使用Xposed框架Hook第三方库API——以Google Admob广告为例
一.背景
笔者一开始接触Xposed框架的时候，也是在此平台的博客上看到的一篇关于利用Xposed框架劫持登录界面的用户名和密码，链接如下 ：Android逆向分析之Xposed的hook技术。关于Xposed环境的搭建也可以参考上述链接，在此不作赘述。

由于其用到的是XposedHelpers.jar的findAndHookMethod，这个方法要传递待Hook函数的参数列表，比较麻烦。利用XposedBridge.jar的hookMethod，这个方法只需传入待Hook函数的实例（instance），再实现XC_MethodHook这个回调接口就能完成对任意API的Hook。

回到主题，要获取函数的实例，可以使用Java反射机制，对于Android系统的API可以很容易地反射得到函数的实例，但对于本文提到的第三方库API，反射获取第三方库API的实例会在跨应用时失效，需要换一种方式来获取第三方库API的实例，以下将作详细说明，并以广告API作为例子。

二.类/API说明
IXposedHookLoadPackage接口
方法 描述
handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam)

这个方法用于在加载应用程序的包的时候执行用户的操作
loadPackageParam这个参数包含了加载的应用程序的一些基本信息，可以利用此参数获取API所在类的Class对象，从而获取API的实例。
XposedBridge类
方法 描述
hookMethod(Member hookMethod, XC_MethodHook callback)
1.参数：Member hookMethod是待hook的API实例，即方法对象。
2.回调接口：实现XC_MethodHook接口，重写待Hook API运行前和运行后的处理方法beforeHookedMethod和afterHookedMethod（举例如下）。
XposedBridge提供了很多API帮助开发者对函数进行hook，举个例子如下:

XposedBridge.hookMethod(method, new XC_MethodHook() {
           @Override
           protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
               super.beforeHookedMethod(param);
               Log.d(TAG, "原函数执行前执行");
           }

           @Override
           protected void afterHookedMethod(MethodHookParam param) throws Throwable {
               super.afterHookedMethod(param);
               Log.d(TAG, "原函数执行后执行");
           }
       });

三.编写Xposed模块Hook广告API
要对Google AdMob平台的API进行Hook，并且能够限制广告的显示。首先我们需要知道AdMob平台用于显示广告的API，通过查看AdMob广告接入指南，以横幅广告为例，其显示广告的API是属于com.google.android.gms.ads.AdView类的loadAd()。Hook此API，并禁止它的运行。具体实现如下。

编写Xposed模块

 public class Module implements IXposedHookLoadPackage {
     @Override
     public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws         Throwable {
       try {
       Class c = loadPackageParam.classLoader.loadClass("com.google.android.gms.ads.AdView");//关键一步，获取Class对象
       Method method = null;
       for (Method m : c.getDeclaredMethods()) {//获取loadAd的实例
           if (m.getName().equals("loadAd")) {
               method = m;
           }
       }
       Log.d("Module", method.toString());//查看loadAd是否获取成功
       XposedBridge.hookMethod(method, new XC_MethodHook() {
           @Override
           protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
               super.beforeHookedMethod(param);
               param.setResult(null);//限制loadAd的运行
               Log.d("Module", "Confine loadAd");//打印日志
           }
           @Override
           protected void afterHookedMethod(MethodHookParam param) throws Throwable {
               super.afterHookedMethod(param);
           }
       });
   }catch (Exception ex){
       ex.printStackTrace();
   }
}

四.运行效果
1.LogCat显示
在com.bigduckgames.flow这个包加载的时候，获取了loadAd这个API的实例，并限制了它的运行。

谷歌广告去除

五.总结
实际上，Xposed提供丰富的API给开发者对目标函数进行hook，由于本文是专门对于第三方库的函数进行hook，只提到了一些与之相关的API。在获取第三方库Class的时候，要利用到loadPackageParam这个参数，所以要实现IXposedHookLoadPackage这个接口。虽然，本文只是简单地提到了第三方广告库函数的hook，但可以扩展到通用的第三方库，可以以此提供参考。

壹杯敬月光