无节操非程序猿

莫催稿,催稿也不交

Android核心破解原理详解

玩 Android 时,我们经常会听到核心破解这个词,在部分第三方 ROM 里,也有一些作者会直接完成核心破解,以使 Android 拥有更大的可玩性。那么倒底什么是核心破解,它又对系统产生什么样的影响?


首先让我们看一下核心破解后可以做什么:


功能点破解前破解后
应用降级只能由高版本应用覆盖低版本无视版本号随意覆盖
覆盖安装签名不一致不能覆盖无视签名直接覆盖
无签名安装不允许允许


从这些功能点上也可以知道,这些限制的破解,对于使用破解版的软件是有极大的影响的,正常情况下,软件被破解后,无法签回原始签名,因此也无法直接覆盖安装,甚至是有的时候觉得低版本更好用也无法盖回去。那么核心破解对于这样的用户是非常有价值的。


但是从另一方面看,核心破解的实质就是绕开签名的校验,绕开版本的校验,其实是直接降低了 Android 的安全性,它使得盗版软件得已生存,破坏 Android 本身的生态。当然这一切都不在讨论范围内,我们还是要实现核心破解的,那么知道了原理之后,就需要写代码了。


核心破解的时机


由于签名的机制贯穿整个 Android,因此要从源头就进行破解,也就是我们常说的,在zygote初始化的时候,就要下勾子了。在zygote初始化时,签名相关的库,如java.security已经被加载,在这个时机对 security 相关的类进行挂勾:

XposedBridge.hookAllMethods(
    XposedHelpers.findClass("com.android.org.conscrypt.OpenSSLSignature", null),
    "engineVerify",
    object : XC_MethodHook() {
    @Throws(Throwable::class)
        override fun beforeHookedMethod(param: MethodHookParam) {
            param.result = true
        }
    }
)
XpUtils.findAndHookMethod(
    "java.security.MessageDigest",
    null,
    "isEqual", ByteArray::class.java, ByteArray::class.java,
    object : XC_MethodHook() {
        @Throws(Throwable::class)
        override fun beforeHookedMethod(param: MethodHookParam) {
            param.result = true
        }
    }
)
XpUtils.findAndHookMethod(
    "java.security.Signature",
    null,
    "verify", ByteArray::class.java,
    object : XC_MethodHook() { 
        @Throws(Throwable::class)
        override fun beforeHookedMethod(param: MethodHookParam) {
            val alg = (param.thisObject as Signature).algorithm.toLowerCase()
            val state = XposedHelpers.getIntField(param.thisObject, "state")
            if ((alg == "sha1withrsa" || alg == "rsa-sha1" || alg == "1.3.14.3.2.26with1.2.840.113549.1.1.1") && state == 3) {
                param.result = true
            }
        }
    }
)
XpUtils.findAndHookMethod(
    "java.security.Signature", 
    null, 
    "verify", ByteArray::class.java, Integer.TYPE, Integer.TYPE, 
    object : XC_MethodHook() {
        @Throws(Throwable::class)
        override fun beforeHookedMethod(param: MethodHookParam) {
            val alg = (param.thisObject as Signature).algorithm.toLowerCase()
            val state = XposedHelpers.getIntField(param.thisObject, "state")
            if ((alg == "sha1withrsa" || alg == "rsa-sha1" || alg == "1.3.14.3.2.26with1.2.840.113549.1.1.1") && state == 3) {
                param.result = true
            }
        }
    }
)


关于参数取值的问题,通常的做法是先反编译 jar 包,找到类似verify之类的函数,然后打出 log,跟据 log 所显示的参数来进行取值的确定。当然如果做得粗暴,也可以不判断取值直接返回 true,这样系统就会变得更加不安全。


破解安装包的过程


破解完上面这些之后,依然不够,还要针对 Android 的安装过程进行破解。与安装包校验相关的类,位于com.android.server.pm.PackageManagerService,当然这个时候你的手里若是有一份 Android 源码自然是最好,否则的话是很难进行分析的,当然直接看这篇文章也是个不错的选择。


PackageManagerService内,共有4个函数与安装包时的校验有关,分别是installPackageAsUsercheckUpgradeKeySetLPverifySignaturesLPcompareSignatures,对它们进行修改即可,不啰嗦直接给代码:

XposedBridge.hookAllMethods(
    clsPackageManagerClass, 
    "installPackageAsUser", 
    object : XC_MethodHook() {
        @Throws(Throwable::class)
        override fun beforeHookedMethod(param: MethodHookParam) {
            val flags = param.args[2] as Int
            if ((flags and INSTALL_ALLOW_DOWNGRADE) == 0) {
                param.args[2] = (flags or INSTALL_ALLOW_DOWNGRADE)
            }
        }
    }
)
XposedBridge.hookAllMethods(
    clsPackageManagerClass, 
    "checkUpgradeKeySetLP", 
    object : XC_MethodHook() {
        @Throws(Throwable::class)
        override fun afterHookedMethod(param: MethodHookParam) {
            param.result = true
        }
    }
)
XposedBridge.hookAllMethods(
    clsPackageManagerClass, 
    "verifySignaturesLP", 
    object : XC_MethodHook() {
        @Throws(Throwable::class)
        override fun afterHookedMethod(param: MethodHookParam) {
            param.result = true
        }
    }
)
XposedBridge.hookAllMethods(
    clsPackageManagerClass, 
    "compareSignatures", 
    object : XC_MethodHook() {
        @Throws(Throwable::class)
        override fun afterHookedMethod(param: MethodHookParam) {
            param.result = PackageManager.SIGNATURE_MATCH
        }
    }
)


关于核心破解的失效


就目前所发现的,还没有任何手段可以阻止核心破解,那么为什么核心破解有时会失效呢,这个问题通常是由于 Android 版本更新引起的。整理了一下到目前为止的 Android 版本变化,大致能看出点问题,核心破解也是要跟随 Android 版本升级,而并非一劳逸。


时机SDK关键类关键方法
zygote> 18com.android.org.conscrypt.OpenSSLSignatureengineVerify
zygote> 14 && <=18org.apache.harmony.xnet.provider.jsse.OpenSSLSignatureengineVerify
zygote= 10org.bouncycastle.jce.provider.JDKDigestSignatureengineVerify
zygote全部java.security.MessageDigestisEqual
zygote全部java.security.Signatureverify
package> 21com.android.server.pm.PackageManagerServiceinstallPackageAsUser
package> 21com.android.server.pm.PackageManagerServicecheckUpgradeKeySetLP
package> 17 && <=21com.android.server.pm.PackageManagerServiceinstallPackageWithVerificationAndEncryption
package<= 17com.android.server.pm.PackageManagerServiceinstallPackageWithVerification
package全部com.android.server.pm.PackageManagerServiceverifySignaturesLP
package全部com.android.server.pm.PackageManagerServicecompareSignatures


可以看到,不同版本的 Android 对于安装包的处理也是不一样的,需要按实际情况进行处理。本文所提供的代码全部基于 SDK 21 以上。

发表评论:

Powered By Z-BlogPHP 1.5.1 Zero

Copyright Rarnu 2017. All Rights Reserved.