常见的分身/多开
- 工具修改包名,早的时候可以,现在的应用,换包名功能就残缺不能好好用了…
- 修改 Framework(Android多用户机制。例:小米分身、访客模式等),国产手机中挺常见。但如果系统不提供该功能,自己很难开分身,本文就是告诉你怎么开了它。
- 通过虚拟化技术实现(例:360分身大师、LBE平行空间),这个应用索要权限非常高,别轻易使用非官方的该类软件。
- 以插件机制运行
目前很多人都会有应用多开和系统分身的需要,多个帐号要登录在一个手机,或者体验下一个手机两个系统自由切换的感觉,完全隔离,隐私再也不怕被翻到。本文主要是通过系统隐藏 API 调用来完成系统分身,使用 Android 多用户机制,注意这里系统分为两种:1.应用在两个用户中(如 MIUI 中的系统分身) 2.影子用户,双开应用显示在原用户桌面中(如 MIUI 中的应用双开)。两种情况差不多,都是要先创建用户,然后需要显示在原桌面就再调用一下 API 即可。
主要手机配置足够高,你理论上可以建无数个系统分身和多开应用。
后面的内容全是针对多用户机制的操作办法啦。
Android与Linux的用户概念异同
从 Android 5.0 开始引入多用户 API,都是隐藏 API 且需要系统签名并持有 managed_user 相关权限,虽然 Android 是基于 Linxu 系统,但两者账户管理体系不通,可以多用 ps 命令观察应用所属及 Android 应用的 uid,下面的 u0_a144 即为微信进程 uid,:push 结尾的进程则是微信的推送进程(对,这是个多进程应用),u0_ 代表该进程运行在 id 为 0 的用户上。
shell@rolex:/ $ ps | grep tencent
u0_a144 29866 623 1762984 236024 0000000000 R com.tencent.mm
u0_a144 30068 623 1611740 98396 SyS_epoll_ 0000000000 S com.tencent.mm:push
要使用的技术和工具
即使 root 提权应用但如果不是系统签名应用仍然不能调用成功,这也是为什么本文要使用 frida 来 hook 系统应用的原因(使用 Xposed 同样可以做到,熟悉的同学可以自己尝试)。下面直接使用代码演示,实战开始!为什么使用 frida 框架写而不用 xposed 呢,当然是因为 frida 快啦,而且手机只要 root 就可以用,不用担心 xposed 安装不上去的情况,当然,本文就不科普 frida 使用了。如果之前从没听说过 frida …推荐这篇
提示:
- 使用了语言 python 、 js 和 java (反射)
- 本文所用设备 Nexus 6P (Android 6.0)
- python 版本 3.7,frida 版本 12.4.0
- 查看 Android 源码 (6.0为例),各个版本源码友情链接
核心代码
//一些需要用到的类
var IUserManager = Java.use("android.os.IUserManager");
var UserManager = Java.use("android.os.UserManager");
var UserInfo = Java.use("android.content.pm.UserInfo")
var ActivityManagerNative = Java.use("android.app.ActivityManagerNative")
var Integer = Java.use("java.lang.Integer")
var int = Integer.class.getField("TYPE").get(null)
var Application = Java.use("android.app.Application")
Application.attach.implementation = function(context) {
console.log("Application.attach()")
this.attach(context)
//1.开始创建用户
var mUserManager = context.getSystemService("user")
mUserManager = Java.cast(mUserManager, UserManager)
console.log("mUserManager:" + mUserManager)
var mMyParallelSpaceUserInfo = mUserManager.createProfileForUser("MyParallelSpace", 32, 0)
//此时用户已经创建完成 mMyParallelSpaceUserInfo 及为刚创建的用户信息
//如果不需要影子用户(双开)只需要系统分身,则第一步执行完成即可停止
//2.获取创建的用户id #也可以使用 adb shell dumpsys user查看
//注意,本例第二步是为了演示如何获取用户id,事实上第一步最后结果mMyParallelSpaceUserInfo中就有我们需要的id,如果第一步执行顺利,可直接执行第三步,及 "var id = 10" 应替换为 "var id = mMyParallelSpaceUserInfo.id.value"
var users = mUserManager.getUsers()
console.log("users:"+users)
for (var i=0; i < users.size(); i++) {
console.log("user" + i + ":"+users.get(i))
var UserInfo_id = UserInfo.class.getDeclaredField("id")
var id = UserInfo_id.get(users.get(i))
console.log("user" + i + ":"+id)
}
//3.该用户id设置为影子用户(本例为10)
//这一步是为了让创建的用户成为影子用户,在该用户安装的应用会显示在原桌面上(即双开)
var id = 10
var iActivityManager = ActivityManagerNative.class.getMethod("getDefault", null).invoke(null, null)
var method_startUserInBackground = ActivityManagerNative.class.getMethod("startUserInBackground", [int])
var isOK = method_startUserInBackground.invoke(iActivityManager, [Integer.$new(id)])
console.log("startUserInBackground() userId = " + id + " isOK = " + isOK)
}
//frida 以 spawn 方式运行在系统应用 "设置" 上,就实现了系统应用调用
process = device.attach('com.android.settings')
spawn 方式运行步骤:
- 命令行 frida -U -f com.android.settings,提示等待下一步
- python 运行脚本
- 命令行输入 $resume,启动"设置"应用,因为脚本 hook 了 Application.attach 方法,自动运行完成。
启动微信和影子微信后查看进程
shell@rolex:/ $ ps | grep tencent
u10_a144 9054 623 1672156 172756 binder_thr 0000000000 S com.tencent.mm
u10_a144 9234 623 1610788 95400 futex_wait 0000000000 S com.tencent.mm:push
u0_a144 29866 623 1855536 159340 SyS_epoll_ 0000000000 S com.tencent.mm
u0_a144 30068 623 1605200 58676 SyS_epoll_ 0000000000 S com.tencent.mm:push
具体源码已放到 GitHub 仓库,以上就是一次多开应用的实战操作,不同版本可能存在部分 API 小改动,也可能有的手机商系统会改动较大,本文只是抛砖引玉,有什么问题可以留言讨论。
5万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
