Android Hook Activity 的几种姿势

最新推荐文章于 2024-04-22 00:10:16 发布
最新推荐文章于 2024-04-22 00:10:16 发布
阅读量712 收藏 12
点赞数 27
分类专栏: 2024年程序员学习 文章标签: android python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84023604/article/details/137193974
版权
本文详细介绍了如何在Android中使用Hook技术绕过系统对未注册Activity的校验,从而启动未在AndroidManifest声明的Activity。通过hook AMS(ActivityManagerService)和ActivityThread的mH,以及动态代理,实现了在不同API级别上启动未声明Activity的方法。同时,针对AppCompatActivity子类的情况,文章提出了兼容解决方案,涉及NavUtils和PackageManager的hook。最后,文章总结了启动未注册Activity的两个关键步骤,并分享了作者的Android开发学习资源。
摘要由CSDN通过智能技术生成

Log.v(“ActivityManager”, "default service binder = " + b);

}

IActivityManager am = asInterface(b);

if (false) {

Log.v(“ActivityManager”, "default service = " + am);

}

return am;

}

};

}

同理我们看到 ActivityManagerNative 的 gDefault 是一个静态变量,因此,我们可以尝试 hook gDefault.

public static void hookAmsBefore26() throws Exception {

// 第一步:获取 IActivityManagerSingleton

Class<?> forName = Class.forName(“android.app.ActivityManagerNative”);

Field defaultField = forName.getDeclaredField(“gDefault”);

defaultField.setAccessible(true);

Object defaultValue = defaultField.get(null);

Class<?> forName2 = Class.forName(“android.util.Singleton”);

Field instanceField = forName2.getDeclaredField(“mInstance”);

instanceField.setAccessible(true);

Object iActivityManagerObject = instanceField.get(defaultValue);

// 第二步:获取我们的代理对象,这里因为 IActivityManager 是接口,我们使用动态代理的方式

Class<?> iActivity = Class.forName(“android.app.IActivityManager”);

InvocationHandler handler = new AMSInvocationHandler(iActivityManagerObject);

Object proxy = Proxy.newProxyInstance(Thread.currentThread().getContextClassLoader(), new Class<?>[]{iActivity}, handler);

// 第三步:偷梁换柱,将我们的 proxy 替换原来的对象

instanceField.set(defaultValue, proxy);

}

到此,hook Activity 的三种方式已讲解完毕

启动一个没有在 AndroidManifest 声明的 Activity

我们知道,当我们启动一个没有在 AndroidManifest 中声明的 activity,会抛出 ActivityNotFoundException 异常。

Caused by: android.content.ActivityNotFoundException: Unable to find explicit activity class {com.xj.hookdemo/com.xj.hookdemo.activityhook.TargetAppCompatActivity}; have you declared this activity in your AndroidManifest.xml?

at android.app.Instrumentation.checkStartActivityResult(Instrumentation.java:2124)

at android.app.Instrumentation.execStartActivity(Instrumentation.java:1802)

at android.app.Activity.startActivityForResult(Activity.java:4514)

at android.support.v4.app.BaseFragmentActivityApi16.startActivityForResult(BaseFragmentActivityApi16.java:54)

at android.support.v4.app.FragmentActivity.startActivityForResult(FragmentActivity.java:67)

at android.app.Activity.startActivityForResult(Activity.java:4472)

at android.support.v4.app.FragmentActivity.startActivityForResult(FragmentActivity.java:720)

at android.app.Activity.startActivity(Activity.java:4833)

at android.app.Activity.startActivity(Activity.java:4801)

at com.xj.hookdemo.activityhook.TestStartActivityNoRegister.onB

从报错的堆栈中,我们非常定位到 Instrumentation.execStartActivity 方法

public ActivityResult execStartActivity(

Context who, IBinder contextThread, IBinder token, String resultWho,

Intent intent, int requestCode, Bundle options, UserHandle user) {

----- // 省略若干代码

try {

intent.migrateExtraStreamToClipData();

intent.prepareToLeaveProcess(who);

int result = ActivityManager.getService()

.startActivityAsUser(whoThread, who.getBasePackageName(), intent,

intent.resolveTypeIfNeeded(who.getContentResolver()),

token, resultWho,

requestCode, 0, null, options, user.getIdentifier());

checkStartActivityResult(result, intent);

} catch (RemoteException e) {

throw new RuntimeException(“Failure from system”, e);

}

return null;

}

在该方法中,调用 startActivityAsUser 方法通过传入的 intent 获取 result,再通过 checkStartActivityResult 方法,判断 result 是否合法。

而我们知道我们启动的 activity 信息都储存在 intent 中,那么我们若想要 启动一个没有在 AndroidManifest 声明的 Activity,那我们只需要在 某个时机,即调用 startActivity 方法之前欺骗 AMS 我们的 activity 已经注册(即替换 intent),这样就不会抛出 ActivityNotFoundException 异常。

在前面的时候,我们已经讲解到如何 hook ams,这里我们不再具体讲述,主要步骤如下

  • 第一步, API 26 以后,hook android.app.ActivityManager.IActivityManagerSingleton, API 25 以前,hook android.app.ActivityManagerNative.gDefault

  • 第二步,获取我们的代理对象,这里因为是接口,所以我们使用动态代理的方式

  • 第三步:设置为我们的代理对象

private static void hookAMS(Context context) throws ClassNotFoundException,

NoSuchFieldException, IllegalAccessException {

// 第一步, API 26 以后,hook android.app.ActivityManager.IActivityManagerSingleton,

// API 25 以前,hook android.app.ActivityManagerNative.gDefault

Field gDefaultField = null;

if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.O) {

Class<?> activityManager = Class.forName(“android.app.ActivityManager”);

gDefaultField = activityManager.getDeclaredField(“IActivityManagerSin

最低0.47元/天 解锁文章
2401_84023604
关注
专栏目录
Android Hook Activity几种姿势,重要概念一网打尽
m0_66144992的博客
01-19 644
public class ApplicationInstrumentation extends Instrumentation { private static final String TAG = “ApplicationInstrumentation”; // ActivityThread中原始的对象, 保存起来 Instrumentation mBase; public ApplicationInstrumentation(Instrumentation base) { mBase = base; }
Android Hook告诉你 如何启动未注册的Activity
黄林晴
08-05 7170
前言 Android Hook 插件化其实已经不是什么新鲜的技术了,不知你有没有想过,支付宝中那么多小软件:淘票票 ,火车票等软件,难道是支付宝这个软件自己编写的吗?那不得写个十年,软件达到几十G,但是并没有,玩游戏时那么多的皮肤包肯定时用户使用哪个就下载哪个皮肤包。 一 未在配置文件中注册的Activity可以启动吗? 从0学的时候就知道Activity必须在配置文...
Hook技术之Hook Activity
weixin_33842304的博客
02-17 344
一、Hook技术概述 Hook技术的核心实际上是动态分析技术,动态分析是指在程序运行时对程序进行调试的技术。众所周知,Android系统的代码和回调是按照一定的顺序执行的,这里举一个简单的例子,如图所示。 对象A调用类对象B,对象B处理后将数据回调给对象A。接下来看看采用Hook的调用流程,如下图: 上图中的Hook可以是一个方法或者一个对象,它就想一个钩子一样,始终连着AB,在AB之间互传...
Xposed hook Acitivity并获取Intent参数信息
赵航的博客
12-06 1048
本篇文章主要讲述下使用Xposed hook activity 的oncreate 方法,从而获取到activity 对象,来打印输出intent 的相关内容.
Android Hook Activity几种姿势android开发者工具
m0_66144992的博客
01-21 458
mToken, child.mEmbeddedID, requestCode, ar.getResultCode(), ar.getResultData()); } cancelInputsAndStartExitTransition(options); } 可以看到 startActivityFromChild 中也会调用 mInstrumentation.execStartActivity 方法。因此,即我们通过 Activity startActivity 的方法启动 activity,最终都会调用到
Android Hook Activity几种姿势(1)
最新发布
2401_84149845的博客
04-22 779
(一)调整好心态心态是一个人能否成功的关键,如果不调整好自己的心态,是很难静下心来学习的,尤其是现在这么浮躁的社会,大部分的程序员的现状就是三点一线,感觉很累,一些大龄的程序员更多的会感到焦虑,而且随着年龄的增长,这种焦虑感会越来越强烈,那么唯一的解决办法就是调整好自己的心态,要做到自信、年轻、勤奋。这样的调整,一方面对自己学习有帮助,另一方面让自己应对面试更从容,更顺利。(二)时间挤一挤,制定好计划一旦下定决心要提升自己,那么再忙的情况下也要每天挤一挤时间,切记不可“两天打渔三天晒网”。
手把手讲解 Android Hook-Activity的启动流程
feelinghappy的专栏
10-24 886
前言 手把手讲解系列文章,是我写给各位看官,也是写给我自己的。文章可能过分详细,但是这是为了帮助到尽量多的人,毕竟工作5,6年,不能老吸血,也到了回馈开源的时候. 这个系列的文章: 1、用通俗易懂的讲解方式,讲解一门技术的实用价值 2、详细书写源码的追踪,源码截图,绘制类的结构图,尽量详细地解释原理的探索过程 3、提供Github 的 可运行的Demo工程,但是我所提供代码,更多是提供思路,抛砖引玉,请酌情cv 4、集合整理原理探索过程中的一些坑,或者demo的运行过程中的注意事项 5、用gif图,最直
Hook技术activity启动过程中拦截
11-03
Hook技术activity启动过程中拦截(无需在androidmanifest文件注册即可使用)
hook_startActivity.zip
12-29
Hook android startActivity方法的完整demo 基于xposed + hook技术
Android Hook Activity 启动劫持
02-27
如何利用动态代理技术Hook掉系统的AMS服务,来实现拦截Activity的启动流程。
Hook StartActivity Demo
11-17
Hook StartActivity Demo
hook(2)Activity启动流程,中高级Android面试中你不得不会的知识点
2401_84149423的博客
04-08 631
鸣谢翻了很多关于启动流程的博客,这位大佬的文章给我的启发最大但是,可能大佬的博文对于有些基础不足的初中级安卓工程师或者并不熟悉hook的某些大佬 还不够友好,所以我把大佬的思想用更通俗,更具象化的方式再展示一遍,并且提供可运行的githubdemo.并且,阅读源码的时候一些坑,我都会详细给出解决方案。#正文大纲。
Hook技术之hookActivity(android 9.0)
weixin_45365889的博客
11-01 1571
1.前言 本文大部分内容来自于《android进阶解密》这本书,不同的是书中实现的是android9.0之前的hook,在android9.0中,activity的启动过程会有些不同,因此本文主要是讲解9.0的hook. 2.activiy启动流程的不同之处 1.简要分析不同之处 在android9.0中,采用handler机制启动activity时,消息标识变为了EXECUTE_TRAN...
objection 基础案例 一
zhaoxiaoba123的博客
10-31 766
Hook 某个APP里面的计算器功能进行减法Hook的出结果,并且做成主动HOOK结合python的RPC
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值