动态篡改 so 函数返回值：一篇带你玩转 Android Hook 技术！

https://cyrus-studio.github.io/blog/posts/%E5%8A%A8%E6%80%81%E7%AF%A1%E6%94%B9-so-%E5%87%BD%E6%95%B0%E8%BF%94%E5%9B%9E%E5%80%BC%E4%B8%80%E7%AF%87%E5%B8%A6%E4%BD%A0%E7%8E%A9%E8%BD%AC-android-hook-%E6%8A%80%E6%9C%AF/

Author: CYRUS-STUDIO

app/src/main/AndroidManifest.xml

@@ -19,6 +19,10 @@
  android:theme="@style/Theme.AndroidExample"
  tools:ignore="HardcodedDebugMode"
  tools:targetApi="31">
+ <activity
+ android:name=".sohooker.SoHookerActivity"
+ android:exported="false"
+ android:theme="@style/Theme.AndroidExample" />
  <activity
  android:name=".retrofit.RetrofitActivity"
  android:exported="false"

app/src/main/cpp/CMakeLists.txt

@@ -429,3 +429,27 @@ target_link_libraries(
  # 链接 log 库
  ${log-lib}
 )
+
+## so hooker ##########################################################################################
+
+find_package(shadowhook REQUIRED CONFIG)
+
+add_library(
+ # 设置库的名称
+ sohooker
+
+ # 设置库的类型
+ SHARED
+
+ # 设置源文件路径
+ sohooker.cpp
+)
+
+target_link_libraries(
+ sohooker
+ # 链接 log 库
+ ${log-lib}
+ # 链接 shadowhook
+ shadowhook::shadowhook
+)
+

app/src/main/cpp/sohooker.cpp

@@ -0,0 +1,115 @@
+#include <jni.h>
+#include <android/log.h>
+#include "shadowhook.h"
+#include <link.h>
+#include <string.h>
+
+#define TAG "sohooker"
+#define LOGI(...) __android_log_print(ANDROID_LOG_INFO, TAG, __VA_ARGS__)
+
+// 原始函数指针类型
+typedef bool (*orig_ca_func_t)(JNIEnv *, jclass, jobject);
+
+static orig_ca_func_t orig_ca_func = nullptr;
+
+// 替换函数
+static bool fake_ca(JNIEnv *env, jclass clazz, jobject context) {
+ LOGI("🚀 fake_ca called, always return true");
+ return true;
+}
+
+/**
+ * @brief 获取指定共享库（.so 文件）的加载基址。
+ *
+ * @param libname 要查找的共享库名称的子串，例如 "libtarget.so"。
+ * 支持模糊匹配（通过 strstr），无需提供完整路径。
+ *
+ * @return void* 返回找到的库的加载基地址（dlpi_addr），
+ * 如果未找到匹配的库，则返回 nullptr。
+ *
+ * @example
+ * void* base = get_library_base("libexample.so");
+ * if (base) {
+ * printf("libexample.so 加载基址为: %p\n", base);
+ * }
+ */
+void *get_library_base(const char *libname) {
+ // 定义一个回调数据结构，用于在遍历时传递库名和保存找到的基地址
+ struct callback_data {
+ const char *libname;
+ void *base;
+ } data = {libname, nullptr};
+
+ // 使用 dl_iterate_phdr 遍历所有已加载的动态库，传递一个匿名函数（lambda）处理 item
+ dl_iterate_phdr([](struct dl_phdr_info *info, size_t, void *data) {
+
+ // 将传入的 data 指针强制转换为 callback_data 类型
+ auto *cb = (callback_data *) data;
+
+ // 判断当前库名中是否包含目标库名
+ if (info->dlpi_name && strstr(info->dlpi_name, cb->libname)) {
+ // 找到匹配库，保存其基地址
+ cb->base = (void *) info->dlpi_addr;
+
+ // 返回 1 表示停止迭代（即已经找到了目标库）
+ return 1;
+ }
+
+ // 继续查找其他库
+ return 0;
+ }, &data);
+
+ // 返回找到的基址
+ return data.base;
+}
+
+void print_arch_info() {
+#if defined(__aarch64__)
+ LOGI("Current architecture: arm64-v8a");
+#elif defined(__arm__)
+ LOGI("Current architecture: armeabi-v7a");
+#elif defined(__i386__)
+ LOGI("Current architecture: x86");
+#elif defined(__x86_64__)
+ LOGI("Current architecture: x86_64");
+#else
+ LOGI("Unknown architecture");
+#endif
+}
+
+
+// 在库加载时自动执行
+__attribute__((constructor)) static void init_hook() {
+ // 初始化 ShadowHook
+ shadowhook_init(SHADOWHOOK_MODE_UNIQUE, true); // debug 开启日志
+
+ // 获取 so 基址
+ void *base = get_library_base("libhexymsb.so");
+ if (!base) {
+ LOGI("❌ libhexymsb.so not loaded yet");
+ return;
+ }
+
+ uintptr_t target_addr = 0;
+
+ // 适配不同的架构
+#ifdef __aarch64__
+ // arm64-v8a
+ target_addr = (uintptr_t) base + 0x09C8; // 函数内存地址 = so 基址 + 函数偏移
+#else
+ // armeabi-v7a
+ target_addr = (uintptr_t) base + 0x0610;
+#endif
+
+ // 打印当前设备架构信息
+ print_arch_info();
+
+ LOGI("🎯 hooking address: %p", (void *) target_addr);
+
+ // Hook
+ shadowhook_hook_func_addr(
+ (void *) target_addr, // target
+ (void *) fake_ca, // replacement
+ (void **) &orig_ca_func // backup
+ );
+}

app/src/main/java/com/cyrus/example/MainActivity.kt

@@ -33,6 +33,7 @@ import com.cyrus.example.unicorn.UnicornActivity
 import com.cyrus.example.unidbg.UnidbgActivity
 import com.cyrus.example.vmp.VMPActivity
 import com.cyrus.example.retrofit.RetrofitActivity
+import com.cyrus.example.sohooker.SoHookerActivity
 
 
 class MainActivity : AppCompatActivity() {
@@ -287,5 +288,14 @@ class MainActivity : AppCompatActivity() {
  )
  startActivity(intent)
  }
+
+ // 动态篡改 so 函数返回值
+ findViewById<Button>(R.id.button_sohooker).setOnClickListener {
+ val intent = Intent(
+ this@MainActivity,
+ SoHookerActivity::class.java
+ )
+ startActivity(intent)
+ }
  }
 }

app/src/main/java/com/cyrus/example/sohooker/SoHookerActivity.kt

@@ -0,0 +1,74 @@
+package com.cyrus.example.sohooker
+
+
+import android.os.Bundle
+import android.widget.Toast
+import androidx.activity.ComponentActivity
+import androidx.activity.compose.setContent
+import androidx.compose.foundation.layout.Column
+import androidx.compose.foundation.layout.Spacer
+import androidx.compose.foundation.layout.fillMaxSize
+import androidx.compose.foundation.layout.height
+import androidx.compose.foundation.layout.padding
+import androidx.compose.material3.Button
+import androidx.compose.material3.Text
+import androidx.compose.runtime.getValue
+import androidx.compose.runtime.mutableStateOf
+import androidx.compose.runtime.remember
+import androidx.compose.runtime.setValue
+import androidx.compose.ui.Modifier
+import androidx.compose.ui.graphics.Color
+import androidx.compose.ui.unit.dp
+import marmojkfnf.mnhosc.cswoel.wvfxxn.Bhubscfh
+
+class SoHookerActivity : ComponentActivity() {
+
+ override fun onCreate(savedInstanceState: Bundle?) {
+ super.onCreate(savedInstanceState)
+
+ val bhubscfh = Bhubscfh()
+
+ setContent {
+
+ var resultText by remember { mutableStateOf("点击按钮调用 native 方法") }
+
+ Column(
+ modifier = Modifier
+ .fillMaxSize()
+ .padding(16.dp)
+ ) {
+
+ Button(onClick = {
+ val result = bhubscfh.ca(this@SoHookerActivity)
+ resultText = "调用结果：$result"
+ }) {
+ Text("调用 native 方法")
+ }
+
+ Spacer(modifier = Modifier.height(16.dp))
+
+ Button(onClick = {
+ try {
+ System.loadLibrary("sohooker")
+ Toast.makeText(this@SoHookerActivity, "sohooker 加载成功", Toast.LENGTH_SHORT)
+ .show()
+ } catch (e: Throwable) {
+ e.printStackTrace()
+
+ Toast.makeText(
+ this@SoHookerActivity,
+ "sohooker 加载失败: ${e.message}",
+ Toast.LENGTH_SHORT
+ ).show()
+ }
+ }) {
+ Text("加载 sohooker 篡改 so 函数返回值")
+ }
+
+ Spacer(modifier = Modifier.height(32.dp))
+
+ Text(resultText, color = Color.White)
+ }
+ }
+ }
+}

app/src/main/java/marmojkfnf/mnhosc/cswoel/wvfxxn/Bhubscfh.java

@@ -0,0 +1,13 @@
+package marmojkfnf.mnhosc.cswoel.wvfxxn;
+
+import android.content.Context;
+
+public class Bhubscfh {
+
+ static {
+ System.loadLibrary("hexymsb");
+ }
+
+ public final native boolean ca(Context context);
+
+}

app/src/main/jniLibs/arm64-v8a/libhexymsb.so

@@ -207,6 +207,13 @@
  android:layout_marginTop="12dp"
  android:text="Retrofit" />
 
+ <Button
+ android:id="@+id/button_sohooker"
+ android:layout_width="wrap_content"
+ android:layout_height="wrap_content"
+ android:layout_marginTop="12dp"
+ android:text="动态篡改 so 函数返回值" />
+
  </LinearLayout>
 
 </ScrollView>