1. 程式人生 > >獲取Android裝置DeviceId與反Xposed Hook

獲取Android裝置DeviceId與反Xposed Hook

APP開發中常需要獲取裝置的DeviceId,以應對刷單,目前常用的幾個裝置識別碼主要有IMEI(國際移動裝置身份碼 International Mobile Equipment Identity)或者MEID(Mobile Equipment IDentifier),這兩者也是常說的DeviceId,不過Android6.0之後需要許可權才能獲取,而且,在Java層這個ID很容易被Hook,可能並不靠譜,另外也可以通過MAC地址或者藍芽地址,序列號等,暫列如下:

  • IMEI : (International Mobile Equipment Identity) 或者MEID :( Mobile Equipment IDentifier )
  • MAC 或者藍芽地址 (需要重新刷flash才能更新)
  • Serial Number
  • AndroidId ANDROID_ID是裝置第一次啟動時產生和儲存的64bit的一個數,手機升級,或者被wipe後該數重置

以上四個是常用的Android識別碼,系統也提供了詳情的介面讓開發者獲取,但是由於都是Java層方法,很容易被Hook,尤其是有些專門刷單的,在手機Root之後,利用Xposed框架裡的一些外掛很容易將獲取的資料給篡改。舉個最簡單的IMEI的獲取,常用的獲取方式如下:

TelephonyManager telephonyManager = ((TelephonyManager) context.getSystemService(Context.TELEPHONY_SERVICE));
return telephonyManager.getDeviceId()

假如Root使用者利用Xposed Hook了TelephonyManager類的getDeviceId()方法,如下,在afterHookedMethod方法中,將DeviceId設定為隨機數,這樣每次獲取的DeviceId都是不同的。

public class XposedModule implements IXposedHookLoadPackage {

        try {
            findAndHookMethod(TelephonyManager.class.getName(), lpparam.classLoader, "getDeviceId", new XC_MethodHook() {
                            @Override
                        protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                            super.afterHookedMethod(param);
                                param.setResult("" + System.currentTimeMillis());
                        }
                    });
        } catch (Exception e1) {
        }catch (Error e) {
        } }

所以為了獲取相對準確的裝置資訊我們需要採取相應的應對措施,比如:

  • 可以採用一些系統隱藏的介面來獲取裝置資訊,隱藏的介面不太容易被篡改,因為可能或導致整個系統執行不正常
  • 可以自己通過Binder通訊的方式向服務請求資訊,比如IMEI號,就是想Phone服務傳送請求獲取的,當然如果Phone服務中的Java類被Hook,那麼這種方式也是獲取不到正確的資訊的
  • 可以採用Native方式獲取裝置資訊,這種方式可以有效的避免被Xposed Hook,不過仍然可以被adbi 在本地層Hook。

首先看一下看一下如何獲取getDeviceId,原始碼如下

public String getDeviceId() {
    try {
        return getITelephony().getDeviceId();
    } catch (RemoteException ex) {
        return null;
    } catch (NullPointerException ex) {
        return null;
    }
}

private ITelephony getITelephony() {
    return ITelephony.Stub.asInterface(ServiceManager.getService(Context.TELEPHONY_SERVICE));
}

如果getDeviceId被Hook但是 getITelephony沒被Hook,我們就可以直接通過反射獲取TelephonyManager的getITelephony方法,進一步通過ITelephony的getDeviceId獲取DeviceId,不過這個方法跟ROM版本有關係,比較早的版本壓根沒有getITelephony方法,早期可能通過IPhoneSubInfo的getDeviceId來獲取,不過以上兩種方式都很容被Hook,既然可以Hook getDeviceId方法,同理也可以Hook getITelephony方法,這個層次的反Hook並沒有多大意義。因此,可以稍微深入一下。ITelephony.Stub.asInterface,這是一個很明顯的Binder通訊的方式,那麼不如,我們自己獲取Binder代理,進而利用Binder通訊的方式向Phone服務傳送請求,獲取裝置DeviceId,Phone服務是利用aidl檔案生成的Proxy與Stub,可以基於這個來實現我們的程式碼,Binder通訊比較重要的幾點:InterfaceDescriptor+TransactionId+引數,獲取DeviceId的幾乎不需要什麼引數(低版本可能需要)。具體做法是:

  • 直接通過ServiceManager的getService方法獲取我們需要的Binder服務代理,這裡其實就是phone服務
  • 利用com.android.internal.telephony.ITelephony$Stub的asInterface方法獲取Proxy物件
  • 利用反射獲取getDeviceId的Transaction id
  • 利用Proxy向Phone服務傳送請求,獲取DeviceId。

具體實現如下,這種做法可以應對代理方的Hook。

 public static int getTransactionId(Object proxy,
                                        String name) throws RemoteException, NoSuchFieldException, IllegalAccessException {
        int transactionId = 0;
        Class outclass = proxy.getClass().getEnclosingClass();
        Field idField = outclass.getDeclaredField(name);
        idField.setAccessible(true);
        transactionId = (int) idField.get(proxy);
        return transactionId;
    }

//根據方法名,反射獲得方法transactionId
public static String getInterfaceDescriptor(Object proxy) throws NoSuchMethodException, InvocationTargetException, IllegalAccessException {
    Method getInterfaceDescriptor = proxy.getClass().getDeclaredMethod("getInterfaceDescriptor");
    return (String) getInterfaceDescriptor.invoke(proxy);
}


 static String getDeviceIdLevel2(Context context) {

        String deviceId = "";
        try {
            Class ServiceManager = Class.forName("android.os.ServiceManager");
            Method getService = ServiceManager.getDeclaredMethod("getService", String.class);
            getService.setAccessible(true);
            IBinder binder = (IBinder) getService.invoke(null, Context.TELEPHONY_SERVICE);
            Class Stub = Class.forName("com.android.internal.telephony.ITelephony$Stub");
            Method asInterface = Stub.getDeclaredMethod("asInterface", IBinder.class);
            asInterface.setAccessible(true);
            Object binderProxy = asInterface.invoke(null, binder);
            try {
                Method getDeviceId = binderProxy.getClass().getDeclaredMethod("getDeviceId", String.class);
                if (getDeviceId != null) {
                    deviceId = binderGetHardwareInfo(context.getPackageName(),
                            binder, getInterfaceDescriptor(binderProxy),
                            getTransactionId(binderProxy, "TRANSACTION_getDeviceId"));
                }
            } catch (Exception e) {
            }
            Method getDeviceId = binderProxy.getClass().getDeclaredMethod("getDeviceId");
            if (getDeviceId != null) {
                deviceId = binderGetHardwareInfo("",
                        binder, BinderUtil.getInterfaceDescriptor(binderProxy),
                        BinderUtil.getTransactionId(binderProxy, "TRANSACTION_getDeviceId"));
            }
        } catch (Exception e) {
        }
        return deviceId;
    }

    private static String binderGetHardwareInfo(String callingPackage,
                                                IBinder remote,
                                                String DESCRIPTOR,
                                                int tid) throws RemoteException {

        android.os.Parcel _data = android.os.Parcel.obtain();
        android.os.Parcel _reply = android.os.Parcel.obtain();
        String _result;
        try {
            _data.writeInterfaceToken(DESCRIPTOR);
            if (!TextUtils.isEmpty(callingPackage)) {
                _data.writeString(callingPackage);
            }
            remote.transact(tid, _data, _reply, 0);
            _reply.readException();
            _result = _reply.readString();
        } finally {
            _reply.recycle();
            _data.recycle();
        }
        return _result;
    }

利用Native方法反Xposed Hook

有很多系統引數我們是通過Build來獲取的,比如序列號、手機硬體資訊等,例如獲取序列號,在Java層直接利用Build的feild獲取即可

public static final String SERIAL = getString("ro.serialno");

private static String getString(String property) {
    return SystemProperties.get(property, UNKNOWN);
}

不過SystemProperties的get方法很容被Hook,被Hook之後序列號就可以隨便更改,不過好在SystemProperties類是通過native方法來獲取硬體資訊的,我們可以自己編寫native程式碼來獲取硬體引數,這樣就避免被Java Hook,

public static String get(String key) {
    if (key.length() > PROP_NAME_MAX) {
        throw new IllegalArgumentException("key.length > " + PROP_NAME_MAX);
    }
    return native_get(key);
}

來看一下native原始碼

static jstring SystemProperties_getSS(JNIEnv *env, jobject clazz,
                                      jstring keyJ, jstring defJ)
{
    int len;
    const char* key;
    char buf[PROPERTY_VALUE_MAX];
    jstring rvJ = NULL;

    if (keyJ == NULL) {
        jniThrowNullPointerException(env, "key must not be null.");
        goto error;
    }
    key = env->GetStringUTFChars(keyJ, NULL);
    len = property_get(key, buf, "");
    if ((len <= 0) && (defJ != NULL)) {
        rvJ = defJ;
    } else if (len >= 0) {
        rvJ = env->NewStringUTF(buf);
    } else {
        rvJ = env->NewStringUTF("");
    }

    env->ReleaseStringUTFChars(keyJ, key);

error:
    return rvJ;
}

參考這部分原始碼,自己實現.so庫即可,這樣既可以避免被Java層Hook。