hook AMS

最新推荐文章于 2023-08-01 16:39:22 发布
最新推荐文章于 2023-08-01 16:39:22 发布
阅读量496 收藏
点赞数
分类专栏: Framework
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niu0147/article/details/78972301
版权

通过了解activity启动流程,我们知道当调用startActivity后,会通过ipc和ActivityManagerService服务
进行通信,然后做任务栈管理,包的解析等等工作,最终调用ActivityThread中的scheduleLaunchActivity方法
来启动新的activity。 
了解这一基本知识后,我来练习一个小demo: 拦截ActivityManagerService 和 系统Handler ,加载一个没有注册的activity.

为什么拦截ActivityManagerService呢?
因为在自己的app进程中只能拦截我们自己的 ActivityManagerService 对象。(aidl对象),无法跨进程拦截
别的服务的对象。


hook 流程:
 一、先hook 我们进程中的IActivityManager 对象。(aidl对象),用动态代理模式来代理出这个对象。
 二、由于activity没有注册 是不能通过包管理器服务 检验的,所以 我们要找一个合格的activity来替换。
     因此 需要拦截startActivity方法,并修改意图。改为一个合格的activity意图。(ProxyIntent)
三、 在ProxyIntent 中 携带我们真正要启动的activity 意图。(无法通过包管理器检验的意图) 


四、通过管理器检验后将代理意图(ProxyIntent)替换回来 我们需要的意图。
    这一步需要拦截系统Handler,在系统handler启动activity之前替换意图。

代码如下:

先拦截ActivityManagerService

/**
     * 通过源码 得知当调用startActivity后 最终调用到AMS的startActivity.
     * 我们这里来拦截AMS 对象。(并修改intent)
     */
    public void hookActivityManagerService() {
        //instumentation  --execStartActivity

        //ActivityManagerNative.getDefault().startActivity
        //getDefault() :
        // private static final Singleton<IActivityManager> gDefault
        // = new Singleton<IActivityManager>()

        //第一步 :通过反射拿到AMS对象

        try {
            Class amNativeClazz = Class.forName("android.app.ActivityManagerNative");
            //拿到单例对象
            Field field = amNativeClazz.getDeclaredField("gDefault");
            field.setAccessible(true);
            Object singletonObj = field.get(null);

            //通过单例对象 拿到AMS对象
            //ams 对象是个普通成员,所以必须通过单例对象来获得。

            Class singletonClazz = Class.forName("android.util.Singleton");
            Method getMethod = singletonClazz.getDeclaredMethod("get");
            //最后获得 ams 对象
            Object amsObj = getMethod.invoke(singletonObj);

            // 第二部:拦截 ams对象,(用代理对象替换原来对象)这里用动态代理来实现。
            // 使用一个代理对象来包装ams对象。

            ClassLoader classLoader = Thread.currentThread().getContextClassLoader();
            //真实对象实现的接口   的 Class
            Class interfaceClass = Class.forName("android.app.IActivityManager");
            // 生成我们的代理对象
            //
            MyInvoketionHandler myHandler = new MyInvoketionHandler(amsObj);

            Object proxyObj = Proxy.newProxyInstance(classLoader, new Class[]{interfaceClass}, myHandler);

            //用代理对象替换原来对象

            Field fInstance = singletonClazz.getDeclaredField("mInstance");
            fInstance.setAccessible(true);
            //替换singleton的instance对象
            fInstance.set(singletonObj, proxyObj);

        } catch (Exception e) {
            e.printStackTrace();
        }
    }

  class MyInvoketionHandler implements InvocationHandler {

        //真正的ams对象
        Object realAmsObj;

        public MyInvoketionHandler(Object realAmsObj) {
            this.realAmsObj = realAmsObj;
        }


        @Override
        public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {

            // 拦截我们要拦截的方法
            String methodName = method.getName();
            //拦截startActivity方法 替换一个假的 意图,用来通过包管理器 检查。
            if (methodName.contains("startActivity")) {
                int len = args.length;
                // 查找startActivity 的参数
                for (int i = 0; i < len; i++) {
                    Object argsi = args[i];

                    if (argsi instanceof Intent) {
                        // 原来的意图 : 不合法的,因为没有注册此activity
                        Intent intent = (Intent) argsi;
                        ComponentName name = intent.getComponent();

                        // 创建新的假的意图
                        Intent newIntent = new Intent();
                        ComponentName newComponentName = new ComponentName(context, proxyActivityClazz);
                        // setClass 也可以
                        newIntent.setComponent(newComponentName);

                        // 用假的意图装载原来真的意图
                        newIntent.putExtra(TAG, intent);

                        // 替换真实意图
                        args[i] = newIntent;

                        return method.invoke(realAmsObj, args);
                    }

                }

            }


            return method.invoke(realAmsObj, args);
        }
    }


然后拦截系统Handler 

    /**
     * 包管理服务 验证完后 通过Activity中的handler 来发送启动新 activity 的消息。
     * 那么就在这里 把原来代理意图 再次替换回来 ,就完成了 不用清单注册 的功能。
     */
    public void hookSysHandler() {

        // 从源码可以得知  ActivityThread 是单例的
        //private static volatile ActivityThread sCurrentActivityThread;
        // 系统的handler :负责启动activity,service 等等。
        //final H mH = new H();


        try {
            Class activityThreadClass = Class.forName("android.app.ActivityThread");
            //系统handler 对象
            Field handlerField = activityThreadClass.getDeclaredField("mH");
            //ActivityThread 对象
            Field activityThreadField = activityThreadClass.getDeclaredField("sCurrentActivityThread");

            activityThreadField.setAccessible(true);
            handlerField.setAccessible(true);


            Object activityThreadInstance = activityThreadField.get(null);
            Handler sysHandlerInstance = (Handler) handlerField.get(activityThreadInstance);

            // 通过了解handler 消息的回调机制,我们让handler先回调我们的callback
            // 然后再 回调handler 的 handMessage 方法。
            Field callBackField = Handler.class.getDeclaredField("mCallback");

            callBackField.setAccessible(true);
            // 通过了解handler源码 ,知道handler的回调机制后,我们这里来拦截 handler的回调
            // 回调完成后 再 回调原来的handMessage
            // 替换系统的Handler (相当于hook 系统handler)
            callBackField.set(sysHandlerInstance, new MyCallBack(sysHandlerInstance));//拦截 handler的回调
        } catch (Exception e) {
            e.printStackTrace();
        }


    }
// 定义我们自己的handler回调
    class MyCallBack implements Handler.Callback {
        // 系统的handler
        private Handler realHandler;

        public MyCallBack(Handler realHandler) {
            this.realHandler = realHandler;
        }

        @Override
        public boolean handleMessage(Message msg) {

            int what = msg.what;
            // 在这里将意图 替换回来。
            if (what == LAUNCH_ACTIVITY) {
                //msg.obj  就是ActivityClientRecord
                // 而就是ActivityClientRecord中就包含intent,
                try {
                    Field intentField = msg.obj.getClass().getDeclaredField("intent");
                    intentField.setAccessible(true);

                    Object activityClientRecord = msg.obj;
                    Intent proxyIntent = (Intent) intentField.get(activityClientRecord);

                    Intent realIntent = proxyIntent.getParcelableExtra(TAG);
                    if (realIntent != null) {
                        proxyIntent.setComponent(realIntent.getComponent());
                    }


                    //intentField.set(activityClientRecord,);

                } catch (Exception e) {
                    e.printStackTrace();
                }
            }
            realHandler.handleMessage(msg);
            return true;
        }
    }

app启动后,在Application 中拦截。

MyApplication extends Application 

  oncreate:

  HookUtil hookUtil = new HookUtil(this, ProxyActivity.class);

        hookUtil.hookActivityManagerService();
        hookUtil.hookSysHandler();


niu0147
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hook系统的AMS服务
09-27
Hook系统的AMS服务,拦截应用启动流程
Hook机制之AMS
weixin_43254706的博客
09-21 473
Hook机制之AMS 前文提到Android的四大组件无一不与AMS相关,也许读者还有些许疑惑;这里我就挑一个例子,依据Android源码来说明,一个简单的startActivity是如何调用AMS最终通过IPC到system_server的。 不论读者是否知道,我们使用startActivity有两种形式: 直接调用Context类的startActivity方法;这种方式启动的Activity...
Hook 实战之 Hook AMS
jeanboy
10-09 4281
本文 Android 系统源码基于 9.0 我们知道新建一个 Activity 之后我们需要在 manifest 中注册,否则启动的时候就会崩溃,现在使用 Hook 的方法绕过检查来启动一个没有注册的 Activity。 如果我们不注册的话就会报下面的错误: Caused by: android.content.ActivityNotFoundException: Unable to find explicit activity class {com.jeanboy.app.hooktrainning/.
【Android Framework系列】第9章 AMSHook实现登录页跳转
Yvan
08-01 1670
本章节通过反射和动态代理对不同Android版本下AMS进行Hook,实现登录页面的跳转。
Hook AMS + APT实现集中式登录框架
Android技术之家
09-24 457
背景登录功能是App开发中一个很常见的功能,一般存在两种登录方式:1、一种是进入应用就必须先登录才能使用(如聊天类软件)。2、另一种是以游客身份使用,需要登录的时候才会去登录(如商城类软件...
Android hook AMS PMS
01-02
该资源包含了一个android平台使用代理实现的AMS和PMS的hook,大大降低了代码耦合度,具体可以参考博客:http://blog.csdn.net/column/details/13512.html
Android Hook AMS 实现统一登录
04-11
"Android Hook AMS 实现统一登录"的主题,意味着我们要探讨如何通过Hook技术来拦截并控制AMS,以此实现一种全局的、一致的登录流程。 Hook技术在Android开发中常用于对系统或第三方库的行为进行修改或增强,通常是...
Android Hook Activity 启动劫持
02-27
`Android Hook Activity 启动劫持`是一种高级技术,它允许开发者利用动态代理(Dynamic Proxy)技术来拦截并控制AMS的行为,从而在不修改系统源码的情况下,实现对Activity启动流程的监控或修改。 首先,我们需要...
基于Android P版本的AMS方式的Hook.zip
最新发布
05-10
Android是一种基于Linux内核(不包含GNU组件)的自由及开放源代码的移动操作系统,主要应用于移动设备,如智能手机和平板电脑。该系统最初由安迪·鲁宾开发,后被Google公司收购并注资,随后与多家硬件制造商、软件...
Android之Hook AMS实现集中登录管理
calm1516的专栏
03-07 595
学无止境,学以致用。 在实际开发中,需求是随着业务的发展不断变化的。以登录来说,看似简单,但随着业务性质的不同,其场景需求就会不断发生变化。 比如微信、QQ这种,他们是强登录的类型,就是在应用开启的第一步就是必须先进行登录的动作,否则无法使用后续的功能。但如淘宝、京东这类软件,用户只是先浏览商品,在加入购物车或者下订单、购买等环节才需要登录,如果这种类型的软件也做成一进来先必须要登录的话明显是不合理的。但问题也随之而来,以加入购物车为例,用户浏览完商品,点击加入购物车,发现用户未登录,那么跳转到登录页面进行
Hook简述以及Hook AMS 实现统一登录
派派的生活
04-11 1675
什么是hookhook 翻译成中文是 名词钩子、挂钩,动词 钩住的意思。 在程序中 Hook 是一种技术,也成为钩子函数。 实际上,一个处理消息的程序段,通过系统的调用,把它挂入系统。 在系统没有调用到该函数之前,钩子程序先捕获该消息,先得到控制权,然后加工处理,然后再扔给系统做后续的处理。 比如说,有一辆货车 每天从A仓库拉货(一个集装箱的苹果) 到 B 水果分发站。 我们的钩子函数...
android hook ams
weixin_42602241的博客
01-06 117
你可以通过 Android hook AMS (Activity Manager Service) 来修改 Android 系统中的活动管理行为。AMS 是 Android 系统中负责管理应用活动的组件,包括启动、停止和管理应用程序。通过 hook AMS,可以改变系统对应用程序的启动和停止行为,以及应用程序间的交互。 注意:Android hook AMS 可能会对系统造成不可预测的影响,并且可...
hook技术(三)对AMS&PMS进行Hook
我叫王菜鸟
03-12 1746
本文基于Android系统源码8.0版本进行hook 抛出问题 AMS是什么? 从启动Activity的角度看app如何和AMS交互 hook点在哪里? AMS是什么? AMS是Android框架层用来管理四大组件的管家类并且负责进程的启动消亡和优先级的调度,是Android系统的核心服务。 从启动Activity的角度看app如何和AMS交互 我们知道activity...
滴滴开源Android插件化框架VirtualAPK原理分析
热门推荐
LeBron_Six的专栏
07-08 2万+
概述 Activity 支持 Hook ActivityManagerService Hook Instrumentation 启动插件Activity Service 支持 ContentProvider 支持 Receiver 支持 小结概述滴滴出行公司的首个对外开源项目 - VirtualAPK。地址:https://github.com/didi/VirtualAPK滴滴自行研发了这款插件化
滴滴插件化框架VirtualAPK原理解析(一)之插件Activity管理
一个码农的博客
07-02 1万+
上周末,滴滴与360都开源了各自的插件化框架,Virtualapk与RePlugin,作为一个插件化方面的狂热研究者,在周末就迫不及待的下载了Virtualapk框架来进行研究,本篇博客带来的是Virtualapk原理解析的第一篇Activity管理,博客只是自己的理解,小弟才疏学浅,可能有很多理解不对的地方,欢迎各位大神指出。(看博客之前,请大家先下载Virtualapk的项目,https://g
Service Hook解析
Jack的博客
08-02 2503
4,Service Hook解析 Service/ContentProvider由于没有Activity那么复杂的启动过程,并且Activity的生命周期是由用户交互决定的, 而Service的声明周期是主动通过代码调用的。因此虽然也有替换/还原过程,但是有点不同,是采用代理分发技术。 就是启动宿主的Service/ContentProvider对象,然后管理插件的Service/Conte
Android 插件化原理解析——Hook机制之AMS&PMS
parallelyk的专栏
06-29 3110
在前面的文章中我们介绍了DroidPlugin的Hook机制,也就是代理方式和Binder Hook;插件框架通过AOP实现了插件使用和开发的透明性。在讲述DroidPlugin如何实现四大组件的插件化之前,有必要说明一下它对ActivityManagerServiche以及PackageManagerService的Hook方式(以下简称AMS,PMS)。 ActivityManagerS
反射+代理实现 API Hook(以 ActivityManager 为例)
apigfly的博客
04-12 2712
最近看Android招聘信息,发现一个自己不太会的点 hook 机制,查了一下资料,现在整理一下。特别感谢acxingyun同学提供了详细的姿势。点击地址 什么是 Hook hook 翻译过来是钩子的意思。 目的就是在事件传送到终点前截获并监控事件的传输,像个钩子钩上事件一样,并且能够在钩上事件时,处理一些自己特定的事件。而代理模式正好可以做到这种效果。 代理对象 了解了hook...
Hook技术(四)对系统启动Activity进行Hook之偷梁换柱Activity
我叫王菜鸟
03-12 2360
引出问题 我们如果要启动一个activity,我们的做法是1. 在AndroidManifest.xml中声明一个Activity 2. startActivity,如果不在AndroidManifest.xml中声明,启动activity会报错(android.content.ActivityNotFoundException)。但是我们想,我们使用插件化,按照正常的思维是不是要将插件化中的所...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值