Android中插件化实现的原理,hook Activity(二)

最新推荐文章于 2022-02-25 14:54:56 发布
最新推荐文章于 2022-02-25 14:54:56 发布
阅读量770 收藏
点赞数
分类专栏: android开发 文章标签: android插件化 hook Activity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lin20044140410/article/details/104584877
版权

https://blog.csdn.net/lin20044140410/article/details/104204109

继续分析Android中插件化实现的原理

这里的场景是通过Java层的Hook技术,实现Activity插件化,以api29为例,如果其他的api版本,需要根据具体代码做兼容.

Hook技术,通常就是用反射,代理模式改变系统的调用流程,或者说拦截事件的传递,做一些特定的处理.这样就可以在应用进程,通过hook技术改变系统进程的执行流程.

要实现Hook,就要先找到Hook的点,Hook点的选择,尽量是静态变量,单例,并且是public的对象和方法,因为这些是不容易变化的属性.

找到Hook点后,就可以通过代理方式,用代理对象替换原始对象.

下面的测试场景,是通过Hook启动一个没有注册过的Activity.具体就是startActivity传入的activity信息没有在manifext中注册,正常的启动流程肯定会报类找不到的异常.通过hook技术,就是可以逃过ams的这些权限检查,最后正常的启动这个没有注册的activity.

Activity的启动过程,这里不详细分析.

Activity的启动过程中,从

public void startActivity(Intent intent, @Nullable Bundle options) @Activity.java{}开始,往下的流程,都会调用到:

   public ActivityResult execStartActivity(
            Context who, IBinder contextThread, IBinder token, String resultWho,
            Intent intent, int requestCode, Bundle options, UserHandle user) @Instrumentation.java{
//这里ctivityManager.getService()就是我们要找的一个Hook点,它是一个单例,是一个接口,
//又是一个static方法,符合我们找hook点条件.
            int result = ActivityManager.getService()
                .startActivity(whoThread, who.getBasePackageName(), intent,
                        intent.resolveTypeIfNeeded(who.getContentResolver()),
                        token, target != null ? target.mEmbeddedID : null,
                        requestCode, 0, null, options);
 
}


找到这个Hook点后,就考虑用代理方式去hook它,那是用静态代理,还是动态代理呢?因为这里ActivityManager.getService()返回的值是IActivityManager,是一个接口,所以适合用动态代理实现.

代理类中,必然要保存一个真实对象的引用,这里的真实对象就是ActivityManager.getService()返回的真实引用.

下面就 看具体代码实现:

注释已经加在了代码中:

//当前实现基于api29.

//当前实现基于api29.
public class HookActivityUtil {
    private static final String TAG = HookActivityUtil.class.getName();
    private static final String REPLACE_INTENT = "hook.replace.intent";
 
    public static void hookIActivityManager() {
        try {
            Class<?> activityManager = Class.forName("android.app.ActivityManager");
            //通过getService方法拿到IActivityManager对象,
            Method getServiceMethod = activityManager.getDeclaredMethod("getService",
                    new Class[]{});
            Object realIActivityManagerTmp = getServiceMethod.invoke(null);
 
            //还有一种方法拿到IActivityManager对象,先拿到IActivityManagerSingleton这个单例类,
            // 然后从这个单例中拿到他代表的实例.之所以要使用下面这个方式来获取,
            // 是因为后面要用具体的代理类来替换掉IActivityManager这个对象.
 
            //先拿到单例变量IActivityManagerSingleton,
            Field iActivityManagerSingletonField =
                    activityManager.getDeclaredField("IActivityManagerSingleton");
            iActivityManagerSingletonField.setAccessible(true);
 
            //拿到这个field代表的一个对象. Singleton<IActivityManager>类型的
            Object singletonObj =  iActivityManagerSingletonField.get(null);
 
            Class<?> singletonClass = Class.forName("android.util.Singleton");
            Field mInstanceField = singletonClass.getDeclaredField("mInstance");
            mInstanceField.setAccessible(true);
            //获取单例中代表的真正的IActivityManager对象
            Object realIActivityManager = mInstanceField.get(singletonObj);
 
            Log.d(TAG,"hookIActivityManager,Build.VERSION.SDK_INT :"+ (Build.VERSION.SDK_INT)
                    +  ",realIActivityManager="+realIActivityManager);
 
            //应用动态代理
            //先拿到类加载器
            ClassLoader cl = Thread.currentThread().getContextClassLoader();
            //拿到代理类需要实现的接口IActivityManager,这个接口是通过aidl工具生成的.
            Class<?> iActivityManagerInterface = Class.forName("android.app.IActivityManager");
            //创建具体的realIActivityManager的代理对象
            Object proxy = Proxy.newProxyInstance(cl,
                    new Class[]{iActivityManagerInterface},
                    new InvocationHandler() {
                        @Override
                        public Object invoke(Object proxy, Method method,
                                             Object[] args) throws Throwable {
                            Log.d(TAG,"hookIActivityManager,proxy.invode:method="+method.getName());
                            //这里是hook的是 startactivity方法.通过替换args中的参数,达到跳过ams权限的检查,
                            // 启动没有注册的activity,
                            // 这里要启动的组件也可以是插件中自定义的,并通过类加载器加载进来
                            //args参数中的信息,可以通过log查看
                            //其他方法的调用不做处理
                            if ("startActivity".equals(method.getName())) {
                                int index = 0;
                                //被替换的intent信息先保存下,因为这个realIntent才是最终要启动的,
                                // 下面做替换只是为了骗过ams.
                                Intent realIntent = null;
                                for (; index < args.length; index++) {
                                    Log.d(TAG, "hookIActivityManager,proxy.invode:args["
                                            + index + "]=" + args[index]);
                                    if (args[index] instanceof Intent) {
                                        realIntent = (Intent) args[index];
                                        break;
                                    }
                                }
                                //替换要启动的Activity就是替换args[2]的intent参数,
                                //这里的包类名是将要执行的activity的.这个activity肯定是正常注册过的,
                                // 这样才能在接下来的权限检查中正常通过
                                Intent newIntent = new Intent();
//下面是activity的包名,类名,这个activity必须是正常注册过的.
                                String packageName = "";
                                String className = "";
                                newIntent.setComponent(new ComponentName(packageName, className));
                                //原来的intent带进去,以备后面恢复使用.
                                newIntent.putExtra(REPLACE_INTENT, realIntent);
                                args[index] = newIntent;
                            }
 
                            return method.invoke(realIActivityManager,args);
                        }
            });
 
            //做对象替换,用具体代理类,替换原来的IActivityManager对象.也就是重新设置单例中代表的对象.
            mInstanceField.set(singletonObj, proxy);
 
 
        } catch (ClassNotFoundException | NoSuchFieldException e) {
            Log.d(TAG,"11:"+e.getMessage());
        } catch (Exception e) {
            Log.d(TAG,"hookIActivityManager:"+e.getMessage());
            e.printStackTrace();
        }
    }
}


//上面的操作就可以跳过ams的权限检查了,接着就要把真正要启动的activity在替换回来.
//那应该在什么时候在替换回来呢?
//AMS完成activity的检查,及应用进程的启动后,会发一个启动activity的binder请求给应用进程.
//因为真正去启动一个activity是应用进程自己的事情,所以这个操作一定是在应用进程的处理逻辑中,
// 具体就是ActivityThread中的处理过程.
//那应用进程这边要hook的点,是哪里呢?
// 首先,hook点选择的一个原则,尽量是final,static,public的这类不容易变的属性,
// 其次,ams发过来的启动Activity请求,最早是由ActivityThread中mH来处理的,同时mH也符合hook点选择的条件.
//final H mH = new H();所以选择mH做应用进程这边的hook点.
//最后在选好hook点后,该如何把真正要启动的Activity替换回来呢?这就要看Handler处理消息的流程了
/*    public void dispatchMessage(Message msg) @Handler.java{
        if (msg.callback != null) {
            handleCallback(msg);
        } else {
            if (mCallback != null) {
                if (mCallback.handleMessage(msg)) {
                    return;
                }
            }
            handleMessage(msg);
        }
    }*/
//消息的处理,有一定的优先级,首先是msg自己的callback,这个不好去改动,其次是Handler中mCallback接口,
// 最后是自定义Handler重写的handleMessage方法
//这三级的处理流程中,Handler本身的mCallback接口,是最容易被使用的.所以我们就在这个mCallback中实现把
// 真实的Activity信息替换回来.
//当前实现基于api29.

//当前实现基于api29.
public class HookActivityUtil {
    private static final String TAG = HookActivityUtil.class.getName();
    private static final String REPLACE_INTENT = "hook.replace.intent";
public static void hookATHandler(){
        try {
            Class<?> activityThread = Class.forName("android.app.ActivityThread");
            //拿到当前主线程的实例对象,private static volatile ActivityThread sCurrentActivityThread;
            Field sCurrentActivityThreadField =
                    activityThread.getDeclaredField("sCurrentActivityThread");
            sCurrentActivityThreadField.setAccessible(true);
            //sCurrentActivityThread是一个static的,所以参数给null即可
            Object sCurrentActivityThread = sCurrentActivityThreadField.get(null);
 
            //拿到ActivityThread中mH对象
            Field mHField = activityThread.getDeclaredField("mH");
            mHField.setAccessible(true);
            Handler mH = (Handler) mHField.get(sCurrentActivityThread);
 
            //拿到Handler中mCallback
            Field mCallbackField = Handler.class.getDeclaredField("mCallback");
            mCallbackField.setAccessible(true);
            //为这个mH设置一个Callback.在这个Callback中还原Activity,
            //这里还有一个逻辑,在这个callback中,只是还原了真实的Activity,接下来ActivityThread中的mH的处理流程,如:
            // performLaunchActivity, performResumeActivity,等
            // 我们是不做修改的,所以在执行完这个Callback后,还是调用mH的handleMessage方法
            mCallbackField.set(mH, new Handler.Callback() {
                @Override
                public boolean handleMessage(Message msg) {
                    Log.d(TAG, "hookATHandler,msg=" + msg);
                    //这个code:public static final int EXECUTE_TRANSACTION = 159;是ams请求启动activity的.
                    switch (msg.what) {
                        case 159: {
                            try {
                                //下面要做的事情,就是把Intent中put进去的真正要启动的activiyt的intent信息在拿出来.
                                // 怎么拿呢?可以打印msg.obj的信息看,intent保存的位置.
                                //具体为什么这么拿,在代码外面做解释
                                Object object = msg.obj;
                                Log.d(TAG, "hookATHandler,object=" + object);
                                //拿到ClientTransaction中的列表:mActivityCallbacks
                                Field mActivityCallbacksField =
                                        object.getClass().getDeclaredField("mActivityCallbacks");
                                mActivityCallbacksField.setAccessible(true);
                                List<Object> mActivityCallbacks = (List<Object>)mActivityCallbacksField.get(object);
                                //拿到LaunchActivityItem的实例对象.
                                String itemName = "android.app.servertransaction.LaunchActivityItem";
                                for(Object obj : mActivityCallbacks) {
                                    if (obj.getClass().getCanonicalName().equals(itemName)) {
                                        //拿到LaunchActivityItem中的mIntent.
                                        Field mIntentField = obj.getClass().getDeclaredField("mIntent");
                                        mIntentField.setAccessible(true);
                                        Intent sugerBullet = (Intent)mIntentField.get(obj);
                                        Intent realIntent = sugerBullet.getParcelableExtra(REPLACE_INTENT);
                                        //把真实的Activity信息写回去
                                        sugerBullet.setComponent(realIntent.getComponent());
                                        break;
                                    }
                                }
 
                            } catch (NoSuchFieldException | IllegalAccessException e) {
                                e.printStackTrace();
                            } catch (Exception e) {
                                e.printStackTrace();
                            }
                        }
                        break;
 
                        default:
                            break;
                    }
 
                    //处理完,返回true
                    mH.handleMessage(msg);
                    return true;
                }
            });
 
        } catch (ClassNotFoundException | NoSuchFieldException e) {
            e.printStackTrace();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
 
 
}


怎么在应用进程中拿回来intent中保存的那个真实的activity信息呢?

从ActivityThread的启动Activity的流程看起:

class H extends Handler #ActivityThread.java{
	public void handleMessage(Message msg) {
		case EXECUTE_TRANSACTION:
//intent信息是保存在 ClientTransaction对象中,具体怎么保存的,这个有点深,要跟进去再看
		                   final ClientTransaction transaction = (ClientTransaction) msg.obj;
                    mTransactionExecutor.execute(transaction);
	}
}


从mTransactionExecutor.execute(transaction);的处理看,intent信息在这个列表相关的元素中:

//final List<ClientTransactionItem> callbacks = transaction.getCallbacks();

 public void execute(ClientTransaction transaction) #TransactionExecutor.java{
    executeCallbacks(transaction);
}
这个列表中元素表示不同状态的activity,具体有那些状态呢?可以从ClientTransactionItem的实现类看出:

以activity的生命周期来分析,我们关注:

LaunchActivityItem;

PauseActivityItem;

ResumeActivityItem;

public class ClientTransaction implements Parcelable, ObjectPoolItem #ClientTransaction.java{
    private List<ClientTransactionItem> mActivityCallbacks;
}
对于一个新启动的activity,需要的intent信息,就是LaunchActivityItem中的intent.这一点也可以从ams侧realStartActivityLocked 的处理得要验证, realStartActivityLocked这个函数名字起的很贴切,就是启动一个Activity的前期准备,检查都没问题了,接下来才是真的去启动一个Activity.

final boolean realStartActivityLocked(ActivityRecord r, ProcessRecord app,
            boolean andResume, boolean checkConfig) throws RemoteException #ActivityStackSupervisor.java{
                // Create activity launch transaction.
                final ClientTransaction clientTransaction = ClientTransaction.obtain(app.thread,
                        r.appToken);
                clientTransaction.addCallback(LaunchActivityItem.obtain(new Intent(r.intent),
                        System.identityHashCode(r), r.info,
                        // TODO: Have this take the merged configuration instead of separate global
                        // and override configs.
                        mergedConfiguration.getGlobalConfiguration(),
                        mergedConfiguration.getOverrideConfiguration(), r.compat,
                        r.launchedFromPackage, task.voiceInteractor, app.repProcState, r.icicle,
                        r.persistentState, results, newIntents, mService.isNextTransitionForward(),
                        profilerInfo));
}


从上面的实现可以看出,插件化的原理实际就是代理模式加上反射,但是真正需要注意的地方,是对要hook的源码熟悉,要怎样选好hook点,要调整什么样的处理流程.

这个例子的使用就是在startactivity前,调用下这两个hook方法即可.

     HookActivityUtil.hookIActivityManager();
        HookActivityUtil.hookATHandler();
        Intent intent = new Intent(this,NotRegisterActivity.class);
        startActivity(intent);
 

lin-0410
关注
专栏目录
Android开发;Activity-Hook你了解多少?一起来debug
m0_57081562的博客
06-13 222
享学课堂特邀作者:周周 转载请声明出处! 前言 手把手讲解系列文章,是我写给各位看官,也是写给我自己的。文章可能过分详细,但是这是为了帮助到尽量多的人,毕竟工作5,6年,不能老吸血,也到了回馈开源的时候。 这个系列的文章: 1、用通俗易懂的讲解方式,讲解一门技术的实用价值 2、详细书写源码的追踪,源码截图,绘制类的结构图,尽量详细地解释原理的探索过程 3、提供Github 的 可运行的Demo工程,但是我所提供代码,更多是提供思路,抛砖引玉,请酌情cv 4、集合整理原理探索过程的一些坑,或者demo.
Android 插件开发——对startActivity方法进行hook(一)
lmq121210的博客
07-20 677
本篇博客主要讲述一下对startActivity进行hook,对于Android开发来说,跳转一个新的Activity页面,最常见的无非两种了, 方法一: Intent intent = new Intent(MainActivity.this, NewActivity.class); startActivity(intent); 方法: Intent intent = new Intent(...
android开发实现插件开发,使用hook启动未注册的activity实现demo
05-11
这个demo实现Android开发启动未注册activity的方法,轻量简便的集成方法,只需三个工具类即可实现
Android Hook Activity 启动劫持
02-27
如何利用动态代理技术Hook掉系统的AMS服务,来实现拦截Activity的启动流程。
android 用aidl构建QQ机器人宿主,被hook的应用作为客户端实现通讯的探索
情随事迁个人博客
09-16 276
官方文档https://developer.android.com/guide/components/aidl 要实现这个功能只能让机器人作为服务端启用Service,如果要实现qq那边实现,那么则需要修改软件,或者通过反射等方法实现,但是这种方式实现必然有弊端,而且实现起来估计不容易。 Parcel:unable to marshalValue 此问题表示传递的东西必须序列,否则无法通过aid...
Hook 插件框架 ( 插件包管理 | Hook Activity 启动流程 | Hook 插件包资源加载 )
08-12
Android 插件Hook 插件框架总结 ( 插件包管理 | Hook Activity 启动流程 | Hook 插件包资源加载 ) https://hanshuliang.blog.csdn.net/article/details/119647811
DroidPlugin Android 插件实现原理以及在 360 手机助手的应用
03-17
### DroidPlugin Android 插件实现原理及在 360 手机助手的应用 #### 一、概述 随着移动互联网技术的发展与普及,Android 应用日益复杂多样,传统的开发模式难以满足快速迭代的需求。在此背景下,插件...
基于Android插件Hook框架.zip
最新发布
09-06
本项目是一个基于Android平台的插件Hook框架,主要用于在Android系统Activity的启动流程进行拦截和修改。通过反射和动态代理技术,项目实现了对系统核心组件IActivityManagerhook操作,从而能够在Activity...
积分管理系统java源码-PluginActivityDemo:Hook方式实现Activity插件
06-06
Hook方式实现Activity插件 随着应用程序的功能模块越来越多,复杂度越来越高,导致了应用程序模块之间的耦合度越来越高,App的体积也随之越来越大。与此同时,随着应用程序代码量的不断增大,引入的库越来越多,...
安卓逆向学习之HOOK startActivity
Hacker_by_V的博客
09-26 751
之前很多同学叫要怎么hook startactivity 今天小编就来给大家讲解一下,图文的方式可以有点难看懂,不过小编会尽量写详细一点,当然小编也会有地方出错,希望大家可以多多指点一下。 首先我们先去了解一下知识点。 1.HOOK startActivity的概念。 2.分析startActivity底层代码。 3.实例 hook startactivity的用法 HOOK startActivity的概念 一个活动界面启动另一个活动界面,需要打印相关的日志内容,就需要我们的start Activity
android插件开发框架完美例子
01-20
内置完整代码、apk、详细代码结构说明文档。使用方法说明:只要将插件apk安装包放置SDCard根目录下,正常安装主apk即可。
androidAIDL机制分析
acxingyun的博客
10-30 1067
AIDL的使用通过AIDL接口实现下面的功能: 在一个页面登录,activity只负责接口调用和参数传递,具体实现由service完成,service执行登录后把结果返回给activity。 首先需要新建一个.aidl文件,在里面申明AIDL接口方法:interface IEcmServiceBinder { /** * 登录TF卡 * 初始加密卡并且获取当
对Instrumentation进行Hook实现Activity插件
李孝贤
10-16 513
首先我们来看Acitivity启动的流程图 应用进程和AMS是不同的进程,它们之间通过Binder来进行通信. 那么对Activity插件主要是两个方面: 1.将请求启动的插件Activit替换为占坑Activity 2.绕过AMS验证后,将占坑Activity替换为插件Activity 如下图: 1.在清单文件注册一个占坑Activity <.StubActivity> 2...
api hook 栈平衡_剖析Activity启动及Hook
weixin_39742958的博客
11-24 237
作者:马小鹏marco链接:https://www.jianshu.com/p/d6f04a8944afSystemServer及AMSuboot 在引导 os 启动,然后加载 kernel;当 kernel 加载完成后,进入 init 进程,fork 出 zygote,然后由 zygote 去启动 SystemServer;在SystemServer执行run方法,启动AMS,并通过...
Android之Binder和AIDL原理
Tiger的专栏
01-19 494
前言 插件技术火热已久,为什么会有插件,时势造英雄吧,随着移动互联网的快速发展,业务的飞速增长,如何在有限时间给用户提供高质量的APP,当线上出现各种BUG,如何快速修复并发布上线,插件的意义也就在这里了。目前插件解决方案分为两个方向,一是以张勇的DroidPlugin框架为代表的动态替换方案,对Android底层的各种类进行Hook,来达到加载插件的四大组件的目的;是以任玉刚的DL框架为代表的静态代理方案,通过ProxyActivity统一加载插件Activity。如何学好插件这不是一件
Method类的使用
二木成林
08-09 7138
概述 每个方法都由修饰符、返回值、参数、注解和抛出的异常组成。而java.lang.reflect.Method类提供了获取上述内容的API。 需要注意的是,反射一个类的方法时不会考虑父类的方法,只会反射当前类的方法。继承的方法也无法被反射。 获取Method 获取Method类对象的方法如下,需要通过Class类对象来调用下面的方法: 成员方法 说明 Method getMethod(String name, Class<?>... parameterTypes)
获取Activity的返回值
孜蓝的博客
05-11 759
获取另一个Activity界面的传值 模拟 来两个xml页面表示2个Activity activity_main.xml <?xml version="1.0" encoding="utf-8"?> <LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" android:orientation="vertical" android:layout_width="match_parent
java 根据method获取方法的返回值类型
qq_17056391的博客
02-25 4197
第一种方法直接根据是否是泛型获取 public static Type[] getMethodReturnTypes(Method method) { List<Type> typeList = new ArrayList<>(); Type type = method.getGenericReturnType(); //判断是否带有泛型 if (type instanceof ParameterizedType) { typeList.add(((Parame
Small:Android插件框架的轻量级实现
通过调整aapt的配置,可以实现资源的独立编译和加载,从而实现插件的独立性。 最后,文章列举了资源和代码拆分的粒度,如AM$1、dex$1、arsc$1、res$1等,这表明了插件设计对APK内部结构的精细管理,以达到轻...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值