#引子
Hook技术在android开发领域算是一项黑科技,那么一个新的概念进入视线,我们最关心的3个问题就是,它是什么,有什么用,怎么用
本系列将由浅入深 手把手讲解这三大问题
本文是第二篇,
进阶篇
上一篇文章中,用了一个
最最简单
的案例 讲解hook是个什么玩意. 咱不能老玩低端,来点复杂的吧。Activity的启动流程
,做安卓开发的人都是绕不开它的,但是要真正知悉其源码逻辑,还是不太容易.
#鸣谢
翻了很多关于
hook Activity
启动流程的博客,这位大佬的文章给我的启发最大
https://blog.csdn.net/gdutxiaoxu/article/details/81459910
但是,可能大佬的博文对于有些基础不足的初中级
安卓工程师或者并不熟悉hook
的某些大佬 还不够友好,所以我把大佬的思想用更通俗,更具象化的方式再展示一遍,并且提供可运行的github
demo.并且,阅读源码的时候一些坑,我都会详细给出解决方案。
#正文大纲
一. 两种启动Activity的方式源码追踪
二. 第一种启动方式的hook方案
三. 第二种启动方式的hook方案
四. 目前方案弊端分析
五. 最终解决方案
六. HOOK开发可能的坑
Demo地址
https://github.com/18598925736/ActivityHookDemo
#正文
##一. 两种启动Activity的方式源码追踪
(源码基于
SDK 28 ~ android-9.0
)
方式1:使用Activity
自带的startActivity
示例代码
private void startActivityByActivity() {
Intent i = new Intent(MainActivity.this, Main2Activity.class);
startActivity(i);
}
程序执行走向图.
代码追踪:
这里有个if(mParent==null)
判定,先看true
分支:
发现一个坑,mInstrumentation.execStartActivity
这里居然不能继续往下索引了?很奇怪,不过不重要,我们直接进入Instrumentation.java
去找这个方法:
在这个execStartActivity中,可以找到关键代码
:int result = ActivityManager.getService() .startActivity(whoThread, who.getBasePackageName(), intent, intent.resolveTypeIfNeeded(who.getContentResolver()), token, target != null ? target.mEmbeddedID : null, requestCode, 0, null, options); checkStartActivityResult(result, intent);
通过这种方式启动Activity,最终的执行权被交给了
ActivityManager.getService()
(即AMS
),它的作用是 启动一个Activity并且返回result
,然后checkStartActivityResult(result, intent);
这句话,对当前的跳转意图intent
进行检测;
have you declared this activity in your AndroidManifest.xml
这句异常应该很熟悉了吧?启动一个没有注册的Activity的报错.
再看个if(mParent==null)
的false
分支:
控制权依然是交给了mInstrumentation.execStartActivity()
,剩余的代码索引和上面的一样.
所以,代码索引的结论,按照一张图来表示就是:
方式2:使用applictonContext
的startActivity
private void startActivityByApplicationContext() {
Intent i = new Intent(MainActivity.this, Main2Activity.class);
i.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
getApplicationContext().startActivity(i);
}
在 方式1 中已经展示了源码索引的方式,所以这里不再赘述贴图.直接给出代码索引结论图
:
两张图对比,我们很容易得出一个结论:
启动Activity
的最终执行权,都被交给了 Instrumentation.java
类,
方式1:Activity.startActivity
的最终执行者是 它的mInstrumentation
成员,mInstrumentation
的持有者是 Activity
自身.
方式2:getApplicationContext().startActivity(i);
的最终执行者是:ActivityThread
的 mInstrumentation
成员,持有者是ActivityThread
主线程.
两种方式都可以把mInstrumentation
当作hook切入点,将它从它的持有者中"偷梁换柱".
下面开始动手尝试:
##二. 第一种启动方式的hook方案
创建一个HookActivityHelper.java
,然后三步走:
- 找到
hook
点,以及hook
对象的持有者,上文中已经说明:hook
点是Activity
的mInstrumentation
成员,持有者就是Activity
Field mInstrumentationField = Activity.class.getDeclaredField("mInstrumentation"); mInstrumentationField.setAccessible(true); Instrumentation base = (Instrumentation) mInstrumentationField.get(activity);
base
是系统原来的执行逻辑,存起来后面用得着.
- 创建
Instrumentation
代理类, 继承Instrumentation
然后,重写execStartActivity
方法,加入自己的逻辑,然后再执行系统的逻辑.
private static class ProxyInstrumentation extends Instrumentation {
public ProxyInstrumentation(Instrumentation base) {
this.base = base;
}
Instrumentation base;
public ActivityResult execStartActivity(
Context who, IBinder contextThread, IBinder token, Activity target,
Intent intent, int requestCode, Bundle options) {
Log.d("ProxyInstrumentation", "我们自己的逻辑");
//这里还要执行系统的原本逻辑,但是突然发现,这个execStartActivity居然是hide的,只能反射咯
try {
Class<?> InstrumentationClz = Class.forName("android.app.Instrumentation");