安卓程序员必备hook技术之进阶篇，Android程序员最大的悲哀是什么

}

效果：跳转依然正常，并且logcat中可以发现下面的日志.

#####ok,插入自己的逻辑，成功

##三. 第二种启动方式的hook方案
创建ApplicationContextHookHelper.java，然后 同样是三步走：

1.确定hook的对象和该对象的持有者
锁定 ActivityThread的mInstrumentation成员.

//1.主线程ActivityThread内部的mInstrumentation对象，先把他拿出来
Class<?> ActivityThreadClz = Class.forName(“android.app.ActivityThread”);
//再拿到sCurrentActivityThread
Field sCurrentActivityThreadField = ActivityThreadClz.getDeclaredField(“sCurrentActivityThread”);
sCurrentActivityThreadField.setAccessible(true);
Object activityThreadObj = sCurrentActivityThreadField.get(null);//静态变量的属性get不需要参数，传null即可.
//再去拿它的mInstrumentation
Field mInstrumentationField = ActivityThreadClz.getDeclaredField(“mInstrumentation”);
mInstrumentationField.setAccessible(true);
Instrumentation base = (Instrumentation) mInstrumentationField.get(activityThreadObj);// OK,拿到

2.创建代理对象 和上面的代理类一模一样，就不重复贴代码了

//2.构建自己的代理对象，这里Instrumentation是一个class，而不是接口，所以只能用创建内部类的方式来做
ProxyInstrumentation proxyInstrumentation = new ProxyInstrumentation(base);

3.替换掉原对象

//3.偷梁换柱
mInstrumentationField.set(activityThreadObj, proxyInstrumentation);

如何使用: 在Main4Activity的onCreate中加入一行ApplicationContextHookHelper.hook();

public class Main4Activity extends AppCompatActivity {

@Override
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_main4);

ApplicationContextHookHelper.hook();
findViewById(R.id.btn).setOnClickListener(new View.OnClickListener() {
@Override
public void onClick(View v) {
startActivityByApplicationContext();
}
});
}

private void startActivityByApplicationContext() {
Intent i = new Intent(Main4Activity.this, Main5Activity.class);
i.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
getApplicationContext().startActivity(i);
}
}

效果

####OK,第二种启动方式，我们也可以加入自己的逻辑了.hook成功！

##四. 目前方案弊端分析
启动方式1的hook: 只是在针对单个Activity类，来进行hook,多个Activity则需要写多次，或者写在BaseActivity里面.
启动方式2的hook:可以针对全局进行hook，无论多少个Activity，只需要调用一次ApplicationContextHookHelper.hook();函数即可,但是，它只能针对 getApplicationContext().startActivity(i); 普通的Activity.startActivity则不能起作用.

那么有没有一种完全体的解决方案：能够在全局起作用，并且可以在两种启动方式下都能hook.
回顾之前的两张代码索引结论图,会发现，两种启动Activity的方式，最终都被执行到了 AMS内部,
下一步，尝试hook AMS.

##五. 最终解决方案

代码索引： 基于SDK 28 ~ android9.0

下方红框标记的部分，就是取得AMS（ActivityManagerService实例）的代码.

如果可以在系统接收到AMS实例之前，把他截了，是不是就可以达到我们的目的？
进去看看getService的代码：

真正的AMS实例来自一个Singleton单例辅助类的create()方法，并且这个Singleton单例类，提供get方法，获得真正的实例.

那么，我们从这个单例中，就可以获得系统当前的 AMS实例，将它取出来，然后保存.
OK,确认：
hook对象： ActivityManager的IActivityManagerSingleton成员 变量内的 单例 mInstance.
hook对象的持有者：ActivityManager的IActivityManagerSingleton成员变量

那么，动手：

1. 找到hook对象，并且存起来

//1.把hook的对象取出来保存
//矮油，静态的耶，开心.
Class<?> ActivityManagerClz = Class.forName(“android.app.ActivityManager”);
Method getServiceMethod = ActivityManagerClz.getDeclaredMethod(“getService”);
final Object IActivityManagerObj = getServiceMethod.invoke(null);//OK，已经取得这个系统自己的AMS实例

2. 创建自己的代理类对象，IActivityManager 是一个AIDL生成的动态接口类，所以在编译时，androidStudio会找不到这个类，所以，先反射，然后用Proxy进行创建代理。

//2.现在创建我们的AMS实例
//由于IActivityManager是一个接口，那么我们可以使用Proxy类来进行代理对象的创建
// 结果被摆了一道，IActivityManager这玩意居然还是个AIDL，动态生成的类，编译器还不认识这个类，怎么办？反射咯
Class<?> IActivityManagerClz = Class.forName(“android.app.IActivityManager”);
Object proxyIActivityManager = Proxy.newProxyInstance(Thread.currentThread().getContextClassLoader(),
new Class[]{IActivityManagerClz}, new InvocationHandler() {
@Override
public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
//proxy是创建出来的代理类，method是接口中的方法，args是接口执行时的实参
if (method.getName().equals(“startActivity”)) {
Log.d(“GlobalActivityHook”, “全局hook 到了 startActivity”);
}
return method.invoke(IActivityManagerObj, args);
}
});

3. 偷梁换柱：这次有点复杂， 不再是简单的field.set，因为这次的hook对象被包裹在了一个Singleton里。

//3.偷梁换柱,这里有点纠结，这个实例居然被藏在了一个单例辅助类里面
Field IActivityManagerSingletonField = ActivityManagerClz.getDeclaredField(“IActivityManagerSingleton”);
IActivityManagerSingletonField.setAccessible(true);
Object IActivityManagerSingletonObj = IActivityManagerSingletonField.get(null);
//反射创建一个Singleton的class
Class<?> SingletonClz = Class.forName(“android.util.Singleton”);
Field mInstanceField = SingletonClz.getDeclaredField(“mInstance”);
mInstanceField.setAccessible(true);
mInstanceField.set(IActivityManagerSingletonObj, proxyIActivityManager);

使用方法:老样子，在你自己的Activity onCreate里面加入GlobalActivityHookHelper.hook();
运行起来，预期结果应该是：能够在logcat中看到日志 ：
GlobalActivityHook - 全局hook 到了 startActivity;
但是，你运行起来可能看不到这一行。
如果你看不到这个日志，那么原因就是：
程序报错了,

没有这样的方法，怎么回事?
debug找原因：

为什么会没有getService这个方法！？
查看了我当前设备的系统版本号
居然是23版本，6.0.
所以，恍然大悟，我们写的hook代码并没有兼容性，遇到低版本的设备，就失灵了.

解决方案:
1.找到SDK 23的源码
（注意，前方有坑，androidStudio，你如果直接把combileSDK改成23.会出现很多位置问题，所以不建议这么做. 但是我们一定要看SDK 23的源码，怎么办？

• .在线查看源码 - https://www.androidos.net.cn/sourcecode ;
• 从谷歌官网下载SDK 23的源码，然后用SourceInsight查看）

2.查看getService方法不存在的原因，两个版本28 和 23，在这一块代码上有什么不同.
3.改造 GlobalActivityHookHelper.java ，判定当前设备的系统版本号，让它可以兼容所有版本.

按照上面的步骤：
我发现SDK 23里面：
Instrumentation类的 execStartActivitiesAsUser(Context who, IBinder contextThread, IBinder token, Activity target, Intent[] intents, Bundle options, int userId) 方法里，获取AMS实例的方式完全不同.

它是使用 ActivityManagerNative.getDefault()来获得的，继续往下找，看看有没有什么不同。
进去ActivityManagerNative 找找看：

OK，找到了区别，确定结论：SDK 28和23在这块代码上的区别就是：
获得AMS实例的类名和方法名都不同.另外，查了度娘之后发现，这个变化是在SDK 26版本修改的，所以26和26以后，ActivityManager.getService()来获取，26以前，用ActivityManagerNative.getDefault()来获得
调整当前的hook方法，修改为下面这样：

public class GlobalActivityHookHelper {

//设备系统版本是不是大于等于26
private static boolean ifSdkOverIncluding26() {
int SDK_INT = Build.VERSION.SDK_INT;
if (SDK_INT > 26 || SDK_INT == 26) {
return true;
} else {
return false;
}
}

public static void hook() {

try {
Class<?> ActivityManagerClz;
final Object IActivityManagerObj;
if (ifSdkOverIncluding26()) {
ActivityManagerClz = Class.forName(“android.app.ActivityManager”);
Method getServiceMethod = ActivityManagerClz.getDeclaredMethod(“getService”);
IActivityManagerObj = getServiceMethod.invoke(null);//OK，已经取得这个系统自己的AMS实例
} else {
ActivityManagerClz = Class.forName(“android.app.ActivityManagerNative”);
Method getServiceMethod = ActivityManagerClz.getDeclaredMethod(“getDefault”);
IActivityManagerObj = getServiceMethod.invoke(null);//OK，已经取得这个系统自己的AMS实例
}

//2.现在创建我们的AMS实例
//由于IActivityManager是一个接口，那么其实我们可以使用Proxy类来进行代理对象的创建
// 结果被摆了一道，IActivityManager这玩意居然还是个AIDL，动态生成的类，编译器还不认识这个类，怎么办？反射咯
Class<?> IActivityManagerClz = Class.forName(“android.app.IActivityManager”);
Object proxyIActivityManager = Proxy.newProxyInstance(Thread.currentThread().getContextClassLoader(), new Class[]{IActivityManagerClz}, new InvocationHandler() {
@Override
public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
//proxy是创建出来的代理类，method是接口中的方法，args是接口执行时的实参
if (method.getName().equals(“startActivity”)) {
Log.d(“GlobalActivityHook”, “全局hook 到了 startActivity”);
}
return method.invoke(IActivityManagerObj, args);
}
});

//3.偷梁换柱,这里有点纠结，这个实例居然被藏在了一个单例辅助类里面
Field IActivityManagerSingletonField;
if (ifSdkOverIncluding26()) {
IActivityManagerSingletonField = ActivityManagerClz.getDeclaredField(“IActivityManagerSingleton”);
} else {
IActivityManagerSingletonField = ActivityManagerClz.getDeclaredField(“gDefault”);
}

IActivityManagerSingletonField.setAccessible(true);
Object IActivityManagerSingletonObj = IActivityManagerSingletonField.get(null);
Class<?> SingletonClz = Class.forName(“android.util.Singleton”);//反射创建一个Singleton的class
Field mInstanceField = SingletonClz.getDeclaredField(“mInstance”);
mInstanceField.setAccessible(true);
mInstanceField.set(IActivityManagerSingletonObj, proxyIActivityManager);

} catch (Exception e) {
e.printStackTrace();
}
}
}

再次尝试：

成功，实现了全局范围内的startActivity动作的hook.

---

##六. Hook开发可能的坑
1. androidStudio阅读源码很多类无法索引，这是因为有一些类是@hide的，无法Ctrl点进去，
解决方案：Ctrl+shift+R 输入类名，手动进入.

2. androidStudio阅读源码直接报红 ：或者一些是AIDL动态生成的接口，无法直接查看,比IActivityManager. ，
解决方案：这种接口不用管它，如果非要用到它，那就使用本类的包名+IActivityManager作为全限定名，去反射创建它.

3. hook开发，是学习源码思想，改变源码执行流程,所以，在多个版本的设备上运行，很容易发生不兼容的情况.
解决方案：找到不兼容的设备版本，根据报的异常，参照源码的版本变迁做出相应的兼容性改动.

#结语
历时3天，忙里偷闲，总算是写完了.
喜欢的客官帮忙点个赞哦，你们的鼓励是我最大的动力，以后还会更新更多干货.
最后~本文的代码Demo.

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数Android工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则几千的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Android移动开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Android开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加V获取：vip204888 （备注Android）

最后

给大家送上我成功跳槽复习中所整理的资料，由于文章篇幅有限，所以只是把题目列出来了

频，并且后续会持续更新**

如果你觉得这些内容对你有帮助，可以添加V获取：vip204888 （备注Android）
[外链图片转存中…(img-vrHlwRTs-1711999763032)]

最后

给大家送上我成功跳槽复习中所整理的资料，由于文章篇幅有限，所以只是把题目列出来了

[外链图片转存中…(img-Sjh1aSii-1711999763032)]

[外链图片转存中…(img-j3OE4Mrn-1711999763032)]

[外链图片转存中…(img-imebavg7-1711999763032)]

本文已被CODING开源项目：《Android学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》收录