一个Demo了解android中的hook技术

最新推荐文章于 2024-05-14 05:29:19 发布
最新推荐文章于 2024-05-14 05:29:19 发布
阅读量1.5w 收藏 17
点赞数 3
文章标签: android hook demo 反射
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/acxingyun/article/details/78742002
版权

最近了解了下android中的hook技术,一段代码黑掉了activity的启动过程,Demo中涉及到framework层activity的启动机制,JAVA的反射+代理机制,不得不说掌握这个技术需要深厚的技术功底才行。文章地址:在这里,写这篇博客是记录下自己对其中用到的技术的理解。
调用startActivity会进入framework,然后通过IActivityManager对象的startActivity方法启动activity,Demo中的做法总结下就是以下几步:

  1. 通过反射,拿到IActivityManager对象;
  2. 自定义一个代理类的调度类,它要实现InvocationHandler的invoke方法;
  3. 以IActivityManager为参数,创建调度类实例;
  4. 以IActivityManager和调度类实例为参数,生成一个代理类的实例;

  5. 用代理类的实例,替换第一步拿到的IActivityManager对象。

    下面通过代码,一步一步解析其中的原理。

    拿到IActivityManager对象

    startActivity会调用到Instrumentation类中的execStartActivity方法,并执行其中的下面的代码:

try {
         intent.migrateExtraStreamToClipData();
         intent.prepareToLeaveProcess();
         int result = ActivityManagerNative.getDefault()
             .startActivity(whoThread, who.getBasePackageName(), intent,
                     intent.resolveTypeIfNeeded(who.getContentResolver()),
                     token, target != null ? target.mEmbeddedID : null,
                     requestCode, 0, null, options);
         checkStartActivityResult(result, intent);
     } catch (RemoteException e) {
         throw new RuntimeException("Failure from system", e);
        }

ActivityManagerNative.getDefault()返回的是一个IActivityManager对象:
这里写图片描述
gDefault是什么?
这里写图片描述
它是一个Singleton类型的对象,通过get方法,可以拿到其中的实例:
这里写图片描述
这个实例,就是IActivityManager,它包含了一系列的启动activity的方法:
这里写图片描述
hook的核心思想,是通过反射,将系统对象替换成我们创建的代理类对象,那么我们先要获得这个IActivityManager对象,也是通过反射。

关于反射,参考这里
通过反射,我们可以拿到一个类的private成员或private方法,具体步骤如下:

    class Point{  
        private int x;  
        public int y;  
        public Point(int x, int y) {  
            super();  
            this.x = x;  
            this.y = y;  
            }  
    }  

    public class FiledReflect {  
        public static void main(String[] args) throws Exception {  

            Point p1=new Point(5, 39);  
            Point p2=new Point(3, 9);  
                        </span>  
            //p1.getClass()是拿到p1对应的类,getField("y")是拿到这个类对应的某个field 
            Field fieldY = p1.getClass().getField("y"); 
            //为了拿到field的具体值,需要某个具体的instance                                            
            int y = (int) fieldY.get(p1);  
            System.out.println(y);  

            //对私有成员变量,可以进行暴力反射  
            Field fieldX = p1.getClass().getDeclaredField("x");  
            fieldX.setAccessible(true);//暴力反射  
            int x = (int) fieldX.get(p1);//取对应p1对象的x字段的值  
            System.out.println(x);                
            }  
    }  
    **field是属于某个类的,fieldvalue是属于某个对象的**
回到Demo中,通过下面的代码获得IActivityManager实例,注释很清楚了:

            //通过完整的类名拿到class
            Class<?> ActivityManagerNativeClss = Class.forName("android.app.ActivityManagerNative");
            //拿到这个类的某个field
            Field gDefaultFiled = ActivityManagerNativeClss.getDeclaredField("gDefault");
            //field为private,设置为可访问的
            gDefaultFiled.setAccessible(true);
            //拿到ActivityManagerNative的gDefault的Field的实例
            //gDefault为static类型,不需要传入具体的对象
            Object gDefaultFiledValue = gDefaultFiled.get(null);

            //拿到Singleton类
            Class<?> SingletonClass = Class.forName("android.util.Singleton");
            //拿到类对应的field
            Field mInstanceField = SingletonClass.getDeclaredField("mInstance");
            //field是private
            mInstanceField.setAccessible(true);
            //gDefaultFiledValue是Singleton的实例对象
            //拿到IActivityManager实例
            Object iActivityManagerObject = mInstanceField.get(gDefaultFiledValue);

到这里,终于拿到了系统startActivity用到的IActivityManager,下面我们要创建一个代理类替换它。

自定义一个代理类的调度类

java有个代理类:

这里写图片描述
代理类实现了一些申明的接口,和调用InvocationHandler的方法。不是很好理解,我们再看InvocationHandler:
这里写图片描述
简言之,就是代理类的方法,都会通过InvocationHandler的invoke方法来处理。注释中也给出了用法,通过override它的invoke方法实现代理功能(就是做一些其它事)。

下面就来实现这个自定义InvocationHandler:

private class AmsInvocationHandler implements InvocationHandler {

        private Object iActivityManagerObject;

        private AmsInvocationHandler(Object iActivityManagerObject) {
            this.iActivityManagerObject = iActivityManagerObject;
        }

        @Override
        public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {

            Log.i("HookUtil", method.getName());
            //我要在这里搞点事情
            if ("startActivity".contains(method.getName())) {
                Log.e("HookUtil","Activity已经开始启动");
                Log.e("HookUtil","小弟到此一游!!!");
            }
            return method.invoke(iActivityManagerObject, args);
        }
    }
就按照注释中的做法,override invoke方法,处理一些其它业务。
代理类实例,传入对应的参数就行了:

AmsInvocationHandler handler = new AmsInvocationHandler(iActivityManagerObject);

为啥要自定义一个InvocationHandler?因为创建一个代理类实例,需要对应的InvocationHandler。

生成一个代理类的实例

这里写图片描述

            AmsInvocationHandler handler = new AmsInvocationHandler(iActivityManagerObject);
            Class<?> IActivityManagerIntercept = Class.forName("android.app.IActivityManager");
            Object proxy = Proxy.newProxyInstance(Thread.currentThread().getContextClassLoader(),
                    new Class<?>[]{IActivityManagerIntercept}, handler);
传入当前线程的classloader,代理对象需要实现的接口,和InvocationHandler实例,就创建了一个代理类实例。接口就是系统的IActivityManager类。

替换第一步拿到的IActivityManager对象

依然是通过反射:

mInstanceField.set(gDefaultFiledValue, proxy);
将gDefaultFiledValue这个Singleton类的mInstance field的value改为创建的proxy对象。

完整代码和在Demo中的调用

public class HookUtil {
    private Class<?> proxyActivity;
    private Context context;

    public HookUtil(Class<?> proxyActivity, Context context) {
        this.proxyActivity = proxyActivity;
        this.context = context;
    }

    public void hookAms() {
        try {
            //通过完整的类名拿到class
            Class<?> ActivityManagerNativeClss = Class.forName("android.app.ActivityManagerNative");
            //拿到这个类的某个field
            Field gDefaultFiled = ActivityManagerNativeClss.getDeclaredField("gDefault");
            //field为private,设置为可访问的
            gDefaultFiled.setAccessible(true);
            //拿到ActivityManagerNative的gDefault的Field的实例
            //gDefault为static类型,不需要传入具体的对象
            Object gDefaultFiledValue = gDefaultFiled.get(null);

            //拿到Singleton类
            Class<?> SingletonClass = Class.forName("android.util.Singleton");
            //拿到类对应的field
            Field mInstanceField = SingletonClass.getDeclaredField("mInstance");
            //field是private
            mInstanceField.setAccessible(true);
            //gDefaultFiledValue是Singleton的实例对象
            //拿到IActivityManager
            Object iActivityManagerObject = mInstanceField.get(gDefaultFiledValue);

            AmsInvocationHandler handler = new AmsInvocationHandler(iActivityManagerObject);
            Class<?> IActivityManagerIntercept = Class.forName("android.app.IActivityManager");
            Object proxy = Proxy.newProxyInstance(Thread.currentThread().getContextClassLoader(),
                    new Class<?>[]{IActivityManagerIntercept}, handler);
            mInstanceField.set(gDefaultFiledValue, proxy);

        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (NoSuchFieldException e) {
            e.printStackTrace();
        } catch (IllegalAccessException e) {
            e.printStackTrace();
        }
    }

    private class AmsInvocationHandler implements InvocationHandler {

        private Object iActivityManagerObject;

        private AmsInvocationHandler(Object iActivityManagerObject) {
            this.iActivityManagerObject = iActivityManagerObject;
        }

        @Override
        public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {

            Log.i("HookUtil", method.getName());
            //我要在这里搞点事情
            if ("startActivity".contains(method.getName())) {
                Log.e("HookUtil","Activity已经开始启动");
                Log.e("HookUtil","小弟到此一游!!!");
            }
            return method.invoke(iActivityManagerObject, args);
        }
    }
}

在Application类oncreate中,调用:

public class MyApplication extends Application {
    @Override
    public void onCreate() {
        super.onCreate();
        HookUtil hookUtil=new HookUtil(SecondActivity.class, this);
        hookUtil.hookAms();
    }
}

之后在app的任意地方调用startActivity都能看到代理对象在invoke中添加的log了。
Demo始终是最好的学习方法。
acxingyun
关注
Android 逆向工程之APK混淆处理方案分析
qq_38794072的博客
07-24 1306
提供apk给到外部,外部对apk进行二次处理后重新给我们一个新apk。尝试分析源apk文件和处理后的apk文件区别,根据其区别推测外部的混淆处理方案,尽可能还原外部对apk的处理方式。以下对处理和未处理的apk文件用新、旧apk名称表示。通过反编译工具分析可以得出外部处理的新 app 操作主要是对 dex 文件增加了垃圾代码提高主包的相似度,避免被Google识别,然后进行了混淆处理。处理 dex 利用 BlackObfuscator-GUI 等工具处理后对 apk。
android Hook DEmo
09-27
练习Hook 技术 不在Manefest 文件注册类 ,并且可以启动一个新的Activity
Android HookDemo
a1063560406的博客
11-28 434
看了网上很多介绍hook技术的,找demo没找到,自己根据博客写了一个。想直接看效果的朋友的可以下载。 运行环境Android Studio3.0   红米not3 6.0系统 看博客也遇到了一个坑发现继承自AppCompatActivity,在被代理的Activity onCreate的时候 还会检查一次是否注册 没注册的activity还是不能启动。这个问题也困扰了我很久,还是偶然看评论解...
Android Hook技术实践
12-27
不需要在manifest注册activity,都可以打开activity页面,根据动脑学院Danny老师讲的hook技术实现的
用最简单的两个简单实战Demo,带你轻松理解Android-Hook机制
2401_84132723的博客
04-07 328
1.搭建知识框架可不是说你整理好要学习的知识顺序,然后看一遍理解了能复制粘贴就够了,大多都是需要你自己读懂源码和原理,能自己手写出来的。2.学习的时候你一定要多看多练几遍,把知识才吃透,还要记笔记,这些很重要!最后你达到什么水平取决你消化了多少知识3.最终你的知识框架应该是一个完善的,兼顾广度和深度的技术体系。然后经过多次项目实战积累经验,你才能达到高级架构师的层次。你只需要按照在这个大的框架去填充自己,年薪40W一定不是终点,技术无止境。
《安卓hook2》一个静态的小demo
qq_43797634的博客
12-17 2023
喜欢春天的花,夏天的树,秋天的黄昏,冬天的阳光,每天的你 hook英文单词意为“钩子”,很形象的,它的作用就是去调用或者篡改APP代码(引用的) 1.一个加法器程序,hook可以从加法功能展开。 2.查看apk代码。量小容易定位到关键函数。 位置: me.shingle.fridatest.MainActivity.Add 两种方式 : 一、js调试 1.usb连接电脑和终端。 2.启动frida,相关内容参考《安卓hook1》安装个frida 3.上代码: Java.pe
简单Android hook demo
07-07
1. **创建Hook库**:你需要编写一个动态链接库(.so文件),在这个库定义你要Hook的函数,并在函数内部添加你的自定义逻辑。例如,如果你要Hook的是`open()`函数,你需要在你的库提供一个新的`open()`实现。 2....
android开发实现插件化开发,使用hook启动未注册的activity实现demo
05-11
Android开发,插件化是一项重要的技术,它允许开发者在不重新编译或安装整个应用的情况下添加、更新或移除应用的部分功能。本示例"android开发实现插件化开发,使用hook启动未注册的activity实现demo",提供了一...
HookDemo.rar
05-15
这个"HookDemo.rar"文件提供的应该是一个简单的Java Hook示例,适用于初学者了解和学习如何在Android环境应用Hook技术。 在AndroidHook主要分为两种类型:静态Hook和动态Hook。静态Hook通常在编译时进行,...
android_inject_hook_demo:android注入和钩子演示
07-06
`android_inject_hook_demo`是一个示例项目,旨在展示如何在Android环境实现注入和钩子功能。在这个项目,我们将探讨以下几个关键知识点: 1. **注入(Injection)**:注入通常指的是在运行时将对象或资源引入...
手把手讲解 Android Hook入门Demo
taochengnan的博客
12-21 162
https://www.jianshu.com/p/74c12164ffca?tdsourcetag=s_pcqq_aiomsg
手写代码详解Android Hook入门demo
2401_83621918的博客
03-18 1015
进入源码:发现我们创建的对象被赋值给了getListenerInfo().mOnClickListener是个什么玩意?继续追查:结果发现这个其实是一个伪单例,一个View对象只存在一个对象.进入ListenerInfo内部:发现对象 被ListenerInfo所持有.hook我们要hook的是对象,所以,创建一个类 实现接口.然后,new出它的对象待用。可以看到,这里传入了一个对象,它存在的目的,是让我们可以有选择地使用到原先的点击事件逻辑。一般hook,都会保留原有的源码逻辑.
2024年Android最全用最简单的两个简单实战Demo,带你轻松理解Android-Hook机制,2024年最新小红书android面试
最新发布
2401_84538884的博客
05-14 953
下面是有几位Android行业大佬对应上方技术点整理的一些进阶资料。希望能够帮助到大家提升技术高级UI,自定义ViewUI这块知识是现今使用者最多的。当年火爆一时的Android入门培训,学会这小块知识就能随便找到不错的工作了。不过很显然现在远远不够了,拒绝无休止的CV,亲自去项目实战,读源码,研究原理吧!网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化学习资料的朋友,可以戳这里获取一个人可以走的很快,但一群人才能走的更远!
手写代码详解Android Hook入门demo,2024必看
m0_61042126的博客
03-31 834
经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新**
android hook入门
流星飘雨啊
10-16 743
本文hookactivity来讲解,运用Java反射以及代理。 hook技术的难点在于hook到某个点,就是寻找在内存“不变”的对象,那么静态修饰或者单例就是我们要hook的点,然后实现代理。所以根据这个想法,我们就来找Activity需要hook的点。 一:我们先跟踪 startActivity源码 第一步: @Override public void startActivity(I...
Android下的Hook初探
Banyan的博客
01-01 1928
1丶Android下的常用Hook框架 android下的Hook框架有很多,比较出名的就是Xposed和Cydia Substrate,当然都各有不足,Xposed只能Hook Java层,面对native层就显得无力了;Substrate和Java层和native层都可以Hook,但作者好像很久没更新了,只能在dalvik上Hook,在android5.0及以上版本就不能用了,而且兼容性也不
Android hook应用
王温暖的博客
01-01 969
一、认识hook机制 Hook又叫“钩子”,它可以在事件传送的过程截获并监控事件的传输,将自身的代码与系统方法进行融入。这样 当这些方法被调用时,也就可以执行我们自己的代码,这也是面向切面编程的思想(AOP)。当然,根据 Hook 对 象与 Hook 后处理的事件方式不同,Hook 还分为不同的种类,比如消息 Hook、API Hook 等。 1、Java API Hook: 通...
Windows与Android SO Hook技术详解与应用
在ELF文件,外部函数的地址在编译阶段被存储为一个Stub(占位符),在运行时由链接器进行重定位。SO Hook者通过替换.GOT表的函数地址,可以间接影响程序的行为。然而,这种方法的局限性明显,它只适用于进程启动...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值