Android Hook Activity 的几种姿势

最新推荐文章于 2024-07-21 20:23:40 发布
最新推荐文章于 2024-07-21 20:23:40 发布
阅读量913 收藏 16
点赞数 30
分类专栏: 程序员 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84122965/article/details/137721426
版权
最后对于程序员来说,要学习的知识内容、技术有太多太多,要想不被环境淘汰就只有不断提升自己,从来都是我们去适应环境,而不是环境来适应我们!这里附上上述的技术体系图相关的几十套腾讯、头条、阿里、美团等公司2021年的面试题,把技术点整理成了视频和PDF(实际上比预期多花了不少精力),包含知识脉络 + 诸多细节,由于篇幅有限,这里以图片的形式给大家展示一部分。
摘要由CSDN通过智能技术生成

将看到以下 log

Hook AMS

上面 hook activity 的两种方法其实都有一定缺陷,比如,第一种方法,只能 hook 住通过 Activity startActivity 的 activity。第二种方法,只能 hook 住通过 getApplicationContext().startActivity 启动的 activity。那有没有一种方法能 hook 上述两种的,其实是有的,那就是 hook AMS。下面让我们一起来看一下。

上面 hook startActivity 其实都是 hook 相应的 mInstrumentation.execStartActivity 方法,因此,我们可以从这里下手,看 mInstrumentation.execStartActivity 里面有没有一些共性的东西,可以 hook。

我们先来 mInstrumentation.execStartActivity 方法

public ActivityResult execStartActivity(

Context who, IBinder contextThread, IBinder token, Activity target,

Intent intent, int requestCode, Bundle options) {

IApplicationThread whoThread = (IApplicationThread) contextThread;

Uri referrer = target != null ? target.onProvideReferrer() : null;

if (referrer != null) {

intent.putExtra(Intent.EXTRA_REFERRER, referrer);

}

if (mActivityMonitors != null) {

synchronized (mSync) {

final int N = mActivityMonitors.size();

for (int i=0; i<N; i++) {

final ActivityMonitor am = mActivityMonitors.get(i);

ActivityResult result = null;

if (am.ignoreMatchingSpecificIntents()) {

result = am.onStartActivity(intent);

}

if (result != null) {

am.mHits++;

return result;

} else if (am.match(who, null, intent)) {

am.mHits++;

if (am.isBlocking()) {

return requestCode >= 0 ? am.getResult() : null;

}

break;

}

}

}

}

try {

intent.migrateExtraStreamToClipData();

intent.prepareToLeaveProcess(who);

int result = ActivityManager.getService()

.startActivity(whoThread, who.getBasePackageName(), intent,

intent.resolveTypeIfNeeded(who.getContentResolver()),

token, target != null ? target.mEmbeddedID : null,

requestCode, 0, null, options);

checkStartActivityResult(result, intent);

} catch (RemoteException e) {

throw new RuntimeException(“Failure from system”, e);

}

return null;

}

这里我们留意 ActivityManager.getService().startActivity 这个方法

public static IActivityManager getService() {

return IActivityManagerSingleton.get();

}

private static final Singleton IActivityManagerSingleton =

new Singleton() {

@Override

protected IActivityManager create() {

final IBinder b = ServiceManager.getService(Context.ACTIVITY_SERVICE);

final IActivityManager am = IActivityManager.Stub.asInterface(b);

return am;

}

};

可以看到 IActivityManagerSingleton 是一个单例对象,因此,我们可以 hook 它。

public static void hookAMSAfter26() throws Exception {

// 第一步:获取 IActivityManagerSingleton

Class<?> aClass = Class.forName(“android.app.ActivityManager”);

Field declaredField = aClass.getDeclaredField(“IActivityManagerSingleton”);

declaredField.setAccessible(true);

Object value = declaredField.get(null);

Class<?> singletonClz = Class.forName(“android.util.Singleton”);

Field instanceField = singletonClz.getDeclaredField(“mInstance”);

instanceField.setAccessible(true);

Object iActivityManagerObject = instanceField.get(value);

// 第二步:获取我们的代理对象,这里因为 IActivityManager 是接口,我们使用动态代理的方式

Class<?> iActivity = Class.forName(“android.app.IActivityManager”);

InvocationHandler handler = new AMSInvocationHandler(iActivityManagerObject);

Object proxy = Proxy.newProxyInstance(Thread.currentThread().getContextClassLoader(), new

Class<?>[]{iActivity}, handler);

// 第三步:偷梁换柱,将我们的 proxy 替换原来的对象

instanceField.set(value, proxy);

}

public class AMSInvocationHandler implements InvocationHandler {

private static final String TAG = “AMSInvocationHandler”;

Object iamObject;

public AMSInvocationHandler(Object iamObject) {

this.iamObject = iamObject;

}

@Override

public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {

// Log.e(TAG, method.getName());

if (“startActivity”.equals(method.getName())) {

Log.i(TAG, “ready to startActivity”);

for (Object object : args) {

Log.d(TAG, “invoke: object=” + object);

}

}

return method.invoke(iamObject, args);

}

}

执行以下测试代码

try {

HookHelper.hookAMS();

} catch (Exception e) {

e.printStackTrace();

}

startActivity(new Intent(this,TestActivityStart.class));

将会看到以下 log

I/AMSInvocationHandler: ready to startActivity

接下来我们一起来看一下 API 25 Instrumentation 的代码(自 API 26 开始 ,Instrumentation execStartActivity 方法有所改变)

public ActivityResult execStartActivity(

Context who, IBinder contextThread, IBinder token, Activity target,

Intent intent, int requestCode, Bundle options) {

IApplicationThread whoThread = (IApplicationThread) contextThread;

Uri referrer = target != null ? target.onProvideReferrer() : null;

if (referrer != null) {

intent.putExtra(Intent.EXTRA_REFERRER, referrer);

}

if (mActivityMonitors != null) {

synchronized (mSync) {

final int N = mActivityMonitors.size();

for (int i=0; i<N; i++) {

final ActivityMonitor am = mActivityMonitors.get(i);

if (am.match(who, null

最低0.47元/天 解锁文章
2401_84122965
关注
  • 30
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android Hook Activity 启动劫持
02-27
如何利用动态代理技术Hook掉系统的AMS服务,来实现拦截Activity的启动流程。
Android Hook Activity 的几种姿势,重要概念一网打尽
m0_66144992的博客
01-19 632
public class ApplicationInstrumentation extends Instrumentation { private static final String TAG = “ApplicationInstrumentation”; // ActivityThread中原始的对象, 保存起来 Instrumentation mBase; public ApplicationInstrumentation(Instrumentation base) { mBase = base; }
Hook技术之hookActivity(android 9.0)
weixin_45365889的博客
11-01 1536
1.前言 本文大部分内容来自于《android进阶解密》这本书,不同的是书中实现的是android9.0之前的hook,在android9.0中,activity的启动过程会有些不同,因此本文主要是讲解9.0的hook. 2.activiy启动流程的不同之处 1.简要分析不同之处 在android9.0中,采用handler机制启动activity时,消息标识变为了EXECUTE_TRAN...
Android Hook 机制之简单实战
热门推荐
徐公,微信公众号同名
08-06 5万+
简介 什么是 Hook Hook 又叫“钩子”,它可以在事件传送的过程中截获并监控事件的传输,将自身的代码与系统方法进行融入。这样当这些方法被调用时,也就可以执行我们自己的代码,这也是面向切面编程的思想(AOP)。 Hook 分类 1.根据Android开发模式,Native模式(C/C++)和Java模式(Java)区分,在Android平台上 Java层级的Hook; ...
Android系统启动】 Android Zygote 进程启动流程源码解析
thirdbro的博客
07-17 709
在 userdebug 版本中,如果 persist.debug.dalvik.vm.jdwp.enabled 为 1,则所有应用均可使用 JDWP 和 ptrace 进行调试。题外话, 之前找zygote源码的时候,本来想直接通过进程名找这个模块的源码,结果发现根本没有zygote这个名字的命令。通过命令查找到对应的进程目录发现,原来的进程的名字当时编译为。通过上面传下来的参数,“com.android.internal.os.ZygoteInit”,可以得知Java层的包名,以此找到Java代码。
Android】视图与常用控件总结
Patrick_yuxuan的博客
07-17 951
属性名描述android:id为视图分配唯一的ID,用于在代码中引用设置视图的宽度设置视图的高度设置视图的外边距设置视图的内边距设置视图在其父视图中的对齐方式(仅适用于ViewGroup的子视图)设置视图内容的对齐方式设置视图的背景颜色或图片设置视图的可见性(visibleinvisiblegone设置视图在线性布局中的权重(仅适用于设置视图是否与父视图的顶部对齐(仅适用于设置视图是否与父视图的底部对齐(仅适用于设置视图是否在父视图中居中(仅适用于设置视图在另一视图的下面(仅适用于。
【23】Android高级知识之Window(四) - ThreadedRenderer
mr_zengkun的博客
07-21 765
ThreadedRenderer、WMS
Android中接入hook框架:lancet-base
冰雪世界
07-21 105
me.ele:lancet-base是"饿了么"开发的Android平台的开源hook框架,GitHub地址为:https://github.com/eleme/lancet。 此框架的优点如下: 1.编译速度快, 并且支持增量编译。 2.简洁的 API, 几行 Java 代码完成注入需求。 3.没有任何多余代码插入 apk。 4.支持用于 SDK, 可以在SDK编写注入代码来修改依赖SDK的App。 接入me.ele:lancet-base框架的步骤如下: 1.在项目根目录的build.gradle
Android init.rc如何并行执行任务
netwalk的专栏
07-17 1094
Android 系统中,init.rc 是一个重要的启动脚本,用于定义系统启动时需要执行的服务、操作和初始化任务,也是用来配置系统启动时的各种服务、属性和动作的脚本文件。虽然 init.rc 文件本身是一个序列化的配置文件,init.rc 文件中的命令通常按顺序执行,但 Android 的 init 进程和 init.rc 文件中的机制允许一定程度的并行执行任务,通过特定的机制,Android 也支持并行执行 init.rc 中的命令。
Android】传给后端的Url地址被转码问题处理
ganshenml的专栏
07-17 387
在 Gson 中,默认情况下会对某些特殊字符进行 HTML 转义,以确保生成的 JSON 字符串在 HTML 中是安全的。因此,字符 = 会被转义为 \u003d。你可以通过禁用 HTML 转义来避免这种情况。为什么使用Gson().toJson的时候,字符串中的=会被转成\u003d。
android audio 相机按键音:(一)资源加载与替换
五味香的专栏
07-21 215
可以使用自定义资源文件,替换按键音资源。替换时,将自定义文件名称修改与系统文件名一致,但是文件格式必须一致。
Android】使用视图绑定ViewBinding来代替findViewById
Patrick_yuxuan的博客
07-19 1684
ViewBinding 是 Android 开发中的一个功能,它简化了访问视图的过程,避免了使用的繁琐步骤。它通过生成与布局文件相对应的绑定类,使得我们能够以类型安全的方式访问布局中的视图。
Android 小白菜鸟从入门到精通教程
wyqshusan的博客
07-19 659
从初学者的角度出发,通过通俗易懂的语言、丰富多彩的实例,详细介绍了Android应用程序开发应该掌握的各方面技术。全书共分15章,内容包括Android快速入门、Android模拟器与常用命令、用户界面设计、高级用户界面设计、基本程序单元ActivityAndroid应用核心Intent、Android事件处理、资源访问、图形图像处理技术、多媒体应用开发、ContentProvider实现数据共享线程与消息处理、Service应用、网络编程及Internet应用和基于Android的家庭理财通。所有知识都
androidTestDebug 产物进行重新签名
shuizhizhiyin的专栏
07-19 473
在运行 gradle assembleAndroidTestDebug 任务后,自定义的 reSignAndroidTestDebug 任务将会被执行,并对子模块的 androidTestDebug 产物进行重新签名。your_keystore_path.jks、your_keystore_password、your_key_alias 和 your_key_password 需要替换为你的实际路径和密码。如果需要对其他子模块的产物进行重新签名,可以根据需要创建不同的自定义任务。// 设置密钥库密码。
Android音视频—OpenGL 与OpenGL ES简述,渲染视频到界面基本流程
weixin_46999174的博客
07-17 628
本文主要讲述了音视频开发的基本概念——OpenGL的介绍和视频帧渲染的基本流程
使用Fiddler进行Android和IOS抓包
最新发布
C'mon的博客
07-21 755
将“代理”字段设置为Fiddler Classic机器的IPv4地址(cmd使用ipconfig命令可查看或者在fiddler右上角也可以查看),将“端口”字段设置为8888。安装完成后,重新打开Fiddler,然后在“工具”>“选项”>“HTTPS”菜单中选择“操作”>“重置所有证书”。同意所有系统对话框后,启用HTTPS捕获和解密(在“工具”>“选项”>“HTTPS”中勾选“捕获HTTPS连接”和“解密HTTPS流量”)。转到“工具”>“选项”>“HTTPS”,禁用“捕获HTTPS连接”。
Android笔试面试题AI答之Intent(1)
学无止境,止于至善
07-21 492
Intent是Android中用于组件间通信的媒介,它可以携带数据,并通过显式或隐式的方式指定目标组件。而则定义了组件能够响应哪些类型的Intent,是系统匹配Intent与目标组件的关键。通过这两个机制,Android实现了灵活且强大的组件间通信和数据传递功能。如果你需要应用自动拨打电话,并希望用户确认,你应该使用并处理必要的运行时权限。如果你只是想打开拨号界面让用户自己操作,使用是一个更简单且不需要额外权限的方法。Activity是应用的界面和逻辑的载体,用于与用户进行交互。Intent。
android binder如何实现异步
qq_34358193的博客
07-17 778
Android Binder 支持多种方式实现异步通信,包括使用 AIDL 的oneway关键字、Messenger、以及直接使用Handler和Runnable等。选择哪种方式取决于具体的应用场景和需求。通过以上方法,可以在 Android 应用中实现高效的异步 IPC。
Android AutoSize屏幕适配:适配不同屏幕大小的尺寸,让我们无需去建立多个尺寸资源文件
qq_40853919的博客
07-20 242
AutoSize是什么AutoSize如何使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值