HOOK技术二-未注册Activity的启动

最新推荐文章于 2024-04-06 01:21:19 发布
最新推荐文章于 2024-04-06 01:21:19 发布
阅读量497 收藏 1
点赞数
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDN_Mew/article/details/103731000
版权

系列文章

HOOK技术一-HOOK技术初探
HOOK技术二-未注册Activity的启动
HOOK技术三-插件Activity启动前提分析
HOOK技术四-插件中Activity启动实战
HOOK技术五-使用LoadedApk式插件化的理论分析
HOOK技术六-LoadedApk式插件化代码实现
HOOK技术七-版本适配及总结

流程梳理

如果Activity并未在AndroidManifest.xml文件中注册, 则启动该Activity会抛出异常。为了能启动未注册的Activity,需要将系统欺骗,使用一个ProxyActivity,在AndroidManifest.xml文件中注册了, 在系统检查之前,将未注册的Activity替换为ProxyActivity,检查完成之后,再讲ProxyActivity还原为未注册的Activity。

寻找替换点

从启动Activity的流程一步步追寻, 发现检查Activity的操作发生再AMS中,如果在进入AMS之前,我们就将Activity替换为ProxyActivity,那么AMS检查将会通过,则不会抛出异常。

寻找还原点

启动Activity的流程中, AMS检查完成之后会调ActivityThread的方法创建Activity的对象和回调生命周期方法。所以要在创建对象之前,将ProxyActivity还原为未注册的Activity。

替换点代码实现

/**
     * 要在执行 AMS之前,替换可用的 Activity,替换在AndroidManifest里面配置的Activity
     */
    private void hookAmsAction() throws Exception {

        // 动态代理
        Class mIActivityManagerClass = Class.forName("android.app.IActivityManager");

        // 我们要拿到IActivityManager对象,才能让动态代理里面的 invoke 正常执行下
        // 执行此方法 static public IActivityManager getDefault(),就能拿到 IActivityManager
        Class mActivityManagerNativeClass2 = Class.forName("android.app.ActivityManagerNative");
        final Object mIActivityManager = mActivityManagerNativeClass2.getMethod("getDefault").invoke(null);

        // 本质是IActivityManager
        Object mIActivityManagerProxy = Proxy.newProxyInstance(

                HookApplication.class.getClassLoader(),

                new Class[]{mIActivityManagerClass}, // 要监听的接口

                new InvocationHandler() { // IActivityManager 接口的回调方法

                    /**
                     * @param proxy
                     * @param method IActivityManager里面的方法
                     * @param args IActivityManager里面的参数
                     * @return
                     * @throws
                     */

                    @Override
                    public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {

                        if ("startActivity".equals(method.getName())) {
                            // 做自己的业务逻辑
                            // 换成 可以 通过 AMS检查的 ProxyActivity

                            // 用ProxyActivity 绕过了 AMS检查
                            Intent intent = new Intent(HookApplication.this, ProxyActivity.class);
                            intent.putExtra("actionIntent", ((Intent) args[2])); // 把之前TestActivity保存 携带过去
                            args[2] = intent;
                        }

                        Log.d("hook", "拦截到了IActivityManager里面的方法" + method.getName());

                        // 让系统继续正常往下执行
                        return method.invoke(mIActivityManager, args);
                    }
                });

        /**
         * 为了拿到 gDefault
         * 通过 ActivityManagerNative 拿到 gDefault变量(对象)
         */
        Class mActivityManagerNativeClass = Class.forName("android.app.ActivityManagerNative");
        Field gDefaultField = mActivityManagerNativeClass.getDeclaredField("gDefault");
        gDefaultField.setAccessible(true); // 授权
        Object gDefault = gDefaultField.get(null);


        // 替换点
        Class mSingletonClass = Class.forName("android.util.Singleton");
        // 获取此字段 mInstance
        Field mInstanceField = mSingletonClass.getDeclaredField("mInstance");
        mInstanceField.setAccessible(true); // 让虚拟机不要检测 权限修饰符
        // 替换
        mInstanceField.set(gDefault, mIActivityManagerProxy); // 替换是需要gDefault
    }

还原点代码实现

   /**
     * Hook LuanchActivity
     */
    private void hookLuanchActivity() throws Exception {

        Field mCallbackFiled = Handler.class.getDeclaredField("mCallback");
        mCallbackFiled.setAccessible(true); // 授权

        /**
         * handler对象怎么来
         * 1.寻找H,先寻找ActivityThread
         *
         * 执行此方法 public static ActivityThread currentActivityThread()
         *
         * 通过ActivityThread 找到 H
         *
         */
        Class mActivityThreadClass = Class.forName("android.app.ActivityThread");
        // 获得ActivityThrea对象
        Object mActivityThread = mActivityThreadClass.getMethod("currentActivityThread").invoke(null);

        Field mHField = mActivityThreadClass.getDeclaredField("mH");
        mHField.setAccessible(true);
        // 获取真正对象
        Handler mH = (Handler) mHField.get(mActivityThread);

        mCallbackFiled.set(mH, new MyCallback(mH)); // 替换 增加我们自己的实现代码
    }

    public static final int LAUNCH_ACTIVITY         = 100;

    class MyCallback implements Handler.Callback {

        private Handler mH;

        public MyCallback(Handler mH) {
            this.mH = mH;
        }

        @Override
        public boolean handleMessage(Message msg) {
            switch (msg.what) {

                case LAUNCH_ACTIVITY:
                    // 做我们在自己的业务逻辑(把ProxyActivity 换成  TestActivity)
                    Object obj = msg.obj;

                    try {
                        // 我们要获取之前Hook携带过来的 TestActivity
                        Field intentField = obj.getClass().getDeclaredField("intent");
                        intentField.setAccessible(true);

                        // 获取 intent 对象,才能取出携带过来的 actionIntent
                        Intent intent = (Intent) intentField.get(obj);
                        // actionIntent == TestActivity的Intent
                        Intent actionIntent = intent.getParcelableExtra("actionIntent");

                        if (actionIntent != null) {
                            if (activityList.contains(actionIntent.getComponent().getClassName())) {
                                intentField.set(obj, actionIntent); // 把ProxyActivity 换成  TestActivity
                            } else { // 没有权限
                                intentField.set(obj, new Intent(HookApplication.this, PermissionActivity.class));
                            }

                        }

                    } catch (Exception e) {
                        e.printStackTrace();
                    }
                    break;
            }


            mH.handleMessage(msg);
            // 让系统继续正常往下执行
            // return false; // 系统就会往下执行
            return true; // 系统不会往下执行
        }
    }

调用hook方法

public class HookApplication extends Application {

    @Override
    public void onCreate() {
        super.onCreate();

        try {
            hookAmsAction();
        } catch (Exception e) {
            e.printStackTrace();

            Log.d("hook", "hookAmsAction 失败 e:" + e.toString());
        }

        try {
            hookLuanchActivity();
        } catch (Exception e) {
            e.printStackTrace();

            Log.d("hook", "hookLuanchActivity 失败 e:" + e.toString());
        }
    }
}
csdn_Mew
关注
专栏目录
Android黑科技:如何启动未注册Activity
xiangzhihong8的专栏
01-29 2399
如果有人问你,未在配置文件中注册的Activity可以启动吗。可能你一开始会回答不行,但是细细思考,你会发现,使用Android Hook技术启动未注册Activity也是可以的,这也是Android Hook 插件化技术原理的基础。 使用Android Hook 技术启动未注册Activity,需要了解Java的反射机制 和Android App启动流程非常熟悉。 下面,我们从两点来讲解Android Hook 技术启动未注册Activity: 通过对Instrumentation进行Hook
android开发实现插件化开发,使用hook启动未注册activity实现demo
05-11
这个demo实现了Android开发启动未注册activity的方法,轻量简便的集成方法,只需三个工具类即可实现
Android Hook告诉你 如何启动未注册Activityandroid基础入门
最新发布
2401_84152317的博客
04-06 335
看到这篇文章的人不知道有多少是和我一样的Android程序员。35岁,这是我们这个行业普遍的失业高发阶段,这种情况下如果还不提升自己的技能,进阶发展,我想,很可能就是本行业的职业生涯的终点了。我们要有危机意识,切莫等到一切都成定局时才开始追悔莫及。只要有规划的,有系统地学习,进阶提升自己并不难,给自己多充一点电,你才能走的更远。千里之行始于足下。这是上小学时,那种一元钱一个的日记本上每一页下面都印刷有的一句话,当时只觉得这句话很短,后来渐渐长大才慢慢明白这句话的真正的含义。
Hook技术activity启动过程中拦截(无需在androidmanifest文件注册即可使用)
leadership_2014的博客
11-03 898
这篇文章主要讲解如何利用动态代理技术Hook掉系统的AMS服务,来实现拦截Activity启动流程。代码量不是很多,为了更容易的理解,需要掌握JAVA的反射,动态代理技术,以及Activity启动流程 1、Hook的原则Android中主要是依靠分析系统源码类来做到的,首先我们得找到被Hook的对象,我称之为Hook点;什么样的对象比较好Hook呢?自然是容易找到的对象。什么样的对象容易找到?
hook 系统api启动未注册Activity
weixin_33739627的博客
02-12 1242
闲来无事,研究一下activity启动,顺便尝试了一下hook系统api启动一个未注册Activity的方案。 本方案采用的是插桩的方案。主要hookActivityThread中的Instrumentation的newActivity方法和 Activity中的Instrumentation的execStratActivity方法。 我们知道启动一个未注册Activity,系统会报Clas...
Android Hook告诉你 如何启动未注册Activity
黄林晴
08-05 7171
前言 Android Hook 插件化其实已经不是什么新鲜的技术了,不知你有没有想过,支付宝中那么多小软件:淘票票 ,火车票等软件,难道是支付宝这个软件自己编写的吗?那不得写个十年,软件达到几十G,但是并没有,玩游戏时那么多的皮肤包肯定时用户使用哪个就下载哪个皮肤包。 一 未在配置文件中注册的Activity可以启动吗? 从0学的时候就知道Activity必须在配置文...
五. AMS实践,Hook启动未注册Activity
汤坤
05-15 888
保活、让部分业务逻辑存在一个新的任务栈中,防止对我们原有的任务栈造成影响等.,就可以启动未注册的页面,不过这里要注意版本适配问题,因为不同的。存在两个后台程序,但是他们属于同一个进程.不在同一个任务栈里面了,当我们把。,达到改变原有的执行流程的目的.)里面的,也就是我们app的。进程时,就会发现我们当前的。中包含一个或者多个任务栈(都是运行在同一个任务栈()中可以存放不同的进程(运行在不同的任务栈呢?退到后台,查看后台的。进程中都包含了很多的。
13.源码阅读(启动一个没有注册的Activity为何会抛出异常-have you declared this activity in your AndroidManifest.xml?--andro...
weixin_34200628的博客
04-18 684
app中每一个activity都要在AndroidManifest文件中配置,否则启动会抛出异常 Unable to find explicit activity class ..; have you declared this activity in your AndroidManifest.xml? 那...
Hook技术activity启动过程中拦截
11-03
在本主题中,我们将深入探讨如何在Activity启动过程中利用Hook技术进行拦截,以及这种技术Android插件化开发中的应用。 首先,理解Activity启动过程是至关重要的。在Android中,当一个Activity启动时,系统会...
Android实行插件化开发启动未注册activity完整demo
05-06
"Android实行插件化开发启动未注册Activity完整demo"展示了如何在Android系统中突破常规限制,通过Hook技术和动态加载实现插件化。这不仅提高了应用的灵活性,也为开发者提供了更广阔的设计空间。然而,实现这一技术...
hook_startActivity.zip
12-29
Android系统中,Hook技术是一种强大的工具,它允许开发者在不修改原始代码的情况下,拦截和修改其他应用程序的行为。本示例"hook_startActivity.zip"主要展示了如何利用Xposed框架来Hook系统的`startActivity`方法...
AMS进阶——如何启动没有注册的Activity
LVEfrist的博客
03-01 2664
背景: 前面我们通过梳理了Activity启动的整个流程知道:Activity启动主要经历如下几个阶段: 发起Activity启动 与AMS建立通信节点,主要是在Instrumentation类中获取AMS的Binder代理,准备通信。 由应用进程切到系统进程(system_service)的AMS服务,由AMS判断应用进程是否创建,如果没有创建则AMS与Zegote进程通信创建应用进程。 应用进程创建后,启动应用进程,再由应用进程切到AMS服务,AMS进一步做启动Activity的校验(如:A
使用黑科技启动未注册Activity
郭霖
06-06 366
/ 今日科技快讯 /近日,苹果公司首席执行官蒂姆·库克否认苹果是一家垄断企业。美国政府正准备对苹果公司展开一场可能前所未有的调查,调查这家iPhone制造商和其他...
14.源码阅读(启动一个没有在AndroidManifest中注册的Activity
weixin_34037515的博客
04-18 313
在上一篇博客中已经分析了一部分如何绕过AndroidManifest检查启动一个未注册Activity,这次就来实现这个功能 分析一下总的实现流程: 启动中有三个hook点,第一个就是Instrumentation中 int result = ActivityManagerNative.getDefault...
Activity不用注册?手把手教你Hook
weixin_34186950的博客
01-23 412
1.引言 以前一直很好奇,启动一个新的Activity,为什么非要在清单文件里注册,到底是哪里地方进行了校验,整个启动的流程是什么样子的。如果想实现插件化机制,启动一个插件中新的Activity的话有什么其它方法去做到。这篇文章本来是想写在Acytivity的启动流程分析之后的,但是里面确实涉及的类,逻辑很多,写起来可能会有些漏缺,而且比较无聊,所以先写一下androidhook技术,先大概讲一...
插件化入门篇-如何启动一个未注册过的Activity
luyoulong123的博客
09-08 391
插件化入门篇-如何启动一个未注册过的Activity --- 几乎所有的插件化都会要的一个需求,启动一个未注册的Activiy,即加载插件包中的Activity,并且主应用并不知道插件应用中会有什么Activity,这是各个插件化框架主力解决的问题之一。 今天我们学习一下占坑式插件化框架的启动Activity原理。 关于动态代理的知识,了解过`Retrofit`的源码的或者看过Java`设
记录一个用来启动未注册ActivityHook
weixin_42757067的博客
03-26 148
未在清单文件注册的activity如何启动
启动一个没有注册的Activity
next_D的博客
03-10 289
废话不多说,直接上代码 import android.content.Context; import android.content.Intent; import android.content.pm.ActivityInfo; import android.content.pm.PackageInfo; import android.content.pm.PackageManager; import android.os.Build; import android.os.Handler; import a
Activity启动流程:Hook实现启动未注册Activity
大模型学习路线
02-02 381
Android中插件化的简单实现:启动未注册Activity 前言 本文介绍在Android启动未在AndroidManifest中注册的Activity的一个解决方案。主要需要掌握以下知识点: 反射 类加载 Activity启动过程 Resource加载过程 启动应用内未注册Activity Activity默认都需要在AndroidManifest中注册,未注册的应用无法启动。AMS在启动应用时,会检测是否已经注册。因此,如果想要启动未注册Activity,那么需要在Activity前,替
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值