android Hook 技术剖析

最新推荐文章于 2024-06-04 14:52:56 发布
最新推荐文章于 2024-06-04 14:52:56 发布
阅读量961 收藏
点赞数 1
文章标签: android Hook 插件化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cengdong/article/details/63803303
版权

本代码实现的功能:

如何不在清单文件中注册activity就可直接运行使用。

其原理就是使用HOOK技术。

先看清单文件代码:

<?xml version="1.0" encoding="utf-8"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android"
    package="com.example.test_hook"
    android:versionCode="1"
    android:versionName="1.0" >

    <uses-sdk
        android:minSdkVersion="19"
        android:targetSdkVersion="21" />

    <application
        android:allowBackup="true"
        android:icon="@drawable/ic_launcher"
        android:label="@string/app_name"
        android:name=".MyApplication"
        android:theme="@style/AppTheme" >
        <activity
            android:name=".MainActivity"
            android:label="@string/app_name" >
            <intent-filter>
                <action android:name="android.intent.action.MAIN" />

                <category android:name="android.intent.category.LAUNCHER" />
            </intent-filter>
        </activity>
        <activity android:name=".ProxyActivity" />
    </application>

</manifest>


其中 ProxyActivity是代理类,我们实现的功能是从MainActivity通过intent跳转到OtherActivity

内部代码为:

public class ProxyActivity extends Activity {}

再来看一下MainActivity代码:

public class MainActivity extends Activity {

	@Override
	protected void onCreate(Bundle savedInstanceState) {
		super.onCreate(savedInstanceState);
		setContentView(R.layout.activity_main);
	}

	
	public void startOther(View v){
		Toast.makeText(this, "onclick", 0).show();
		Intent intent = new Intent(this, OtherActivity.class);
		startActivity(intent);
	}
}

工具类HookAmsUtil用来实现具体功能(简单做了一些注释): 

package com.example.test_hook;
/**
 * 原理:
 * 当从MainActivity通过intent启动OtherActivity时,会先通过ActivityManagerService调用StartActivity方法来执行,然后会通过PackageManagerService
   来检测intent是否有效,有效则通过ActivityThread继续执行,无效则抛出异常,我们要做的就是启动Activity时绕过PackageManagerService的检测.
 * 
 * */

import java.lang.reflect.Field;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Method;
import java.lang.reflect.Proxy;
import android.content.ComponentName;
import android.content.Context;
import android.content.Intent;
import android.os.Handler;
import android.os.Message;
import android.util.Log;

public class HookAmsUtil {
	
	private Class<?> proxyActivity;
	private Context context;
	
	public HookAmsUtil	(Class<?> proxyActivity, Context context) {
		this.proxyActivity = proxyActivity;
		this.context = context;
	}
	
	public void hookAms() throws Exception {
		Log.d("qcdd", "start hook");
		Class<?> forname = Class.forName("android.app.ActivityManagerNative");
		Field defaultField = forname.getDeclaredField("gDefault");
		defaultField.setAccessible(true);
		//dDefault 变量值
		Object degaultValue = defaultField.get(null);  //拿到ActivityManagerNative类的gDefault属性
		//反射SingleTon
		Class<?> forname2 = Class.forName("android.util.Singleton");
		Field instanceField = forname2.getDeclaredField("mInstance");
		instanceField.setAccessible(true);
		//获取系统的iActivityManager对象
		Object iActivityManagerObject = instanceField.get(degaultValue); //获取IActivityManager对象
		//hook
		Class<?> iActivityManagerInercept = Class.forName("android.app.IActivityManager"); //IActivityManager接口
		AmsInvocationHandler handler = new AmsInvocationHandler(iActivityManagerObject); //将IActivityManager对象传代理handler
		
		/**
		 * newProxyInstance参数解析
		 * classLoader:  一个ClassLoader对象,定义了由哪个ClassLoader对象来对生成的代理对象进行加载
           interfaces:   一个Interface对象的数组,表示的是我将要给我需要代理的对象提供一组什么接口,如果我提供了一组接口给它,那么这个代理对象就宣
                    称实现了该接口(多态),这样我就能调用这组接口中的方法了
           invocationHandler: 一个InvocationHandler对象,表示的是当我这个动态代理对象在调用方法的时候,会关联到哪一个InvocationHandler对象上
		 * */
		Object proxy = Proxy.newProxyInstance(Thread.currentThread().getContextClassLoader(),
				new Class<?>[]{iActivityManagerInercept}, handler);  //创建代理
		instanceField.set(degaultValue, proxy); //将原iActivityManager,替换成代理的proxy,它也属于IActivityManager类型.
		
	}
	
	class AmsInvocationHandler implements InvocationHandler{
		/**
		 * InvocationHandler类
		 * 每一个动态代理类都必须要实现InvocationHandler这个接口,并且每个代理类的实例都关联到了一个handler,当我们通过代理对象调用一个方法的时候,
		 * 这个方法的调用就会被转发为由InvocationHandler这个接口的 invoke 方法来进行调用。
		 * */
		private Object iActivityManagerObject;
		public AmsInvocationHandler(Object iActivityManagerObject) {
			this.iActivityManagerObject = iActivityManagerObject;
		}
		
		@Override
		public Object invoke(Object proxy, Method method, Object[] args)
				throws Throwable {
			Log.d("qcdd", "methodName: "+ method.getName());
			//当ActivityManagerService调用方法时先会掉此invoke方法.
			if("startActivity".contains(method.getName())){
				Intent intent = null;
				int index = 0;
				for (int i = 0; i < args.length; i++) {
					if (args[i] instanceof Intent) {
						//说明找到了startActivity方法的intnet参数
						intent = (Intent) args[i];//原意图,过不了安检
						index = i;
						break;
					}
				}
				Intent proxyIntent = new Intent();
				ComponentName componentName = new ComponentName(context, proxyActivity);
				proxyIntent.setComponent(componentName);
				proxyIntent.putExtra("oldIntent", intent);
				args[index] = proxyIntent;
				return method.invoke(iActivityManagerObject, args); //替换后继续向下执行
			}
			return method.invoke(iActivityManagerObject, args);
		}
	}
	
	public void hookSystemHandler() throws Exception {
		
		/**
		 * ActivityThread 代表了Android的主线程,具体启动Activity、service,接收广播等等工作就在此类中
		 * final H mH = new H()
		 * 这个H是继承自Handler的,它是个私有的内部类,其实就是主线程的Handler,通过这个Handler就可以往主线程的消息队列发消息,(所以我们要hook此类)
		 * 具体处理动作是在,public void handleMessage(Message msg) {}方法中
		 * 
		 * public void handleMessage(Message msg) {
            switch (msg.what) {
                case LAUNCH_ACTIVITY: { //启动activity
                    Trace.traceBegin(Trace.TRACE_TAG_ACTIVITY_MANAGER, "activityStart");
                    final ActivityClientRecord r = (ActivityClientRecord) msg.obj;
                    r.packageInfo = getPackageInfoNoCheck(r.activityInfo.applicationInfo, r.compatInfo);
                    handleLaunchActivity(r, null, "LAUNCH_ACTIVITY");
                    Trace.traceEnd(Trace.TRACE_TAG_ACTIVITY_MANAGER);
                } break;
		 * 
		 * */
		Class<?> forName = Class.forName("android.app.ActivityThread");
		Field currentActivityThreadField = forName.getDeclaredField("sCurrentActivityThread");
		currentActivityThreadField.setAccessible(true);
		Object activityThreadValue = currentActivityThreadField.get(null); //sCurrentActivityThread 当前的进程
		
		Field handlerField = forName.getDeclaredField("mH");
		handlerField.setAccessible(true);
		//mH的变量值
		Handler handlerObject = (Handler) handlerField.get(activityThreadValue); //当前的进程handler
		Field callbackField = Handler.class.getDeclaredField("mCallback");
		callbackField.setAccessible(true);
		callbackField.set(handlerObject, new ActivityThreadHandlerCallback(handlerObject)); //将当前进程handler替换成代理ActivityThreadHandlerCallback
		
	}
	
	class ActivityThreadHandlerCallback implements Handler.Callback {
		
        Handler handler;
        public ActivityThreadHandlerCallback (Handler handler) {
        	super();
        	this.handler = handler;
        }
		@Override
		public boolean handleMessage(Message msg) {
			//当ActivityThread的handler发送消息时会先调用此handleMessage方法.
			Object obj = msg.obj; 
			/**
			 * 此obj对象是ActivityClientRecord类型
			 * ActivityClientRecord是ActivityThread的内部类,用来记录activity的相关属性
			 * 
			 * IBinder token;
        	  int ident;
            Intent intent; //我们用到的就是这个属性
        	  String referrer;
        	  IVoiceInteractor voiceInteractor;
        	  Bundle state;
        	  PersistableBundle persistentState;
        	  Activity activity;
        	  Window window;
        	  Activity parent;
        	  String embeddedID;
        	  Activity.NonConfigurationInstances lastNonConfigurationInstances;
        	  boolean paused;
        	  boolean stopped;
        	  boolean hideForNow;
        	  .........
			 * 
			 * */
			try {
				Field intentField = obj.getClass().getDeclaredField("intent");
				intentField.setAccessible(true);
				Intent proxyIntent = (Intent) intentField.get(obj); //proxyIntent
				Intent realIntent = proxyIntent.getParcelableExtra("oldIntent");
				if (realIntent != null) {
					proxyIntent.setComponent(realIntent.getComponent()); //将真正要启动的intent替换过来
				}
			} catch (Exception e) {
				e.printStackTrace();
			}
			return false;
		}
		
	}
	
}

具体的调用来看一下MyApplication的调用: 

public class MyApplication extends Application {
    private static AmsInvocationHandler handler;
    private Object activityThreadValueObject;
	@Override
	public void onCreate() {
		// TODO Auto-generated method stub
		super.onCreate();
		HookAmsUtil mHookAmsUtil = new HookAmsUtil (ProxyActivity.class,this);
		try {
			mHookAmsUtil.hookAms();
			mHookAmsUtil.hookSystemHandler();
		} catch (Exception e) {
			e.printStackTrace();
		}
	}

}

OK,功能已实现。



cengdong
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通过hook思想拦截系统APi(startActivity)并跳转到没注册过的Activity
huidawoxiaozi的博客
05-07 797
hook俗称钩子可以对系统api进行拦截做一些自己的操作,如何拦截我们android中的startActivity方法呢,并且在不注册activity的情况下去启动activity。首先我们先看下startActivity方法是怎样调用的吧。、 点开startActivity方法我们发现先重写了startActivity @Override public void startActivit...
Android Hook动态替换目标Activity(免AndroidManifest注册 )
小路塔的博客
06-07 1534
Android 7.1 APP 启动流程分析里面
Android hook应用
王温暖的博客
01-01 945
一、认识hook机制 Hook又叫“钩子”,它可以在事件传送的过程中截获并监控事件的传输,将自身的代码与系统方法进行融入。这样 当这些方法被调用时,也就可以执行我们自己的代码,这也是面向切面编程的思想(AOP)。当然,根据 Hook 对 象与 Hook 后处理的事件方式不同,Hook 还分为不同的种类,比如消息 Hook、API Hook 等。 1、Java API Hook: 通...
Android中的HOOK技术
最新发布
m0_62787113的博客
06-04 483
HOOK技术
Java基础知识点面试题,安卓程序员必备hook技术之进阶篇
m0_60607203的博客
08-07 217
方式1:使用Activity自带的startActivity 示例代码 private void startActivityByActivity() { Intent i = new Intent(MainActivity.this, Main2Activity.class); startActivity(i); } 程序执行走向图. 代码追踪: 这里有个if(mParent==null)判定,先看true分支: 发现一个坑,mInstrumentatio
使用Intent进行页面之间的跳转【Intent_1】
xiaoxin想升职加薪
08-23 3614
本文介绍了使用Intent进行页面之间的跳转,是Intent相关的第一篇文章,还有很多问题没有深入研究,有待解决。后续会慢慢更新相关内容及其他的文章。
Android Hook技术实践
12-27
通过分析和学习这个项目,你可以更深入地理解Android的组件管理机制以及Hook技术的实际应用。 总的来说,Android Hook技术是一种强大的工具,但同时也需要谨慎使用,因为它可能会引发安全问题或者与其他应用产生...
android Hook DEmo
09-27
HookAndroid 中的应用广泛,例如性能分析、调试、插件开发以及安全审计等。在本示例中,我们将探讨如何在不通过 AndroidManifest.xml 文件注册 Activity 的情况下,利用 Hook 技术启动一个新的 Activity。 ...
代码实例分析android中inline hook
08-28
Android 中的 Inline Hook 技术详解 Android 中的 Inline Hook 技术是指在 Android 操作系统中,使用 Hook 技术来拦截和修改应用程序的行为。Inline Hook 是一种常用的 Hook 技术,通过在应用程序的代码中注入一段...
Android hook api
01-09
Android系统中,Hook技术是一种强大的调试和逆向工程手段,它允许开发者在不修改原始代码的情况下,拦截和改变程序的执行流程。标题"Android hook api"指向的是Android平台上的API钩子技术,这是一种用于监控、...
简单Android hook demo
07-07
Android开发中,Hook技术是一种强大的调试和分析工具,它允许开发者在不修改原代码的情况下,动态地改变程序的行为。本篇文章将深入探讨如何在Android平台上实现Hook,特别是通过使用LD_PRELOAD机制来实现这一目标...
安卓插件课程-第七篇:解决插件中activity跳转的问题
分享+记录
01-27 2407
1.本文是安卓插件课程的第七篇,完整课程链接参见下面链接: 2.前面几篇我们讲了,我们宿主启动插件Activity,使用的是启动HostActivity的方式。在宿主中给启动插件的Activity,我们可以改为启动HostActivity的方式,但是插件中怎么办呢?插件中的启动方式是startActivity已经是固定不变的了。 所以在插件中使用老的方式启动,仍然会遇到activity not found的问题,而本文就是解决这个问题。
手把手教你Hook Android 点击事件
你的外祖父的博客
05-22 2305
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、什么是Hook?二、Hook的优势三、Hook前置条件1.反射2.代理模式四、Hook实战总结 前言 随着技术的不断创新,Android的需求也是越来越多,Hook技术是走向Android高级开发的必经之路。 提示:以下是本篇文章正文内容,下面案例可供参考 一、什么是HookHook,简称“勾子”,用通俗易懂的方式来说就是勾住代码的逻辑,通过拦截的手段,插入自己的代码逻辑,在保证原有功能不变的情况下新增自己的逻辑功能
android微信hook过滤检测,Hook实现Android 微信,陌陌 ,探探位置模拟
weixin_32352621的博客
05-26 836
Hook实现Android 微信,陌陌 ,探探位置模拟最近需要对微信,陌陌等程序进行位置模拟 实现世界各地发朋友圈,搜索附近人的功能,本着站在巨人肩膀上的原则 爱网上搜索一番,也找到一些 代码和文章,但是代码大都雷同而且都有一个弊端 比如说 微信 对目标函数实现hook之后第一次打开微信 第一次定位是可以改变的 但是 我如果想更换地址的话 就需要重启手机了,重新加载hook了,试了很多次都是这样满...
location定位_APP定位过于频繁,我用这种方式“揪出元凶”
weixin_39638057的博客
11-20 806
本文作者作者:BlackZheng链接:https://juejin.im/post/5daacc1f6fb9a04de6513b08本文由作者授权发布。1背景定位现在是很多APP最基本也不可或缺的能力之一,尤其是对打车、外卖之类的应用来说。但对定位的调用可不能没有节制,稍有不慎可能导致设备耗电过快,最终导致用户卸载应用。笔者所在项目是一个在后台运行的APP,且需要时不时在后台获取一下当...
Android插件系列第(一)篇---Hook技术之Activity的启动过程的拦截
Looper景
02-09 8953
这篇文章主要讲解如何利用动态代理技术Hook掉系统的AMS服务,来实现拦截Activity的启动流程。代码量不是很多,为了更容易的理解,需要掌握JAVA的反射,动态代理技术,以及Activity的启动流程。 如果对上面的知识点有些遗忘,建议按需扫读下面三篇文章,否则跳过。 Java 反射 Java 动态代理机制分析及扩展,第 1 部分 深入理解Activity启动流程(三)–Activity启动的
hook(3)实现无清单启动Activity,研发4面真题解析(Android岗)
m0_64319455的博客
11-18 392
Instrumentation.ActivityResult ar = mInstrumentation.execStartActivity(…); mMainThread.sendActivityResult(…); 第一句,execStartActivity 是 对一些参数的合法性校验,如果不合法,那就会直接抛出异常,比如之前的 第二句,sendActivityResult才是真正的跳转动作执行者 先进入第一句Instrumentation.ActivityResult ar = mInstrum
Android Hook技术学习——常见的hook技术方案
q2919761440的博客
08-17 4209
最近一段时间在研究Android加壳和脱壳技术,其中涉及到了一些hook技术,于是将自己学习的一些hook技术进行了一下梳理,以便后面回顾和大家学习。本文第二节主要讲述编译原理,了解编译原理可以帮助进一步理解hook技术本文第三节主要讲述NDK开发的一些基础知识本文第四节主要讲述各类hook技术的实现原理本文第五节主要讲述各hook技术的实现步骤和案例演示。
Android 中的hook技术是什么
半身风雪
11-17 4001
AndroidhookAndroid 在开发过程中会存在的两种模式,一种是native 模式,另一种是java 模式,所以我们也可以理解成,Android 平台上的hook 分为两种,一种是java 层级的hook,一种是native 层级的hook,两种模式下,通常都是通过使用JNI 机制来进行调用。对于大多数开发者而言,能够在java 曾经完成的事,基本上也不会在native 层去完成。
android hook 应用场景
08-08
4. 动态调试和分析应用程序:通过Hook技术,可以动态地修改应用程序的代码和行为,从而实现调试和分析的目的。例如,可以通过Hook技术实现动态调试应用程序的内存泄漏问题、性能问题等。 总之,Android Hook技术...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值