拦截Activity的启动流程绕过AndroidManifest检测

最新推荐文章于 2023-04-24 08:02:17 发布
最新推荐文章于 2023-04-24 08:02:17 发布
阅读量1k 收藏 2
点赞数 2
分类专栏: android架构 文章标签: 拦截Activity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24675479/article/details/79334567
版权

首先非常简单启动activity

public void skip(View view){
        Intent intent=new Intent(this,TestActivity.class);
        startActivity(intent);
    }

这里TestActivity没有进行注册

HookStartActivityUtil工具封装类

public class HookStartActivityUtil {
    private String TAG = "HookStartActivityUtil";
    private Context mContext;
    private Class<?> mProxyClass;
    private final String EXTRA_ORIGIN_INTENT = "EXTRA_ORIGIN_INTENT";

    public HookStartActivityUtil(Context context, Class<?> proxyClass) {
        this.mContext = context.getApplicationContext();
        this.mProxyClass = proxyClass;
    }

    public void hookLaunchActivity() throws Exception {
        // 3.4.1 获取ActivityThread实例
        Class<?> atClass = Class.forName("android.app.ActivityThread");
        Field scatField = atClass.getDeclaredField("sCurrentActivityThread");
        scatField.setAccessible(true);
        Object sCurrentActivityThread = scatField.get(null);
        // 3.4.2 获取ActivityThread中的mH
        Field mhField = atClass.getDeclaredField("mH");
        mhField.setAccessible(true);
        Object mHandler = mhField.get(sCurrentActivityThread);
        // 3.4.3 hook  handleLaunchActivity
        // 给Handler设置CallBack回掉,也只能通过发射
        Class<?> handlerClass = Class.forName("android.os.Handler");
        Field mCallbackField = handlerClass.getDeclaredField("mCallback");
        mCallbackField.setAccessible(true);
        mCallbackField.set(mHandler, new HandlerCallBack());
    }

    private class HandlerCallBack implements Handler.Callback {

        @Override
        public boolean handleMessage(Message msg) {
            Log.e(TAG, "handleMessage");
            // 每发一个消息都会走一次这个CallBack发放
            if (msg.what == 100) {
                handleLaunchActivity(msg);
            }
            return false;
        }

        /**
         * 开始启动创建Activity拦截
         *
         * @param msg
         */
        private void handleLaunchActivity(Message msg) {
            try {
                Object record = msg.obj;
                // 1.从record 获取过安检的Intent
                Field intentField = record.getClass().getDeclaredField("intent");
                intentField.setAccessible(true);
                Intent safeIntent = (Intent) intentField.get(record);
                // 2.从safeIntent中获取原来的originIntent
                Intent originIntent = safeIntent.getParcelableExtra(EXTRA_ORIGIN_INTENT);
                // 3.重新设置回去
                if (originIntent != null) {
                    intentField.set(record, originIntent);
                }
                // 兼容AppCompatActivity报错问题
                Class<?> forName = Class.forName("android.app.ActivityThread");
                Field field = forName.getDeclaredField("sCurrentActivityThread");
                field.setAccessible(true);
                Object activityThread = field.get(null);
                // 我自己执行一次那么就会创建PackageManager,系统再获取的时候就是下面的iPackageManager
                Method getPackageManager = activityThread.getClass().getDeclaredMethod("getPackageManager");
                Object iPackageManager = getPackageManager.invoke(activityThread);
                PackageManagerHandler handler = new PackageManagerHandler(iPackageManager);

                Class<?> iPackageManagerIntercept = Class.forName("android.content.pm.IPackageManager");
                Object proxy = Proxy.newProxyInstance(Thread.currentThread().getContextClassLoader(),
                        new Class<?>[]{iPackageManagerIntercept}, handler);

                // 获取 sPackageManager 属性
                Field iPackageManagerField = activityThread.getClass().getDeclaredField("sPackageManager");
                iPackageManagerField.setAccessible(true);
                iPackageManagerField.set(activityThread, proxy);
            } catch (Exception e) {
                e.printStackTrace();
            }
        }
    }

    class PackageManagerHandler implements InvocationHandler {

        private Object mActivityManagerObject;

        public PackageManagerHandler(Object iActivityManagerObject) {
            this.mActivityManagerObject = iActivityManagerObject;
        }

        @Override
        public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
            if (method.getName().startsWith("getActivityInfo")) {
                ComponentName componentName = new ComponentName(mContext, mProxyClass);
                args[0] = componentName;
            }
            return method.invoke(mActivityManagerObject, args);
        }
    }

    public void hookStartActivity() throws Exception {
        // 3.1 获取ActivityManagerNative里面的gDefault
        Class<?> amnClass = Class.forName("android.app.ActivityManagerNative");
        // 获取属性
        Field gDefaultField = amnClass.getDeclaredField("gDefault");
        // 设置权限
        gDefaultField.setAccessible(true);
        Object gDefault = gDefaultField.get(null);

        // 3.2 获取gDefault中的mInstance属性
        Class<?> singletonClass = Class.forName("android.util.Singleton");
        Field mInstanceField = singletonClass.getDeclaredField("mInstance");
        mInstanceField.setAccessible(true);
        Object iamInstance = mInstanceField.get(gDefault);

        Class<?> iamClass = Class.forName("android.app.IActivityManager");
        iamInstance = Proxy.newProxyInstance(HookStartActivityUtil.class.getClassLoader(),
                new Class[]{iamClass},
                // InvocationHandler 必须执行者,谁去执行
                new StartActivityInvocationHandler(iamInstance));

        // 3.重新指定
        mInstanceField.set(gDefault, iamInstance);
    }


    private class StartActivityInvocationHandler implements InvocationHandler {
        // 方法执行者
        private Object mObject;

        public StartActivityInvocationHandler(Object object) {
            this.mObject = object;
        }

        @Override
        public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
            Log.e(TAG, method.getName());
            // 替换Intent,过AndroidManifest.xml检测
            if (method.getName().equals("startActivity")) {
                // 1.首先获取原来的Intent
                Intent originIntent = (Intent) args[2];

                // 2.创建一个安全的
                Intent safeIntent = new Intent(mContext, mProxyClass);
                args[2] = safeIntent;

                // 3.绑定原来的Intent
                safeIntent.putExtra(EXTRA_ORIGIN_INTENT, originIntent);
            }
            return method.invoke(mObject, args);
        }
    }


}

BaseApplication


public class BaseApplication extends Application {
    @Override
    public void onCreate() {
        super.onCreate();
        try {
            HookStartActivityUtil hookStartActivityUtil=new HookStartActivityUtil(this,ProxyActivity.class);
            hookStartActivityUtil.hookStartActivity();
            hookStartActivityUtil.hookLaunchActivity();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}
醉墨重生
关注
专栏目录
Hook技术activity启动过程中拦截(无需在androidmanifest文件注册即可使用)
leadership_2014的博客
11-03 899
这篇文章主要讲解如何利用动态代理技术Hook掉系统的AMS服务,来实现拦截Activity启动流程。代码量不是很多,为了更容易的理解,需要掌握JAVA的反射,动态代理技术,以及Activity启动流程 1、Hook的原则Android中主要是依靠分析系统源码类来做到的,首先我们得找到被Hook的对象,我称之为Hook点;什么样的对象比较好Hook呢?自然是容易找到的对象。什么样的对象容易找到?
Android 插件化开发——启动没有在ActivityManifest中声明的Activity(二)
lmq121210的博客
07-27 937
要解决这个问题,首先回顾一下启动一个新的Activity的流程: 要启动ActivityB,将要启动ActivityB信息告诉AMS; AMS收到信息后,记录下ActivityB的相关信息,同时检查Manifest中是否已经注册了ActivityB,如果一切正常,则回传消息给ActivityThread:我接收到了!你可以paused了! ActivityA进入Paused状态,再告诉AMS:...
Android插件化架构 拦截Activity启动流程绕过AndroidManifest检测
weixin_33888907的博客
12-14 293
1. 概述   了解了Java的动态代理设计模式之后,配合上一期的文章Android插件化架构 - Activity启动流程分析,那么接下来就需要亲自操刀去拦截Activity启动流程了。前面好事没少干,那么现在就来干干坏事,到底怎样才能让没有注册的Activity启动不报错呢?答案就是Hook下钩子。    2. Hook启动流程   怎么样去找Hook点是个问题,把钩子下在哪里呢?一般...
禁止从别的应用启动Activity
weixin_34395205的博客
09-16 764
Manifest.xml中设置android:exported="false"即可,如: <activity android:name=".MyAty" android:exported="false"> <intent-filter> <category android:name="android.intent.category.DEFAUL...
每一个activity都要在AndroidManifest.xml注册和字体
chivalry
09-03 6098
<activity android:name=".TabWidget" android:label="@string/app_name" android:theme="@android:style/Theme.NoTitleBar"> http:/
启动未在AndroidMainfest中声明的Activity
shouniezhe的专栏
06-16 891
对于插件化项目, 在插件包中新增一个Activity, 主包不能直接启动这个Activity, 因为这个Activity事先没有Mainfest文件中声明,会直接报Activity Not Found异常。 基本思路是: 1)App发送要启动的NextActivity信息给AMS之前,把这个Activity 替换为一个在AndroidMainfest.xml中声明的MainActivity, ...
Hook技术activity启动过程中拦截
11-03
然而,通过Hook技术,我们可以在运行时动态地创建和启动Activity绕过传统的注册流程。这在插件化开发中尤其有用,因为插件可能在主应用安装时不存在,或者为了实现动态加载和更新。 3. **Hook Activity启动过程...
Android插件化架构之Hook绕过manifest检测
qq_36523667的博客
05-16 1510
学习自https://www.jianshu.com/p/e359fafe5c29问题我们插件apk是不会进行一个安装的,那么他的manifest就不会生效,所以我们直接启动肯定是行不通的。所以我们只能隔绝掉我们主apk的manifest检测。具体思路如下只需要动态代理hook,先在AMS的startActivity的方法中的Intent中启动一个已注册的活动假扮,然后在ActivityThre...
android开发实现插件化开发,使用hook启动未注册的activity实现demo
05-11
通过hook,我们可以绕过这一限制。 以下是实现这个功能的三个核心工具类: 1. **ActivityHooker**: 这个类主要负责hook系统的ActivityManagerNative,这是Android系统管理Activity的主要接口。通过反射找到并替换`...
Android绕过微信包名限制对接微信登录和支付
郑凯希的博客
09-05 3323
Android绕过微信包名限制对接微信登录和支付前言最终效果原理代码通过 APT 生成 WXEntryActivity 文件对接微信SDKEnd 前言 Android对接微信登录和支付几乎是现在所有的商用Android APP都需要做的一个东西,不过每次开发我们都需要去新建微信官方要求的指定包名+Activity名字,这个还是有点烦的。下面我将通过 APT 封装一个可以绕过微信包名限制的微信登录和...
拦截Activity的项目
09-29
实现拦截Activity启动流程,可以做很多我们想做的事,你说呢?
Android Hook Activity 的几种姿势,android开发者工具
m0_66144992的博客
01-21 465
mToken, child.mEmbeddedID, requestCode, ar.getResultCode(), ar.getResultData()); } cancelInputsAndStartExitTransition(options); } 可以看到 startActivityFromChild 中也会调用 mInstrumentation.execStartActivity 方法。因此,即我们通过 Activity startActivity 的方法启动 activity,最终都会调用到
launchAnyWhere: Activity组件权限绕过漏洞解析
最新发布
Android技术之家
04-24 370
前言今年3月份,知名反病毒软件公司卡巴斯基实验室发布了一份关于中国电商平台拼多多的调查报告,称该平台的安装程序中含有恶意代码。这一消息引起了广泛的关注和讨论,也引发了人们对于拼多多平台安全性的担忧作为技术开发人员,我看到了PDD对安卓OEM源码中的漏洞的深入研究。了解和学习Android漏洞原理有以下几个用处:提高应用安全性:通过了解漏洞原理,开发者可以更好地了解漏洞的产生机理,进而在应用开发过程...
hook(4)实现无清单启动Activity的应用,androidui框架
m0_64319112的博客
11-23 392
#正文 ##一.整体思路 下方有两张图:表示了插件化架构中,插件单独运行,和 插件作为宿主的一部分随宿主启动的技术关键点。 如上图,如果跟随宿主一起启动,插件 apk的资源文件要能够被宿主读到,插件的 apk的 class文件也必须能够被宿主读取,实现的方式就是,让在宿主的代码中进行 hook编程,生成一个能够读取宿主以及所有插件内 class的 ClassLoader,以及 一个能够读取 宿主以及插件内所有资源的 Resource.而,实现的具体过程,就是一个融合过程. ##二.实际
activiti流程,屏蔽身份验证方法
chensuozhang0766的博客
04-28 1599
Activiti 中默认内置了用户和组管理的服务. 要想取消身份验证,需要修改两个地方 1. 修改Application.java 2. 修改application.properties @ComponentScan @EnableAutoConfiguration(e...
Android拦截 Activity启动拦截系统的 Intent)
热门推荐
有酒平步上青天
03-18 1万+
目的最近因为项目需要,我们自己定制的只能硬件里面没有系统的电话、相机、短信、浏览器等组件,如果其他 App 来发 Intent 调用的话,程序就会崩溃。要求我们做一个系统拦截拦截这些意图。有几种方法: 1.写一个 App 专门来拦截这些 Intent。(通用性比较高) 2.在源码层做拦截。(比较简单)给程序加锁360等相关程序可以给我们装上的应用程序加锁,也就是我们在点开某个应用程序的时候,会
Android Activity---使用Intent过滤器
FireOfStar的专栏
02-12 2088
元素中也能使用元素来指定各种Intent过滤器,以便声明其他应用程序组件可以怎样激活它。   当你使用AndroidSDK工具创建一个新的应用程序是,自动创建的那个Activity包含了一个声明Activity响应“Main”动作的Intent过滤器,并且这个过滤器被放在“Launcher”分类中。过滤器声明如下:
Android App启动流程
追风筝的吃货,汪~
02-28 3191
前言在使用Android手机时,我们总会启动各种各样的App以满足生活的各种需求,你是否想过,我们是怎样启动这些APP的?今天我将带着读者一起探索在Android系统中,一个App是如何被启动的。在开始分析之前,我们先回想下启动一个App的流程:Android系统桌面->点击应用图标->启动App从这个过程来看,只要弄明白: Android系统桌面是什么 点击应用图标后Android系统执行了什么操
Android登录拦截的常见-基本的Intent的实现
m0_64420071的博客
08-21 742
关于App实现登录的拦截再执行逻辑,我已经出了几篇方案了,有些同学可能会问,你整的一些花里胡哨的有啥用,原生的Intent就能实现这些功能,我都是这么用的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值