- 通过反射用 Proxy 替换 am 对象;
我们看到 am 对象其实就是 Singleton(其实例是IActivityManagerSingleton) 中的 mInstance 属性,因此第三步只需通过反射将 mInstance 属性设置为我们的 Proxy 对象即可,下面的 AmsHooker 是一个抽象类,在不同的 Android 平台上有不同的实现,主要用来获取不同 Android 平台的 am 对象及通过反射替换 am 对象:
abstract class AmsHooker {
// 通过反射,将am替换成proxy
fun hookAms(proxy: Any?) {
try {
val hookObj = getHookObj()
val hookField = getHookField()
if (hookObj != null && hookField != null && proxy != null) {
hookField.set(hookObj, proxy)
}
} catch (e: Exception) {
e.printStackTrace()
}
}
// 即IActivityManagerSingleton实例
protected abstract fun getHookObj(): Any?
// 即mInstance
protected abstract fun getHookField(): Field?
// 即am
abstract fun getTarget(): Any?
// 接口,用来创建Proxy
abstract fun getInterfaces(): Array<Class<*>>
}
在 Android P 平台上的实现如下,具体看注释:
class AmsPHooker : AmsHooker() {
override fun getHookObj(): Any? {
val amClass = ReflectUtils.getClass(“android.app.ActivityManager”)
// 拿到 IActivityManagerSingleton 属性
return ReflectUtils.readStaticField(amClass, “IActivityManagerSingleton”)
}
override fun getHookField(): Field? {
// 获取 mInstance Field
return ReflectUtils.getField(ReflectUtils.getClass(“android.util.Singleton”), “mInstance”)
}
override fun getTarget(): Any? {
// ActivityManager.getService()返回 am
return ReflectUtils.getClass(“android.app.ActivityManager”).getDeclaredMethod(“getService”).invoke(null)
}
// 获取interfaces,用来创建动态代理
override fun getInterfaces(): Array<Class<*>> {
return arrayOf(ReflectUtils.getClass(“android.app.IActivityManager”))
}
}
接下来创建代理类(代码有删减):
public class AMSProxy implements InvocationHandler {
private AmsHooker hooker; // 根据不同 Android 平台返回不同实现
private Object origAm; // 原有 am 对象
private boolean ensureInit() {
// …
hooker = getHooker();
origAm = hooker.getTarget();
}
private AmsHooker getHooker() {
if (Build.VERSION.SDK_INT > Build.VERSION_CODES.P) {
return new AmsQHooker();
} else if (Build.VERSION.SDK_INT > Build.VERSION_CODES.N_MR1) {
return new AmsPHooker();
} else {
return new AmsNHooker();
}
}
@Override
public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
// …
}
// 创建代理
Object proxy = Proxy.newProxyInstance(Thread.currentThread().getContextClassLoader(),
hooker.getInterfaces(), this);
// 替换系统am对象
hooker.hookAms(proxy);
}
上面以 AMSProxy 实例为参数创建了一个代理对象 Proxy,并用这个 Proxy 对象通过 hookAms 方法替换掉了 am 对象,这样在本进程通过 ActivityManager.getService()
来调用相关方法时,会调用到上述的 invoke 方法,在这可以做拦截:
@Override
public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
try {
if (callback.canIntercept(method, args)) {
if (callback.autoRemove()) {
// 将am对象还原
// …
}
// 拦截am的请求,做自己的业务处理
return callback.intercept(origAm, method, args);
}
return method.invoke(origAm, args);
} catch (Exception e) {
e.printStackTrace();
}
return null;
}
当本进程中有代码尝试通过 am 来调用相关方法(比如说startActivity等)时,都会被 invoke 方法所拦截,然后通过我们设置的拦截条件(canIntercept)去选择是否拦截。建议每次完成了拦截的业务需求后,就把原 am 对象通过 hookAms 方法还原,防止的本次进程中持续拦截系统请求。这里一直强调是本次进程,显而易见,通过反射去替换 am 对象的方式,只会针对本进程起作用。
========================================================================
在 Android Q 上,上述 Instrumentation 中的调用变成如下:
int result = ActivityTaskManager.getService().startActivity(whoThread, who.getBasePackageName(), intent, …);
这变成了 ActivityTaskManager.getService()
:
/** @hide */
public static IActivityTaskManager getService() {
return IActivityTaskManagerSingleton.get();
}
private static final Singleton IActivityTaskManagerSingleton = new Singleton() {
@Override
protected IActivityTaskManager create() {
final IBinder b = ServiceManager.getService(Context.ACTIVITY_TASK_SERVICE);
return IActivityTaskManager.Stub.asInterface(b);
}
};
可以看到在 Android Q 上从 ActivityManager 变成了 ActivityTaskManager 系列的类,于是我们的 AmsQHooker 实现如下:
class AmsQHooker : AmsHooker() {
override fun getHookObj(): Any? {
val amClass = ReflectUtils.getClass(“android.app.ActivityTaskManager”)
// 拿到 IActivityTaskManagerSingleton 属性
return ReflectUtils.readStaticField(amClass, “IActivityTaskManagerSingleton”)
}
override fun getHookField(): Field? {
return ReflectUtils.getField(ReflectUtils.getClass(“android.util.Singleton”), “mInstance”)
}
override fun getTarget(): Any? {
// Reflective access to getService is forbidden when targeting API 29 and above
// val getServiceMethod = amClass.getDeclaredMethod(“getService”)
return ReflectUtils.getClass(“android.util.Singleton”).getDeclaredMethod(“get”).invoke(getHookObj())
}
override fun getInterfaces(): Array<Class<*>> {
return arrayOf(ReflectUtils.getClass(“android.app.IActivityTaskManager”))
}
}
其它的步骤跟 Android P 是一样的。
========================================================================
在 Android 7.1 及以下,Instrumentation 的调用又不一样:
int result = ActivityManagerNative.getDefault().startActivity(whoThread, who.getBasePackageName(), intent, …);
这变成了 ActivityManagerNative.getDefault()
:
static public IActivityManager getDefault() {
return gDefault.get();
}
private static final Singleton gDefault = new Singleton() {
protected IActivityManager create() {
IBinder b = ServiceManager.getService(“activity”);
IActivityManager am = asInterface(b);
return am;
}
};
可以看到虽然类名和方法有所变化,但还是借助了 Singleton 类,所以只需要继承 AmsHooker 重写相关方法即可:
class AmsNHooker : AmsHooker() {
override fun getHookObj(): Any? {
val amNativeClass = ReflectUtils.getClass(“android.app.ActivityManagerNative”)
// 获取gDefault实例
return ReflectUtils.readStaticField(amNativeClass, “gDefault”)
}
override fun getHookField(): Field? {
return ReflectUtils.getField(ReflectUtils.getClass(“android.util.Singleton”), “mInstance”)
}
override fun getTarget(): Any? {
return getHookField()?.get(getHookObj())
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年Android移动开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点,真正体系化!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
如果你觉得这些内容对你有帮助,可以扫码获取!!(备注:Android)
学习交流
群内有许多来自一线的技术大牛,也有在小厂或外包公司奋斗的码农,我们致力打造一个平等,高质量的Android交流圈子,不一定能短期就让每个人的技术突飞猛进,但从长远来说,眼光,格局,长远发展的方向才是最重要的。
35岁中年危机大多是因为被短期的利益牵着走,过早压榨掉了价值,如果能一开始就树立一个正确的长远的职业规划。35岁后的你只会比周围的人更值钱。
《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
d)**
学习交流
[外链图片转存中…(img-xoy8a05g-1713438718514)]
[外链图片转存中…(img-d3bEQn4w-1713438718515)]
群内有许多来自一线的技术大牛,也有在小厂或外包公司奋斗的码农,我们致力打造一个平等,高质量的Android交流圈子,不一定能短期就让每个人的技术突飞猛进,但从长远来说,眼光,格局,长远发展的方向才是最重要的。
35岁中年危机大多是因为被短期的利益牵着走,过早压榨掉了价值,如果能一开始就树立一个正确的长远的职业规划。35岁后的你只会比周围的人更值钱。
《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!