安卓,Hook住HookActivityThread-的Instrumentation

最新推荐文章于 2024-04-28 16:42:19 发布
最新推荐文章于 2024-04-28 16:42:19 发布
阅读量372 收藏
点赞数
文章标签: java android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/n2726213998_zxc/article/details/124938544
版权

因为我的是安卓10Vivo的手机,HookHookActivityThread不好使,

我的实现Hook方案是Instrumentation
###################################

public class HookActivityThread
{
	public static void Hookatd() throws Exception{
		// 先获取到当前的ActivityThread对象
		Class<?> activityThreadClass = Class.forName("android.app.ActivityThread");
		Method currentActivityThreadMethod = activityThreadClass.getDeclaredMethod("currentActivityThread");
		currentActivityThreadMethod.setAccessible(true);
		Object currentActivityThread = currentActivityThreadMethod.invoke(null);

		// 拿到原始的 mInstrumentation字段
		Field mInstrumentationField = activityThreadClass.getDeclaredField("mInstrumentation");
		mInstrumentationField.setAccessible(true);
		Instrumentation mInstrumentation = (Instrumentation) mInstrumentationField.get(currentActivityThread);
		// 创建代理对象
		Instrumentation evilInstrumentation = new EvilInstrumentation(mInstrumentation);
		// 偷梁换柱
		mInstrumentationField.set(currentActivityThread, evilInstrumentation);
		
	}
	
	public static class EvilInstrumentation extends Instrumentation {

		private static final String TAG = "EvilInstrumentation";

		// ActivityThread中原始的对象, 保存起来
		Instrumentation mBase;
		Intent intentm=null;//储存真实的插件Activity封装
		
		public EvilInstrumentation(Instrumentation base) {
			mBase = base;
		}

		public ActivityResult execStartActivity(
            Context who, IBinder contextThread, IBinder token, Activity target,Intent intent, int requestCode, Bundle options) {
				
			String testtxt ="\n执行了startActivity, 参数如下: \n" + "who = [" + who + "], " +
			"\ncontextThread = [" + contextThread + "], \ntoken = [" + token + "], " +
				"\ntarget = [" + target + "], \nintent = [" + intent +
				"], \nrequestCode = [" + requestCode + "], \noptions = [" + options + "]";
			HookHandler. method2("/storage/emulated/0/MT2/apks/Voms/Log.txt","\n "+testtxt);
				
			HookHandler. method2("/storage/emulated/0/MT2/apks/Voms/Log.txt","\n exestart"+"  要启动的Activity"+target.getClass().getName());
			HookHandler. method2("/storage/emulated/0/MT2/apks/Voms/Log.txt","\n exestart"+"  "+mBase.getClass().getName());
		
			
			
			
			
			// 开始调用原始的方法, 调不调用随你,但是不调用的话, 所有的startActivity都失效了.
			// 由于这个方法是隐藏的,因此需要使用反射调用;首先找到这个方法
			Method execStartActivity=null;
			try {
				execStartActivity = Instrumentation.class.getDeclaredMethod(
                    "execStartActivity",
                    Context.class, IBinder.class, IBinder.class, Activity.class, 
                    Intent.class, int.class, Bundle.class);
				if(!execStartActivity.isAccessible()){
					execStartActivity.setAccessible(true);
				}
				return (ActivityResult) execStartActivity.invoke(mBase, who, 
																 contextThread, token, target, intent, requestCode, options);
			} catch (Exception e) {
				// 某该死的rom修改了  需要手动适配
				//throw new RuntimeException("do not support!!! pls adapt it");
			
				try
				{
				Intent intexta=new Intent(target,com.hhs.myappho.activity.BaseActivity.class);
				//intent.setClassName(.getPackage().getName(),com.hhs.myappho.activity.BaseActivity.class.getClass().getName());
				intentm = intent;
					return (ActivityResult) execStartActivity.invoke(mBase, who, 
																	 contextThread, token, target, intexta, requestCode, options);
				}
				catch (Exception ea)
				{
			throw new RuntimeException("do not support!!! pls adapt it 启动失败 "+e);
				}
				
				
			}
			
			finally{
				/*
				if(execStartActivity!=null){
					if(execStartActivity.isAccessible()){
						execStartActivity.setAccessible(false);
					}
				}
				*/
			}
			
			
			
			
		}

		@Override
		public void callActivityOnResume(Activity activity)
		{
			HookHandler. method2("/storage/emulated/0/MT2/apks/Voms/Log.txt","\n "+" callActivityOnResume "+mBase.getClass().getName());
			super.callActivityOnResume(activity);
		}

		@Override
		public void callActivityOnPostCreate(Activity activity, Bundle icicle)
		{
			HookHandler. method2("/storage/emulated/0/MT2/apks/Voms/Log.txt","\n "+" callActivityOnPostCreate "+mBase.getClass().getName());
			if(activity!=null){
				activity.setTitle("这是插件,被我修改了主题名");
			}
			super.callActivityOnPostCreate(activity, icicle);
		}

		@Override
		public void callActivityOnPause(Activity activity)
		{
			HookHandler. method2("/storage/emulated/0/MT2/apks/Voms/Log.txt","\n "+" callActivityOnPause "+mBase.getClass().getName());
			super.callActivityOnPause(activity);
		}

		@Override
		public Activity newActivity(ClassLoader cl, String className, Intent intent) throws InstantiationException, IllegalAccessException, ClassNotFoundException
		{
			HookHandler. method2("/storage/emulated/0/MT2/apks/Voms/Log.txt","\n newActivity"+"  目标 "+className+"  传递过来的信息"+intent);
			//HookHandler. method2("/storage/emulated/0/MT2/apks/Voms/Log.txt","\n "+" newActivity "+mBase.getClass().getName());
			if(className.equals("com.hhs.myappho.MainActivity")){
				return super.newActivity(cl, className, intent);
			}
			
			Intent target = intent;  
			
			try{
			if(target!=null){
			HookHandler. method2("/storage/emulated/0/MT2/apks/Voms/Log.txt","\n newActivity"+"  目标 "+className+"  启动细心"+intent);
			//恢复原来启动的插件Activity    
			if(intentm!=null){
			HookHandler. method2("/storage/emulated/0/MT2/apks/Voms/Log.txt","\n 没有注册但是要启动的组件信息组件:_"+target.getComponent());
		return super.newActivity(cl, intentm.getComponent().getClassName(), target);
			}
			
			}
		}catch(Exception erra){
		
		}
			finally{
			intentm=null;
			}
			
			
			return super.newActivity(cl, "com.hhs.myappho.activity.JavaScriptActivity", intent);
		}

		@Override
		public void callActivityOnNewIntent(Activity activity, Intent intent)
		{
			//
			HookHandler. method2("/storage/emulated/0/MT2/apks/Voms/Log.txt","\n "+" newActivity "+intent.getComponent());
			
			super.callActivityOnNewIntent(activity, intent);
		}
		
		
		
		
		
	}
	
	
	
}

###################################

*当调用startrActivity执行到我们Hook替换的execStartActivity方法时,对Intent进行记录然后换上在宿主中的占坑的Activity,系统然后初始化完后会回调public Activity newActivity(ClassLoader cl, String className, Intent intent) ,再把宿主带有宿主Activity的Intent扔掉把记录的Intent中的class取出让系统初始化然后大功告成了。_

public EvilInstrumentation(Instrumentation base) {
			mBase = base;
		}
*****一、在这里将插件Activity替换成我们的宿主的Activity实现让系统检查
		public ActivityResult execStartActivity(
            Context who, IBinder contextThread, IBinder token, Activity target,Intent intent, int requestCode, Bundle options) {
				
			String testtxt ="\n执行了startActivity, 参数如下: \n" + "who = [" + who + "], " +
			"\ncontextThread = [" + contextThread + "], \ntoken = [" + token + "], " +
				"\ntarget = [" + target + "], \nintent = [" + intent +
				"], \nrequestCode = [" + requestCode + "], \noptions = [" + options + "]";
			HookHandler. method2("/storage/emulated/0/MT2/apks/Voms/Log.txt","\n "+testtxt);
				
			HookHandler. method2("/storage/emulated/0/MT2/apks/Voms/Log.txt","\n exestart"+"  要启动的Activity"+target.getClass().getName());
			HookHandler. method2("/storage/emulated/0/MT2/apks/Voms/Log.txt","\n exestart"+"  "+mBase.getClass().getName());
		
			
			
			
			
			// 开始调用原始的方法, 调不调用随你,但是不调用的话, 所有的startActivity都失效了.
			// 由于这个方法是隐藏的,因此需要使用反射调用;首先找到这个方法
			Method execStartActivity=null;
			try {
				execStartActivity = Instrumentation.class.getDeclaredMethod(
                    "execStartActivity",
                    Context.class, IBinder.class, IBinder.class, Activity.class, 
                    Intent.class, int.class, Bundle.class);
				if(!execStartActivity.isAccessible()){
					execStartActivity.setAccessible(true);
				}
				return (ActivityResult) execStartActivity.invoke(mBase, who, 
																 contextThread, token, target, intent, requestCode, options);
			} catch (Exception e) {
				// 某该死的rom修改了  需要手动适配
				//throw new RuntimeException("do not support!!! pls adapt it");
			
				try
				{
				Intent intexta=new Intent(target,com.hhs.myappho.activity.BaseActivity.class);****在这里new一个占坑Initent_Activity
				//intent.setClassName(.getPackage().getName(),com.hhs.myappho.activity.BaseActivity.class.getClass().getName());
				intentm = intent;******在这里记录了我们的插件Activity,这个Activity是在宿主中有定义的
					return (ActivityResult) execStartActivity.invoke(mBase, who, 
																	 contextThread, token, target, intexta/*把我们的占坑Activity换上*/, requestCode, options);
				}
				catch (Exception ea)
				{
			throw new RuntimeException("do not support!!! pls adapt it 启动失败 "+e);
				}
				
				
			}
			
			finally{
				/*
				if(execStartActivity!=null){
					if(execStartActivity.isAccessible()){
						execStartActivity.setAccessible(false);
					}
				}
				*/
			}
			
			
			
			
		}

****二、在这里把插件Activity换回来
@Override
		public Activity newActivity(ClassLoader cl, String className, Intent intent) throws InstantiationException, IllegalAccessException, ClassNotFoundException
		{
			HookHandler. method2("/storage/emulated/0/MT2/apks/Voms/Log.txt","\n newActivity"+"  目标 "+className+"  传递过来的信息"+intent);
			//HookHandler. method2("/storage/emulated/0/MT2/apks/Voms/Log.txt","\n "+" newActivity "+mBase.getClass().getName());
			if(className.equals("com.hhs.myappho.MainActivity")){
				return super.newActivity(cl, className, intent);
			}
			
			Intent target = intent;  
			
			try{
			if(target!=null){
			HookHandler. method2("/storage/emulated/0/MT2/apks/Voms/Log.txt","\n newActivity"+"  目标 "+className+"  启动细心"+intent);
			//恢复原来启动的插件Activity    
			if(intentm!=null){
			HookHandler. method2("/storage/emulated/0/MT2/apks/Voms/Log.txt","\n 没有注册但是要启动的组件信息组件:_"+target.getComponent());
			****在这里把记录的Activity恢复
		return super.newActivity(cl, intentm.getComponent().getClassName(), target);
			}
			
			}
		}catch(Exception erra){
		
		}
			finally{
			intentm=null;
			}
			
			
			return super.newActivity(cl, "com.hhs.myappho.activity.JavaScriptActivity", intent);
		}



在宿主初始化后
super.onCreate();
HookActivityThread.Hookatd();
HookHelper.hookPackageManager(this);***Hook包管理器PackageManager
最好带上异常捕获

#########这篇文章并非原创,出处忘记在哪了,侵权删#####

加粗文本 加粗文本

标记文本

删除文本

引用文本

H2O is是液体。

210 运算结果是 1024。

寻梦少年`
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
githook-maven-plugin:Maven插件安装本地git钩子
05-22
githook-maven-plugin Maven插件来配置和安装本地git钩子 保护您的VCS 在提交更改之前先检查一下更改始终是一个好主意:运行单元测试,执行构建等。但是,这样的检查列表很容易被忽略,尤其是在大型项目中。 为了摆脱人为因素,应该以某种方式强制和自动化它们。 最好的方法是在项目基础结构级别上执行此类验证。 但是,有时没有基础架构,或者不允许实施该架构。 对于后者,有 。 收听您的VCS 除了预提交和预推钩子之外,还有一些其他钩子可以处理本地VCS事件。 本地git钩子的缺点 这种方法的主要缺点是,挂钩保留在.git目录中,该目录永远不会进入远程存储库。 因此,每个贡献者都必须手动将它们安装在其本地存储库中,这可能会再次被忽略。 那为什么要使用这个插件呢? 因为它解决了向存储库提供挂钩配置的问题,并使它们的安装自动化。 执行 这个想法是在钩子名称和脚本之间保留一个
Android开发知识(二十一)基于Hook原理的插件化技术:启动一个未在AndroidManifest.xml中注册的Activity
热门推荐
lc_miao的专栏
03-03 1万+
文章目录Hook作用Hook入口分析准备工作在AMS上做hook入口反射获取ActivityManagerProxy实例动态代理ActivityManagerProxy欺骗AMS权限检查过程还原目标Activity的启动还原目标Activity后遇到的问题利用Instrumentation类做hook入口 Hook作用 Hook就是利用反射机制动态替换运行过程中的对象,以进行方法拦截(动态代理),...
PMS Hook
Jack的博客
07-31 1665
1,PMS Hook 和一般服务不同的是,AMS和PMS使用了另外一种Hook方式,虽然Hook的代码结构完全相同。 PMS通过getPackageManager这个方法来获取, ContextImpl类的getPackageManager方法如下, public PackageManager getPackageManager() { if (mPackageManager !
Hook机制之AMS&PMS
android开发笔记
05-14 269
在前面的文章中我们介绍了DroidPlugin的Hook机制,也就是代理方式和Binder Hook;插件框架通过AOP实现了插件使用和开发的透明性。在讲述DroidPlugin如何实现四大组件的插件化之前,有必要说明一下它对ActivityManagerService以及PackageManagerService的Hook方式(以下简称AMS,PMS)。 ActivityManagerServ...
Android签名验证——Hook签名第一步
lemisky的博客
08-29 3620
网上虽然很多Hook Android App 签名的方法,例如: 一键绕过App签名验证 一键破解APK签名校验 但是要想知道其中Hook的实现原理,并且能自己编写Hook实现,那么我们首先得知道以下几个问题: Android开发如何进行签名验证 Hook签名原理,及其实现 这篇文章先讲第一个问题——Android签名验证 由于网上相关文章比较多,这里就不赘术,仅提供核心代码 能研究这个...
Android Hook PackageManager
欢迎关注微信公众号:DroidMind
11-22 4390
通过前面文章 Android中的Context ,我们可以知道,当我通过Application、Activity或者Service调用getPackageManager()的时候,实质调用的都是ContextImpl类中的getPackageManager方法。 所以我们从ContextImpl类中的getPackageManager方法看起。 ContextImpl.java ...
学习“重打包APK绕过签名校验”经验
qq_35069128的博客
01-17 3418
apk 逆向 破解.so文件签名验证 Java代码层破解思路实现
android hook 第三方app_Android三大hook框架
weixin_34129429的博客
01-12 2215
目前Android主流的hook框架有Xposed、Substrate和frida三种,下面依次介绍三种框架的原理和特点:XposedXposed是一个在andoid平台上比较成熟的hook框架,可以完美的在dalvik虚拟机上做到hook任意java方法原理Android系统中所有的app进程都是有zygote进程孵化而来的,Xposed会替换/system/bin/app_process文件,...
美团Hook技术防范漫谈
signature=的博客
07-18 687
Android Hook技术防范漫谈
Android Hook ActivityThread mH 消息
男儿不展风云志,空有天生八尺躯
06-10 1074
背景: 今天面试被问到如何监听ActivityThread mH 类的消息,当时的想法是,mH 其实就是Handler, Android 没有提供获取到mH 的方法,就算我可以拿到mH 的 Looper, 最多也就可以在Looper 里面设置一个private Printer mLogging; ,当打印的时候就可以知道当前在分发mH 类的任何消息。 但是对方说,不希望在这里拦截,有没有其他方法,当时没有想到Handler 有什么可以设置监听每一个消息的方法,就算有,我如果想要拿到mH 也得通过反射吧。当时
AndroidHook Instrumentation 的实现
05-05
参考博客 【AndroidHook Instrumentation 的实现】 http://blog.csdn.net/u012341052/article/details/71191409
nvidia-container-runtime-hook-1.4.0-2.x86_64.rpm
06-19
centos7.4+ nvidia-docker2 安装所需要的必备包之一 libnvidia-container-tools-1.0.2-1.x86_64.rpm ...nvidia-container-runtime-hook-1.4.0-2.x86_64.rpm nvidia-docker2-2.0.3-3.docker18.09.6.ce.noarch.rpm
react-hook-with-redux-hooks
05-04
用Redux HooksReactHook 该项目是一种研究形式,它使用了当今就业... 注意:要进行项目工作,需要使用此提供的api节点通过创建React App 通过Redux用于状态管理等,作者: Redux DevTools通过入门# clone it git clone ...
ast-hook-for-js-RE:浏览器内存漫游解决方案(探索中...)
03-07
浏览器内存漫游解决方案(JS逆向)一,什么鬼标题?到底是个啥鬼?简单的说,这是一个浏览器端的内存漫游解决方案,可以通过此工具你可以随意检索浏览器内存中的数据(标题党警告一次),默认看到这个项目的人都是会...
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 971
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
Day25-Java基础之常用类1
m0_46053885的博客
04-27 925
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
Lambda表达式特点
weixin_57763462的博客
04-24 892
**API 设计**:Lambda 表达式鼓励使用函数式接口的设计模式,这改变了 Java 库的设计,例如 `java.util.function` 包下的一系列函数式接口。- **函数式编程**:Lambda 表达式引入了函数式编程的理念,使得 Java 更接近于函数式编程语言,如 Scala 和 Clojure。- **并发编程**:Lambda 表达式与 Java 8 新增的 Stream API 结合使用,可以简化并发编程,特别是与集合的操作相关。
Java解决最长公共前缀
最新发布
无人罪的博客
04-28 244
编写一个函数来查找字符串数组中的最长公共前缀。如果不存在公共前缀,返回空字符串""。
MSE实现全链路灰度实践
云计算、数据库、大数据、深度学习、NLP、Python
04-24 474
待更新。
Idle --- off hook event ---> Dialing Dialing --- valid number event ---> Connecting Dialing --- invalid/wrong number event---> Disconnected Connecting --- timeout event---> TimeOut Connecting --- called phone answers event---> Connected Ringing --- called phone answers event---> Connected Connected --- on hook event---> Idle Connected --- line busy event---> Busy Tone Connected --- timeout event-- Connected --- timeout event---> Disconnected Connected --- Play Message event---> Ringing,然后将这个在plantUML以代码的形式描绘出电话线路图状态
06-12
好的,以下是代码形式的电话线路图状态: ``` @startuml title Telephone State Diagram [*] --> Idle : Initial State Idle --> Dialing : Off Hook Event Dialing --> Connecting : Valid Number Event Dialing --> Disconnected : Invalid/Wrong Number Event Connecting --> TimeOut : Timeout Event Connecting --> Connected : Called Phone Answers Event Ringing --> Connected : Called Phone Answers Event Connected --> Idle : On Hook Event Connected --> Busy Tone : Line Busy Event Connected --> TimeOut : Timeout Event Connected --> Disconnected : Timeout Event Connected --> Ringing : Play Message Event @enduml ``` 解释一下: - 初始状态为空闲状态(`[*] --> Idle : Initial State`)。 - 当电话机摘机时,电话状态从空闲状态转入拨号状态(`Idle --> Dialing : Off Hook Event`)。 - 当拨号有效号码时,电话状态从拨号状态转入连接状态(`Dialing --> Connecting : Valid Number Event`)。 - 当拨号号码无效或错误时,电话状态从拨号状态转入未连接状态(`Dialing --> Disconnected : Invalid/Wrong Number Event`)。 - 当连接超时时,电话连接状态从连接状态转入超时状态(`Connecting --> TimeOut : Timeout Event`)。 - 当被拨打的电话接听时,电话连接状态从连接状态或响铃状态转入已连接状态(`Connecting --> Connected : Called Phone Answers Event` 或 `Ringing --> Connected : Called Phone Answers Event`)。 - 当已连接状态的电话机挂机时,电话状态从已连接状态转入空闲状态(`Connected --> Idle : On Hook Event`)。 - 当已连接状态的电话线路忙碌时,电话状态从已连接状态转入忙音状态(`Connected --> Busy Tone : Line Busy Event`)。 - 当已连接状态的电话连接超时时,电话状态从已连接状态转入未连接状态(`Connected --> TimeOut : Timeout Event`)。 - 当已连接状态的电话播放信息时,电话状态从已连接状态转入响铃状态(`Connected --> Ringing : Play Message Event`)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值