插件化(二)

最新推荐文章于 2024-05-09 20:14:28 发布
最新推荐文章于 2024-05-09 20:14:28 发布
阅读量106 收藏
点赞数
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30621333/article/details/115375889
版权

宿主启动插件的Activity
Activity 是需要在清单文件中注册的,显然,插件的 Activity 没有在宿主的清单文件中注册,那我们如何来启动它
呢?
这里我们就需要使用 Hook 技术,来绕开系统的检测。可能有些同学不知道 Hook 是什么,所以我们先简单的介绍
下 Hook 技术。
Hook
正常情况下对象A调用对象B,对象B处理后将数据返回给对象A,如下图:

而加入Hook后的流程就变成了下图形式:

Hook可以是一个方法或者一个对象,它就像一个钩子一样挂在对象B上面,当对象A调用对象B之前,Hook可以做
一些处理,起到“欺上瞒下”的作用。而对象B就是我们常说的Hook点。为了保证Hook的稳定性,Hook点一般选择
容易找到并且不易变化的对象,如静态变量和单例。
那么思路就来了,首先我们在宿主里面创建一个 ProxyActivity 继承自 Activity,并且在清单中注册。当启动插件
Activity 的时候,在系统检测前,找到一个Hook点,然后通过 Hook 将插件 Activity 替换成 ProxyActivity,等到检
测完了后,再找一个Hook点,使用 Hook 将它们换回来,这样就实现了插件 Activity 的启动。思路是不是非常的
简单。
如何查找 Hook 点呢?这就需要我们了解 Activity 的启动流程了。

Activity的启动流程
首先我们来看一张 Activity 启动流程的简单示意图,如下:

通过这张图我们可以确定 Hook 点的大致位置。
1. 在进入 AMS 之前,找到一个 Hook 点,用来将插件 Activity 替换为 ProxyActivity。
2. 从 AMS 出来后,再找一个 Hook 点,用来将 ProxyActivity 替换为插件 Activity。
在看源码之前,我们再想一个问题,看源码是要找什么东西作为 Hook 点呢?

我们在项目中一般通过  startActivity(new Intent(this,PluginActivity.class)); 启动 PluginActivity,如果我
想换成启动 ProxyActivity,调用方法  startActivity(new Intent(this,ProxyActivity.class)); 这样就可以了。
是不是已经知道答案了!!!没错,我们只要找到能够修改 Intent 的地方,就可以作为 Hook 点,从这儿也可以
看出 Hook 点并不是唯一的。
好的,下面我们进入源码

// android/app/Activity.java
@Override
public void startActivity(Intent intent) {
this.startActivity(intent, null);
}
@Override
public void startActivity(Intent intent, @Nullable Bundle options) {
startActivityForResult(intent, -1, options);
}
public void startActivityForResult(@RequiresPermission Intent intent, int requestCode,
@Nullable Bundle options) {
Instrumentation.ActivityResult ar = mInstrumentation.execStartActivity(
this, mMainThread.getApplicationThread(), mToken, this,
intent, requestCode, options);
}
// android/app/Instrumentation.java
public ActivityResult execStartActivity(
Context who, IBinder contextThread, IBinder token, Activity target,
Intent intent, int requestCode, Bundle options) {
// 这儿就是我们的 Hook 点,替换传入 startActivity 方法中的 intent 参数
int result = ActivityManager.getService()
.startActivity(whoThread, who.getBasePackageName(), intent,
intent.resolveTypeIfNeeded(who.getContentResolver()),
token, target != null ? target.mEmbeddedID : null,
requestCode, 0, null, options);
}

既然 Hook 点找到了,那我们怎么修改呢?
答案是动态代理,所以我们要生成一个代理对象,显然,我们要代理的是  ActivityManager.getService() 返回的
对象。
那下面我们就来看下它返回的是什么?
首先我们看下  ActivityManager.getService() 返回的是一个什么类的对象

// android/app/ActivityManager.java
public static IActivityManager getService() {
return IActivityManagerSingleton.get();
}

可以看到,它返回的是 IActivityManager 类的对象。下面我们就生成代理对象,并且当执行的方法是 startActivity
的时候,替换它的参数 intent。代码如下:

Object mInstanceProxy = Proxy.newProxyInstance(Thread.currentThread().getContextClassLoader(),
new Class[]{iActivityManagerClass}, new InvocationHandler() {
@Override
public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
// 当执行的方法是 startActivity 时作处理
if ("startActivity".equals(method.getName())) {
int index = 0;
// 获取 Intent 参数在 args 数组中的index值
for (int i = 0; i < args.length; i++) {
if (args[i] instanceof Intent) {
index = i;
break;
}
}
// 得到原始的 Intent 对象 -- 唐僧(插件)的Intent
Intent intent = (Intent) args[index];
// 生成代理proxyIntent -- 孙悟空(代理)的Intent
Intent proxyIntent = new Intent();
proxyIntent.setClassName("com.enjoy.pluginactivity",
ProxyActivity.class.getName());
// 保存原始的Intent对象
proxyIntent.putExtra(TARGET_INTENT, intent);
// 使用proxyIntent替换数组中的Intent
args[index] = proxyIntent;
}
return method.invoke(mInstance, args);
}
});

接着我们再使用反射将系统中的 IActivityManager 对象替换为我们的代理对象 mInstanceProxy。那如何替换了?
我们接着看源码。

// android/app/ActivityManager.java
public static IActivityManager getService() {
return IActivityManagerSingleton.get();
}
private static final Singleton<IActivityManager> IActivityManagerSingleton =
new Singleton<IActivityManager>() {
@Override
protected IActivityManager create() {
final IBinder b = ServiceManager.getService(Context.ACTIVITY_SERVICE);
final IActivityManager am = IActivityManager.Stub.asInterface(b);
return am;
}
};

通过上面的代码,我们知道 IActivityManager 是调用的 Singleton 里面的 get 方法,所以下面我们再看下
Singleton 是怎么样的。

// android/util/Singleton
public abstract class Singleton<T> {
private T mInstance;
protected abstract T create();
public final T get() {
synchronized (this) {
if (mInstance == null) {
mInstance = create();
}
return mInstance;
}
}
}

可以看出,IActivityManagerSingleton.get() 返回的实际上就是 mInstance 对象。所以接下来我们要替换的就是这
个对象。代码如下:

// 获取 Singleton<T> 类的对象
Class<?> clazz = Class.forName("android.app.ActivityManager");
Field singletonField = clazz.getDeclaredField("IActivityManagerSingleton");
singletonField.setAccessible(true);
Object singleton = singletonField.get(null);
// 获取 mInstance 对象
Class<?> singletonClass = Class.forName("android.util.Singleton");
Field mInstanceField = singletonClass.getDeclaredField("mInstance");
mInstanceField.setAccessible(true);
final Object mInstance = mInstanceField.get(singleton);
// 使用代理对象替换原有的 mInstance 对象
mInstanceField.set(singleton, mInstanceProxy);

到这儿我们的第一步就实现了,接着我们来实现第二步,在出来的时候,将它们换回去。
还记得前面那张图吗?在出来的时候,会调用 Handler 的 handleMessage,所以下面我们看下 Handler 的源码。

public void handleMessage(Message msg) {
}
public void dispatchMessage(Message msg) {
if (msg.callback != null) {
handleCallback(msg);
} else {
if (mCallback != null) {
if (mCallback.handleMessage(msg)) {
return;
}
}
handleMessage(msg);
}
}

当 mCallback != null 时,首先会执行 mCallback.handleMessage(msg),再执行 handleMessage(msg),所以我
们可以将 mCallback 作为 Hook 点,创建它。ok,现在问题就只剩一个了,就是找到含有 intent 的对象,没办
法,只能接着看源码。

// android/app/ActivityThread.java
public void handleMessage(Message msg) {
switch (msg.what) {
case LAUNCH_ACTIVITY: {
final ActivityClientRecord r = (ActivityClientRecord) msg.obj;
handleLaunchActivity(r, null, "LAUNCH_ACTIVITY");
} break;
}
}
static final class ActivityClientRecord {
Intent intent;
}

可以看到,在 ActivityClientRecord 类中,刚好就有个 intent,而且这个类的对象,我们也可以获取到,就是
msg.obj。接下来就简单了,实现代码如下,如果有兴趣的同学也可从 handleLaunchActivity 方法一路跟下去,看
看 ActivityClientRecord 的 intent 到底在哪使用的,这儿我们就不赘叙了。

// 获取 ActivityThread 类的 对象
Class<?> clazz = Class.forName("android.app.ActivityThread");
Field activityThreadField = clazz.getDeclaredField("sCurrentActivityThread");
activityThreadField.setAccessible(true);
Object activityThread = activityThreadField.get(null);
// 获取 Handler 对象
Field mHField = clazz.getDeclaredField("mH");
mHField.setAccessible(true);
final Handler mH = (Handler) mHField.get(activityThread);
// 设置 Callback 的值
Field mCallbackField = Handler.class.getDeclaredField("mCallback");
mCallbackField.setAccessible(true);
mCallbackField.set(mH, new Handler.Callback() {
@Override
public boolean handleMessage(Message msg) {
switch (msg.what) {
case 100:
try {
// 获取 proxyIntent
Field intentField = msg.obj.getClass().getDeclaredField("intent");
intentField.setAccessible(true);
Intent proxyIntent = (Intent) intentField.get(msg.obj);
// 目标 intent 替换 proxyIntent
Intent intent = proxyIntent.getParcelableExtra(TARGET_INTENT);
proxyIntent.setComponent(intent.getComponent());
} catch (Exception e) {
e.printStackTrace();
}
break;
}
return false;
}
});

总结
插件化涉及的技术其实是非常多的,比如应用程序启动流程、四大组件启动流程、AMS原理、PMS原理、
ClassLoader原理、Binder机制,动态代理等等。

里昂007
关注
SpringBoot 插件开发详细总结
congge
06-12 9120
SpringBoot 插件开发方案总结
android Hook IActivityManager和IActivityTaskManager
xiaobaaidaba123的专栏
08-07 1658
public class HookManager { private static final String TAG = "HookManager"; public static void hookActivityManager(){ if(Build.VERSION.SDK_INT > Build.VERSION_CODES.P){ hookIActivityTaskManager(); }else{ .
按键精灵、autojs、冰狐智能辅助到底该如何选择?
最新发布
m0_62259629的博客
05-09 2410
按键精灵代表了比较早期的使用root解决方案的自动脚本平台,autojs代表了使用js和无障碍功能实现的自动脚本平台,冰狐智能辅助代表了最新的功能强大的自动脚本平台。按键精灵这类比较早,知道的人多,但功能相对比较弱,现在使用的人越来越少了,autojs以前非常流行,但最近被政府封杀了,官网也打不开了。注意:冰狐智能辅助的在线开发调试功能非常强大,自带智能提示等各种本地ide有的特性,功能比一般的本地ide还要强大。对于程序员,冰狐智能辅助可以使用js来编写强大的自动脚本。
自动脚本:冰狐智能辅助实现高效运营
m0_62259629的博客
12-12 494
通过数据处理与分析、业务流程优、客户关怀与服务、安全监控与防护以及跨平台集成与协同等方面的应用场景,我们可以看到自动脚本在提高企业运营效率方面具有巨大潜力。例如,某电商企业使用冰狐智能编写自动脚本,定期抓取销售数据、用户行为数据等,进行深入分析,为制定营销策略提供数据依据。通过编写自动脚本来实现业务流程的自动,企业可以大幅提高工作效率,减少人为错误,降低运营成本。冰狐智能是一款先进的自动工具,它提供了丰富的功能,帮助企业快速实现自动脚本的开发和部署。、冰狐智能辅助实现自动脚本。
冰狐智能辅助相对按键精灵的优势有哪些
m0_62259629的博客
04-21 679
同时,冰狐智能辅助还提供模块管理,屏蔽了原生API中不稳定的部分,为开发者提供了更高效、更丰富、可用性更高的API。此外,冰狐智能辅助的开发门槛相对较低,开发者无需具备Android和后端编程基础,甚至没有任何编程基础的用户也可以轻松制作辅助功能。此外,冰狐智能辅助还支持通过“搭积木”、配置参数的方式构建辅助脚本,使得不会编程的用户也能够轻松制作辅助功能。综上所述,冰狐智能辅助在开发效率、易用性、功能丰富性、扩展性、用户体验、设备管理、应用场景和定制等方面相对于按键精灵具备显著优势。
冰狐智能辅助入门教程
m0_62259629的博客
08-19 6280
冰狐智能辅助是一个实现 app自动的开发平台(类似autojs,但又比autojs强大太多),开发语言为js,也可以不编写任何代码仅通过配置参数来实现app自动。最近好多人问我关于冰狐智能辅助的各种问题,我发现根本原因在于大家不了解冰狐智能辅助所以疑问才多,今天我就专门写篇文章介绍下如何快速了解和入门冰狐智能辅助。很多人一开始就产生各种疑惑,主要原因是不了解冰狐智能辅助到底是个什么样的工具。可以说冰狐智能辅助是一个完全基于web的app,其ui和业务逻辑完全是在线的,即:线上修改,并立即生效。
ThinkPHP微信插件次开发
07-27
ThinkPHP微信插件次开发
插件助手 】 JsonVue:谷歌浏览器json格式插件
02-24
使用JsonVue,开发者无需将JSON数据复制到其他工具中进行次格式,直接在浏览器中即可完成分析,大大提高了开发效率。 轻量级与高效:JsonVue插件体积小巧,安装后不会占用过多浏览器资源,同时其格式功能快速...
Android插件之资源动态加载
01-05
Android插件之资源动态加载 一.概述 Android插件的一个重要问题就是插件资源访问问题,先列出会面对的问题 1.如何加载插件资源 2.如何处理插件资源与宿主资源的处突:插件资源问题要做到的效果是,如果我们...
破析冰狐智能辅助脚本平台的使用流程
jcgu的专栏
06-06 1186
设备登录后默认为发布模式,可以多次连续点击手机端APP中的"头像"即可切换为调试模式,切换成功后标题右边显示"prod-dev",再次连续多次点击"头像"可以切换为发布模式。用户默认脚本设置:「管理中心」/「账户信息」修改"默认脚本"选项;设备默认脚本设置:【移动端】/【我的设备】点击设备"编辑"按钮,修改"默认脚本"选项。在网页端【移动端】/【移动端脚本】中选中某个脚本,点击"执行"按钮,然后选择设备执行。在网页端【移动端】/【移动端脚本】中选中某个脚本,点击"发布"按钮,即可将调试版本同步到发布版。
autojs与冰狐智能辅助的优缺点
m0_62259629的博客
06-08 4227
最近几年软件自动比较火热,比如:pc端的流程自动,移动端的app自动等。本质上都是为了降低成本,提高工作效率。说到app自动就不得不提具有代表性的autojs和冰狐智能辅助,典型的两种不同的自动实现方案。下面分别分析下两者的优缺点,供大家选择时参考。 autojs autojs出来的比较早,相信不少同学都用过,其核心就是把Android的java辅助api翻译成js描述的api,让不会android的同学能快速上手编写辅助功能。 autojs的优点 1.出来的比较早,有先发优势,用户量相对
使用冰狐智能辅助实现抖音自动阅读做任务
weixin_70222724的博客
05-18 1515
目前抖音是最时髦的一种短视频app,用户量很大,下面的js脚本是基于冰狐智能辅助实现的自动阅读看视频,自动做任务,非常简单实用,现分享给大家,有什么疑问欢迎评论区给出来。
冰狐智能辅助和按键精灵如何选择?
m0_62259629的博客
04-21 411
综上所述,如果你需要编写复杂的自动脚本,对开发效率和功能丰富性有较高要求,或者希望实现高度定制的自动功能,那么冰狐智能辅助可能是一个更好的选择。而如果你对自动工具的使用经验较少,或者只需要实现一些简单的自动任务,那么按键精灵可能更适合你。在编写自动脚本时,选择冰狐智能辅助还是按键精灵,主要取决于具体的需求、使用场景以及个人或团队的技能水平。:冰狐智能辅助提供了强大的在线设备管理和调试功能,可以实时查看设备状态和任务状态,便于开发者进行问题排查和管理。
编程老手如何在autojs和冰狐智能辅助之间选择?
m0_62259629的博客
08-08 1354
通过以上分析,使用冰狐智能辅助开发该项目,仅需要编写移动端脚本来实现发私信功能即可。而使用autojs开发该项目,除了需要编写移动端脚本来实现发私信功能外,还需要额外开发大量后端服务来实现项目。所以相比较而言,显而易见冰狐智能辅助是实现app自动的最好选择。...
使用冰狐智能辅助脚本实现自动阅读51cto
weixin_70222724的博客
05-18 946
废话少说,直接代码,下面js脚本是基于冰狐智能辅助的,实现了自动阅读51cto文章,供大家参数。
使用冰狐智能辅助实现OCR(文字识别)
jcgu的专栏
06-14 425
返回值为数组,里面存放识别到的文本和对应的区域,区域格式为[left, top, width, height](相对屏幕的坐标,不是相对识别区域的坐标)例:[{text:'a', region:[11, 23, 10, 50]}, {text:'b', region:[111, 231, 50, 20]}]。如果有文字的话此时就可以使用OCR来实现,典型的场景,比如有的app没有标准控件或者使用其他方式渲染的ui,甚至整个页面就是一张图片,此时就可以使用OCR来实现。2.调用ocr相关api实现文字识别。
使用冰狐智能辅助实现找图(findImage)
jcgu的专栏
06-13 1018
我们在编写自动脚本过程中,经常会发现,一个控件即没有text也没有id,有时甚至连控件也没有,可能就是一张图片。如果要点击的话如何实现呢,此时就可以使用找图来实现,典型的场景,比如做游戏辅助过程中,游戏界面一般没有标准控件,全部是图片,此时就可以使用找图来实现。在当前UI界面中寻找指定的图片,返回找到图片的左上角坐标point,用point.x和point.y表示(屏幕坐标),若找不到图,则返回的坐标为负值比如:(-1, -1)。2.调用findImage来实现找图功能。
冰狐智能辅助相对触动精灵的优势有哪些?
m0_62259629的博客
04-24 529
在成本方面,冰狐智能辅助提供了免费的基础功能,如js脚本的使用等,降低了用户的入门成本。对于需要更多高级功能的用户,冰狐智能辅助也提供了合理的付费选项,确保用户能够根据自己的需求和经济状况进行选择。此外,冰狐智能辅助还提供强大的调试功能,用户无需连接手机和电脑,即可实现远程调试,大大提高了开发效率。在稳定性方面,冰狐智能辅助经过严格的测试和优,确保了其在高负载和长时间运行下的稳定性。同时,冰狐智能辅助的开发团队也致力于产品的持续更新和优,不断引入新的功能和改进现有功能,以满足用户不断变的需求。
JavaScript插件开发:重构与优
"JavaScript插件开发教程()" 在JavaScript插件开发中,jQuery是最常用的库之一,因为它提供了便利的DOM操作和事件处理功能。然而,随着技术的发展,有时项目可能需要更换技术栈,不再依赖jQuery,这就提出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值