Android Hook动态替换目标Activity(免AndroidManifest注册 )

最新推荐文章于 2024-04-06 01:21:19 发布
最新推荐文章于 2024-04-06 01:21:19 发布
阅读量1.7k 收藏
点赞数
分类专栏: Android Java 文章标签: android 移动开发 Hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chaoli_chen/article/details/117664162
版权
Android 同时被 2 个专栏收录
47 篇文章 7 订阅
订阅专栏
Java
30 篇文章 0 订阅
订阅专栏
本文详细介绍了在Android7.1系统下APP的启动流程,特别是Activity的启动过程,并展示了如何通过反射和动态代理技术实现Activity的Hook,以在不注册的情况下启动目标Activity。通过占坑Activity和替换Intent组件名称,骗过AMS,然后在ActivityThread的Handler中恢复真实Activity,成功启动未注册的目标Activity。
摘要由CSDN通过智能技术生成

Android 7.1 APP 启动流程分析 里面讲解的有Activity的启动流程图,想要使用hook替换目标Activity需要先了解AMS如何创建的Activity。

总体流程

总体的思路就是通过反射,先使用占坑Activity创建activity,然后再替换成目标activity,大致流程如下:

由上图可知

1.通过反射 使用 如下代码设置 MyIActivityManagerHandler.java 到AMS中

        我们先使用占坑的activity替换成我们启动的activity,然后当activity创建完成之后再替换成我们目标的activity。

2.再使用反射获取 ActivityThread.java 设置 MyActivityThreadHandlerCallback,在MyActivityThreadHandlerCallback中替换成自己的目标Activity。

        hook的好处是可以不在AndroidManifest.xml注册我们Activity也能启动我们的Activity。

项目下载地址

 

项目详解

整体的项目目录

├── main
│   ├── AndroidManifest.xml
│   ├── java
│   │   └── com
│   │       └── ccl
│   │           └── demo
│   │               ├── GoalActivity.java   //目标类 ,未注册
│   │               ├── HookUtils.java    //hook工具
│   │               ├── MainActivity.java   //主函数
│   │               ├── MyActivityThreadHandlerCallback.java  //Handler.Callback子类
│   │               ├── MyIActivityManagerHandler.java  //InvocationHandler子类
│   │               └── PitActivity.java  //占坑类

首先查看AndroidManifest.xml代码,PitActivity是用来天坑的Activity

<?xml version="1.0" encoding="utf-8"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android"
    package="com.ccl.demo">

    <application
        android:allowBackup="true"
        android:icon="@mipmap/ic_launcher"
        android:label="@string/app_name"
        android:roundIcon="@mipmap/ic_launcher_round"
        android:supportsRtl="true"
        android:theme="@style/AppTheme">
        <activity android:name=".MainActivity">
            <intent-filter>
                <action android:name="android.intent.action.MAIN" />

                <category android:name="android.intent.category.LAUNCHER" />
            </intent-filter>
        </activity>
     <!--占坑类-->
        <activity android:name=".PitActivity"/>  
    </application>

</manifest>

GoalActivity.java 

public class GoalActivity extends Activity {
    @Override
    protected void onCreate(@Nullable Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        Log.d("chencl_"," 目标activity GoalActivity onCreate ");
    }
}

PitActivity.java

public class PitActivity extends Activity {
    @Override
    protected void onCreate(@Nullable Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        Log.d("chencl_"," 占坑 Activity PitActivity onCreate ");
    }
}

HookUtils.java 主要负责hook的类,hookIActivityManager 方法用于获取 android.util.Singleton 并且将 new MyIActivityManagerHandler(rawIActivityManager)替换到 Proxy.newProxyInstance 中进行动态化代理。hookActivityThreadHandler方法  获取到 android.app.ActivityThread 将MyActivityThreadHandlerCallback 设置进去,在MyActivityThreadHandlerCallback 中替换为我们自己的activity。

public class HookUtils {
    public static final String EXTRA_TARGET_INTENT = "activity";
    /**
     * Hook AMS
     * 主要完成的操作是,代理Hook AMS 在应用进程的本地代理IActivityManager ,
     * 把真正要启动的Activity临时替换为在AndroidManifest.xml 里坑位Activity
     * 进而骗过AMS
     */
    public static void hookIActivityManager() throws Exception {
        Field amSingletonField =null;
        if (Build.VERSION.SDK_INT >= 26) {
            Class<?> activityManagerClass = Class.forName("android.app.ActivityManager");
            amSingletonField = activityManagerClass.getDeclaredField("IActivityManagerSingleton");
        }else{
            Class<?> activityManagerNativeClass = Class.forName("android.app.ActivityManagerNative");
            amSingletonField = activityManagerNativeClass.getDeclaredField("gDefault");
        }
        amSingletonField.setAccessible(true);

        Object iamSingletonObj = amSingletonField.get(null);

        // 得到iamSingletonObj ,得到iamSingletonObj 对象里的mInstance 字段值,这个值就是那个需要的单例,
        // 就是AMS 在应用进程的本地代理对象
        Class<?> singleton = Class.forName("android.util.Singleton");
        Field mInstanceField = singleton.getDeclaredField("mInstance");
        mInstanceField.setAccessible(true);

        // 原始的 IActivityManager对象
        Object rawIActivityManager = mInstanceField.get(iamSingletonObj);

        // 用动态代理,这里在执行相应方法执行我们的一些逻辑(这里指的是修改Intent 使用坑位Activity ,从而可以越过AMS)
        // 创建一个这个对象的代理对象, 然后替换这个字段, 让我们的代理对象帮忙干活
        Class<?> iActivityManagerInterface = Class.forName("android.app.IActivityManager");
        Object proxy = Proxy.newProxyInstance(Thread.currentThread().getContextClassLoader(),
                new Class<?>[] { iActivityManagerInterface }, new MyIActivityManagerHandler(rawIActivityManager));
        mInstanceField.set(iamSingletonObj, proxy);
    }
    /**
     * 由于之前我们用替身欺骗了AMS; 现在我们要换回我们真正需要启动的Activity ,不然就真的启动替身了
     * 到最终要启动Activity的时候,会交给ActivityThread 的一个内部类叫做 H 来完成
     * H 会完成这个消息转发,这里对H 的mCallback 进行处理
     */
    public static void hookActivityThreadHandler() throws Exception {

        // 先获取到当前的ActivityThread 对象
        Class<?> activityThreadClass = Class.forName("android.app.ActivityThread");
        Field currentActivityThreadField = activityThreadClass.getDeclaredField("sCurrentActivityThread");
        currentActivityThreadField.setAccessible(true);
        Object currentActivityThread = currentActivityThreadField.get(null);

        // 获取ActivityThread 的字段mH 对象
        Field mHField = activityThreadClass.getDeclaredField("mH");
        mHField.setAccessible(true);
        Handler mH = (Handler) mHField.get(currentActivityThread);

        Field mCallBackField = Handler.class.getDeclaredField("mCallback");
        mCallBackField.setAccessible(true);

        // 设置我们的代理CallBack
        mCallBackField.set(mH, new MyActivityThreadHandlerCallback(mH));
    }
}

MyIActivityManagerHandler.java 负责具体的替换过程

class MyIActivityManagerHandler implements InvocationHandler {
    private static final String TAG = "MyIActivityManagerHandler";
    Object mBase;
    public MyIActivityManagerHandler(Object base) {
        mBase = base;
    }
    @Override
    public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
        if ("startActivity".equals(method.getName())) {
            // 找到参数里面的第一个Intent 对象
            Intent raw;
            int index = 0;
            for (int i = 0; i < args.length; i++) {
                if (args[i] instanceof Intent) {
                    index = i;
                    break;
                }
            }
            raw = (Intent) args[index];
            Intent newIntent = new Intent();
            // 替身Activity的包名, 也就是我们自己的包名
            String stubPackage = "com.ccl.demo";
            // 这里我们把启动的Activity临时替换为坑位 StubActivity
            ComponentName componentName = new ComponentName(stubPackage, PitActivity.class.getName());
            newIntent.setComponent(componentName);
            // 把我们原始要启动的TargetActivity先存起来
            newIntent.putExtra(HookUtils.EXTRA_TARGET_INTENT, raw);
            // 替换掉Intent, 达到欺骗AMS的目的
            args[index] = newIntent;
            return method.invoke(mBase, args);
        }
        return method.invoke(mBase, args);
    }
}

MyActivityThreadHandlerCallback.java 负责替换为我们目标activity

class MyActivityThreadHandlerCallback implements Handler.Callback {
    Handler mBase;
    public MyActivityThreadHandlerCallback(Handler base) {
        mBase = base;
    }
    @Override
    public boolean handleMessage(Message msg) {
        switch (msg.what) {
            // ActivityThread里面 "LAUNCH_ACTIVITY" 这个字段的值是100
            // 本来使用反射的方式获取最好, 这里为了简便而直接使用硬编码
            case 100:
                handleLaunchIntent(msg);
                break;
        }
        mBase.handleMessage(msg);
        return true;
    }
    private void handleLaunchIntent(Message msg) {
        // 这里简单起见,直接取出TargetActivity;
        Object obj = msg.obj;
        // 根据源码,这个msg.obj 对象是 ActivityClientRecord 类型,修改它的intent字段,恢复目标Activity
        try {
            // 把替身恢复成真身
            Field intent = obj.getClass().getDeclaredField("intent");
            intent.setAccessible(true);
            Intent raw = (Intent) intent.get(obj);
            Intent target = raw.getParcelableExtra(HookUtils.EXTRA_TARGET_INTENT);
            raw.setComponent(target.getComponent());
        } catch (NoSuchFieldException e) {
            e.printStackTrace();
        } catch (IllegalAccessException e) {
            e.printStackTrace();
        }
    }
}

MainActivity.java 调用的时候先调用  hookIActivityManager hookActivityThreadHandler

public class MainActivity extends AppCompatActivity {
    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
        try {
            //先执行 hookIActivityManager hookActivityThreadHandler
            HookUtils.hookIActivityManager();
            HookUtils.hookActivityThreadHandler();
        } catch (Exception e) {
            Log.d("chencl_",e.toString());
            e.printStackTrace();
        }
        //开启目标Activity   GoalActivity
        startActivity(new Intent(MainActivity.this, GoalActivity.class));
    }
}

执行项目打印的log是 

06-07 17:27:56.230 32029-32029/com.ccl.demo D/chencl_:  目标activity GoalActivity onCreate 

而 GoalActivity 并未在 AndroidManifest.xml 中注册。

 

 

 

 

小路塔
关注
专栏目录
android hook方法替换,Android Hook入门教程
weixin_42496802的博客
05-26 1219
原创,首先国内各种rom版本不一,对官方教程中clock的hook很难做到,其次中文教程太少。。楼主也是刚接触Android hook,如有错误请多多指正首先配置Xposed框架,这一步因机而异,网上有不同机型的各种rom,我这里用的是MI NOTE, MIUI 7 ,内核 Android 6.0,放一个别人做的挺好的教程http://www.miui.com/thread-3694869-1-1...
android中切换,AndroidActivity的切换
weixin_31976493的博客
05-30 814
以登录为例,假设有一个界面为登录界面,另一个为登录成功后跳转的页面----------登陆界面---------------- -------------登陆成功后跳转的页面--------------用户名的输入框(editText组件) ...
Hook技术(四)对系统启动Activity进行Hook之偷梁换柱Activity
我叫王菜鸟
03-12 2438
引出问题 我们如果要启动一个activity,我们的做法是1. 在AndroidManifest.xml中声明一个Activity 2. startActivity,如果不在AndroidManifest.xml中声明,启动activity会报错(android.content.ActivityNotFoundException)。但是我们想,我们使用插件化,按照正常的思维是不是要将插件化中的所...
Android 插件化】Hook 插件化框架 ( Hook Activity 启动流程 | AMS 启动前使用动态代理替换掉插件 Activity 类 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
08-10 1207
一、插件包 Activity 启动原理、 二、需要反射的相关类、 1、Instrumentation、 2、IActivityManager、 3、ActivityManager、 4、Singleton、 三、动态代理类、 四、使用动态代理替换 IActivityManagerSingleton 的 mInstance 成员、 1、通过反射获取 IActivityManagerInterface 接口、 2、动态代理、 3、替换 mInstance 成员、 4、代码示例、 五、完整代码、 六、博客资源
Android Hook告诉你 如何启动注册Activityandroid基础入门
最新发布
2401_84152317的博客
04-06 345
看到这篇文章的人不知道有多少是和我一样的Android程序员。35岁,这是我们这个行业普遍的失业高发阶段,这种情况下如果还不提升自己的技能,进阶发展,我想,很可能就是本行业的职业生涯的终点了。我们要有危机意识,切莫等到一切都成定局时才开始追悔莫及。只要有规划的,有系统地学习,进阶提升自己并不难,给自己多充一点电,你才能走的更远。千里之行始于足下。这是上小学时,那种一元钱一个的日记本上每一页下面都印刷有的一句话,当时只觉得这句话很短,后来渐渐长大才慢慢明白这句话的真正的含义。
五. AMS实践,Hook启动注册Activity
汤坤
05-15 913
保活、让部分业务逻辑存在一个新的任务栈中,防止对我们原有的任务栈造成影响等.,就可以启动注册的页面,不过这里要注意版本适配问题,因为不同的。存在两个后台程序,但是他们属于同一个进程.不在同一个任务栈里面了,当我们把。,达到改变原有的执行流程的目的.)里面的,也就是我们app的。进程时,就会发现我们当前的。中包含一个或者多个任务栈(都是运行在同一个任务栈()中可以存放不同的进程(运行在不同的任务栈呢?退到后台,查看后台的。进程中都包含了很多的。
android开发实现插件化开发,使用hook启动注册activity实现demo
05-11
本示例"android开发实现插件化开发,使用hook启动注册activity实现demo",提供了一种轻量级的解决方案,仅需三个关键工具类就能达成目标。下面我们将详细探讨这个过程。 首先,我们来理解“hook”技术。在编程...
Android动态替换Application实现
01-20
Android开发中,动态替换`Application`是一种高级技术,常用于热更新和Hook技术,以实现应用程序在不完全重新安装的情况下更新功能或修复错误。在本文中,我们将深入探讨这一技术,了解其背景、实现原理以及注意...
Android Hook Activity 的几种姿势,android开发者工具
m0_66144992的博客
01-21 471
mToken, child.mEmbeddedID, requestCode, ar.getResultCode(), ar.getResultData()); } cancelInputsAndStartExitTransition(options); } 可以看到 startActivityFromChild 中也会调用 mInstrumentation.execStartActivity 方法。因此,即我们通过 Activity startActivity 的方法启动 activity,最终都会调用到
Android Hook Activity 的几种姿势,重要概念一网打尽
m0_66144992的博客
01-19 655
public class ApplicationInstrumentation extends Instrumentation { private static final String TAG = “ApplicationInstrumentation”; // ActivityThread中原始的对象, 保存起来 Instrumentation mBase; public ApplicationInstrumentation(Instrumentation base) { mBase = base; }
Android Hook 技术之 绕过系统对Activity验证
07-18
【SDK热更系列】Android Hook 技术之 绕过系统对Activity验证 , 原理详见个人博客https://blog.csdn.net/u012573920/
Android Hook告诉你 如何启动注册Activity
黄林晴
08-05 7188
前言 Android Hook 插件化其实已经不是什么新鲜的技术了,不知你有没有想过,支付宝中那么多小软件:淘票票 ,火车票等软件,难道是支付宝这个软件自己编写的吗?那不得写个十年,软件达到几十G,但是并没有,玩游戏时那么多的皮肤包肯定时用户使用哪个就下载哪个皮肤包。 一 未在配置文件中注册Activity可以启动吗? 从0学的时候就知道Activity必须在配置文...
androd hook acitivity 启动流程,替换启动activityAndroid Instrumentation)
weixin_30699741的博客
02-20 219
前言:如果程序想要知道有activity启动,如果想要拦截activity,然后跳转到指定的activity怎么办? 我们看下ActivityThread 里面: private Activity performLaunchActivity(ActivityClientRecord r, Intent customIntent) {...
Android12(API32)换肤中替换factory2 的方式——hook
m0_56351476的博客
02-27 296
因为在android12中,setFactory2()的调用是在AppCompatActivity的构造方法中,所以不能像以往那样中setContentView之前通过getLayoutInflater().setFactroy2();的方式设置自定义的factory2。
Hook技术之Hook Activity
weixin_33842304的博客
02-17 358
一、Hook技术概述 Hook技术的核心实际上是动态分析技术,动态分析是指在程序运行时对程序进行调试的技术。众所周知,Android系统的代码和回调是按照一定的顺序执行的,这里举一个简单的例子,如图所示。 对象A调用类对象B,对象B处理后将数据回调给对象A。接下来看看采用Hook的调用流程,如下图: 上图中的Hook可以是一个方法或者一个对象,它就想一个钩子一样,始终连着AB,在AB之间互传...
Android新增Activity,并实现多Activity之间的切换
大事龙
12-29 3383
打开 AndroidManifest.xml 找到节点 application 并增加 activity<activity android:name="TestActivity" android:theme="@style/AppTheme"></activit
Android运行时修改Manifest,Android如何动态修改Manifest文件
weixin_42476888的博客
05-27 2482
繁星淼淼修改manifest文件Android Manifest.xml,添加相应的声明。在这里,我们需要将新定义的活动PrefsActivity注册manifest文件。同前面一样,在Eclipse中打开AndroidManifest.xml文件会默认进入Eclipse提供的图形化编辑界面。单击Application选项卡,然后在Application节点之下,选择Add→Activity,输...
Android笔记(十六):Gradle脚本动态修改AndroidManifest.xml的MainActivity
ZBM来了
10-09 2179
在主模块build.gradle添加如下代码即可修改AndroidManifest.xml的MainActivity 原理:利用Groovy XmlSlurper来改写xml文件 import groovy.xml.XmlUtil this.afterEvaluate { def manifestFile = "${projectDir}/src/main/AndroidManifest.xml def xml = file(manifestFile) def manifes
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值