Android---使用Hook技术移除特定的弹窗

已于 2022-07-22 11:38:21 修改
阅读量1.2k 收藏 1
点赞数
分类专栏: Android 文章标签: android java 开发语言
于 2022-07-16 09:31:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vollyrequest/article/details/125815739
版权

文章目录

问题

接入第三方广告SDK后,我们不免需要展示一些插屏广告。但由于第三方的水平良莠不齐,部分SDK不支持插屏广告的自动消失,这种行为可能与自身产品相悖,所以我们需要将插屏隐藏掉。

这里有一点我们需要注意,一般的插屏广告,SDK提供的都是模版样式:广告的展示由SDK控制。这样就会出现一个问题:插屏的展示形式是多种多样的,没有进行统一,也就不容易进行抽象。

思路

在碰到上面的问题时,我先想到遍历ViewTree,找到关闭按钮位置,然后模拟点击该关闭按钮。但是,很快我就发现这样做有一些问题:

  1. SDK不一定提供关闭按钮;
  2. 提供的关闭按钮样式各种各样;
  3. 模拟点击不一定生效(SDK内部有可能在上层拦截掉事件);

一般情况下,模版插屏使用 Dialog 实现,那么我们是不是可以从 Dialog 的展示处入手那?不可避免的,我们需要去查看Dialog的源码。

源码分析

Dialog.java

private final WindowManager mWindowManager;
final Window mWindow;

// 构造方法
Dialog() {
	....
	mWindowManager = (WindowManager) context.getSystemService(Context.WINDOW_SERVICE);
	// Dialog 拥有自己的Window
	final Window w = new PhoneWindow(mContext);
	// 赋值
	mWindow = w;
	w.setCallback(this);
	w.setOnWindowDismissedCallback(this);
	w.setWindowManager(mWindowManager, null, null);
	// Dialog默认都是内容居中展示的
	w.setGravity(Gravity.CENTER);
}
// 展示
public void show() {
    ....
    // 拿到Window的DecorView
    mDecor = mWindow.getDecorView();
    WindowManager.LayoutParams l = mWindow.getAttributes();
    // 最终调用 WindowManagerGlobal的 addView 添加DecorView
    mWindowManager.addView(mDecor, l);
    mShowing = true;
    sendShowMessage();
}

WindowManagerGlobal.java

public void addView(View view, ViewGroup.LayoutParams params,
        Display display, Window parentWindow) {
    if (view == null) {
        throw new IllegalArgumentException("view must not be null");
    }
    if (display == null) {
        throw new IllegalArgumentException("display must not be null");
    }
    if (!(params instanceof WindowManager.LayoutParams)) {
        throw new IllegalArgumentException("Params must be WindowManager.LayoutParams");
    }
   ....
    ViewRootImpl root;
    View panelParentView = null;
    synchronized (mLock) {
    	// ?
        int index = findViewLocked(view, false);
        if (index >= 0) {
            if (mDyingViews.contains(view)) {
                // Don't wait for MSG_DIE to make it's way through root's queue.
                mRoots.get(index).doDie();
            } else {
                throw new IllegalStateException("View " + view
                        + " has already been added to the window manager.");
            }
            // The previous removeView() had not completed executing. Now it has.
        }
        // If this is a panel window, then find the window it is being
        // attached to for future reference.
        if (wparams.type >= WindowManager.LayoutParams.FIRST_SUB_WINDOW &&
                wparams.type <= WindowManager.LayoutParams.LAST_SUB_WINDOW) {
            final int count = mViews.size();
            for (int i = 0; i < count; i++) {
                if (mRoots.get(i).mWindow.asBinder() == wparams.token) {
                    panelParentView = mViews.get(i);
                }
            }
        }
        // 新建一个ViewRootImpl
        root = new ViewRootImpl(view.getContext(), display);
        view.setLayoutParams(wparams);
        // 缓存DecorView
        mViews.add(view);
        // 缓存ViewRootImpl
        mRoots.add(root);
        // 缓存窗口的配置
        mParams.add(wparams);
        try {
        	// 将DecorView和ViewRootImpl进行绑定
            root.setView(view, wparams, panelParentView);
        } catch (RuntimeException e) {
            // BadTokenException or InvalidDisplayException, clean up.
            if (index >= 0) {
                removeViewLocked(index, true);
            }
            throw e;
        }
    }

    public static IWindowSession getWindowSession() {
        synchronized (WindowManagerGlobal.class) {
            if (sWindowSession == null) { // 类变量,作为hook点,动态代理
                try {
                    // Emulate the legacy behavior.  The global instance of InputMethodManager
                    // was instantiated here.
                    // TODO(b/116157766): Remove this hack after cleaning up @UnsupportedAppUsage
                    InputMethodManager.ensureDefaultInstanceForDefaultDisplayIfNecessary();
                    IWindowManager windowManager = getWindowManagerService();
                    sWindowSession = windowManager.openSession(
                            new IWindowSessionCallback.Stub() {
                                @Override
                                public void onAnimatorScaleChanged(float scale) {
                                    ValueAnimator.setDurationScale(scale);
                                }
                            });
                } catch (RemoteException e) {
                    throw e.rethrowFromSystemServer();
                }
            }
            return sWindowSession;
        }
    }
}

ViewRootImpl.java
	// 整个进程只有一个IWindowSession实例,所以适合作为hook点
	final IWindowSession mWindowSession;

	public ViewRootImpl(Context context, Display display) {
		mWindowSession = WindowManagerGlobal.getWindowSession();
	}

    public void setView(View view, WindowManager.LayoutParams attrs, View panelParentView) {
        synchronized (this) {
            if (mView == null) {
            	// 每个ViewRootImpl只有一个DecorView
                mView = view;
                ....
                // 添加成功
                mAdded = true;
                int res; /* = WindowManagerImpl.ADD_OKAY; */
				....
                // 执行绘制逻辑
                requestLayout();
                ....
                try {
                  	// 将Window添加进行显示器上
                    res = mWindowSession.addToDisplay(mWindow, mSeq, mWindowAttributes,
                            getHostVisibility(), mDisplay.getDisplayId(),
                            mAttachInfo.mContentInsets, mAttachInfo.mStableInsets,
                            mAttachInfo.mOutsets, mInputChannel);
                } catch (RemoteException e) {
                	// 失败了
                    mAdded = false;
                    throw new RuntimeException("Adding window failed", e);
                } finally {
                    if (restore) {
                        attrs.restore();
                    }
                }
                ....
            }
        }
    }

从上面简易的源码流程,我们不难发现,将window添加进屏幕上是最后一步,也就是 mWindowSession.addToDisplay 做的事情。如果我们hook 住 mWindowSession,是不是就可以通过动态代理拦截住 addToDisplay 的调用。

代码实现

public static void hookWindowSession() {

        try {
            final Class windowGlobalClz = Class.forName("android.view.WindowManagerGlobal");
            Field instanceFiled = windowGlobalClz.getDeclaredField("sDefaultWindowManager");
            instanceFiled.setAccessible(true);
            final Object instance = instanceFiled.get(null);
            Field sWindowSession = windowGlobalClz.getDeclaredField("sWindowSession");
            sWindowSession.setAccessible(true);
            final Object session = sWindowSession.get(null);
            Class iWindowSessionClz = Class.forName("android.view.IWindowSession");
            final Object proxyWindowSession = Proxy.newProxyInstance(iWindowSessionClz.getClassLoader(), new Class[]{iWindowSessionClz}, new InvocationHandler() {
                @Override
                public Object invoke(Object proxy, Method method, final Object[] args) throws Throwable {
                    Log.e("hookWindow", "hook method is " + method.getName());
                    try {
                        if ("addToDisplay".equals(method.getName())) {
                        	// 3秒后将window移除掉
                            new Handler().postDelayed(() -> {
                                try {
                                    Method remove = iWindowSessionClz.getDeclaredMethod("remove", new Class[]{Class.forName("android.view.IWindow")});
                                    remove.invoke(session, args[0]);
                                } catch (Exception e) {
                                    e.printStackTrace();
                                } finally {
                                    try {
                                        sWindowSession.set(instance, session);
                                    } catch (IllegalAccessException e) {
                                        e.printStackTrace();
                                    }
                                }
                            },3000);
                        }
                    } catch (Exception exp) {
//                        exp.printStackTrace();
                    } finally {
                        return method.invoke(session, args);
                    }
                }
            });
            sWindowSession.set(instance, proxyWindowSession);
        } catch (NoSuchFieldException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (IllegalAccessException e) {
            e.printStackTrace();
        }
    }

上面的代码可以实现移除一个window。不过,有这样一个场景:假如在很短的时间内,会有多个 window 被添加到屏幕上,如何从这些window里面,找到我们想要删除的window那?

上面的问题,我想到的方法是抛出一个异常,从异常的堆栈里面过滤字符串,如果有命中我们匹配的规则(特殊字符串),则将对应的window移除掉。

public class WindowSessionException extends RuntimeException {
        @Override
        public String toString() {
            StringBuilder sb = new StringBuilder();
            StackTraceElement[] stackTrace = getStackTrace();
            for (int i = 0; i < stackTrace.length; i++) {
                sb.append(stackTrace[i].toString() +"\n");
            }
            return sb.toString();
        }
    }

至于这个异常在哪个位置抛出,且制定命中规则的问题,我就不赘述了。

总结

阅读到这里,相信你已经知道了一个Dialog是如何在屏幕上展示,已经我们通过阅读源码,也知道怎样把这个window移除掉。不过,这种方式却存在一些问题,例如:1. 版本的兼容性;2. hook系统API,强制移除window,对整个系统的稳定性有什么影响;3. 如果规则不清晰,删错了window,对用户的影响不可逆;4. 如果是Dialog,强制移除window,不会触发onDismiss回调,周期不完整。

有一个稍微比较麻烦但相对安全的方法。我们拿到WindowManagerGlobal中的 mViews,然后倒序遍历这个数组,接着找到对应的ViewThree,从树中找到关闭按钮,模拟点击关闭按钮。

相对来说,第二个方法更安全一些,第一个方法稍微简单易懂一些,各有所长。

如果有更好的方法,请在评论区告诉小编一下吧。

子木-沐阳
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android-一个用于HOOK和FIXToastBadTokenException的Android
08-13
一个用于HOOK和 FIX Toast BadTokenException的Android
Android 7.0 运行时权限弹窗问题的解决
01-20
Android 7.0系统在运行应用的时候,对权限做了诸多限制,normal, dangerous, signature, signatureOrSystem ,取决于保护级别,在确定是否授予权限时,系统可能采取不同的操作。 normal 表示权限是低风险的,不会对系统、用户或其他应用程序造成危害; dangerous 表示权限是高风险的,系统将可能要求用户输入相关信息,才会授予此权限; signature 表示只有当应用程序所用数字签名与声明引权限的应用程序所用数字签名相同时,才能将权限授给它; signatureOrSystem 表示将权限授给具有相同数字签名的应用程序或
element plus 删除弹窗使用useHook方式
最新发布
weixin_36878452的博客
02-29 155
element plus 删除弹窗,确定按钮loading反馈执行中
react-跟踪网络状态的Reacthook
08-15
跟踪网络状态的 React hook
Android-xhook是一个PLThook库用于Android原生ELF
08-13
xhook is a PLT (Procedure Linkage Table) hook library for Android native ELF (executable and shared libraries).
apihook拦截所有弹出的ToolTip气泡提示信息.zip
01-28
apihook拦截所有弹出的ToolTip气泡提示信息.zip
API HOOK拦截系统窗口
01-10
API HOOK拦截系统窗口,采用APIHOOK技术对系统API函数MessageBox进行拦截,让系统执行自定义的函数内容!
SSDTHOOK关于拦截弹窗的问题
收集学习过程中对自己有帮助的牛人文章
11-30 679
每次SSDT Hook拦截的时候,都会弹出一个框来,如下:   如何去掉这个弹框,方法是在看雪上看到的(据说是MJ说的): 如果是NtCreateSection时拦截,返回STATUS_SUCCESS 如果是NtCreateProcess时拦截 ,返回0x80070000 或者设置当前进程的HardErrorControl/ExceptionPort
主防拦截弹窗
05-16 585
本公众号分享的所有技术仅用于学习交流,请勿用于其他非法活动,如有错漏,欢迎留言交流指正 拦截弹窗 应用场景:假设系统中了勒索病毒,开始加密整个磁盘,这时候内核监控到并拦截(Hook,驱动过滤,回调)了这些操作,进行数据收集弹窗给用户等待处理。 弹窗 整体思路 驱动截获攻击操作,进行数据收集 驱动为了拿到应用处理完弹窗的返回的结果,建立一个WaitList(等待链表,结点包括一个标识ID(用来区分攻击事件),一个event,一个等待结果的域),通过WaitList上等待应用层处理弹窗的结果。..
[Android开发] Xposed 插件开发之三: 编写广告去除插件
热门推荐
KeepStudy
09-18 1万+
一、 准备 要去广告的app: 追杀神器3.75 反编译工具: AndroidKiller1.3.1 查看布局工具: UIAnimationView 查看源码好工具: jadx 底部打包地址。二、 思路获取到广告控件,隐藏广告控件。 要去除的有: 首页的游戏中心(其余的广告自己尝试)三、 获取信息1. 获取控件类型和id安装打开追书神器,利用UIAnimationView获取界面。 可
HOOK拦截消息代码
ZLMSDN的专栏
10-07 1814
//在进程中试了一下,修改消息应该没问题(系统钩子应该也差不多,知道原理变通一下就可以了)。unit Unit1;interfaceuses  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,  Dialogs, StdCtrls;const WM_END = 0; //在Windows
apache-atlas-2.1.0-kafka-hook.tar.gz
05-10
apache-atlas-2.1.0-kafka-hook.tar.gz--基于cdh6.3.1编译完成
apache-atlas-2.1.0-hbase-hook.tar.gz
05-10
apache-atlas-2.1.0-hbase-hook.tar.gz--基于cdh6.3.1编译完成
Hook之WindowManager
lotty_wh的博客
03-26 1453
前段时间遇到一个问题:怎么获取对话框的视图层级对话框不属于当前的Activity所在的window里面。所以通过监听当前window的状态改变是无法实现的。那么应该怎么办呢?
Android插件化系列第(一)篇---Hook技术之Activity的启动过程的拦截
Looper景
02-09 8928
这篇文章主要讲解如何利用动态代理技术Hook掉系统的AMS服务,来实现拦截Activity的启动流程。代码量不是很多,为了更容易的理解,需要掌握JAVA的反射,动态代理技术,以及Activity的启动流程。 如果对上面的知识点有些遗忘,建议按需扫读下面三篇文章,否则跳过。 Java 反射 Java 动态代理机制分析及扩展,第 1 部分 深入理解Activity启动流程(三)–Activity启动的
移动安全-Hook技术
道阻且长,行则将至。
07-10 3021
Hook简述 1、 hook的定义 hook,钩子。勾住系统的程序逻辑。在某段SDK源码逻辑执行的过程中,通过代码手段拦截执行该逻辑,加入自己的代码逻辑。 2、实用价值 hook是中级开发通往高级开发的必经之路。如果把谷歌比喻成安卓的造物主,那么安卓SDK源码里面就包含了万事万物的本源。中级开发者,只在利用万事万物,浮于表层,而高级开发者能从本源上去改变万事万物,深入核心。 最有用的实用价值: ...
Android系统篇之----免root实现Hook系统服务拦截方法
chuyouyinghe的专栏
09-29 6259
技术概念来源:[ 360开源插件框架,项目地址:https://github.com/DroidPluginTeam/DroidPlugin ] 一、Binder机制回顾 在之前一篇文章中介绍了 Android中的Binder机制和系统远程服务调用机制,本文将继续借助上一篇的内容来实现Hook系统服务拦截指定方法的逻辑,了解了上一篇文章之后,知道系统的服务其实都是一个远程B
Windows消息拦截技术的应用(Hook钩子)
lzzw的学习之路
08-25 7668
一、前 言 众所周知,Windows程式的运行是依靠发生的事件来驱动。换句话说,程式不断等待一个消息的发生,然后对这个消息的类型进行判断,再做适当的处理。处理完此次消息后又回到等待状态。从上面对Windows程式运行机制的分析不难发现,消息在用户与程式之间进行交流时起了一种中间“语言”的作用。在程式中接收和处理消息的主角是窗口,它通过消息泵接收消息,再通过一个窗口过程对消息进行相应的处理。 消息拦截的实现是在窗口过程处理消息之前拦截到消息并做相关处理后再传送给原窗口过程。通常情况下,程序员可以在窗口过程
Android Hook基础-一行代码实现开屏广告
xwdz9989的博客
05-11 2824
需求背景 多个产品线都需要实现开屏广告,我们产品广告都是接的我们自家广告SDK,而SplashActivity只是几行代码请求我们广告,广告SDK会把View封装好返回来,SplashActivity要做的事情只是获取响应结果,并且show出来. 如何实现一行代码实现开屏广告 通过Hook Instrumentation监听到App主界面启动并且回调出来,然后跳转到内置的一个activ...
frida-server-15.2.2-android-x86
07-18
### 回答1: Frida-server-15.2.2-android-x86是一款适用于安卓x86架构的Frida服务器的版本。Frida是一种开源的动态插桩框架,可用于安卓设备上的应用程序逆向工程和安全性评估。 Frida-server是Frida框架中的一部分,用于在安卓设备上与Frida客户端通信。Frida-server是在设备上运行的服务,可以与Frida客户端(通常是运行在PC上的Frida工具)进行通信,并接收来自客户端的指令。 Frida-server-15.2.2-android-x86适用于安卓x86架构的设备。x86是一种PC上常见的处理器架构,而不是常用于移动设备的ARM架构。因此,如果你的安卓设备是基于x86架构的,那么你可以使用这个版本的Frida-server在设备上运行Frida服务。 通过在设备上运行Frida-server,你可以利用Frida的强大功能来分析、修改和控制应用程序。Frida允许你动态地插入JavaScript代码到应用程序中,以实时地跟踪和修改应用程序的行为。你可以使用Frida进行代码注入、函数钩子、网络流量捕获、数据修改等操作,以便进行应用程序逆向工程、漏洞挖掘、安全性评估等任务。 总而言之,Frida-server-15.2.2-android-x86是一种适用于安卓x86架构设备的Frida服务器版本,通过在设备上运行Frida-server,你可以利用Frida框架的功能对应用程序进行逆向工程和安全性评估。 ### 回答2: frida-server-15.2.2-android-x86是一款用于Android x86架构的Frida服务器。Frida是一种强大的开源工具,用于分析、修改和调试软件。它可以通过脚本语言来进行动态注入和操作,支持多种平台和架构。 通过使用frida-server-15.2.2-android-x86,我们可以在Android x86设备上安装和运行Frida服务器。安装frida-server时我们需要将其推送到设备上,并在设备上运行它。运行成功后,我们可以通过Frida客户端连接到该设备上的Frida服务器,并使用Frida的功能进行应用程序的分析、修改和调试。 Frida-server-15.2.2-android-x86版本适用于Android x86架构的设备。在使用时,我们首先需要确保设备已经以root权限运行,并且具备adb工具的连接。然后,我们可以通过命令行将frida-server-15.2.2-android-x86安装到设备上。在设备上运行frida-server时,它会监听指定的端口,并等待Frida客户端的连接。 通过与Frida服务器建立连接,我们可以使用JavaScript或Python等脚本语言来进行动态插桩、API Hook、函数跟踪等操作。Frida提供了强大的API,使得应用程序的分析和修改变得更加简单高效。使用Frida,我们可以实时监测应用程序的行为,获取关键信息,进行漏洞分析,甚至可以修改应用程序的逻辑和数据。 总之,frida-server-15.2.2-android-x86是一款用于Android x86平台的Frida服务器,它提供了强大的功能和API,用于动态分析、修改和调试应用程序。通过与Frida客户端的连接,我们可以通过脚本语言来操作和控制应用程序,使得应用程序的分析和修改变得更加高效和可靠。 ### 回答3: Frida-Server是一款功能强大的开源工具,用于在Android设备上进行动态代码注入和调试。frida-server-15.2.2-android-x86指的是适用于Android x86架构的Frida-Server版本15.2.2。 Frida-Server能够以服务的形式运行在目标Android设备上,通过与Frida桌面端或其他脚本进行通信,来实现对目标应用程序的动态分析和操作。它提供了一套JavaScript API,允许我们在运行时通过修改和执行目标应用程序中的代码来实现功能扩展,如函数拦截、数据修改等。 在具体使用时,首先需要在目标Android设备上安装Frida-Server,这个版本适用于x86架构的设备。其次,需要将Frida-Server与Frida桌面端或其他脚本工具配合使用,以实现与目标应用程序的通信。我们可以通过Frida提供的命令行工具或编写脚本的方式来进行代码注入和调试。 Frida-Server-15.2.2-android-x86版本对于使用x86架构的Android设备来说是必需的,因为它能够确保Frida-Server能在这样的设备上正确运行。使用适合设备架构的版本,可以保证性能和稳定性,并且避免兼容性问题。 总而言之,Frida-Server-15.2.2-android-x86是一款用于在Android x86架构设备上进行动态代码注入和调试的工具,通过与Frida桌面端或其他脚本进行通信来实现相关功能。它可以帮助安全研究人员、开发人员等对Android应用程序进行潜在威胁分析、性能优化以及功能增强等工作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值