AMS进阶——如何启动没有注册的Activity

最新推荐文章于 2023-05-15 13:28:34 发布
最新推荐文章于 2023-05-15 13:28:34 发布
阅读量2.6k 收藏 6
点赞数
分类专栏: Android开发——进阶 文章标签: android studio android android-studio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LVEfrist/article/details/123204061
版权

背景:

前面我们通过梳理了Activity启动的整个流程知道:Activity的启动主要经历如下几个阶段:

  • 发起Activity启动
  • 与AMS建立通信节点,主要是在Instrumentation类中获取AMS的Binder代理,准备通信。
  • 由应用进程切到系统进程(system_service)的AMS服务,由AMS判断应用进程是否创建,如果没有创建则AMS与Zegote进程通信创建应用进程。
  • 应用进程创建后,启动应用进程,再由应用进程切到AMS服务,AMS进一步做启动Activity的校验(如:Activity是否注册等)。
  • 启动Activity,在ActivityThread的Handler中执行Activity生命周期

 我们都知道正常情况下要启动一个Activity必须要在AndroidManifest文件中注册这个Activity。那么有没有办法不注册也能够正常启动呢?

通过阅读源码,我们知道AMS的工作之一就是服务Activity的启动管理。在这个过程中会对要启动的Activity进行一系列的检验,就比如这里的Activity是否注册就是AMS检验的一环。而要做到不注册就启动就 必须骗过AMS的检验。所以方案就是通过Hook AMS和ActivityThread中的Handler来实现。

 一、Hook AMS

        要想骗过AMS的启动检验,那就必须在AMS的StartActivity检验之前拦截并替换Intent对象中所指向的目标Activity为已经注册的代理Activity。这样AMS在检验的时候检验的就是代理Activity。从而达到骗过AMS检验的目的。

        经过上一节的流程梳理,我们可以通过Hook获取AMS通信节点来达到拦截AMS的startActivity方法,在检验之前替换Intent的目的

 

 

public static void hookAms(){
    try {

        // 获取Singleton对象
        Class<?> clazz = Class.forName("android.app.ActivityManager");
        Field singletonField = clazz.getDeclaredField("IActivityManagerSingleton");
        singletonField.setAccessible(true);
        Object singleton = singletonField.get(null);

        // 获取IActivityManager 对象
        Class<?> singletonClass = Class.forName("android.util.Singleton");
        Field mInstanceField = singletonClass.getDeclaredField("mInstance");
        mInstanceField.setAccessible(true);
        final Object mInstance = mInstanceField.get(singleton);


        Class<?> iActivityManagerClass = Class.forName("android.app.IActivityManager");

        Object proxyInstance = Proxy.newProxyInstance(Thread.currentThread().getContextClassLoader(),
                new Class[]{iActivityManagerClass}, new InvocationHandler() {

                    @Override
                    public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
                        // IActivityManager 的方法执行的时候,都会先跑这儿
                        Log.d(TAG,"methodName="+method.getName());
                        if ("startActivity".equals(method.getName())) {
                            // 替换Intent
                            int index = 0;

                            for (int i = 0; i < args.length; i++) {
                                if (args[i] instanceof Intent) {
                                    index = i;
                                    break;
                                }
                            }
                            // 启动插件的intent
                            Intent intent = (Intent) args[index];

                            Intent proxyIntent = new Intent();
                            //这里的packageName要填Activity的主工程的包名,也就是应用包名,而不是Activity类的包名
                            proxyIntent.setClassName("com.single.code.app.plugin",
                                    "com.single.code.app.pluginlib.PluginProxyActivity");

                            // 保存原来的
                            proxyIntent.putExtra(TARGET_INTENT, intent);
                            Log.e(TAG, "startActivity: proxyIntent intent ="+proxyIntent);
                            Log.e(TAG, "startActivity: target intent ="+intent);
                            args[index] = proxyIntent;
                        }
                        return method.invoke(mInstance, args);
                    }

                });

        // 替换系统的 IActivityManager对象
        mInstanceField.set(singleton, proxyInstance);

    } catch (Exception e) {
        e.printStackTrace();
    }
}

 二、Hook Handler

        通过Hook AMS来替换Intent达到骗过AMS的Activity启动检验后,我们还需要在Activity真正被启动之前再把Intent替换成真实的目标Activity,否则就会发现启动的就是我们的代理Activity了。同样通过梳理Activity启动流程我们知道,Activity在经过AMS的一系列检验之后最终在ActivityThread的Handler中执行启动并执行生命周期。

所以我们要做的就是在Activity启动执行生命周期之前再次把Intent替换回来即可。而ActivityThread的mH属性就是个完美的Hook点。

public static void hookHandler(){
    try {
        Class<?> clazz = Class.forName("android.app.ActivityThread");
        Field sCurrentActivityThreadField = clazz.getDeclaredField("sCurrentActivityThread");
        sCurrentActivityThreadField.setAccessible(true);
        Object activityThread = sCurrentActivityThreadField.get(null);

        Field mHField = clazz.getDeclaredField("mH");
        mHField.setAccessible(true);
        Object mH = mHField.get(activityThread);

        // new 一个 Callback 替换系统的 mCallback对象
        Class<?> handlerClass = Class.forName("android.os.Handler");
        Field mCallbackField = handlerClass.getDeclaredField("mCallback");
        mCallbackField.setAccessible(true);
        mCallbackField.set(mH, new Handler.Callback() {
            @Override
            public boolean handleMessage(@NonNull Message msg) {
                // 将Intent换回来
                Log.e(TAG, "handleMessage:"+msg);
                switch (msg.what) {
                    case 100:
                        try {
                            // 获取ActivityClientRecord中的intent对象
                            Field intentField = msg.obj.getClass().getDeclaredField("intent");
                          
                            intentField.setAccessible(true);
                            Intent proxyIntent = (Intent) intentField.get(msg.obj);

                            // 拿到插件的Intent
                            Intent intent = proxyIntent.getParcelableExtra(TARGET_INTENT);
                           if(intent != null){
                               Log.e(TAG, "handleMessage: " + intent);
                               // 替换回来
                               proxyIntent.setComponent(intent.getComponent());
                           }
                        } catch (Exception e) {
                            e.printStackTrace();
                        }
                        break;
                    case 159:
                        try {
                            Class<?> clazz = Class.forName("android.app.servertransaction.ClientTransaction");
                            Field mActivityCallbacksField = clazz.getDeclaredField("mActivityCallbacks");
                            mActivityCallbacksField.setAccessible(true);

                            List activityCallbacks = (List) mActivityCallbacksField.get(msg.obj);
                            for (int i = 0; i < activityCallbacks.size(); i++) {
                                if (activityCallbacks.get(i).getClass().getName()
                                        .equals("android.app.servertransaction.LaunchActivityItem")) {
                                    Object launchActivityItem = activityCallbacks.get(i);
                                    Field mIntentField = launchActivityItem.getClass().getDeclaredField("mIntent");
                                    mIntentField.setAccessible(true);
                                    Intent proxyIntent = (Intent) mIntentField.get(launchActivityItem);
                                    Log.e(TAG, "handleMessage: proxyIntent intent ="+proxyIntent);
                                    //插件的intent
                                    Intent intent = proxyIntent.getParcelableExtra(TARGET_INTENT);
                                    Log.e(TAG, "handleMessage: target intent ="+intent);
                                    if (intent != null) {
                                        mIntentField.set(launchActivityItem, intent);
                                    }
                                    break;
                                }
                            }
                        } catch (Exception e) {
                            e.printStackTrace();
                        }
                        break;
                }
                return false;
            }
        });
    } catch (Exception e) {
        e.printStackTrace();
    }
}

 这里的Hook只针对Android10一下源码。所以Android10及以上需要自行去适配。可能有人疑惑这不是脱裤子放屁吗?你直接去注册不叫好了,干嘛搞这么一套。搞这么一套除了装13之外,还是因为在学习插件化是发现这也是插件化的必备知识之一。

这里贴一下GitHub的Demo:https://github.com/279154451/SAppPlugin

有兴趣的同学可以clone下来跑一下看看

小草帽学编程
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
从零开始实现一个插件化框架(二),apm应用性能监控
m0_66264856的博客
01-21 385
代理对象 因为要替换IActivityManager中的startActivity方法,所以就代理这个类: 首先获取到IActivityManager的class对象,再通过Proxy.newProxyInstance创建一个代理对象,其实这里就返回了一个新的IActivityManager。可以看到有3个参数: 传一个ClassLoader对象,这里直接使用当前线程的ClassLoader就可以了 要代理的类,这里是一个 数组,我们只需要代理IActivityManager的类就可以了 回调函数,每执行
[图解]Android源码分析——Activity启动过程
01-03
Activity启动过程一.Launcher程请求AMSLauncher.java的startActivitySafely方法的执行过程:Activity.java中startActivity方法的执行过程:startActivityForResult方法的执行过程:Instrumentation.java中...
注册界面(Activity的应用和数据传递)
09-07
Activity间的数据传递:这里面讲了一个App(注册界面实例)一般都是又多个Activity构成的,这就涉及到了多个Activity间数据传递的问题了。
java.lang.NoSuchFieldError: no "I" field XXXXin class "Lxx/xx/xx/xx;" or its superclasses
布丁码的博客
11-10 4307
用C语言写jni调用的时候,先FindClass ,之后通过GetFieldID 获取变量 然后通过SetIntField 等 去赋值 大约的流程如下: // 获取类 clsDay = (*env)->FindClass(env, "com/xxx/xxx/xxxx/Day"); //获取method ,一般都是固定写法 jmethodID mid_init = (*env)
No field gDefault in class Landroid/app/ActivityManagerNative
meixi_android的博客
05-06 2566
启动注册activity。8.0系统报错如下: 05-06 10:25:31.312 13973-13973/com.bolex.androidhookstartactivity W/System.err: java.lang.NoSuchFieldException: No field gDefault in class Landroid/app/ActivityManagerNative;...
Android 源码的单例模式
okclouderx的博客
10-23 228
Android 的单例模式 单例模式可以保证在内存中只有一个实例,可以避免对象频繁地创建与消耗。 下面以 android 29 为例,看 2 种单例的实现。 SystemServiceRegistry 的 LayoutInflater Context 的实现类 ContextImpl 中保存了所有 Service 本地代理的缓存。常用的 Context 的 getSystemService 方法就...
Android Hook动态替换目标Activity(免AndroidManifest注册 )
小路塔的博客
06-07 1481
Android 7.1 APP 启动流程分析里面
源码分析 — Activity的清单注册校验及动态注入
Elson的博客
03-14 1062
一、概述 二、示例 三、时序图 四、源码分析 五、实践:如何绕过校验,动态注入Activity? 5.1 原理分析 5.2 实践 一、概述 一般情况下,Activity启动都需要先在清单文件AndroidManifest.xml中注册后,才能使用。而目前流行的插件化则是通过在底座清单文件中提前占坑的方式来达到启动插件中Activity的目的。但是,插件中...
No field mActive of type Landroid/util/SparseArray; in class Landroidx/fragment/app/FragmentManagerI
嗯...
11-04 1289
2020-11-03 13:18:38.980 14299-14299/com.yoshin.test E/AndroidRuntime: FATAL EXCEPTION: main Process: com.yoshin.test, PID: 14299 java.lang.NoSuchFieldError: No field mActive of type Landroid/util/SparseArray; in class Landroidx/fragment/app/Fragmen
注册界面及Acticity
共享时代
01-07 527
布局文件 <LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" xmlns:app="http://schemas.android.com/apk/res-auto" xmlns:tools="http://schemas.android.com/tools" android:l
五. AMS实践,Hook启动注册Activity
汤坤
05-15 824
保活、让部分业务逻辑存在一个新的任务栈中,防止对我们原有的任务栈造成影响等.,就可以启动注册的页面,不过这里要注意版本适配问题,因为不同的。存在两个后台程序,但是他们属于同一个程.不在同一个任务栈里面了,当我们把。,达到改变原有的执行流程的目的.)里面的,也就是我们app的。程时,就会发现我们当前的。中包含一个或者多个任务栈(都是运行在同一个任务栈()中可以存放不同的程(运行在不同的任务栈呢?退到后台,查看后台的。程中都包含了很多的。
AMS_activity_start.pdf
07-02
AMS_activity_start activity启动流程
AMS启动流程源码分析
12-21
AMS启动流程源码分析
android Activity启动流程
01-03
Activity启动过程,我们可以从Context的startActivity说起,其实现是ContextImpl的startActivity,然后内部会通过Instrumentation来尝试启动Activity,这是一个跨程过程,它会调用ams的startActivity方法,当AMS...
ams暗屏启动activity的4.1和4.0 log
04-06
ams暗屏启动activity的log,跟代码不如看log,是吧
源码分析 — Binder机制(二)之IActivityManager
Elson的博客
03-22 1610
一、概述 二、类图 三、时序图 四、源码分析 4.1 类 Singleton 4.2 类 ActivityManagerNative 4.3 类 ActivityManagerProxy 4.4 类 ActivityManagerService 五、ActivityManagerService 与 ApplicationThread 的跨程通信 一、概述 阅读...
Android用户注册
qq_51558437的博客
05-30 855
简单的Android开发登录注册,这个是没有连数据库的 首先,新建项目,新建一个登录页面LoginActivity注册页面RegisterActivity。 下面是登录页面的代码:activity_login.xml 上面的代码是LoginActivity.java中的代码,其实要添加的只有一句,其他都写出来是为了让读者能看懂,具体写在哪里。这段代码的作用是: 使标题栏那边显示的文字是登录/注册,而不是一串默认的英文 下面两张图片,左边是未添加代码的效果,右边是添加代码后的效果 <?xml vers
Android判断Activity是否在AndroidManifest.xml里面注册(源码分析)
拖鞋王子猪
06-14 4925
Android判断Activity是否在AndroidManifest.xml里面注册(源码分析) 这个问题相信大家在实际的开发中,都遇到过这个问题,答案就不用说了,在AndroidManifest.xml中添加Activity注册,毕竟Activity属于四大组件之一,使用的时候,需要要在清单文件中注册。 <activity android:name=".TargetActivity"></activity> 但是这个出现这个问题的根源在哪里?下面我们就入源码仔细看看。 这
Android开发 登录注册设计
热门推荐
qq_51936803的博客
04-10 1万+
用Android Studio 简单的实现登录注册
android AMS 启动Activity方法
最新发布
05-31
在 Android 中,AMSActivity Manager Service)是一个非常关键的组件,它负责管理应用程序的生命周期和任务栈。启动一个 Activity 的过程中,AMS 扮演了非常重要的角色。 AMS 启动 Activity 的方法主要有两种: 1. startActivity(Intent intent):这是最常用的方法,它接收一个 Intent 参数,用于描述需要启动Activity。例如: ``` Intent intent = new Intent(this, TargetActivity.class); startActivity(intent); ``` 2. startActivity(Intent intent, Bundle options):这个方法与第一种方法基本相同,只是多了一个 Bundle 参数,用于传递一些启动参数,例如 Activity 转场动画等。例如: ``` Intent intent = new Intent(this, TargetActivity.class); Bundle options = ActivityOptions.makeCustomAnimation(this, R.anim.enter_anim, R.anim.exit_anim).toBundle(); startActivity(intent, options); ``` 需要注意的是,在启动 Activity 之前,AMS 会先检查权限、栈顶 Activity 是否允许启动等情况。如果有任何问题,AMS 都会拒绝启动Activity,并抛出相应的异常。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值