Activity Hook

最新推荐文章于 2022-01-19 13:19:12 发布
最新推荐文章于 2022-01-19 13:19:12 发布
阅读量606 收藏
点赞数
分类专栏: ---【DroidPlugin框架分析】 文章标签: android DroidPlugin
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012439416/article/details/76391729
版权

1, Activity Hook

Activity,Service等组件是有生命周期的,它们统一由系统服务AMS管理;

Activity的详细启动流程在此就不论述了。主要步骤如下,

1, 从App进程调用startActivity等一系列方法;

2, 通过IPC调用进入系统进程system_server,完成Activity管理以及一些校检工作;

3, 回到APP进程完成真正的Activioty对象创建。

Hook Activity有2个问题需要解决,

1,必须在AndroidManifest.xml中显式声明要启动的Activity;

2,Activity 生命周期的管理

问题2随着问题的解决也跟着解决了,所以主要是问题1.

问题1的解决方案如下:

首先在步骤1中假装启动一个已经在AndroidManifest.xml里面声明过的替身Activity,然后让这个Activity进入AMS

进程接受检验;最后在第三步的时候换成真正需要启动的Activity;这样就成功欺骗了AMS进程,达到Hook的目的。

这一过程简称为穿马甲和脱马甲。

1.1 注册

AndroidManifest.xml里面的确注册了大量的空的activity

<activity
     android:name=".stub.ActivityStub$P00$Standard00"
     android:allowTaskReparenting="true"
     android:excludeFromRecents="true"
     android:exported="false"
     android:hardwareAccelerated="true"
     android:label="@string/stub_name_activity"
     android:launchMode="standard"
     android:noHistory="true"
     android:theme="@style/DroidPluginTheme">
     <intent-filter>
             <action android:name="android.intent.action.MAIN" />
             <category android:name="com.morgoo.droidplugin.category.PROXY_STUB" />
     </intent-filter>
     <meta-data
             android:name="com.morgoo.droidplugin.ACTIVITY_STUB_INDEX"
             android:value="0" />
</activity>
•••

这些类在ActivityStub中实现如下,

public static class P00{
public static class SingleInstance00 extends SingleInstanceStub {
     }
public static class SingleTask00 extends SingleTaskStub {
     }
•••

完全就是一些空类。

1.2 使用替身Activity绕过AMS

在AMS章节论述过, 调用AMS的startActivity方法其实是调用startActivity的beforeInvoke方法。

IactivityManagerHookHandle的内部类startActivity的beforeInvoke方法如下,

RunningActivities.beforeStartActivity();
boolean bRet = true;
if (Build.VERSION.SDK_INT < Build.VERSION_CODES.JELLY_BEAN_MR2) {
bRet = doReplaceIntentForStartActivityAPILow(args);
} else {
     bRet = doReplaceIntentForStartActivityAPIHigh(args);
     •••

1,判断是否有可用的activity, 预先占坑的stub activity数量是有限的,如果没有的话得腾出一个来。

RunningActivities的beforeStartActivity如下,

public static void beforeStartActivity() {
   synchronized (mRunningActivityList) {
   for (RunningActivityRecord record : mRunningActivityList.values()) {
        if (record.stubActivityInfo.launchMode == ActivityInfo.LAUNCH_MULTIPLE) {
             continue;
        }else if (record.stubActivityInfo.launchMode == ActivityInfo.LAUNCH_SINGLE_TOP) {
             doFinshIt(mRunningSingleTopActivityList);
        }else if (record.stubActivityInfo.launchMode == ActivityInfo.LAUNCH_SINGLE_TASK) {
              doFinshIt(mRunningSingleTopActivityList);
         }else if (record.stubActivityInfo.launchMode == ActivityInfo.LAUNCH_SINGLE_INSTANCE) {
              doFinshIt(mRunningSingleTopActivityList);
          }
      }
  }
}

可以看到,除了MULTIPLE启动模式的activity record,其余的都会调用doFinshIt()方法。

doFinshIt方法如下,

private static void doFinshIt(Map<Integer, RunningActivityRecord> runningActivityList) {
    if (runningActivityList != null && runningActivityList.size() >= PluginManager.STUB_NO_ACTIVITY_MAX_NUM - 1) {
    List<RunningActivityRecord> activitys = new ArrayList<>(runningActivityList.size());
        activitys.addAll(runningActivityList.values());
        Collections.sort(activitys, sRunningActivityRecordComparator);
        RunningActivityRecord record = activitys.get(0);
        if (record.activity != null && !record.activity.isFinishing()) {
            record.activity.finish();
        }
    }
}

2,根据android版本调用不同的方法, doReplaceIntentForStartActivityAPIHigh方法主要逻辑如下,

A,从参数列表里获取intent参数

int intentOfArgIndex = findFirstIntentIndexInArgs(args);

B, 通过intent获取待启动的ActivityInfo

ActivityInfo activityInfo = resolveActivity(intent);

C, 调用selectProxyActivity()选出一个合适的stub activity,主要是根据launch mode还有theme进行判断。

ComponentName component = selectProxyActivity(intent);

D, 创建一个新的intent,其component指向选出来的stub activity,flags和原始intent相同,

同时将原始的intent作为一个EXTRA_TARGET_INTENT参数设置到这个新的intent里面.

Intent newIntent = new Intent();
try {
    ClassLoader pluginClassLoader = PluginProcessManager.getPluginClassLoader(component.getPackageName());
    setIntentClassLoader(newIntent, pluginClassLoader);
  } catch (Exception e) {
     Log.w(TAG, "Set Class Loader to new Intent fail", e);
 }
newIntent.setComponent(component);
newIntent.putExtra(Env.EXTRA_TARGET_INTENT, intent);//这里是真是的intent
newIntent.setFlags(intent.getFlags());

E,最后,如果是宿主程序启动的插件,加上FLAG_ACTIVITY_NEW_TASK在一个新的task中启动插件

if (TextUtils.equals(mHostContext.getPackageName(), callingPackage)) {
      newIntent.addFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
      •••

到此,一个假intent就包装完成了,这个假的intent是AndroidManifest.xml里面已经注册过的,因此可以通过AMS的检验。

1.3 恢复真身

在第三步的过程中, AMS进程转移到App进程也是通过Binder调用完成的,承载这个功能的Binder对象是IApplicationThread;

在App进程它是Server端,在Server端接受Binder远程调用的是Binder线程池,Binder线程池通过Handler将消息转发给App的主线程;

详细的hook点说明过程请看http://blog.csdn.net/u012439416/article/details/70666659

总之,需要把ActivityThread里面处理消息的Handler类H的的mCallback 变量Hook为自定义callback类的对象。

1.3.1 callback Hook

Hook的步骤如下,

HookFactory的installHook方法中有关Hook callback的代码如下,

installHook(new PluginCallbackHook(context), classLoader);

PluginCallbackHook相对于前面的Hook方法有些不同。这是Hook一个callback对象。

PluginCallbackHook的createHookHandle返回的结果为null

protected BaseHookHandle createHookHandle() {
    return null;
}

PluginCallbackHook的onInstall主要逻辑如下,

1,获取到当前的ActivityThread对象  

Object target = ActivityThreadCompat.currentActivityThread();
Class ActivityThreadClass = ActivityThreadCompat.activityThreadClass();

2,获取ActivityThread对象的mH变量,也就是H对象(主线程,一个进程中仅有一个)

Field mHField = FieldUtils.getField(ActivityThreadClass, "mH");
Handler handler = (Handler) FieldUtils.readField(mHField, target);

3,获取H的mCallback变量,

Field mCallbackField = FieldUtils.getField(Handler.class, "mCallback");
//*这里读取出旧的callback并处理*/
Object mCallback = FieldUtils.readField(mCallbackField, handler);

4,构造PluginCallback对象,

PluginCallback value = mCallback != null ? new PluginCallback(mHostContext, handler, (Handler.Callback) mCallback) : new PluginCallback(mHostContext, handler, null);
value.setEnable(isEnable());

5,将H的mCallback变量设置为PluginCallback。

mCallbacks.add(value);//将PluginCallback对象添加到mCallbacks  ArrayList中
FieldUtils.writeField(mCallbackField, handler, value);

1.3.2 获取intent

PluginCallback的定义如下,

public class PluginCallback implements Handler.Callback {

handleMessage方法有关LAUNCH_ACTIVITY消息处理如下,

if (msg.what == LAUNCH_ACTIVITY) {
    return handleLaunchActivity(msg);
}

这样,当AMS检查完启动Activity时,会调用PluginCallback的handleMessage方法,在此就可以把替身恢复成真身。

handleLaunchActivity方法的主要逻辑如下,

1, 从Message的obj字段里取出intent,注意这里是AMS返回过来的之前创建的那个假intent,然后从其

EXTRA_TARGET_INTENT字段里取出原始intent

Object obj = msg.obj;
Intent stubIntent = (Intent) FieldUtils.readField(obj, "intent");
//ActivityInfo activityInfo = (ActivityInfo) FieldUtils.readField(obj, "activityInfo", true);
stubIntent.setExtrasClassLoader(mHostContext.getClassLoader());
Intent targetIntent = stubIntent.getParcelableExtra(Env.EXTRA_TARGET_INTENT);

2, 根据原始intent解析出ComponentName和ActivityInfo

ComponentName targetComponentName = targetIntent.resolveActivity(mHostContext.getPackageManager());
ActivityInfo targetActivityInfo = PluginManager.getInstance().getActivityInfo(targetComponentName, 0);
if (targetActivityInfo != null) {
if (targetComponentName != null && targetComponentName.getClassName().startsWith(".")) {
                        targetIntent.setClassName(targetComponentName.getPackageName(), targetComponentName.getPackageName() + targetComponentName.getClassName());
    }

3, 把这个原始intent以及解析出来的ActivityInfo重新写回Message中,这样后续的处理中就会用这个原始的intent了。

Intent newTargetIntent = new Intent();
newTargetIntent.setComponent(targetIntent.getComponent());
newTargetIntent.putExtra(Env.EXTRA_TARGET_INFO, targetActivityInfo);
if (stubActivityInfo != null) {
     newTargetIntent.putExtra(Env.EXTRA_STUB_INFO, stubActivityInfo);
}
FieldUtils.writeDeclaredField(msg.obj, "intent", newTargetIntent);

这样,最后真正启动的是未在AndroidManifest.xml中显式声明要启动的Activity。

Achillisjack
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android开发;Activity-Hook你了解多少?一起来debug
m0_57081562的博客
06-13 207
享学课堂特邀作者:周周 转载请声明出处! 前言 手把手讲解系列文章,是我写给各位看官,也是写给我自己的。文章可能过分详细,但是这是为了帮助到尽量多的人,毕竟工作5,6年,不能老吸血,也到了回馈开源的时候。 这个系列的文章: 1、用通俗易懂的讲解方式,讲解一门技术的实用价值 2、详细书写源码的追踪,源码截图,绘制类的结构图,尽量详细地解释原理的探索过程 3、提供Github 的 可运行的Demo工程,但是我所提供代码,更多是提供思路,抛砖引玉,请酌情cv 4、集合整理原理探索过程中的一些坑,或者demo.
Android Hook Activity 的几种姿势
最新发布
2401_84132479的博客
04-14 558
*其实上面说了这么多,钱是永远赚不完的,在这个知识付费的时代,知识技能提升才是是根本!我作为一名8年的高级工程师,知识技能已经学习的差不多。**在看这篇文章的可能有刚刚入门,刚刚开始工作,或者大佬级人物。像刚刚开始学Android开发小白想要快速提升自己,最快捷的方式,就是有人可以带着你一起分析,这样学习起来最为高效,所以这里分享一套高手学习的源码和框架视频等精品Android架构师教程,保证你学了以后保证薪资上升一个台阶。这么重要的事情说三遍啦!
Activity Hook解析
Jack的博客
08-02 1048
3, Activity Hook解析 VirtualAPK框架中的Activity Hook主要包括以下步骤: 1,穿马甲(替换)过程 2,脱马甲(还原) 为什么有这些过程,因为组件需要在AndroidManifest中注册的,而插件apk中的组件是不可能预先知晓名字, 提前注册中宿主apk中的,所以首先替换成在AndroidManifest中注册的组件,在system_server进程
Android插件化开发之Hook StartActivity方法
热门推荐
码莎拉蒂
11-18 1万+
第一步、先爆项目demo照片,代码不多,不要怕 第二步、应该知道Java反射相关知识 如果不知道或者忘记的小伙伴请猛搓这里,Android插件化开发基础之Java反射机制研究 http://blog.csdn.net/u011068702/article/details/49863931 第三步、应该知道Java静态代理知识 如果不知道或者忘记的小伙伴请猛搓这
Hook技术之Hook Activity
weixin_33842304的博客
02-17 334
一、Hook技术概述 Hook技术的核心实际上是动态分析技术,动态分析是指在程序运行时对程序进行调试的技术。众所周知,Android系统的代码和回调是按照一定的顺序执行的,这里举一个简单的例子,如图所示。 对象A调用类对象B,对象B处理后将数据回调给对象A。接下来看看采用Hook的调用流程,如下图: 上图中的Hook可以是一个方法或者一个对象,它就想一个钩子一样,始终连着AB,在AB之间互传...
Hook技术之hookActivity(android 9.0)
weixin_45365889的博客
11-01 1535
1.前言 本文大部分内容来自于《android进阶解密》这本书,不同的是书中实现的是android9.0之前的hook,在android9.0中,activity的启动过程会有些不同,因此本文主要是讲解9.0的hook. 2.activiy启动流程的不同之处 1.简要分析不同之处 在android9.0中,采用handler机制启动activity时,消息标识变为了EXECUTE_TRAN...
Hook StartActivity Demo
11-17
本"Hook StartActivity Demo"是一个实例,展示了如何通过Hook技术来监控或控制Android应用中的`StartActivity`过程。 `StartActivity`是Android应用程序中最常见的操作之一,它用于启动一个新的Activity。当用户...
Android Hook Activity 启动劫持
02-27
`Android Hook Activity 启动劫持`是一种高级技术,它允许开发者利用动态代理(Dynamic Proxy)技术来拦截并控制AMS的行为,从而在不修改系统源码的情况下,实现对Activity启动流程的监控或修改。 首先,我们需要...
hook_startActivity.zip
12-29
本示例"hook_startActivity.zip"主要展示了如何利用Xposed框架来Hook系统的`startActivity`方法。Xposed是一个在Android运行时(Runtime)对系统进行修改的强大框架,它允许开发者在系统调用层面进行插桩...
Hook技术activity启动过程中拦截
11-03
在本主题中,我们将深入探讨如何在Activity启动过程中利用Hook技术进行拦截,以及这种技术在Android插件化开发中的应用。 首先,理解Activity的启动过程是至关重要的。在Android中,当一个Activity被启动时,系统会...
Hook 插件化框架 ( 插件包管理 | Hook Activity 启动流程 | Hook 插件包资源加载 )
08-12
Android 插件化】Hook 插件化框架总结 ( 插件包管理 | Hook Activity 启动流程 | Hook 插件包资源加载 ) https://hanshuliang.blog.csdn.net/article/details/119647811
AndroidAndroid插件开发 —— 打开插件的ActivityHook系统方法)
木质的旋律
09-14 3061
Android打开插件中Activity的实现原理摘要Android打开插件Activity的方式有很多种,类名固定的可以使用预注册的方式。代理也是一种很好的方式,同时代理的方式也可以用于打开插件中的Service。这两种方式在之前的博客中都有分享: 预注册的方式打开插件Activity:http://blog.csdn.net/h28496/article/details/4996650
Activity 插件化-Hook Activity
hongxue8888的博客
08-09 2980
文章目录1 Hook IActivityManager 方案实现2 Hook Instrumentation 方案实现 四大组件的插件化是插件化技术的核心知识点,而 Activity 插件化更是重中之重,Activity 插件化主要有 3 种实现方式,分别是反射实现、接口实现和 Hook 技术实现。反射实现会对性能有所影响,主流的插件化框架没有采用此方式,关于接口实现可以阅读dynamic-loa...
Android 插件化】Hook 插件化框架 ( Hook Activity 启动过程 | 静态代理 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
06-17 1364
一、分析 Activity 启动源码、 1、源码分析、 2、涉及到的 Activity 相关代码、 二、Hook Activity 启动过程、 1、分析相关 类 / 成员 / 方法 结构、 2、反射获取 Activity 中的 Instrumentation mInstrumentation 成员字段、 3、获取成员字段值、 4、设置成员字段值、 5、代理类开发、 三、完整代码示例、 1、主界面代码示例、 2、代理类代码示例、 3、跳转的界面、 4、执行结果、 四、博客资源、
Activity启动流程:Hook实现启动未注册Activity
weixin_47933729的博客
02-02 347
Android中插件化的简单实现:启动未注册的Activity 前言 本文介绍在Android中启动未在AndroidManifest中注册的Activity的一个解决方案。主要需要掌握以下知识点: 反射 类加载 Activity的启动过程 Resource加载过程 启动应用内未注册的Activity Activity默认都需要在AndroidManifest中注册,未注册的应用无法启动。AMS在启动应用时,会检测是否已经注册。因此,如果想要启动未注册的Activity,那么需要在Activity前,替
hook activity 兼容android 10 Q 未完待续
u014379448的博客
05-23 1万+
本文中你都能了解到什么 android 9 关于如何启动一个activity的源码分析,本文源码分析的系统版本是android9.0.0.r8 在android10 和Q以下的机型上如何hook startActivity函数并且实现我们想要的功能,例如本例中是启动了一个activity2 ,但是经过我们hook之后实际上启动的是activity3. 源码分析简陋,想要代码的同学请直达github 想要直接看代码的同学请点击此处,不要忘了给个五星好评哦 推荐两个在线查看源码的地方 http://and
Activity启动逻辑及Hook技术的应用
自古深情留不住,总是套路得人心
10-14 428
背景 为什么我们要学习Activity的启动逻辑及hook技术? 随着插件化的流行,我们需要学会在没有注册 AndroidManifest的时候开启一个目标应用,这个就需要用到hook技术,而要理解hook技术,就必须掌握Activity的在fragmework的启动流程,同时在关键的地方准确的hook住才能实现 一、Activity的启动过程(Android 8.0为例子) startActivity(new Intent(this, PageActivity.class)); 我们以最
Hook技术(四)对系统启动Activity进行Hook之偷梁换柱Activity
我叫王菜鸟
03-12 2358
引出问题 我们如果要启动一个activity,我们的做法是1. 在AndroidManifest.xml中声明一个Activity 2. startActivity,如果不在AndroidManifest.xml中声明,启动activity会报错(android.content.ActivityNotFoundException)。但是我们想,我们使用插件化,按照正常的思维是不是要将插件化中的所...
Android Hook Activity 的几种姿势,重要概念一网打尽
m0_66144992的博客
01-19 631
public class ApplicationInstrumentation extends Instrumentation { private static final String TAG = “ApplicationInstrumentation”; // ActivityThread中原始的对象, 保存起来 Instrumentation mBase; public ApplicationInstrumentation(Instrumentation base) { mBase = base; }
hook拦截GETtEXT
05-10
Android 开发中,我们可以通过 Hook 技术来拦截某些方法的调用,并在方法调用前或调用后执行额外的逻辑。如果要拦截 TextView 的 getText() 方法,可以使用 Xposed 框架或者 Android 自带的 Hook 工具。 以下是使用 Xposed 框架的示例代码: ```java public class MyModule extends XC_MethodHook { @Override protected void beforeHookedMethod(MethodHookParam param) throws Throwable { // 在方法调用前执行额外逻辑 Log.d("MyModule", "getText() method is being called"); } @Override protected void afterHookedMethod(MethodHookParam param) throws Throwable { // 在方法调用后执行额外逻辑 } } public class MainActivity extends Activity { private TextView textView; @Override protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.activity_main); textView = findViewById(R.id.textview); // Hook getText() 方法 XposedHelpers.findAndHookMethod(TextView.class, "getText", MyModule.class); } } ``` 这里我们创建了一个 MyModule 类继承自 XC_MethodHook,重写了 beforeHookedMethod() 和 afterHookedMethod() 方法,在方法调用前后分别执行额外的逻辑。在 MainActivity 中,我们通过 XposedHelpers.findAndHookMethod() 方法来 Hook TextView 的 getText() 方法,将 MyModule 作为参数传入。这样,每次调用 TextView 的 getText() 方法时,都会触发 MyModule 的方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值