Android应用安全防护和逆向分析-----作者

个人网站:http://www.520monkey.com

Android中微信抢红包插件原理解析和开发实现

一、前言

自从去年中微信添加抢红包的功能,微信的电商之旅算是正式开始正式火爆起来。但是作为Android开发者来说,我们在抢红包的同时意识到了很多问题,就是手动去抢红包的速度慢了,当然这些有很多原因导致了。或许是网络的原因,而且这个也是最大的原因。但是其他的不可忽略的因素也是要考虑到进去的,比如在手机充电锁屏的时候,我们并不知道有人已经开始发红包了,那么这时候也是让我们丧失了一大批红包的原因。那么关于网络的问题,我们开发者可能用相关技术无法解决(当然在Google和Facebook看来的话,他们的理想是能够在任何地方都能连接互联网,当然在偏远的农村也是,不过我们期待他们有一天能够普及开来。到时候才是真正的互联网)。扯得有点远了。我们回归到正题,今天我们来看看使用技术来解决其他非网络问题。在充电锁屏的时候也可以自动帮我们抢红包。而且你要知道,机器抢红包的准确率是100%的,这个也许就是人和机器的区别。那么保证抢得准确率是100%的话,那就依赖于我们高效准确的算法实现了。下面就来看看原理实现。


当去年我看到抢红包那么火爆的时候,当时作为一个开发者心里是多么渴望开发一个插件出来,可是当时我们能想到的就是使用:

adb shell monkey

命令去模拟点击屏幕,但是那种方式有一个问题就是是无头绪的盲目点击,所以几乎会出现误点,点击成功率极其低下。所以当时就没有想到其他方法了,因为最近做了有关辅助功能相关的工作的时候,那么就发现这个功能可以用于抢红包。


其实现在我们可以去各大市场搜索一下看到,有很多抢红包的插件了。当然我们并不是用于商业化,这里只是来解析一下原理。我们会发现那些插件都有一个共同的特点是:第一步都是引导用户去开启辅助功能


二、原理解析

关于辅助功能(AccessibilityService),如果又不了解的同学可以去Google一下,这个功能其实很有用的,但是他的出现的出发点是给那些肢体上有障碍的人使用的,比如手指不健全的用户,怎么才能滑动屏幕,然后打开一个应用呢?那么辅助功能就是干这些事,他的功能其实就是可以概括两句话:

第一、寻找到我们想要的View节点

第二、然后模拟点击,实现特定功能

我们知道Android中的View体系是一个树形结构,那么每一个View就是一个节点。所以我们可以查找到指定的节点,那么我们该如何查找到我们想要的节点呢?这里我们先看一下辅助功能(AccessibilityService)的用法

第一步、我们需要集成AccessibilityService类

我们需要自定一个Service然后继承AccessibilityService,当然还需要在AndroidManifest.xml中声明这个服务:



第二步、声明权限和配置

这个服务需要注明一个权限:

android:permission="android.permission.BIND_ACCESSIBILITY_SERVICE"

当然还要一个meta-data的声明,这个声明是对这个AccessibilityService的配置。我们看一下配置文件内容:

<?xml version="1.0" encoding="utf-8"?>
<accessibility-service xmlns:android="http://schemas.android.com/apk/res/android"
    android:accessibilityEventTypes="typeNotificationStateChanged|typeWindowStateChanged"
    android:accessibilityFeedbackType="feedbackGeneric"
    android:accessibilityFlags="flagDefault"
    android:canRetrieveWindowContent="true"
    android:description="@string/desc"
    android:notificationTimeout="100"
    android:packageNames="com.tencent.mm" />

这里我们看到有很多选项,我们看一下常用的几个属性:

1、android:accessibilityEventTypes="typeAllMask"
看属性名也差不多可以明白,这个是用来设置响应事件的类型,typeAllMask当然就是响应所有类型的事件了。当然还有单击、长按、滑动等。

2、android:accessibilityFeedbackType="feedbackSpoken"
设置回馈给用户的方式,有语音播出和振动。可以配置一些TTS引擎,让它实现发音。

3、android:notificationTimeout="100"
响应时间的设置就不用多说了

4、android:packageNames="com.example.android.apis"
可以指定响应某个应用的事件,这里因为要响应所有应用的事件,所以不填,默认就是响应所有应用的事件。比如我们写一个微信抢红包的辅助程序,就可以在这里填写微信的包名,便可以监听微信产生的事件了。


注意:

1、我们这些配置信息除了在xml中定义,同样也可以在代码中定义,我们一般都是在onServiceConnected()方法里进行

@Override
protected void onServiceConnected() {
	AccessibilityServiceInfo info = getServiceInfo();
	info.eventTypes = AccessibilityEvent.TYPES_ALL_MASK;
	info.feedbackType = AccessibilityServiceInfo.FEEDBACK_SPOKEN;  
	info.notificationTimeout = 100;  
	setServiceInfo(info); 
	info.packageNames = new String[]{"xxx.xxx.xxx", "yyy.yyy.yyy","...."};
	setServiceInfo(info);
	super.onServiceConnected();
}

2、这里我们一般都会在这里写上我们需要监听的应用的包名,但是有时候我们需要监听多个应用,那么这时候我们该怎么办呢?

这时候我们可以这么做:

第一种:我们在代码中注册多个应用的包名,从而可以监听多个应用

@Override
protected void onServiceConnected() {
	AccessibilityServiceInfo info = getServiceInfo();
	//这里可以设置多个包名,监听多个应用
	info.packageNames = new String[]{"xxx.xxx.xxx", "yyy.yyy.yyy","...."};
	setServiceInfo(info);
	super.onServiceConnected();
}

第二种:我们在onAccessibilityEvent事件监听的方法中做包名的过滤(这种方式最常用)

@Override
public void onAccessibilityEvent(AccessibilityEvent event) {
	String pkgName = event.getPackageName().toString();
	if("xxx.xxx.xxx".equals(pkgName)){

	}else if("yyy.yyy.yyy".equals(pkgName)){

	}else if("....".equals(pkgName)){

	}
}


第三步、在onAccessibilityEvent方法中监听指定的事件

比如我们需要监听有通知栏消息的事件:

@Override
	public void onAccessibilityEvent(AccessibilityEvent event) {
		int eventType = event.getEventType();
		switch (eventType) {
		case AccessibilityEvent.TYPE_NOTIFICATION_STATE_CHANGED:
			//.......
		}
}
这个事件类型很多的,我们可以查看AccessibilityEvent类的源码:
@Deprecated
public static final int MAX_TEXT_LENGTH = 500;

/**
 * Represents the event of clicking on a {@link android.view.View} like
 * {@link android.widget.Button}, {@link android.widget.CompoundButton}, etc.
 */
public static final int TYPE_VIEW_CLICKED = 0x00000001;

/**
 * Represents the event of long clicking on a {@link android.view.View} like
 * {@link android.widget.Button}, {@link android.widget.CompoundButton}, etc.
 */
public static final int TYPE_VIEW_LONG_CLICKED = 0x00000002;

/**
 * Represents the event of selecting an item usually in the context of an
 * {@link android.widget.AdapterView}.
 */
public static final int TYPE_VIEW_SELECTED = 0x00000004;

/**
 * Represents the event of setting input focus of a {@link android.view.View}.
 */
public static final int TYPE_VIEW_FOCUSED = 0x00000008;

/**
 * Represents the event of changing the text of an {@link android.widget.EditText}.
 */
public static final int TYPE_VIEW_TEXT_CHANGED = 0x00000010;

/**
 * Represents the event of opening a {@link android.widget.PopupWindow},
 * {@link android.view.Menu}, {@link android.app.Dialog}, etc.
 */
public static final int TYPE_WINDOW_STATE_CHANGED = 0x00000020;

/**
 * Represents the event showing a {@link android.app.Notification}.
 */
public static final int TYPE_NOTIFICATION_STATE_CHANGED = 0x00000040;

/**
 * Represents the event of a hover enter over a {@link android.view.View}.
 */
public static final int TYPE_VIEW_HOVER_ENTER = 0x00000080;

/**
 * Represents the event of a hover exit over a {@link android.view.View}.
 */
public static final int TYPE_VIEW_HOVER_EXIT = 0x00000100;

/**
 * Represents the event of starting a touch exploration gesture.
 */
public static final int TYPE_TOUCH_EXPLORATION_GESTURE_START = 0x00000200;

/**
 * Represents the event of ending a touch exploration gesture.
 */
public static final int TYPE_TOUCH_EXPLORATION_GESTURE_END = 0x00000400;

/**
 * Represents the event of changing the content of a window and more
 * specifically the sub-tree rooted at the event's source.
 */
public static final int TYPE_WINDOW_CONTENT_CHANGED = 0x00000800;

/**
 * Represents the event of scrolling a view.
 */
public static final int TYPE_VIEW_SCROLLED = 0x00001000;

/**
 * Represents the event of changing the selection in an {@link android.widget.EditText}.
 */
public static final int TYPE_VIEW_TEXT_SELECTION_CHANGED = 0x00002000;

/**
 * Represents the event of an application making an announcement.
 */
public static final int TYPE_ANNOUNCEMENT = 0x00004000;

/**
 * Represents the event of gaining accessibility focus.
 */
public static final int TYPE_VIEW_ACCESSIBILITY_FOCUSED = 0x00008000;

/**
 * Represents the event of clearing accessibility focus.
 */
public static final int TYPE_VIEW_ACCESSIBILITY_FOCUS_CLEARED = 0x00010000;

/**
 * Represents the event of traversing the text of a view at a given movement granularity.
 */
public static final int TYPE_VIEW_TEXT_TRAVERSED_AT_MOVEMENT_GRANULARITY = 0x00020000;

/**
 * Represents the event of beginning gesture detection.
 */
public static final int TYPE_GESTURE_DETECTION_START = 0x00040000;

/**
 * Represents the event of ending gesture detection.
 */
public static final int TYPE_GESTURE_DETECTION_END = 0x00080000;

/**
 * Represents the event of the user starting to touch the screen.
 */
public static final int TYPE_TOUCH_INTERACTION_START = 0x00100000;

/**
 * Represents the event of the user ending to touch the screen.
 */
public static final int TYPE_TOUCH_INTERACTION_END = 0x00200000;

/**
 * Change type for {@link #TYPE_WINDOW_CONTENT_CHANGED} event:
 * The type of change is not defined.
 */
public static final int CONTENT_CHANGE_TYPE_UNDEFINED = 0x00000000;

/**
 * Change type for {@link #TYPE_WINDOW_CONTENT_CHANGED} event:
 * A node in the subtree rooted at the source node was added or removed.
 */
public static final int CONTENT_CHANGE_TYPE_SUBTREE = 0x00000001;

/**
 * Change type for {@link #TYPE_WINDOW_CONTENT_CHANGED} event:
 * The node's text changed.
 */
public static final int CONTENT_CHANGE_TYPE_TEXT = 0x00000002;

/**
 * Change type for {@link #TYPE_WINDOW_CONTENT_CHANGED} event:
 * The node's content description changed.
 */
public static final int CONTENT_CHANGE_TYPE_CONTENT_DESCRIPTION = 0x00000004;

这里有很多事件,这些事件我们通过名字就可以看出来有很多我们可能都知道,比如当窗口发生变化的时候,当某个View被点击了,被滚动了等消息都是可以知道的。那么我们有了这些事件我们就可以做我们的事情了,因为我们知道事件触发了。


第四步、查找到我们想要处理的节点View

这里系统提供了两个方法让我们来进行查找想要的节点View

第一种是通过节点View的Text内容来查找

findAccessibilityNodeInfosByText("查找内容")

这种方式查找,就是像TextView,Button等View有文本内容的,可以使用这种方式快速的找到。

第二种是通过节点View在xml布局中的id名称

findAccessibilityNodeInfosByViewId("@id/xxx")

这个一般很难知道,但是我们在查找系统控件的时候还是可以做的,因为系统的控件的id是可以知道的,而且是统一的。
(关于这两个方法我们在写网页爬虫程序的时候可能知道,在html中通过tag/name/id等信息可以找到一个节点,原理都类似)


第五步、模拟点击指定事件

我们找到我们想要的View节点,调用方法模拟事件:

performAction(AccessibilityNodeInfo.ACTION_CLICK)

调用这个方法即可,当然这里的参数就是指定事件的名称,这个和AccessibilityEvent中监听的那些事件是一一对应的,这里是模拟点击事件,我们当然可以模拟View的滚动事件,长按事件等。


三、实战案例:微信抢红包插件

上面我们就介绍了一个辅助功能开发的具体步骤,那么下面就通过一个简单的例子,来实战一下

例子:微信自动抢红包插件


首先我们来看一下微信抢红包的流程:

第一步、我们在通知栏会接收到一个微信红包的消息

我们监听通知栏事件:

AccessibilityEvent.TYPE_NOTIFICATION_STATE_CHANGED

然后查看通知栏的消息中是否有:[微信红包]  的文本内容

是的话,就走进入第二步


第二步、我们模拟打开通知栏

打开微信如下图:


我们查找包含有:领取红包 的文本内容的节点View,然后模拟点击,进入第三步:


第三步、我们点击领取红包

如下图:

这里我们在查找包含有:拆红包 的文本内容的节点View,然后模拟点击



下面我们来看一下代码中的具体实现:

package krelve.demo.rob;

import java.util.List;

import android.accessibilityservice.AccessibilityService;
import android.accessibilityservice.AccessibilityServiceInfo;
import android.annotation.SuppressLint;
import android.app.Notification;
import android.app.PendingIntent;
import android.app.PendingIntent.CanceledException;
import android.util.Log;
import android.view.accessibility.AccessibilityEvent;
import android.view.accessibility.AccessibilityNodeInfo;

public class RobMoney extends AccessibilityService {

	@Override
	public void onAccessibilityEvent(AccessibilityEvent event) {
		int eventType = event.getEventType();
		switch (eventType) {
		//第一步:监听通知栏消息
		case AccessibilityEvent.TYPE_NOTIFICATION_STATE_CHANGED:
			List<CharSequence> texts = event.getText();
			if (!texts.isEmpty()) {
				for (CharSequence text : texts) {
					String content = text.toString();
					Log.i("demo", "text:"+content);
					if (content.contains("[微信红包]")) {
						//模拟打开通知栏消息
						if (event.getParcelableData() != null
								&& 
							event.getParcelableData() instanceof Notification) {
							Notification notification = (Notification) event.getParcelableData();
							PendingIntent pendingIntent = notification.contentIntent;
							try {
								pendingIntent.send();
							} catch (CanceledException e) {
								e.printStackTrace();
							}
						}
					}
				}
			}
			break;
		//第二步:监听是否进入微信红包消息界面
		case AccessibilityEvent.TYPE_WINDOW_STATE_CHANGED:
			String className = event.getClassName().toString();
			if (className.equals("com.tencent.mm.ui.LauncherUI")) {
				//开始抢红包
				getPacket();
			} else if (className.equals("com.tencent.mm.plugin.luckymoney.ui.LuckyMoneyReceiveUI")) {
				//开始打开红包
				openPacket();
			}
			break;
		}
	}

	/**
	 * 查找到
	 */
	@SuppressLint("NewApi")
	private void openPacket() {
		AccessibilityNodeInfo nodeInfo = getRootInActiveWindow();
		if (nodeInfo != null) {
			List<AccessibilityNodeInfo> list = nodeInfo
					.findAccessibilityNodeInfosByText("抢红包");
			for (AccessibilityNodeInfo n : list) {
				n.performAction(AccessibilityNodeInfo.ACTION_CLICK);
			}
		}

	}

	@SuppressLint("NewApi")
	private void getPacket() {
		AccessibilityNodeInfo rootNode = getRootInActiveWindow();
		recycle(rootNode);
	}
	
	/**
	 * 打印一个节点的结构
	 * @param info
	 */
	@SuppressLint("NewApi")
	public void recycle(AccessibilityNodeInfo info) {  
        if (info.getChildCount() == 0) { 
        	if(info.getText() != null){
        		if("领取红包".equals(info.getText().toString())){
        			//这里有一个问题需要注意,就是需要找到一个可以点击的View
                	Log.i("demo", "Click"+",isClick:"+info.isClickable());
                	info.performAction(AccessibilityNodeInfo.ACTION_CLICK);
                	AccessibilityNodeInfo parent = info.getParent();
                	while(parent != null){
                		Log.i("demo", "parent isClick:"+parent.isClickable());
                		if(parent.isClickable()){
                			parent.performAction(AccessibilityNodeInfo.ACTION_CLICK);
                			break;
                		}
                		parent = parent.getParent();
                	}
                	
            	}
        	}
        	
        } else {  
            for (int i = 0; i < info.getChildCount(); i++) {  
                if(info.getChild(i)!=null){  
                    recycle(info.getChild(i));  
                }  
            }  
        }  
    }  

	@Override
	public void onInterrupt() {
	}

	
}
代码没什么好说的了,按照我们之前说的三个步骤来就可以了,但是这里需要注意点细节上的问题:

1、我们在监听到通知栏的消息的时候,调用如下代码来进行通知栏的消息点击

if (content.contains("[微信红包]")) {
	//模拟打开通知栏消息
	if (event.getParcelableData() != null
			&& 
			event.getParcelableData() instanceof Notification) {
		Notification notification = (Notification) event.getParcelableData();
		PendingIntent pendingIntent = notification.contentIntent;
		try {
			pendingIntent.send();
		} catch (CanceledException e) {
			e.printStackTrace();
		}
	}
}

2、我们在模拟点击通知栏消息之后,还是需要监听:AccessibilityEvent.TYPE_WINDOW_STATE_CHANGED 这个事件,这个事件我们以后会经常用到,这个事件就是在窗口发生改变的时候发出来的事件,很常用的,比如我们可以通过这个事件来监听TopActivity,然后得到包名,这也是一个实现应用锁的一个原理。


3、我们在查找领取红包的时候,模拟点击的时候做了一个工作,就是从“领取红包”文本的控件View网上查找,查找到一个可以点击的View出来,然后模拟点击

if(info.getText() != null){
	if("领取红包".equals(info.getText().toString())){
		//这里有一个问题需要注意,就是需要找到一个可以点击的View
		Log.i("demo", "Click"+",isClick:"+info.isClickable());
		info.performAction(AccessibilityNodeInfo.ACTION_CLICK);
		AccessibilityNodeInfo parent = info.getParent();
		while(parent != null){
			Log.i("demo", "parent isClick:"+parent.isClickable());
			if(parent.isClickable()){
				parent.performAction(AccessibilityNodeInfo.ACTION_CLICK);
				break;
			}
			parent = parent.getParent();
		}

	}
}

这里为什么这么做,其实原理很简单,因为我们不知道微信他的界面布局,也不知道他对哪个View进行了setOnClickListener。我们可以写一个例子,performAction方法只对调用了setOnClickListener方法的View模拟点击才有效,其实看View的源码也是可以看出来的.这里就不多解释了。所以我们就需要得到一个View节点之后,从下往上找,直到找到一个可以click的View为止。

技术延展:

我们其实还可以使用DDMS工具里的Dump View Hierarchy For UI Automator 去分析微信UI结构,这个方法也是我后面才发现的,比上面的代码更有效,如下图:



这里我们可以看到View的详细布局,还有每个View的属性,还有很重要的信息resource-id,这个就是我们在xml中定义的id,这个id我们也可以使用前面说到的findAccessibilityNodeInfosByViewId("@id/xxx")来查找控件了

这个也算是学习了,学会使用DDMS来分析View结构。


项目下载:http://download.csdn.net/detail/jiangwei0910410003/9156347


四、延展

关于微信抢红包的原理解析上面已经做了分析了,但是要想做到极致,这里还有很多问题的,比如我们还需要过滤一些已经领取过的红包,这样的话效率也是很高的。这个都是算法精确的问题了,我想在这里说的是,我们不仅可以用辅助功能来实现抢红包,还可以实现很多功能,比如

1、静默安装

关于静默安装的实现,之前的做法是,参见这篇文章:

http://blog.csdn.net/jiangwei0910410003/article/details/36427963

在这篇文章中我介绍了很多方法来实现静默安装,但是都是有一个限制,那就是root,或者是获取到systemId。但是对于这两个要求,我们或许很难得到,那么现在如果有了辅助功能,我们就好做了:


我们可以监听系统的这个安装界面,然后得到安装节点View,然后模拟点击即可,卸载也是同样的原理


2、强制停止应用

我们知道Android中停止应用有很多方法,kill进程,stopService,但是这些方法,有一些应用它们都是有对策的,那么我们之前用到的强制停止的方法是获取root权限调用系统的forceStop的api来停止,但是前提还是有root。那么现在如果我们有了辅助功能的话,我们可以这么做:


我们可以监听系统的应用详情页面,然后找到:结束运行的节点View,然后模拟点击即可


当然上面我就说了两个简单的例子,还有很多辅助功能都是可以做的。他的好处就是不需要root权限。但是他也是需要用户授权的:


如果用户没有授权的话,那么所有的工作都没办法开始了,所以说这个方法也不是万能的。当然说句题外话:有了辅助功能的话,他的危险性比root之后的危险性更大,比如我们上面的抢红包插件,其实我们稍作修改,就可以获取微信通讯录信息,微信支付的密码。这些事都是可以做的,所以说,我们在作为用户的时候,进行授权的时候还是需要三思而后行。


五、总结

关于辅助功能,之前没有太多的接触,是在一次工作中用到了这个功能,就去学习了一下,作为自己的兴趣,就延展了学习了如何写一个微信抢红包的插件,同时可以考虑了使用辅助功能能够做我们之前需要root做的事情。当然辅助功能是google对于肢体上有障碍的人开发出来的一个功能,我们开发者或许使用这个功能,可以做一下产品的拓展功能,当然这些是google没有想到的事情,但是这个至少是我们开发者在以后的开发道路上的一个解决问题的一个办法和途径,谨记此功能!

《Android应用安全防护和逆向分析》

点击立即购买:京东  天猫


更多内容:点击这里

关注微信公众号,最新技术干货实时推送

编码美丽技术圈
微信扫一扫进入我的"技术圈"世界

扫一扫加小编微信
添加时请注明:“编码美丽”非常感谢!


阅读更多
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/jiangwei0910410003/article/details/48895153
个人分类: Android
博主设置当前文章不允许评论。

没有更多推荐了,返回首页

不良信息举报

Android中微信抢红包插件原理解析和开发实现

最多只允许输入30个字

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭