppCompatActivity {
    
        private Button button;
    
        @Override
    
        protected void onCreate(Bundle savedInstanceState) {
    
            super.onCreate(savedInstanceState);
    
            setContentView(R.layout.activity_main);
    
            button = (Button) findViewById(R.id.button);
    
            button.setOnClickListener(new View.OnClickListener() {
    
                public void onClick(View v) {
    
                    Toast.makeText(MainActivity.this, toastMessage(), Toast.LENGTH_SHORT).show();
    
                }
    
            });
    
        }
    
        public String toastMessage() {
    
            return "我未被劫持";
    
        }
    
    }
    

    e9888e30ec204a000a4ddfccc6251453.png

    36fda531fd4ebef254a20f67dccbac51.png

  • 这个靶子很简单:MainActivity界面有个按钮,点击按钮后会弹出一个toast提示,该提示的内容由 toastMessage() 方法提供,而toastMessage()的返回值为“我未被劫持”:

    60ae0188cd29425cf8de3a0c6c6794d8.png

    下面我们正式开始“施展刀法”(编写hook代码) 来hook我们的MainActivity并修改这个类的toastMessage()方法,让它的返回值为“你已被劫持”:

  • 在MainActivity的同级路径下新建一个类“HookTest.java”,代码如下:

    package com.example.root.xposd_hook_new;
    
    import de.robv.android.xposed.IXposedHookLoadPackage;
    
    import de.robv.android.xposed.XC_MethodHook;
    
    import de.robv.android.xposed.XposedBridge;
    
    import de.robv.android.xposed.XposedHelpers;
    
    import de.robv.android.xposed.callbacks.XC_LoadPackage;
    
    public class HookTest implements IXposedHookLoadPackage {
    
        public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable {
    
            if (loadPackageParam.packageName.equals("com.example.root.xposd_hook_new")) {
    
                XposedBridge.log(" has Hooked!");
    
                Class clazz = loadPackageParam.classLoader.loadClass(
    
                        "com.example.root.xposd_hook_new.MainActivity");
    
                XposedHelpers.findAndHookMethod(clazz, "toastMessage", new XC_MethodHook() {
    
                    protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
    
                        super.beforeHookedMethod(param);
    
                        //XposedBridge.log(" has Hooked!");
    
                    }
    
                    protected void afterHookedMethod(MethodHookParam param) throws Throwable {
    
                        param.setResult("你已被劫持");
    
                    }
    
                });
    
            }
    
        }
    
    }
    
  • 由代码可知,我们是通过IXposedHookLoadPackage接口中的handleLoadPackage方法来实现Hook并篡改程序的输出结果的。代码中“com.example.root.xposd_hook_new ”是目标程序的包名,“com.example.root.xposd_hook_new.MainActivity” 是想要Hook的类, “toastMessage”是想要Hook的方法。我们在afterHookedMethod方法(用来定义Hook了目标方法之后的操作)中,修改了toastMessage()方法的返回值为“你已被劫持”。

    69d6d0cf001b9421b6a3ff84837da04d.png



最后一步,添加入口点

  • 右键点击 “main ” 文件夹 , 选择new –> Folder –>Assets Folder,新建assets 文件夹:

    7bd751466bc2490f26fde8f6e69dbfd3.png

  • 然后右键点击 assets文件夹, new–> file,文件名为xposed_init(文件类型选text),并在其中写上入口类的完整路径(就是自己编写的那一个Hook类),这样, Xposed框架就能够从这个 xposed_init 读取信息来找到模块的入口,然后进行Hook操作了:

    f09d5dd444a712e01d12b4802fec14ce.png

    161e4f04d135afdfa7621fd483cf6f94.png

  • 然后点击小三角“运行”!在Xposed框架里找到自己写的模块,打上勾,重启——点开自己的程序看看,是不是toast的提示已经变了?

    2253a16389617553ec387a3b0d34ffdf.png



版权声明:本文为qq_43242727原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。