hook 系统api启动未注册Activity

最新推荐文章于 2025-01-20 03:42:58 发布
转载 最新推荐文章于 2025-01-20 03:42:58 发布 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://juejin.im/post/5c62849751882562832539c5
文章标签:

#移动开发

闲来无事,研究一下activity的启动,顺便尝试了一下hook系统api启动一个未注册Activity的方案。 本方案采用的是插桩的方案。主要hook了ActivityThread中的Instrumentation的newActivity方法和 Activity中的Instrumentation的execStratActivity方法。 我们知道启动一个未注册的Activity,系统会报ClassNotFound的异常,这是因为在Ams中的StartActivty中有对intent的检测,所以我们可以启动一个代理类ProxyActivty,绕过系统的检测,然后在newActivity中还原为我们真正要启动的Activity.

第一步:hook newActivity,在Application中添加如下的方法

 public void replaceActivityThreadInstrumentation(){
        try {
            Class<?> clazz = Class.forName("android.app.ActivityThread");
            Field activityThread = clazz.getDeclaredField("sCurrentActivityThread");
            activityThread.setAccessible(true);
            Object object = activityThread.get(Object.class);
            Field mInstrumentation = clazz.getDeclaredField("mInstrumentation");
            mInstrumentation.setAccessible(true);
            Instrumentation instrumentation = (Instrumentation)mInstrumentation.get(object);
            Instrumentation instrumentationProxy = new InstrumentationProxy(instrumentation);
            mInstrumentation.set(object,instrumentationProxy);
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (NoSuchFieldException e) {
            e.printStackTrace();
        } catch (IllegalAccessException e) {
            e.printStackTrace();
        }
    }
复制代码

获取ActivityThread中的sCurrentActivityThread,然后交到我们自己的InstrumentationProxy做代理。这里的方案参考了Android插件化之startActivity hook的几种姿势

public class InstrumentationProxy extends Instrumentation {

    private static final String TAG = "InstrumentationProxy";
    private Instrumentation mBase;

    public InstrumentationProxy(Instrumentation instrumentation) {
        mBase = instrumentation;
    }

    public ActivityResult execStartActivity(
            Context who, IBinder contextThread, IBinder token, Activity target,
            Intent intent, int requestCode, Bundle options) {

        // Hook之前, XXX到此一游!
        Log.e(TAG, "\n执行了startActivity, 参数如下: \n" + "who = [" + who + "], " +
                "\ncontextThread = [" + contextThread + "], \ntoken = [" + token + "], " +
                "\ntarget = [" + target + "], \nintent = [" + intent +
                "], \nrequestCode = [" + requestCode + "], \noptions = [" + options + "]");

        Intent intent1 = new Intent(target,ProxyActivity.class);

        // 开始调用原始的方法, 调不调用随你,但是不调用的话, 所有的startActivity都失效了.
        // 由于这个方法是隐藏的,因此需要使用反射调用;首先找到这个方法
        try {

            //这里通过反射找到原始Instrumentation类的execStartActivity方法
            Method execStartActivity = Instrumentation.class.getDeclaredMethod(
                    "execStartActivity",
                    Context.class, IBinder.class, IBinder.class, Activity.class,
                    Intent.class, int.class, Bundle.class);
            execStartActivity.setAccessible(true);
            return (ActivityResult) execStartActivity.invoke(mBase, who,
                    contextThread, token, target, intent1, requestCode, options);
        } catch (Exception e) {
            throw new RuntimeException("do not support!!! pls adapt it");
        }
    }

    
    public Activity newActivity(ClassLoader cl, String className,
                                Intent intent)
            throws InstantiationException, IllegalAccessException,
            ClassNotFoundException {
        Log.e(TAG,"before hook"+ className);
        if(className.equals("com.edu.myapplication.ProxyActivity")){
            className = "com.edu.myapplication.SecondActivity";
        }
        Log.e(TAG,"after hook"+ className);
        return (Activity)cl.loadClass(className).newInstance();
    }
}
复制代码

在newActivity中根据代理类的包名判断是否是我们需要hook的时机,这个代理类同时也hook了execStartActivity。

第二步:在我们调用startActivity的Activity,添加如下方法:

 public static void replaceInstrumentation(Activity activity){
        Class<?> k = Activity.class;
        try {
            //通过Activity.class 拿到 mInstrumentation字段
            Field field = k.getDeclaredField("mInstrumentation");
            field.setAccessible(true);
            //根据activity内mInstrumentation字段 获取Instrumentation对象
            Instrumentation instrumentation = (Instrumentation)field.get(activity);
            //创建代理对象
            Instrumentation instrumentationProxy = new InstrumentationProxy(instrumentation);
            //进行替换
            field.set(activity,instrumentationProxy);
        } catch (IllegalAccessException e){
            e.printStackTrace();
        }catch (NoSuchFieldException e){
            e.printStackTrace();
        }
    }
复制代码

然后调用startActivity,SecondActivity是未注册的Activity.

 replaceInstrumentation(this);
 startActivity(new Intent(this,SecondActivity.class));
复制代码

这样就启动了SecondActivity

helloxielan
关注
Android黑科技:如何启动未注册Activity
xiangzhihong8的专栏
01-29 2591
如果有人问你,未在配置文件中注册Activity可以启动吗。可能你一开始会回答不行,但是细细思考,你会发现,使用Android Hook等技术启动未注册Activity也是可以的,这也是Android Hook 插件化技术原理的基础。 使用Android Hook 技术启动未注册Activity,需要了解Java的反射机制 和Android App启动流程非常熟悉。 下面,我们从两点来讲解Android Hook 技术启动未注册Activity: 通过对Instrumentation进行Hook
AMS进阶——如何启动没有注册Activity
LVEfrist的博客
03-01 2784
背景: 前面我们通过梳理了Activity启动的整个流程知道:Activity启动主要经历如下几个阶段: 发起Activity启动 与AMS建立通信节点,主要是在Instrumentation类中获取AMS的Binder代理,准备通信。 由应用进程切到系统进程(system_service)的AMS服务,由AMS判断应用进程是否创建,如果没有创建则AMS与Zegote进程通信创建应用进程。 应用进程创建后,启动应用进程,再由应用进程切到AMS服务,AMS进一步做启动Activity的校验(如:A
五. AMS实践,Hook启动未注册Activity
汤坤
05-15 1043
保活、让部分业务逻辑存在一个新的任务栈中,防止对我们原有的任务栈造成影响等.,就可以启动未注册的页面,不过这里要注意版本适配问题,因为不同的。存在两个后台程序,但是他们属于同一个进程.不在同一个任务栈里面了,当我们把。,达到改变原有的执行流程的目的.)里面的,也就是我们app的。进程时,就会发现我们当前的。中包含一个或者多个任务栈(都是运行在同一个任务栈()中可以存放不同的进程(运行在不同的任务栈呢?退到后台,查看后台的。进程中都包含了很多的。
Android Hook告诉你 如何启动未注册Activity
黄林晴
08-05 7383
前言 Android Hook 插件化其实已经不是什么新鲜的技术了,不知你有没有想过,支付宝中那么多小软件:淘票票 ,火车票等软件,难道是支付宝这个软件自己编写的吗?那不得写个十年,软件达到几十G,但是并没有,玩游戏时那么多的皮肤包肯定时用户使用哪个就下载哪个皮肤包。 一 未在配置文件中注册Activity可以启动吗? 从0学的时候就知道Activity必须在配置文...
HOOK技术二-未注册Activity启动
吓成一坨兔子
12-27 591
流程梳理 如果Activity并未在AndroidManifest.xml文件中注册, 则启动Activity会抛出异常。为了能启动未注册Activity,需要将系统欺骗,使用一个ProxyActivity,在AndroidManifest.xml文件中注册了, 在系统检查之前,将未注册Activity替换为ProxyActivity,检查完成之后,再讲ProxyActivity还原为未注册...
Hook技术activity启动过程中拦截
11-03
然而,通过Hook技术,我们可以在运行时动态地创建和启动Activity,绕过传统的注册流程。这在插件化开发中尤其有用,因为插件可能在主应用安装时不存在,或者为了实现动态加载和更新。 3. **Hook Activity启动过程...
插件化原理揭秘:启动未注册Activity演示
通过在这些组件的关键方法上使用Hook技术,可以在启动Activity之前插入自定义的逻辑。 Hook技术配合反射机制,可以实现对未注册Activity的加载。反射是Java语言中强大的机制之一,允许程序在运行时对类进行访问和...
Android Hook技术实战:无Manifest注册启动Activity
使用Xposed框架可以实现对系统API和第三方应用的Hook操作。 2. **使用Frida框架**:Frida是一个动态代码插桩工具,支持多种平台。通过注入自己的代码片段,Frida可以让开发者在应用运行时动态地Hook调用方法。 3...
hook(4)实现无清单启动Activity的应用
最新发布
2501_90330696的博客
01-20 1073
但是,还是那句话,天塌下来砸不到我们的头上,自然有大佬顶着,到时候,如果谷歌真的禁用反射,国内的巨佬们自然有新的解决办法,到时候跟随大流就好了。//4个参数分别是,外部dex的path,优化之后的目录,lib库文件查找目录,我们这没有用到lib里面的so,所以可以设置为null,最后一个是父ClassLoader。//Hook第三次,加载插件资源包,让系统的Resources能够读取插件的资源。//使用假的Activity,骗过AMS的检测。//重写资源管理器,资源管理器是每个Activity自带的,
hook_startActivity.zip
12-29
通过Hook这个方法,开发者可以监控或改变任何应用程序启动Activity的行为。例如,可以添加日志记录、拦截特定Activity启动、或者在启动前/后执行自定义逻辑。 4. **创建Xposed模块** 创建一个Xposed模块通常包括...
Android实行插件化开发启动未注册activity完整demo
05-06
这个demo实行了Android开发插件化启动未注册activity方法
android开发实现插件化开发,使用hook启动未注册activity实现demo
05-11
这个demo实现了Android开发启动未注册activity的方法,轻量简便的集成方法,只需三个工具类即可实现
关于使用微信网页支付API产生未注册的问题。
weixin_34319374的博客
07-11 3216
微信H5网页支付产生未注册的问题 最近开发单页应用,然后集成在微信端。因为项目需要接通微信支付,而在开发过程中也遇上了一些问题。 所以便写下这篇文章,希望给同样遇上问题的朋友一个参考。 如果你此刻正好遇上图中的情况,那么我这篇文章也许能帮到你。 微信网页端支付接口,也许是出于安全考虑。在每次唤起微信JSSDK的时候,需要当前的UR...
使用黑科技启动未注册Activity
郭霖
06-06 495
/ 今日科技快讯 /近日,苹果公司首席执行官蒂姆·库克否认苹果是一家垄断企业。美国政府正准备对苹果公司展开一场可能前所未有的调查,调查这家iPhone制造商和其他...
启动一个没有注册Activity
next_D的博客
03-10 362
废话不多说,直接上代码 import android.content.Context; import android.content.Intent; import android.content.pm.ActivityInfo; import android.content.pm.PackageInfo; import android.content.pm.PackageManager; import android.os.Build; import android.os.Handler; import a
Android开发启动未注册activityHook使用demo
meixi_android的博客
05-11 477
三个工具类 1、 /** * @author : LGQ * @date : 2020/05/11 14 * @desc : */ public class HCallback implements Handler.Callback{ private final String TAG="HCallback"; private Handler mHandler; public HCallback(Handler handler){ mHandler=.
Android插件化】启动没有在Manifest中注册Activity
qq_31945585的博客
09-02 693
1 概述 如果要启动没有在Manifest中注册Activity,应该从startActivity着手。一般启动Activity的方式有两种,一种是startActivity,一种是startActivityForResult。其实startActivity最终调用的也是startActivityForResult,如下所示: //Activity.java @Override public void startActivity(Intent intent, @Nullab...
14.源码阅读(启动一个没有AndroidManifest中注册Activity
weixin_34037515的博客
04-18 373
在上一篇博客中已经分析了一部分如何绕过AndroidManifest检查启动一个未注册Activity,这次就来实现这个功能 分析一下总的实现流程: 启动中有三个hook点,第一个就是Instrumentation中 int result = ActivityManagerNative.getDefault...
如何打开未注册Activity
pxq的博客
05-14 1171
1、背景 复习的时候看到这样一个问题,这是插件化的一个知识点,实现一下加深印象 2、Activity启动流程简介 ActivityInstrumentationActivityThreaedAMSstartActivity()startActivityForResult()execStartActivity()startActivity()一系列调用启动app(忽略)scheduleLaunchActivity()sendMessage(LAUNCH_ACTIVITY)handleLaunchActiv
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值