Java基础知识点面试题,安卓程序员必备hook技术之进阶篇

最新推荐文章于 2024-03-28 03:41:27 发布
最新推荐文章于 2024-03-28 03:41:27 发布
阅读量217 收藏
点赞数
分类专栏: 程序员
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60607203/article/details/119493055
版权

方式1:使用Activity自带的startActivity

示例代码

private void startActivityByActivity() {
        Intent i = new Intent(MainActivity.this, Main2Activity.class);
        startActivity(i);
    }

程序执行走向图.

代码追踪:


这里有个if(mParent==null)判定,先看true分支:

发现一个坑,mInstrumentation.execStartActivity 这里居然不能继续往下索引了?很奇怪,不过不重要,我们直接进入Instrumentation.java去找这个方法:


在这个execStartActivity中,可以找到关键代码

int result = ActivityManager.getService()
           .startActivity(whoThread, who.getBasePackageName(), intent,
                    intent.resolveTypeIfNeeded(who.getContentResolver()),
                   token, target != null ? target.mEmbeddedID : null,
                  requestCode, 0, null, options);
checkStartActivityResult(result, intent);

通过这种方式启动Activity,最终的执行权被交给了 ActivityManager.getService()(即AMS),它的作用是 启动一个Activity并且返回result,然后checkStartActivityResult(result, intent);这句话,对当前的跳转意图intent进行检测;

have you declared this activity in your AndroidManifest.xml 这句异常应该很熟悉了吧?启动一个没有注册的Activity的报错.

再看个if(mParent==null)false分支:



控制权依然是交给了mInstrumentation.execStartActivity(),剩余的代码索引和上面的一样.

所以,代码索引的结论,按照一张图来表示就是:

方式2:使用applictonContextstartActivity

private void startActivityByApplicationContext() {
        Intent i = new Intent(MainActivity.this, Main2Activity.class);
        i.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
        getApplicationContext().startActivity(i);
    }

方式1 中已经展示了源码索引的方式,所以这里不再赘述贴图.直接给出代码索引结论图:

两张图对比,我们很容易得出一个结论:
启动Activity的最终执行权,都被交给了 Instrumentation.java 类,
方式1:Activity.startActivity的最终执行者是 它的mInstrumentation成员,mInstrumentation的持有者是 Activity自身.
方式2:getApplicationContext().startActivity(i); 的最终执行者是:ActivityThreadmInstrumentation成员,持有者是ActivityThread 主线程.
两种方式都可以把mInstrumentation当作hook切入点,将它从它的持有者中"偷梁换柱".

下面开始动手尝试:

##二. 第一种启动方式的hook方案

创建一个HookActivityHelper.java ,然后三步走:

  1. 找到hook点,以及hook对象的持有者,上文中已经说明:hook点是ActivitymInstrumentation成员,持有者就是Activity
      Field mInstrumentationField = Activity.class.getDeclaredField("mInstrumentation");
      mInstrumentationField.setAccessible(true);
      Instrumentation base = (Instrumentation) mInstrumentationField.get(activity);

base是系统原来的执行逻辑,存起来后面用得着.

  1. 创建Instrumentation代理类, 继承Instrumentation然后,重写execStartActivity方法,加入自己的逻辑,然后再执行系统的逻辑.
private static class ProxyInstrumentation extends Instrumentation {
        public ProxyInstrumentation(Instrumentation base) {
            this.base = base;
        }

        Instrumentation base;

        public ActivityResult execStartActivity(
                Context who, IBinder contextThread, IBinder token, Activity target,
                Intent intent, int requestCode, Bundle options) {

            Log.d("ProxyInstrumentation", "我们自己的逻辑");

            //这里还要执行系统的原本逻辑,但是突然发现,这个execStartActivity居然是hide的,只能反射咯
            try {
                Class<?> InstrumentationClz = Class.forName("android.app.Instrumentation");
                Method execStartActivity = InstrumentationClz.getDeclaredMethod("execStartActivity",
                        Context.class, IBinder.class, IBinder.class, Activity.class,
                        Intent.class, int.class, Bundle.class);
                return (ActivityResult) execStartActivity.invoke(base, 
                            who, contextThread, token, target, intent, requestCode, options);
            } catch (Exception e) {
                e.printStackTrace();
            }

            return null;
        }

    }
  1. 用代理类对象替换 hook对象.
  ProxyInstrumentation proxyInstrumentation = new ProxyInstrumentation(base);
  mInstrumentationField.set(activity, proxyInstrumentation);

如何使用: 在MainActivityonCreate中加入一行ActivityHookHelper.hook(this)

public class MainActivity extends AppCompatActivity {

    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);

        ActivityHookHelper.hook(this);
        findViewById(R.id.btn).setOnClickListener(new View.OnClickListener() {
            @Override
            public void onClick(View v) {
                startActivityByActivity();
            }
        });

    }

    private void startActivityByActivity() {
        Intent i = new Intent(MainActivity.this, Main2Activity.class);
        startActivity(i);
    }

   
}

效果:跳转依然正常,并且logcat中可以发现下面的日志.

#####ok,插入自己的逻辑,成功

##三. 第二种启动方式的hook方案
创建ApplicationContextHookHelper.java,然后 同样是三步走

1.确定hook的对象和该对象的持有者
锁定 ActivityThreadmInstrumentation成员.

            //1.主线程ActivityThread内部的mInstrumentation对象,先把他拿出来
            Class<?> ActivityThreadClz = Class.forName("android.app.ActivityThread");
            //再拿到sCurrentActivityThread
            Field sCurrentActivityThreadField = ActivityThreadClz.getDeclaredField("sCurrentActivityThread");
            sCurrentActivityThreadField.setAccessible(true);
            Object activityThreadObj = sCurrentActivityThreadField.get(null);//静态变量的属性get不需要参数,传null即可.
            //再去拿它的mInstrumentation
            Field mInstrumentationField = ActivityThreadClz.getDeclaredField("mInstrumentation");
            mInstrumentationField.setAccessible(true);
            Instrumentation base = (Instrumentation) mInstrumentationField.get(activityThreadObj);// OK,拿到

2.创建代理对象 和上面的代理类一模一样,就不重复贴代码了

            //2.构建自己的代理对象,这里Instrumentation是一个class,而不是接口,所以只能用创建内部类的方式来做
            ProxyInstrumentation proxyInstrumentation = new ProxyInstrumentation(base);

3.替换掉原对象

            //3.偷梁换柱
            mInstrumentationField.set(activityThreadObj, proxyInstrumentation);

如何使用: 在Main4ActivityonCreate中加入一行ApplicationContextHookHelper.hook();

public class Main4Activity extends AppCompatActivity {

    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main4);

        ApplicationContextHookHelper.hook();
        findViewById(R.id.btn).setOnClickListener(new View.OnClickListener() {
            @Override
            public void onClick(View v) {
                startActivityByApplicationContext();
            }
        });
    }

    private void startActivityByApplicationContext() {
        Intent i = new Intent(Main4Activity.this, Main5Activity.class);
        i.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
        getApplicationContext().startActivity(i);
    }
}

效果

####OK,第二种启动方式,我们也可以加入自己的逻辑了.hook成功!

##四. 目前方案弊端分析
启动方式1的hook: 只是在针对单个Activity类,来进行hook,多个Activity则需要写多次,或者写在BaseActivity里面.
启动方式2的hook:可以针对全局进行hook,无论多少个Activity,只需要调用一次ApplicationContextHookHelper.hook();函数即可,但是,它只能针对 getApplicationContext().startActivity(i); 普通的Activity.startActivity则不能起作用.

那么有没有一种完全体的解决方案:能够在全局起作用,并且可以在两种启动方式下都能hook.
回顾之前的两张代码索引结论图,会发现,两种启动Activity的方式,最终都被执行到了 AMS内部,
下一步,尝试hook AMS.

##五. 最终解决方案

代码索引: 基于SDK 28 ~ android9.0

下方红框标记的部分,就是取得AMSActivityManagerService实例)的代码.

如果可以在系统接收到AMS实例之前,把他了,是不是就可以达到我们的目的?
进去看看getService的代码:

真正的AMS实例来自一个Singleton单例辅助类的create()方法,并且这个Singleton单例类,提供get方法,获得真正的实例.

那么,我们从这个单例中,就可以获得系统当前的 AMS实例,将它取出来,然后保存.
OK,确认:
hook对象: ActivityManagerIActivityManagerSingleton成员 变量内的 单例 mInstance.
hook对象的持有者:ActivityManagerIActivityManagerSingleton成员变量

那么,动手:

  1. 找到hook对象,并且存起来
            //1.把hook的对象取出来保存
            //矮油,静态的耶,开心.
            Class<?> ActivityManagerClz = Class.forName("android.app.ActivityManager");
            Method getServiceMethod = ActivityManagerClz.getDeclaredMethod("getService");
            final Object IActivityManagerObj = getServiceMethod.invoke(null);//OK,已经取得这个系统自己的AMS实例
  1. 创建自己的代理类对象,IActivityManager 是一个AIDL生成的动态接口类,所以在编译时,androidStudio会找不到这个类,所以,先反射,然后用Proxy进行创建代理。
            //2.现在创建我们的AMS实例
            //由于IActivityManager是一个接口,那么我们可以使用Proxy类来进行代理对象的创建
            // 结果被摆了一道,IActivityManager这玩意居然还是个AIDL,动态生成的类,编译器还不认识这个类,怎么办?反射咯
            Class<?> IActivityManagerClz = Class.forName("android.app.IActivityManager");
            Object proxyIActivityManager = Proxy.newProxyInstance(Thread.currentThread().getContextClassLoader(), 
                new Class[]{IActivityManagerClz}, new InvocationHandler() {
                @Override
                public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
                    //proxy是创建出来的代理类,method是接口中的方法,args是接口执行时的实参
                    if (method.getName().equals("startActivity")) {


              @Override
                public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
                    //proxy是创建出来的代理类,method是接口中的方法,args是接口执行时的实参
                    if (method.getName().equals("startActivity")) {
m0_60607203
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android Hook Activity 启动劫持
02-27
如何利用动态代理技术Hook掉系统的AMS服务,来实现拦截Activity的启动流程。
Android登录拦截的场景-基于动态代理+Hook的实现
金戈鐡馬
12-11 608
前面我们讲到了Intent原始的方法,虽然使用起来很麻烦但是还是能实现效果的,那有没有简便一点的封装?有的,其实就和本篇的标题一样,早前网上还有这样的一种方案,使用动态代理+Hook的方式,替换启动Activity的对象,把全部的startActivity都拦截掉,替换掉我们自定义的Activiy。如果都写死了所有的Activity跳转都写到一个拦截中,我们又如何实现拦截登录的功能呢?我们需要先使用动态代理+Hook的方式替换全部的Activity启动。
android Hook 技术剖析
cengdong的博客
03-19 961
本代码实现的功能: 如何不在清单文件中注册activity就可直接运行使用。 其原理就是使用HOOK技术。 先看清单文件代码: <manifest xmlns:android="http://schemas.android.com/apk/res/android" package="com.example.test_hook" android:versionCode=
通过hook思想拦截系统APi(startActivity)并跳转到没注册过的Activity
huidawoxiaozi的博客
05-07 797
hook俗称钩子可以对系统api进行拦截做一些自己的操作,如何拦截我们android中的startActivity方法呢,并且在不注册activity的情况下去启动activity。首先我们先看下startActivity方法是怎样调用的吧。、 点开startActivity方法我们发现先重写了startActivity @Override public void startActivit...
使用Intent进行页面之间的跳转【Intent_1】
xiaoxin想升职加薪
08-23 3614
本文介绍了使用Intent进行页面之间的跳转,是Intent相关的第一篇文章,还有很多问题没有深入研究,有待解决。后续会慢慢更新相关内容及其他的文章。
进阶面试题!React.js 面试题集合整理[珍藏版].pdf
12-15
下面是 React面试题集合整理,涵盖了React的基础知识、事件机制、合成事件、事件代理、React组件、高阶组件、Render props、Hooks等知识点。 React基础知识 React是一门基于组件的框架,核心思想是将UI分解成小的...
腾讯,字节游戏JAVA面试题
03-10
Java程序员的面试中,涉及到的知识点广泛且深入,特别是对于游戏开发这一领域。以下是根据标题、描述和部分内容整理的相关知识点: 1. **参数传递**: - Java中参数传递主要有两种方式:值传递和引用传递。值...
react-react面试题之组件间过渡动画的实现.zip
03-20
本文将深入探讨如何在React中实现组件间的过渡动画,结合具体的面试题来阐述相关知识点。 首先,React本身并不直接提供动画功能,但它提供了生命周期方法和合成事件,这为开发者提供了实现动画的基础。在React 16.3...
2020前端最新面试题(vue篇)
01-08
以下是一些Vue相关的面试知识点: 1. **Vue Router 参数传递**: - 动态路由参数:在`router.js`中配置路径如`path: '/detail/:id'`,在组件内通过`this.$route.params.id`访问。 - 隐式传参:在`router-link`...
react-react面试题之对hooks的理解.zip
03-20
面试题集重点在于考察开发者对于React Hooks的理解和应用能力。Hooks的引入解决了在函数组件中无法使用状态(state)和生命周期方法的问题,使得代码更加简洁、易于理解和测试。 一、什么是React Hooks? React ...
Android代码-AndroidHookStartActivity
08-06
AndroidHookStartActivity AMSHook 两行代码实现动态启动未注册的Activity。 1.application标签里配置一个壳Activity         2.注册一下其中this为context AMSHookUtil.hookStartActivity(this); 3.以后就可以按照标准的Intent启动为那些未被注册的Activity。 Intent intent = new Intent(MainActivity.this, OtherActivity.class); startActivity(intent); 原理详解:http://www.jianshu.com/p/2ad105f54d07 更新 1.修复多次hook的问题 2.修复Activity无需和包名一致也能启动
Hook技术——拦截系统Intent
04-20 4062
首先说下什么是 Hook (钩子函数): 钩子函数其实一段程序,在系统的调用中挂载到系统,在没有调用该函数之前,钩子程序先捕获该消息,这样钩子函数先得到控制权,这样钩子函数就可以加工处理该函数的执行从而改变消息的传递。 Hook技术实现的过程:(java层) 1) 找到Hook点 ① hook的过程是一个找方法的过程,我们要找到微信怎么登录的,就需要找到微信登录的方法。 ② ...
Android Hook Activity 的几种姿势
m0_61068088的博客
03-18 798
作为一名从事Android的开发者,很多人最近都在和我吐槽Android是不是快要凉了?而在我看来这正是市场成熟的表现,所有的市场都是温水煮青蛙,永远会淘汰掉不愿意学习改变,安于现状的那批人,希望所有的人能在大浪淘沙中留下来,因为对于市场的逐渐成熟,平凡并不是我们唯一的答案!GitHub地址自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
Android插件化系列第(一)篇---Hook技术之Activity的启动过程的拦截
Looper景
02-09 8953
这篇文章主要讲解如何利用动态代理技术Hook掉系统的AMS服务,来实现拦截Activity的启动流程。代码量不是很多,为了更容易的理解,需要掌握JAVA的反射,动态代理技术,以及Activity的启动流程。 如果对上面的知识点有些遗忘,建议按需扫读下面三篇文章,否则跳过。 Java 反射 Java 动态代理机制分析及扩展,第 1 部分 深入理解Activity启动流程(三)–Activity启动的
Android开发启动未注册的activity,Hook使用demo
meixi_android的博客
05-11 403
三个工具类 1、 /** * @author : LGQ * @date : 2020/05/11 14 * @desc : */ public class HCallback implements Handler.Callback{ private final String TAG="HCallback"; private Handler mHandler; public HCallback(Handler handler){ mHandler=.
android 全局hook_【Hook】实现无清单启动Activity
weixin_39779537的博客
12-14 391
引子Hook技术在android开发领域算是一项黑科技,那么一个新的概念进入视线,我们最关心的3个问题就是,它是什么,有什么用,怎么用本系列将由浅入深 手把手讲解这三大问题。本文是第三篇, 高级篇。前面两篇Hook博文,写了两个demo,一个是hook入门,一个是略微复杂的Activity启动流程的hook。那么玩点更高端的吧, 正常开发中,所有 Activity都要在 AndroidM...
hook(2)Activity启动流程,2024互联网大厂Android面经合集
最新发布
2401_83739821的博客
03-28 675
对于程序员来说,要学习的知识内容、技术有太多太多,要想不被环境淘汰就只有不断提升自己,从来都是我们去适应环境,而不是环境来适应我们!最后,我再重复一次,如果你想成为一个优秀的 Android 开发人员,请集中精力,对基础和重要的事情做深度研究。对于很多初中级Android工程师而言,想要提升技能,往往是自己摸索成长,不成体系的学习效果低效漫长且无助。整理的这些架构技术希望对Android开发的朋友们有所参考以及少走弯路,本文的重点是你有没有收获与成长,其余的都不重要,希望读者们能谨记这一点。
hook(3)实现无清单启动Activity,研发4面真题解析(Android岗)
m0_64319455的博客
11-18 392
Instrumentation.ActivityResult ar = mInstrumentation.execStartActivity(…); mMainThread.sendActivityResult(…); 第一句,execStartActivity 是 对一些参数的合法性校验,如果不合法,那就会直接抛出异常,比如之前的 第二句,sendActivityResult才是真正的跳转动作执行者 先进入第一句Instrumentation.ActivityResult ar = mInstrum
Android 后台服务启动Actvity
cfc1243570631的专栏
11-18 3110
Android 后台服务启动Actvity。
React面试必备:2022年最新组件基础与事件机制解析
"这份PDF是2022年的React.js面试题集,针对中高级前端开发者,涵盖了React组件基础、事件机制、合成...这个2022年的React.js面试题集包含了React开发中的关键知识点,从基础到进阶,为前端开发者提供了全面的复习指南。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值