2. 程式人生 > >用Xposed框架攔截Android作業系統的簡訊接收

用Xposed框架攔截Android作業系統的簡訊接收

阿新 發佈:2019-01-31

簡訊接收原理

關於Android作業系統簡訊的接收和傳送流程的文章網上有一大堆,但是真正說得很清楚的不多,這篇blog寫得不錯。其實要想真正弄懂Android作業系統簡訊的流程,還是Linus的那句話: Read the fucking source code.呵呵
在Android作業系統中,大部分敏感資訊的傳遞過程都是基於binder機制的,當然SMS也不例外。對於SMS的接收流程的描述從Framework層和Application層這兩個層面進行介紹。

  • Framework層
    當簡訊到達Framework層後,會首先啟動RIL中的RILReceiver去接收簡訊,在RILReceiver中使用LocalSocket去讀簡訊,然後把讀到的簡訊放在一個Parcel物件中,然後呼叫processResponse(Parcel p)去處理,processResponse()中呼叫processUnsolicited(Parcel p)處理。
    Android作業系統對應的原始碼如下:
 class RILReceiver implements Runnable {
        byte[] buffer;
        RILReceiver() {
            buffer = new byte[RIL_MAX_COMMAND_BYTES];
        }

        @Override
        public void
        run() {
            int retryCount = 0;

            try {for (;;) {
                LocalSocket s = null
 
;
                LocalSocketAddress l;

                try {
                    s = new LocalSocket();
                    l = new LocalSocketAddress(SOCKET_NAME_RIL,
                            LocalSocketAddress.Namespace.RESERVED);
                    s.connect(l);
                } catch (IOException ex){
                    try
 
 {
                        if (s != null) {
                            s.close();
                        }
                    } catch (IOException ex2) {
                        //ignore failure to close after failure to connect
                    }

                    // don't print an error message after the the first time
                    // or after the 8th time

                    if (retryCount == 8) {
                        Rlog.e (RILJ_LOG_TAG,
                            "Couldn't find '" + SOCKET_NAME_RIL
                            + "' socket after " + retryCount
                            + " times, continuing to retry silently");
                    } else if (retryCount > 0 && retryCount < 8) {
                        Rlog.i (RILJ_LOG_TAG,
                            "Couldn't find '" + SOCKET_NAME_RIL
                            + "' socket; retrying after timeout");
                    }

                    try {
                        Thread.sleep(SOCKET_OPEN_RETRY_MILLIS);
                    } catch (InterruptedException er) {
                    }

                    retryCount++;
                    continue;
                }

                retryCount = 0;

                mSocket = s;
                Rlog.i(RILJ_LOG_TAG, "Connected to '" + SOCKET_NAME_RIL + "' socket");

                int length = 0;
                try {
                    InputStream is = mSocket.getInputStream();

                    for (;;) {
                        Parcel p;

                        length = readRilMessage(is, buffer);

                        if (length < 0) {
                            // End-of-stream reached
                            break;
                        }

                        p = Parcel.obtain();
                        p.unmarshall(buffer, 0, length);
                        p.setDataPosition(0);

                        //Rlog.v(RILJ_LOG_TAG, "Read packet: " + length + " bytes");

                        processResponse(p);
                        p.recycle();
                    }
                } catch (java.io.IOException ex) {
                    Rlog.i(RILJ_LOG_TAG, "'" + SOCKET_NAME_RIL + "' socket closed",
                          ex);
                } catch (Throwable tr) {
                    Rlog.e(RILJ_LOG_TAG, "Uncaught exception read length=" + length +
                        "Exception:" + tr.toString());
                }

                Rlog.i(RILJ_LOG_TAG, "Disconnected from '" + SOCKET_NAME_RIL
                      + "' socket");

                setRadioState (RadioState.RADIO_UNAVAILABLE);

                try {
                    mSocket.close();
                } catch (IOException ex) {
                }

                mSocket = null;
                RILRequest.resetSerial();

                // Clear request list on close
                clearRequestList(RADIO_NOT_AVAILABLE, false);
            }} catch (Throwable tr) {
                Rlog.e(RILJ_LOG_TAG,"Uncaught exception", tr);
            }
            /* We're disconnected so we don't know the ril version */
            notifyRegistrantsRilConnectionChanged(-1);
        }
    }
  • Application層
    在App層,PrivilegedSmsReceiver在接收到簡訊來了的廣播之後,由SmsReceiver啟動SmsReceiverService來做具體的處理。接收簡訊的action為SMS_RECEIVED_ACTION,所以呼叫handleSmsReceived()處理,使用insertMessage()將簡訊插入資料庫,這裡首先會判斷簡訊是否為CLASS_0簡訊,如果是則直接顯示,不插入資料庫。如果不是則會進行訊息的替換或者插入資料庫,替換使用了SmsMessaged的isReplace()方法判斷,原則是簡訊協議標識mProtocolIdentifier的判斷。如果既不是CLASS_0簡訊也不需要替換,則將簡訊插入資料庫,然後使用MessagingNotification在StatusBar做一個notification,通知使用者簡訊來了。這裡就不附上Android作業系統的相關程式碼了,感興趣的,可以自己在Grepcode或者AndroidXRef上自己檢視。

編碼實現

上面已經弄清楚原理了,研究Android作業系統對應部分的原始碼,不難找出相應的解決方案。這裡選擇一種比較簡單的hook,用xposed框架進行攔截。當然也是經過多次失敗嘗試後找到的一種比較有效的方法。思路很簡單,就是針對簡訊接收流程中呼叫的函式,攔截該函式,獲取接收端的資訊流,對資訊流進行按位異或處理。下面給出核心部分的原始碼:

package com.example.receiver;

import de.robv.android.xposed.IXposedHookLoadPackage;
import de.robv.android.xposed.XC_MethodHook;
import de.robv.android.xposed.XposedBridge;
import de.robv.android.xposed.XposedHelpers;
import de.robv.android.xposed.callbacks.XC_LoadPackage.LoadPackageParam;

/**
 * @author Li Jiansong
 * @date:2015-7-27  上午11:15:48
 * @version :
 *
 *Server端簡訊接收端的攔截,經過多次嘗試,最終有效的是下面的方案
 *攔截SmsMessage的內部類PduParser的getUserDataUCS2方法,該方法返回型別為String
 *String getUserDataUCS2(int byteCount)
 *
 */
public class RecvHooker implements IXposedHookLoadPackage{

    private static final String TARGET_PACKAGE = "com.android.mms";

    @Override
    public void handleLoadPackage(LoadPackageParam lpparam) throws Throwable {
        // TODO Auto-generated method stub
        //XposedBridge.log("--------loaded app:"+lpparam.packageName);
//      if(!lpparam.packageName.equals("com.android.mms"))
//          return;

        if (!TARGET_PACKAGE.equals(lpparam.packageName)) {
            // XposedBridge.log("SendRawSMSMod: ignoring package: " +
            // lpparam.packageName);
            return;
        }

//      /**
//       * 攔截SmsMessage的內部類PduParser的getUserData方法,
//       * byte[] getUserData(){}
//       * 該方法不帶引數
//       */
//      final Class<?> recvClazz=XposedHelpers.findClass("com.android.internal.telephony.gsm"
//      +".SmsMessage$PduParser",lpparam.classLoader);
//      
//      XposedBridge.log("==========開始進入攔截----");
//      
//      XposedHelpers.findAndHookMethod(recvClazz, "getUserData",
//              new XC_MethodHook(){
//      
//          @Override
//          protected void afterHookedMethod(MethodHookParam param)
//                  throws Throwable {
//              // TODO Auto-generated method stub
//              //super.beforeHookedMethod(param);
//      
//              XposedBridge.log("=========getUserData被呼叫");
//              byte[] recvByteSms=(byte[]) param.getResult();
//              String strRecvSms="";
//              strRecvSms+=new String(recvByteSms);
//          
//              //byte[] srtbyte = strRecvSms.getBytes();
//              //String lsx="6666666666666666666666666666666666";
//              param.setResult(strRecvSms.getBytes());
//              //SmsMessage msg=new SmsMessage();
//              
//              XposedBridge.log("========接收的簡訊內容為:"+strRecvSms);
//              return;
//          }
//          
//          
//      });





        //XposedBridge.log("-------開始攔截");
//      findAndHookMethod("com.android.internal.telephony.gsm.SmsMessage",lpparam.classLoader,
//              "getSubmitPdu",String.class,
//              String.class, String.class, boolean.class, byte[].class,
//              int.class, int.class, int.class, new XC_MethodHook(){
//          
//          /**
//           * 攔截SmsMessage的getSubmitPdu方法,其有5個引數
//           * String scAddress,
//           * String destinationAddress, 
//           * String message,
//           * boolean statusReportRequested, 
//           * byte[] header
//           * 
//           */
//          
//          /**
//           * Get an SMS-SUBMIT PDU for a destination address and a message
//           *
//           * @param scAddress Service Centre address.  Null means use default.
//           * @return a <code>SubmitPdu</code> containing the encoded SC
//           *         address, if applicable, and the encoded message.
//           *         Returns null on encode error.
//           */
//          @Override
//          protected void beforeHookedMethod(MethodHookParam param)
//                  throws Throwable {
//              // TODO Auto-generated method stub
//          //  super.beforeHookedMethod(param);
//              XposedBridge.log("getSubmitPdu被呼叫");
//              if(param.args[2]==null){
//                  return;
//              }
//              String message=(String) param.args[2];
//              XposedBridge.log("======before:SMS message:"+message);
//              SimpleDateFormat df=new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
//              message+=df.format(new Date());
//              XposedBridge.log("========after   SMS message:"+message);
//              SubmitPdu rawPdu=new SubmitPdu();
//              //StringTokenizer stringTokenizer=new StringTokenizer(string, delimiters, returnDelimiters)
//              param.setResult(rawPdu);
//              XposedBridge.log("=============hook替換成功");
//              
//              return;
//              
//          }
//      });


//      final Class<?> recvClazz=XposedHelpers.findClass("com.android.internal.telephony.gsm"
//              +".SmsMessage$PduParser",lpparam.classLoader);

        XposedBridge.log("=========開始進入攔截");
        XposedHelpers.findAndHookMethod("com.android.internal.telephony.gsm"+".SmsMessage$PduParser", 
                lpparam.classLoader,"getUserDataUCS2",int.class, 
                new XC_MethodHook(){
            /**
             * Interprets the user data payload as UCS2 characters, and
             * decodes them into a String.
             *
             * @param byteCount the number of bytes in the user data payload
             * @return a String with the decoded characters
             */
            /**
             * 攔截SmsMessage的內部類PduParser的getUserDataUCS2方法,該方法返回型別為String
             * String getUserDataUCS2(int byteCount)
             * 
             */
            @Override
            protected void afterHookedMethod(MethodHookParam param)
                    throws Throwable {
                // TODO Auto-generated method stub
            //  super.afterHookedMethod(param);
                try {
                    String strMms=(String) param.getResult();
                    XposedBridge.log("=========before:"+strMms);
                    //String after="666666666666666";
                    char[] recvArray=strMms.toCharArray();
                    for(int i=0;i<recvArray.length;i++){
                        recvArray[i]=(char) (recvArray[i]^20000);
                    }
                    String enCodeSms=new String(recvArray);
                    param.setResult(enCodeSms);

                    XposedBridge.log("=========after:"+param.getResult());

                    //return;
                } catch (Exception e) {
                    // TODO Auto-generated catch block
                    //e.printStackTrace();
                    XposedBridge.log(e);
                }

            }
        });
    }
}

測試

下面給出一個測試例子,向10086傳送一條簡訊,10086自動給出迴應資訊。由於迴應的資訊被攔截處理了,所以顯示的是亂碼。從後臺的日誌可以看出完整的原來正常的簡訊資訊。
這裡寫圖片描述
這裡寫圖片描述

相關推薦

Xposed框架攔截Android作業系統簡訊接收

簡訊接收原理 關於Android作業系統簡訊的接收和傳送流程的文章網上有一大堆,但是真正說得很清楚的不多,這篇blog寫得不錯。其實要想真正弄懂Android作業系統簡訊的流程,還是Linus的那句話: Read the fucking source code

Xposed框架抓取微信朋友圈資料

因微信朋友圈為私有協議,從抓包上分析朋友圈資料幾乎不可能,目前也尚未找到開源的抓取朋友圈的指令碼。博主於是嘗試通過使用安卓下的Xposed框架實現從微信安卓版上抓取朋友圈資料。 本文針對微信版本6.3.8。GitHub倉庫 主要思路 從UI獲取文字資訊是最為簡單的

AndroidXposed框架篇-利用Xposed框架實現攔截系統方法

本文轉載自Android中Xposed框架篇—利用Xposed框架實現攔截系統方法 Xposed框架是Android中hook技術的一個著名的框架,免費而且開源,網上有很多文章介紹了Xposed框架的原理實現,不瞭解的同學可以自行查閱即可,本文主要介紹如何通過

Genymotion虛擬機器在Android 6.0下安裝Xposed框架以及Root

最近在研究Xposed框架下的開發,由於之前玩手機的時候裝了一堆模組,導致框架下一堆別的模組產生的Log,而且開機奇慢無比,但Xposed模組更新後必須重啟,測試程式碼時候簡直就是噩夢。因此想用虛擬機器來進行測試,研究了幾個小時,踩了各種坑,總結一下過程分享給大

AndroidXposed框架篇---利用Xposed框架實現攔截系統方法

一、前言關於Xposed框架相信大家應該不陌生了,他是Android中Hook技術的一個著名的框架,還有一個框架是CydiaSubstrate,但是這個框架是收費的,而且個人覺得不怎麼好用,而Xpose

AndroidXposed框架篇-微信實現本地視頻發布到朋友圈功能

快速定位 adb 本地 ref jad jadx mps 頁面 視頻 微信非常龐大,還好有一些強大的工具,下面就來總結收獲的知識。 一、使用adb shell dumpsys activity top命令快速定位頁面 二、使用Jadx進行方法跟蹤時候如果發現沒有結

【開源框架Android框架與UI效果demo收集,歡迎各位大俠補充

索引貼 持續更新 github開源專案收集貼 Android 初級到高階開發學習中的日常積累收集 目錄 UI效果與處理 Ui繫結註解 二維碼 Android動畫 Android圖表 文字輸入框 選擇列表

Android-監聽作業系統簡訊

想要訪問Android作業系統的ContentProvider就需要明白以下原理:   在Android作業系統裡面的 /packsges/目錄:   apps: 很多的系統應用,例如:聯絡人,瀏覽器,音樂播放器,設定,相機 ......                           

Xposed框架開發入門(二)--使用Xposed框架實現Activity跳轉攔截

接著上一篇Xposed框架入門開發(一)繼續,在上一篇中已經說了,第二篇主要介紹的是Xposed框架開發的基礎的應用。在接下來的文章中,主要以一個Activity的跳轉APP為例, 示範Xposed框架的基本使用方法。 1、編寫一個簡單的Activity跳

Android 神器 xposed 框架使用指南

1 簡介 xposed號稱Android上最強大的神器,如果你還不知道xposed是啥,那麼你真的out了,本篇部落格,讓博主帶你來了解xposed。 (1) xposed 是啥? xposed是一個框架,上面有很多模組,這些模組都依賴於xposed這個框

android 實現監聽簡訊接收並將當前位置傳送出去

1、獲取定位地址,這裡使用高德定位,從官網下載定位的jar包AMap_Location_V3.50_20170731.jar包然後在build.gradlecompile files('libs/AMap_Location_V3.5.0_20170731.jar')然後在許

黑客思維做測試——神器 Xposed 框架介紹

Xposed 框架 Xposed 框架是一款可以在不修改APK的情況下影響程式執行(修改系統)的框架服務,基於它可以製作出許多功能強大的模組,且在功能不衝突的情況下同時運作。 基本原理 Zygote 程序是 Android 的核心,所有的應用程式程序以及系統服

Android5.0框架簡訊接收過程分析

本文分析使用的是android5.0的原始碼,涉及的相關檔案: frameworks\opt\telephony\src\java\com\android\internal\telephony\RIL.java frameworks\base\core\java\com\a

AndroidXposed框架篇---修改系統位置資訊實現自身隱藏功能

一、前言前文已經介紹了Xposed框架的基本使用規則,本文主要來介紹一個實際案例就是如何通過這個框架來修改系統的地理位置資訊來實現隱藏功能,在如今社交工具的發展特別是微信,他有一個實時位置共享功能,那麼

Android學習日記】(七) 監聽簡訊接收例項

/* 自定義繼承自BroadcastReceiver類,監聽系統服務廣播的資訊 */ public class EX06_01_SMSreceiver extends BroadcastReceiver  {     /*宣告靜態字串,並使用android.provider

android安裝Xposed框架--魅族系列手機

工具:(說明適用於魅族Note2、Note3和Note5已測試。其他機型可以自測) 魅藍Note2手機一部、 愛玩機(魅化UI)、 KingRoot(獲取Root許可權)【也可以登入Flyme賬號,獲

AndroidXposed框架篇-修改系統位置資訊實現自身隱藏功能

本文轉載自Android中Xposed框架篇—修改系統位置資訊實現自身隱藏功能 前文已經介紹了Xposed框架的基本使用規則,本文主要來介紹一個實際案例,就是如何通過這個框架來修改系統的地理位置資訊來實現隱藏功能。在如今社交工具的發展特別快,微信有一個實時位置

6、XPOSED二、叉叉助手框架--XPOSED實現

繼《xposed框架初探》之後,編寫一個小小的demo應用,剛好之前分析叉叉的遊戲輔助框架(參考《叉叉助手逆向分析續集--模擬實現遊戲外掛框架--再擴充套件到脫殼機》,我們是用了libsubstrate的hook框架來完成的),這次就用XPOSED實現一下。 相關參考

Android DataBinding全解析,你該這個框架

前言: Data binding 在2015年7月釋出的Android Studio v1.3.0 版本上引入,在2016年4月Android Studio v2.0.0 上正式支援。目前為止,Data Binding 已經支援雙向綁定了。 Databind

AndroidXposed框架篇-微信實現本地視訊釋出到朋友圈功能

本文轉載自微信實現本地視訊釋出到朋友圈功能 前一篇文章已經詳細介紹瞭如何使用Xposed框架編寫搖色子和剪刀石頭布作弊器,本文繼續介紹如何使用Xposed框架編寫微信外掛將本地小視訊釋出到朋友圈,這裡還是使用微信6.3.9版本進行操作。 微信6.3.9.ap