HOOK技术六-LoadedApk式插件化代码实现

最新推荐文章于 2024-05-09 10:44:06 发布
最新推荐文章于 2024-05-09 10:44:06 发布
阅读量676 收藏 1
点赞数
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDN_Mew/article/details/103767404
版权

系列文章

HOOK技术一-HOOK技术初探
HOOK技术二-未注册Activity的启动
HOOK技术三-插件Activity启动前提分析
HOOK技术四-插件中Activity启动实战
HOOK技术五-使用LoadedApk式插件化的理论分析
HOOK技术六-LoadedApk式插件化代码实现
HOOK技术七-版本适配及总结

代码实现

 /**
     * 自己创造一个LoadedApk.ClassLoader 添加到 mPackages,此LoadedApk 专门用来加载插件里面的 class
     */
    private void customLoadedApkAction() throws Exception {
        File file = new File(Environment.getExternalStorageDirectory() + File.separator + "p.apk");
        if (!file.exists()) {
            throw new FileNotFoundException("插件包不存在..." + file.getAbsolutePath());
        }
        String pulginPath = file.getAbsolutePath();

        // mPackages 添加 自定义的LoadedApk
        // final ArrayMap<String, WeakReference<LoadedApk>> mPackages 添加自定义LoadedApk
        Class mActivityThreadClass = Class.forName("android.app.ActivityThread");

        // 执行此方法 public static ActivityThread currentActivityThread() 拿到 ActivityThread对象
        Object mActivityThread = mActivityThreadClass.getMethod("currentActivityThread").invoke(null);

        Field mPackagesField = mActivityThreadClass.getDeclaredField("mPackages");
        mPackagesField.setAccessible(true);
        // 拿到mPackages对象
        Object mPackagesObj = mPackagesField.get(mActivityThread);

        Map mPackages = (Map) mPackagesObj;

        // 如何自定义一个 LoadedApk,系统是如何创造LoadedApk的,我们就怎么去创造LoadedApk
        // 执行此 public final LoadedApk getPackageInfoNoCheck(ApplicationInfo ai, CompatibilityInfo compatInfo)
        Class mCompatibilityInfoClass = Class.forName("android.content.res.CompatibilityInfo");
        Field defaultField = mCompatibilityInfoClass.getDeclaredField("DEFAULT_COMPATIBILITY_INFO");
        defaultField.setAccessible(true);
        Object defaultObj = defaultField.get(null);

        /**
         * ApplicationInfo 如何获取,我们之前学习 APK解析源码分析
         */
        ApplicationInfo applicationInfo = getApplicationInfoAction();

        Method mLoadedApkMethod = mActivityThreadClass.getMethod("getPackageInfoNoCheck", ApplicationInfo.class, mCompatibilityInfoClass); // 类类型
        // 执行 才能拿到 LoedApk 对象
        Object mLoadedApk = mLoadedApkMethod.invoke(mActivityThread, applicationInfo, defaultObj);

        // 自定义加载器 加载插件
        // String dexPath, String optimizedDirectory, String librarySearchPath, ClassLoader parent

        File fileDir = getDir("pulginPathDir", Context.MODE_PRIVATE);

        // 自定义 加载插件的 ClassLoader
        ClassLoader classLoader = new PluginClassLoader(pulginPath,fileDir.getAbsolutePath(), null, getClassLoader());

        Field mClassLoaderField = mLoadedApk.getClass().getDeclaredField("mClassLoader");
        mClassLoaderField.setAccessible(true);
        mClassLoaderField.set(mLoadedApk, classLoader); // 替换 LoadedApk 里面的 ClassLoader

        // 添加自定义的 LoadedApk 专门加载 插件里面的 class

        // 最终的目标 mPackages.put(插件的包名,插件的LoadedApk);
        WeakReference weakReference = new WeakReference(mLoadedApk); // 放入 自定义的LoadedApk --》 插件的
        mPackages.put(applicationInfo.packageName, weakReference); // 增加了我们自己的LoadedApk
    }


 /**
     * 获取 ApplicationInfo 为插件服务的
     * @return
     * @throws
     */
    private ApplicationInfo getApplicationInfoAction() throws Exception {
        // 执行此public static ApplicationInfo generateApplicationInfo方法,拿到ApplicationInfo
        Class mPackageParserClass = Class.forName("android.content.pm.PackageParser");

        Object mPackageParser = mPackageParserClass.newInstance();

        // generateApplicationInfo方法的类类型
        Class $PackageClass = Class.forName("android.content.pm.PackageParser$Package");
        Class mPackageUserStateClass = Class.forName("android.content.pm.PackageUserState");

        Method mApplicationInfoMethod = mPackageParserClass.getMethod("generateApplicationInfo",$PackageClass,
                int.class, mPackageUserStateClass);

        File file = new File(Environment.getExternalStorageDirectory() + File.separator + "p.apk");
        String pulginPath = file.getAbsolutePath();

        // 执行此public Package parsePackage(File packageFile, int flags)方法,拿到 Package
        // 获得执行方法的对象
        Method mPackageMethod = mPackageParserClass.getMethod("parsePackage", File.class, int.class);
        Object mPackage = mPackageMethod.invoke(mPackageParser, file, PackageManager.GET_ACTIVITIES);

        // 参数 Package p, int flags, PackageUserState state
        ApplicationInfo applicationInfo = (ApplicationInfo)
                mApplicationInfoMethod.invoke(mPackageParser, mPackage, 0, mPackageUserStateClass.newInstance());

        // 获得的 ApplicationInfo 就是插件的 ApplicationInfo
        // 我们这里获取的 ApplicationInfo
        // applicationInfo.publicSourceDir = 插件的路径;
        // applicationInfo.sourceDir = 插件的路径;
        applicationInfo.publicSourceDir = pulginPath;
        applicationInfo.sourceDir = pulginPath;

        return applicationInfo;
    }

这样我们就有了LoadedApk来加载插件中的Activity了, 但是目前还没有办法启动插件中的Activity,
因为在Activity的启动过程中,还有一步是在LoadedApk加载class之后的检查package是否安装。因此还需要Hook住,欺骗系统

首先在启动插件中Activity的时候,将包名传递过去。

try {
                        // 我们要获取之前Hook携带过来的 TestActivity
                        Field intentField = obj.getClass().getDeclaredField("intent");
                        intentField.setAccessible(true);

                        // 获取 intent 对象,才能取出携带过来的 actionIntent
                        Intent intent = (Intent) intentField.get(obj);
                        // actionIntent == TestActivity的Intent
                        Intent actionIntent = intent.getParcelableExtra("actionIntent");

                        if (actionIntent != null) {
                            /*
                            if (activityList.contains(actionIntent.getComponent().getClassName())) {
                                intentField.set(obj, actionIntent); // 把ProxyActivity 换成  TestActivity
                            } else { // 没有权限
                                intentField.set(obj, new Intent(HookApplication.this, PermissionActivity.class));
                            }
                            */

                            intentField.set(obj, actionIntent); // 把ProxyActivity 换成  TestActivity


                            /***
                             *  我们在以下代码中,对插件  和 宿主 进行区分
                             */
                            Field activityInfoField = obj.getClass().getDeclaredField("activityInfo");
                            activityInfoField.setAccessible(true); //授权
                            ActivityInfo activityInfo = (ActivityInfo) activityInfoField.get(obj);

                            // 什么时候 加载插件的  ?
                            if (actionIntent.getPackage() == null) { // 证明是插件
                                activityInfo.applicationInfo.packageName = actionIntent.getComponent().getPackageName();

                                // Hook 拦截此 getPackageInfo 做自己的逻辑
                                hookGetPackageInfo();

                            } else { // 宿主
                                activityInfo.applicationInfo.packageName = actionIntent.getPackage();
                            }
                        }

                    } catch (Exception e) {
                        e.printStackTrace();
                    }

然后Hook住检测包名的步骤

   // Hook 拦截此 getPackageInfo 做自己的逻辑
    private void hookGetPackageInfo() {
        try {
            // sPackageManager 替换  我们自己的动态代理
            Class mActivityThreadClass = Class.forName("android.app.ActivityThread");
            Field sCurrentActivityThreadField = mActivityThreadClass.getDeclaredField("sCurrentActivityThread");
            sCurrentActivityThreadField.setAccessible(true);

            Field sPackageManagerField = mActivityThreadClass.getDeclaredField("sPackageManager");
            sPackageManagerField.setAccessible(true);
            final Object packageManager = sPackageManagerField.get(null);

            /**
             * 动态代理
             */
            Class mIPackageManagerClass = Class.forName("android.content.pm.IPackageManager");

            Object mIPackageManagerProxy = Proxy.newProxyInstance(getClassLoader(),

                    new Class[]{mIPackageManagerClass}, // 要监听的接口

                    new InvocationHandler() {
                        @Override
                        public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
                            if ("getPackageInfo".equals(method.getName())) {
                                // 如何才能绕过 PMS, 欺骗系统

                                // pi != null
                                return new PackageInfo(); // 成功绕过 PMS检测
                            }
                            // 让系统正常继续执行下去
                            return method.invoke(packageManager, args);
                        }
                    });


            // 替换  狸猫换太子   换成我们自己的 动态代理
            sPackageManagerField.set(null, mIPackageManagerProxy);

        } catch (Exception e) {
            e.printStackTrace();
        }
    }

这样就能启动了。

csdn_Mew
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
githook-maven-plugin:Maven插件安装本地git钩子
05-22
githook-maven-plugin Maven插件来配置和安装本地git钩子 保护您的VCS 在提交更改之前先检查一下更改始终是一个好主意:运行单元测试,执行构建等。但是,这样的检查列表很容易被忽略,尤其是在大型项目中。 为了...
(4.6.10.2)Android LoadedApk详解
JAVA成长之路
05-30 3641
文章目录一、LoadedApk的构建函数和成员变量二、LoadedApk的在ActivityThread中的获取三、LoadedApk的mApplication创建Application实例四、LoadedApk的mResources创建Resources实例 是ActivityThread中进行四大组件等启动过程中的重要中间变量 LoadedApk对象是APK文件在内存中的表示。 Apk文件的相关信息,诸如Apk文件的代码和资源,甚至代码里面的Activity,Service等组件的信息我们都可以通过此
Android签名验证——Hook签名第一步
lemisky的博客
08-29 3717
网上虽然很多Hook Android App 签名的方法,例如: 一键绕过App签名验证 一键破解APK签名校验 但是要想知道其中Hook实现原理,并且能自己编写Hook实现,那么我们首先得知道以下几个问题: Android开发如何进行签名验证 Hook签名原理,及其实现 这篇文章先讲第一个问题——Android签名验证 由于网上相关文章比较多,这里就不赘术,仅提供核心代码 能研究这个...
Android-APK防止二次签名妙招:为何你的应用老是被破解,该如何有效地做签名校验?(2)
2401_84558467的博客
05-09 402
他继承自 Application,重写了 attachBaseContext 来调用 hook(context) ,在里面做了 IPackageManager 的动态代理,实现在调用 getPackageInfo 方法的时候,修改 signatures[] 为在破解之前计算好的数值。他替换掉了 Application 为他自己的,那么变的太多了,Application 的类名 / 方法数 / 字段数 / AndroidManifast 中 Application 节点的 name,都会变。
重打包并通过java api hook来使签名失效的工具demo分析
Tesi1a的充电桩
03-20 1439
0x00 背景 偶然在github上看到有人star了这个 https://github.com/xxxyanchenxxx/SigKill/blob/master/README.md 功能:一键绕过App签名验证。实现原理是Hook了PackaegManager,返回我们指定的签名。 0x01 代码分析 实现手段就是重打包注入smali代码hook应用内的签名校验方法。...
安卓packageinfo的知识点
xueyoubangbang的博客
06-08 2639
PackageInfo类包含AndroidManifest.
android 插件加载机制之二
Jack的博客
04-25 2706
------本文转载自 Android插件原理解析——插件加载机制      这一系列的文章实在是写的好! 5 Hook ClassLoader 从上述分析中我们得知,在获取LoadedApk的过程中使用了一份缓存数据; 这个缓存数据是一个Map,从包名到LoadedApk的一个映射。正常情况下,我们的插件肯定不会存在于这个对象里面; 但是如果我们手动把我们插件的信息添加到里面
安卓插件课程-第二篇:加载插件apk中的activity
分享+记录
01-18 1472
本文是安卓插件课程的第二篇,本篇主要讲的是如何启动一个插件中的Activity(有前提:前提是activity没有引用插件中的资源,并且提前已经在宿主中注册了)。
hook插件,兼容5.0~9.0
08-13
代码主要处理插件开发,使用hook的方,支持5.0到9.0系统,只是一个demo。
X-Gorgon hook插件
03-03
使用xposed hook X-Gorgon加密参数以及开放接口,安装即可使用,端口8709,使用版本8.2
Hook实现插件开发.zip
最新发布
05-16
比如,在 pytest代码路径\Lib\site-packages\_pytest\hookspec.py中,可以看到 pytest 定义好的 hook 规范,方便我们在开发插件的时候参考规范来调用对应的hooks函数。 二、hooks 函数的分类 从hooks函数的职责分类...
hook操作可实现插件启动activity.zip
05-16
比如,在 pytest代码路径\Lib\site-packages\_pytest\hookspec.py中,可以看到 pytest 定义好的 hook 规范,方便我们在开发插件的时候参考规范来调用对应的hooks函数。 二、hooks 函数的分类 从hooks函数的职责分类...
Xposed hook PackageInfo 信息
赵航的博客
12-08 969
本篇文章主要讲下 利用Xposed hook packageinfo 数据, 更改versionCode,versionName等数据.
Android 命令:实现启动一个apk
cyq1028的专栏
01-20 7696
1、产生背景: 为了调试方便,常常希望通过知道apk的路径,直接去启动它,所以就写了这个命令 2、使用方法: adb push launch /data/ adb push launch.jar /data/ adb shell launch 其实放到/system/下面也可以,把jar包放到/system/framework/下面,把launch命令放到/system/bin/下
关于Android ClassLoader的研究
毕业作品网站
07-23 841
ActiviyThread也有一个main方法,这个main方法是安卓应用程序真正的入口,Activity其实就一个普普通通的Java对象,利用反射创建,然后由ClassLoader加载进去,之后由框架层的调用,从而具有了生命周期,成为了一个组件,从而也可以知道在插件中,仅仅加载Activity是不行的,还必须交给框架层去调用才具有生命力,不然没意义,当然了,不仅是Activity,其实,Service,BroadCase,等都是这样由反射创建,然后加载由框架层调用的。中,所以我们要创建一个插件的。...
插件基础(三)——启动插件组件
tmacfrank的博客
05-12 887
占位插件顾名思义,是需要通过宿主中“占位”的组件去启动插件的,这个占位的组件被称为代理。由于插件中的四大组件没有 Context 等运行环境,所以不能直接被宿主加载运行,只能借助代理实现。 除了代理之外,还有一个重要角色,就是接口,这个接口有两个任务: 将宿主的环境传递给插件 协助宿主管理插件中各个组件的生命周期 下面来看看具体如何实现吧。 一、加载插件的类和资源 插件有两个重要的问题需要解决: 如何加载插件中的类和资源 如何启动插件中的四大组件 插装——静态广播 1.静态广播何时注册? 开机
Android hook、检测及对抗相关
jinganggiao的博客
09-19 3197
frida——hook 内存访问断点
Android Doze模分析
weixin_30443813的博客
10-26 392
Doze模Android6.0上新出的一种模,是一种全新的、低能耗的状态,在后台只有部分任务允许运行,其他都被强制停止。当用户一段时间没有使用手机的时候,Doze模通过延缓app后台的CPU和网络活动减少电量的消耗。PowerManagerService中也有Doze模,和此处的Doze模不一样,其实此处叫DeviceIdle模更容易区分 如果一个用户断开了充电连接,关屏不动手机...
Android 安全】DEX 加密 ( Application 替换 | Android 应用启动原理 | LoadedApk 源码分析 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-27 2518
一、LoadedApk 源码分析、 二、LoadedApk 源码 makeApplication 方法分析
inline hook look_up系统调用,代码实现
04-29
inline hook 是一种在程序运行时修改函数行为的技术,可以通过它来修改系统调用。以下是一个简单的代码示例,用于 inline hook look_up 系统调用: ```c #include #include #include #include static int my_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值