Android 逆向/反编译/Hook修改应用行为基础实现

前言：本文通过一个简单的情景案例实现安卓逆向的基本操作

一、情景描述

本文通过一个简单的情景案例来实现安卓逆向的基本操作。在这个案例中所使用的项目程序是我自己的Demo程序，不会造成任何的财产侵害，本文仅作为日常记录及案例分享。
实现步骤大致如下：
反编译APK获取源码 → 源码分析 → 目标设备运行Frida服务(需要root权限) → 使用Python编写hook注入程序 / 编写hook脚本 → 执行程序

二、前置准备

整个流程中需要做的准备工作大致有以下几点：

1. 反编译工具

当前流行的反编译工具有许多种，例如：APKTool、JADX、JD-GUI 等等。反编译的主要目的是查看app的源码分析app的运作流程从而快速制定出所需的hook脚本，因此挑选一款适合自己的即可。不过需要注意的是：并非所有的apk包都能够反编译成功，虽然技术上大多数 APK 文件都能被反编译，但反编译的难度和完整性可能会因应用的保护措施而有所不同。具体来说，有些 APK 文件通过加固、混淆、加密等手段提高了反编译的难度，甚至可能在某些情况下完全避免了反编译的效果，由于我的案例使用的是自己的源码所以不需要考虑这一步，那就以 JADX 作为案例吧。

安装JADX

直接到github仓库下载打好的包即可，可以直接下载带UI的版本，简单易用，不过要注意系统已经有了JRE环境，如果没有的话也可以下载下方的带jre版本 https://github.com/skylot/jadx/releases

反编译APK包

直接把文件拖拽到框内即可

2. Python环境

需要用到 Python 进行脚本程序编写及运行
Python 环境安装：直接官网下载傻瓜式一键安装即可 https://www.python.org/downloads/
PyCharm 编辑器安装：同上，下载社区版(Community)就够了 https://www.jetbrains.com.cn/en-us/pycharm/download/?section=windows

3. 安装 Frida

Frida 有两部分，frida-tools以python程序为载体运行在本地并执行hook脚本，frida-server则需要在目标设备端运行并进行动态分析和hook操作
安装 frida-tools：安装frida-tools需要用到pip因此先确保python环境安装成功并设置好环境变量。在命令提示符中直接输入以下指令等待安装完成即可：pip install frida-tools
下载完成后输入指令判断是否安装成功：frida --version
如果成功返回了版本号则表示安装成功了，记住这个版本号后续还要用到

下载 frida-server：直接到github仓库下载打好的包即可 https://github.com/frida/frida/releases
注意下载的版本要frida-tools相匹配，另外还需要注意的是server的系统平台和cpu架构版本也要选对，他的命名规则是：frida-server-版本号-支持系统-CPU架构.扩展名，我需要在用到Android系统上使用因此我把对应的所有android server包都下载下来

4. 具有 root 权限的设备

由于现在的厂商真机获取 root 权限越来越困难，使用真机调试的成本较高因此选择模拟器作为android端设备载体，我在案例中使用的是夜神模拟器，直接官网安装即可 https://www.yeshen.com/ 安装完成后在设置中开启root权限即可

三、运行 hook 程序，修改应用行为

1. 启动 frida-server

启动frida-server前要先将server文件导入目标设备的 /data/local/tmp/ 目录中，执行命令修改可执行权限并运行，这里需要注意的一点是要确保目标设备的cpu架构与server文件相对应，夜神模拟器的cpu架构是x86_64因此我们选用这个即可

解压server文件

选择之前下载好的server压缩包文件并解压

导入/启动 server 文件

直接在路径栏中输入"cmd"回车进入当前命令提示符

依次执行以下指令：
输入 "adb devices" 指令查询当前已连接设备确定模拟器设备已经连接成功
输入 "adb push frida-server-16.5.7-android-x86_64 /data/local/tmp/" 指令将 frida-server 导入tmp目录，注意这里的要根据你的server文件名修改一下
等待导入完成，输入 "adb shell" 进入设备指令操作
输入 "su" 切换root权限
输入 "cd /data/local/tmp/" 进入tmp目录
输入 "ls -l" 查询当前目录下的文件信息，此时我们可以看到刚才导入进去的server文件，他的特征为rw-并没有可执行权限
输入 "chmod 777 frida-server-16.5.7-android-x86_64" 设置用户权限开启可执行
再次输入 "ls -l" 查询当前目录下的文件信息，此时我们可以看到文件特征变为rwx，可以执行
输入 "./frida-server-16.5.7-android-x86_64" 启动 frida-server，启动后光标换行没有任何提升，表示已经启动成功 server 正在运行中，注意不要关闭提示符窗口

2. 验证 frida 连接

打开 PyCharm，新建py文件，导入frida包，根据app包名启动指定进程，这一步先做连接验证，不注入hook脚本

import frida
import sysdef on_message(message, data):"""回调函数，处理 Frida 发回的消息。"""if message['type'] == 'send':print(f"[+] {message['payload']}")elif message['type'] == 'error':print(f"[!] {message['stack']}")def main():print("执行任务")try:print(f"[!] {frida.__version__}")# 连接到 Android 设备device = frida.get_usb_device(timeout=5)# 查找目标进程pid = device.spawn(["com.lxt.single_module"]) # 注意，这里要改为你需要hook的程序包名session = device.attach(pid)# 加载 Hook 脚本# script = session.create_script(HOOK_SCRIPT_1)# script.on('message', on_message)  # 设置消息回调# script.load()# 恢复进程device.resume(pid)print("[*] Hook 脚本已加载，应用正在运行...")# 保持脚本运行状态sys.stdin.read()except Exception as e:print(f"[!] 错误: {e}")if __name__ == "__main__":main()

运行程序观察日志及模拟器，程序运行之后模拟器会自动调起对应的程序，如果日志中没有报错或退出则表示连接成功

3. hook 改变方法执行效果

改变一个简单的方法返回数据

假设我在 MainActivity 中有个简单的方法，该方法固定返回一个boolean类型数据"true"

fun testBool():Boolean{return true}

设置某个测试按键的点击事件为log这个方法返回的结果

viewBinding.test5.onClick {Log.e(TAG, "click result:${testBool()}")
}

点击结果

那么这时我们可以编写一个简单的hook脚本去注入修改这个方法的返回数据

创建Java.perform方法并在作用域中实现需要执行的脚本细节，Java.perform 是 Frida 提供的一个用于在 Java 虚拟机中执行代码的方法。它确保在 Java 环境完全加载并且可以安全地访问 Java 类和方法后执行给定的回调函数。所有的 Java hooking 操作都需要在这个回调内进行

Java.perform(function() {}

我们需要hook的方法是在MainActivity中，因此我们要做的第一个操作就是获取到这个对象的引用，我们可以使用Java.use()方法来获取。通过Java.use()拿到的引用你可以访问该类的方法和字段或者修改这些方法的实现，但前提是必须要知道这个需要加载的类的完整路径，这个路径我们可以通过反编译的源码中获取

var MainActivity = Java.use("com.lxt.single_module.Activity.MainActivity");

拿到 MainActivity 中 testBool 方法的引用，强制其返回一个"false"

MainActivity.testBool.implementation = function() {console.log("testBool 被 Hook，强制返回 false");// 强制返回 falsereturn false;
};

完整代码

import frida
import sysHOOK_SCRIPT_1 = """
Java.perform(function() {var MainActivity = Java.use("com.lxt.single_module.Activity.MainActivity");// Hook MainActivity 中的 testBool 方法MainActivity.testBool.implementation = function() {console.log("testBool 被 Hook，强制返回 false");// 强制返回 falsereturn false;};});
"""# Python 代码
def on_message(message, data):"""回调函数，处理 Frida 发回的消息。"""if message['type'] == 'send':print(f"[+] {message['payload']}")elif message['type'] == 'error':print(f"[!] {message['stack']}")def main():print("执行任务1")try:print(f"[!] {frida.__version__}")# 连接到 Android 设备device = frida.get_usb_device(timeout=5)# 查找目标进程pid = device.spawn(["com.lxt.single_module"])session = device.attach(pid)# 加载 Hook 脚本script = session.create_script(HOOK_SCRIPT_1)script.on('message', on_message)  # 设置消息回调script.load()# 恢复进程device.resume(pid)print("[*] Hook 脚本已加载，应用正在运行...")# 保持脚本运行状态sys.stdin.read()except Exception as e:print(f"[!] 错误: {e}")if __name__ == "__main__":main()

执行程序注入hook脚本，此时再次点击测试按键就会触发hook方法
观察日志hook方法被触发，app中的testBool方法返回结果为false

改变应用行为

这里我们用一个相对较接近实际应用的情景作为案例吧
假设：我们需要在MainActivity中请求某个api再根据api的结果决定是否需要跳转到另一个指定页面
如果：我们需要绕过这个api，让程序无需根据api的请求结果而必定跳转到这个指定的页面
那么：我们可以直接hook这个请求api的方法让它必定返回一个可以让页面跳转的结果

代码情景：
点击测试按键后使用ViewModel调取请求方法，再根据请求方法返回的结果判断是否需要执行页面跳转

viewBinding.test4.onClick {lifecycleScope.launch {var login_result = viewModel.testLogin()Log.e(TAG,"request result:${login_result}")if(login_result){Log.e(TAG, "登陆成功")startActivity(Intent(this@MainActivity, SucceedActivity::class.java))}else{Log.e(TAG, "登陆失败")}}
}

正常执行结果

根据方法的执行流程去编写 hook 脚本

在这个流程中最为关键的一步就是需要根据ViewModel请求方法的结果判断是否需要进行页面跳转，那么我们只要在ViewModel对象初始化之后拿到它的引用再hook它的请求方法，让这个方法的返回结果必定为true就好了
在我的Activity框架中ViewModel是在名为"initData"的抽象方法中初始化，并且在子类实现时必须要调用super.initData()在基类中执行反射自动初始化

override fun initData() {super.initData()  // 在父类初始化 viewModel// 执行其它任务rxPermissions = RxPermissions(this)check_permission()registerScreenListen()
}

由此可知：我们只需要获取到MainActivity的initData方法引用，并在执行它原本的super.initData()方法之后拿到已经初始化的ViewModel对象引用并修改请求api的方法让它必定返回一个true

拿到initData方法引用并执行它的的super方法

MainActivity.initData.implementation = function() {console.log("initData 被 Hook");// 调用原始的 initData 方法this.initData();
};

在执行完super方法后通过 Java.choose() 方法来获取已实例化的ViewModel对象，Java.choose 方法可以用于遍历已加载的类的所有实例，并执行指定的回调函数。

Java.choose("com.lxt.single_module.Activity.MainActivity", {onMatch: function(instance) {var viewModel = instance.viewModel.value;},onComplete: function() {}
});

获取到ViewModel对象之后修改 testLogin 方法为必定返回 true

if (viewModel) {console.log("成功获取到 viewModel");// 检查 viewModel 是否为 MainVM 的实例if (viewModel.$className === "com.lxt.single_module.ViewModel.MainVM") {console.log("viewModel 是 MainVM 的实例");// Hook testLogin 方法MainVM.testLogin.implementation = function() {console.log("testLogin 被 Hook，返回 true");return Java.use("java.lang.Boolean").valueOf(true);;};} else {console.log("viewModel 不是 MainVM 的实例");}
} else {console.log("viewModel 为 null");
}

完整代码

import frida
import sysHOOK_SCRIPT_1 = """
Java.perform(function() {var MainActivity = Java.use("com.lxt.single_module.Activity.MainActivity");var MainVM = Java.use("com.lxt.single_module.ViewModel.MainVM");  // 请确保这是正确的包名和类名MainActivity.initData.implementation = function() {console.log("initData 被 Hook");// 调用原始的 initData 方法this.initData();Java.choose("com.lxt.single_module.Activity.MainActivity", {onMatch: function(instance) {var viewModel = instance.viewModel.value;if (viewModel) {console.log("成功获取到 viewModel");// 检查 viewModel 是否为 MainVM 的实例if (viewModel.$className === "com.lxt.single_module.ViewModel.MainVM") {console.log("viewModel 是 MainVM 的实例");// Hook testLogin 方法MainVM.testLogin.implementation = function() {console.log("testLogin 被 Hook，返回 true");return Java.use("java.lang.Boolean").valueOf(true);;};} else {console.log("viewModel 不是 MainVM 的实例");}} else {console.log("viewModel 为 null");}},onComplete: function() {}});};// Hook MainActivity 中的 testBool 方法MainActivity.testBool.implementation = function() {console.log("testBool 被 Hook，强制返回 false");// 强制返回 falsereturn false;};});
"""# Python 代码
def on_message(message, data):"""回调函数，处理 Frida 发回的消息。"""if message['type'] == 'send':print(f"[+] {message['payload']}")elif message['type'] == 'error':print(f"[!] {message['stack']}")def main():print("执行任务")try:print(f"[!] {frida.__version__}")# 连接到 Android 设备device = frida.get_usb_device(timeout=5)# 查找目标进程pid = device.spawn(["com.lxt.single_module"])session = device.attach(pid)# 加载 Hook 脚本script = session.create_script(HOOK_SCRIPT_1)script.on('message', on_message)  # 设置消息回调script.load()# 恢复进程device.resume(pid)print("[*] Hook 脚本已加载，应用正在运行...")# 保持脚本运行状态sys.stdin.read()except Exception as e:print(f"[!] 错误: {e}")if __name__ == "__main__":main()

再次运行脚本并点击测试按键

触发脚本，绕过api请求步骤执行页面跳转