bootstrap 报错 验证插件_Activity插件化之Hook IActivityManager

最新推荐文章于 2021-08-09 22:33:43 发布
最新推荐文章于 2021-08-09 22:33:43 发布
阅读量113 收藏
点赞数
文章标签: bootstrap 报错 验证插件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39832643/article/details/111633420
版权

一、前言:

前面几篇的插件化,基本上是基于接口“标准”的方式,将宿主的环境注入的插件apk中实现的插件化思想。

今天我们从Activity的启动流程的角度,寻找Hook点,实现我们占位式插件化。

二、基础知识储备:

根Activity的启动流程(应用程序进程的启动流程)、普通Activity的启动流程。后面会专门写几篇来介绍他们的启动流程。

(1)根Activity启动流程示意图如下:

849f7ac128d12f1e85a70c2764d6ade1.png

首先Launcher进程向AMS请求创建根Activity,AMS会判断根Activity所需的应用程序进程是否启动,如果不存在就会请求Zygote进程创建应用程序进程。应用程序进程启动之后,AMS会请求应用程序进程创建并创建根Activity。

(2)普通Activity启动流程示意图如下:

acec664d1c125fa7e8e5fcd0879127f2.png

在应用程序进程中的Activity向AMS请求创建普通Activity,AMS会对这个Activity的生命周期和栈进行管理,校验Activity等,如果Activity满足AMS的校验,AMS就会请求应用程序进程中的ActivityThread去创建并启动普通Activity。

三、Hook IActivityManager方案的实现

我们知道,当我们启动一个Activity,这个Activity没有在AndroidManifest.xml中注册,就会报错。为什么会报错呢?从上面Activity的启动流程中,我们知道启动Activity会通过AMS进行校验,当发现Activity没有被注册在Activity中的时候,就会出现报错。所以我们的方案就是利用一个占位Activity,在ActivityManifest.xml中进行注册,然后利用这个占位Activity通过AMS验证,同时携带没有注册的Activity,方便后期恢复。然后在启动后期在ActivityThread中将目标Activity恢复过来,实现了我们的Hook式插件化。

(1)分析源码,寻找hook点

分析startActivity可知:

startActivity--->startActivityForResult--->mInstrumentation.execStartActivity

然后进入Instrumentation中查看execStartActivity方法,其中核心代码为:

 ActivityManager.getService().startActivity       源码基于Android8.0+     

ActivityManager.getService()是啥呢?

32f66561170037392b543682781e3994.png

发现返回的是返回了IActivityManager,还是个单例,是通过Singleton这个类返回的,那么上面的get方法,应该就是这个Singleton中提供的。进入查看,如下:

public abstract class Singleton<T> {    private T mInstance;    protected abstract T create();    public final T get() {        synchronized (this) {            if (mInstance == null) {                mInstance = create();            }            return mInstance;        }    }}

那么android8.0以下的这段代码是有一点不同的,我们以android7.0为例分析:

首先我们查看一下android7.0中Instrumentation中查看execStartActivity方法,核心代码如下:

public ActivityResult execStartActivity(            Context who, IBinder contextThread, IBinder token, Activity target,            Intent intent, int requestCode, Bundle options, UserHandle user) {       ....       ....       省略其他代码        try {         ...         ...               int result = ActivityManagerNative.getDefault()                .startActivityAsUser(whoThread, who.getBasePackageName(), intent,                        intent.resolveTypeIfNeeded(who.getContentResolver()),                        token, target != null ? target.mEmbeddedID : null,                        requestCode, 0, null, options, user.getIdentifier());         ....        } catch (RemoteException e) {            throw new RuntimeException("Failure from system", e);        }        return null;    }

从上面可以看出关键点:

ActivityManagerNative.getDefault() .startActivityAsUser

那么我们来接着查看ActivityManagerNative.getDefault(),如下:

   /**     * Retrieve the system's default/global activity manager.     */    static public IActivityManager getDefault() {        return gDefault.get();    }  private static final Singleton gDefault = new Singleton() {        protected IActivityManager create() {            IBinder b = ServiceManager.getService("activity");            if (false) {                Log.v("ActivityManager", "default service binder = " + b);            }            IActivityManager am = asInterface(b);            if (false) {                Log.v("ActivityManager", "default service = " + am);            }            return am;        }    };}

发现同样是通过Singleton返回IActivityManager的单例。

按照之前的hook经验:静态变量和单例都是比较好的Hook点

这里我们发现getDefault()是个静态方法,IActivityManager借助了Singleton类来实现单例,因此在android7.0版本以下IActivityManager是个比较好的Hook点。从上面分析Android8.0+的源码知道,也是IActivityManager借助了Singleton类来实现单例。所以这里IActivityManager是个比较好的Hook点。

(2)使用占位Activity通过AMS验证

a0d4ddf55824504f579ba0f67955226e.png

Hook点IActivityManager是一个接口,建议采用动态代理来实现。如下:

代码如下:

public class IActivityManagerProxy implements InvocationHandler {    private Object mActivityManager;    public IActivityManagerProxy(Object activityManager) {        mActivityManager = activityManager;    }    @Override    public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {        if ("startActivity".equals(method.getName())) {            int index = 0;            for (int i = 0; i < args.length; i++) {                if (args[i] instanceof Intent) {                    index = i;                    break;                }            }            //默认传递过来的没有注册的Activity的Intent            Intent intent = (Intent) args[index];            //创建一个新的Intent用来设置占位Activity和携带原来的Intent            Intent newInTent = new Intent();            String packageName = "com.zxh.hookplugin";            newInTent.setClassName(packageName, packageName + ".StubActivity");            //携带原来的Intent,方便复原的时候使用            newInTent.putExtra("target_intent", intent);            args[index] = newInTent;        }        return method.invoke(mActivityManager, args);    }}

这样我们启动的目标就变成了了StubActivity , 用来通过AMS校验,最后用代理类IIActivityManagerProxy   替换掉我们系统的IActivityManager。

从上面可以知道不管是android7.0还是8.0都是最终IActivityManager借助了Singleton类来实现单例。

05ce7cf29f97b94bdb5a576e5e353537.png

那么我们可以将我们的代理IActivityManagerProxy设置给mInstance。如下:

0a79cd5e9ef5c8b9bd97043cd75e0a38.png

mInstanceField.set方法有2个参数,第一个参数是所属的类的对象,也就是
Singleton对象,另外一个参数是IActivityManagerProxy对象。

那么这里有个版本兼容性问题,android7.0和8.0获取Singleton的方式不同。

在android7.0中,如下:

   /**     * Retrieve the system's default/global activity manager.     */    static public IActivityManager getDefault() {        return gDefault.get();    }  private static final Singleton gDefault = new Singleton() {        protected IActivityManager create() {            IBinder b = ServiceManager.getService("activity");            if (false) {                Log.v("ActivityManager", "default service binder = " + b);            }            IActivityManager am = asInterface(b);            if (false) {                Log.v("ActivityManager", "default service = " + am);            }            return am;        }    };}

从上面可以看出通过静态变量gDefault就是Singleton类的实例,于是我们在android7.0中可以通过以下方式获取Singleton的实例对象。代码如下:

 Class> mActivityManagerNativeClass =  Class.forName("android.app.ActivityManagerNative");   //获取ActivityManagerNative中的gDefault字段  Field gDefaultField =   mActivityManagerNativeClass.getDeclaredField("gDefault");  gDefaultField.setAccessible(true);  Object defaultSingleton = gDefaultField.get(null);

同理,在android8.0中要获取获取Singleton的实例对象,可以查看源码:

32f66561170037392b543682781e3994.png

从上图可以得知,只需要获取这个ActivityManager中的IActivityManagerSingleton字段即可。

获取代码如下:

 Class> mActivityManagerClass = Class.forName("android.app.ActivityManager");Field iActivityManagerSingletonField = mActivityManagerClass.getDeclaredField("IActivityManagerSingleton"); iActivityManagerSingletonField.setAccessible(true);   Object defaultSingleton = iActivityManagerSingletonField.get(null);

完整代码如下:

public class HookHelper {        public static void hookAMS() throws Exception{        try {              Object defaultSingleton=null;            if(Build.VERSION.SDK_INT>=26){//8.0                Class> mActivityManagerClass = Class.forName("android.app.ActivityManager");                Field iActivityManagerSingletonField = mActivityManagerClass.getDeclaredField("IActivityManagerSingleton");                iActivityManagerSingletonField.setAccessible(true);                 defaultSingleton = iActivityManagerSingletonField.get(null);            }else {                Class> mActivityManagerNativeClass = Class.forName("android.app.ActivityManagerNative");                //获取ActivityManagerNative中的gDefault字段                Field gDefaultField = mActivityManagerNativeClass.getDeclaredField("gDefault");                gDefaultField.setAccessible(true);                 defaultSingleton = gDefaultField.get(null);            }                        Class> mSingletonClass = Class.forName("android.util.Singleton");            Field mInstanceField = mSingletonClass.getDeclaredField("mInstance");            mInstanceField.setAccessible(true);                //获取IActivityManager的实例            Object iActivityManager = mInstanceField.get(defaultSingleton);            Class> mIActivityManagerClass = Class.forName("android.app.IActivityManager");            Object proxy = Proxy.newProxyInstance(Thread.currentThread().getContextClassLoader()                    , new Class[]{mIActivityManagerClass}, new IActivityManagerProxy(iActivityManager));            mInstanceField.set(defaultSingleton,proxy);        } catch (ClassNotFoundException e) {            e.printStackTrace();        }    }}

测试验证:

0459a6ff634f8e6d70841c073578ad21.png

da3b350902ace5897efcd37e5ae3f712.png

(3)还原插件中的Activity

上面我们用占位Activity通过AMS的验证,但是我们还是要启动插件Activity而不是占位Activity.

熟悉Activity启动流程的我们只会,Activity启动最终会调用到我们ActivityThread,通过H类将代码的逻辑切换到主线程中,H类如下:

d972662a8a37d9f3e00a786ea4ce8787.png

从上图可以发现H类重新了Handler的handleMessage方法,处理LAUNCH_ACTIVITY类型的消息,最终会调用到Activity的onCreate方法。那么我们在哪里替换呢。了解Handler机制的同学们都知道,我们消息轮询取出是通过我们ActivityThread中Looper.loop方法。查看一下核心源码:

    /**     * Run the message queue in this thread. Be sure to call     * {@link #quit()} to end the loop.     */    public static void loop() {        ....       //省略其他代码            try {                msg.target.dispatchMessage(msg);                dispatchEnd = needEndTime ? SystemClock.uptimeMillis() : 0;            } finally {               ...               //省略其他代码            }           //省略其他代码    }

发现最终通过msg.target.dispatchMessage处理消息,msg.target就是Handler。那么我们进入Handler中查看dispatchMessage方法。如下:

37081684751eee12135da538e7c96f2c.png

从上面可以知道,当mCallback不为null的时候,就会执行

mCallback.handleMessage(msg)

因此,mCallback可以作为一个Hook点。我们可以通过自定义Callback来替换mCallback.自定义Callback如下:

public class HCallback implements Handler.Callback {    public static final int LAUNCH_ACTIVITY = 100;    private Handler mHandler;    public HCallback(Handler handler) {        mHandler = handler;    }    @Override    public boolean handleMessage(Message msg) {        if(msg.what==LAUNCH_ACTIVITY){            Object r = msg.obj;            try {                //得到消息中的Intent启动(启动SubActivity的intent)                Field intentField = r.getClass().getDeclaredField("intent"); //1                intentField.setAccessible(true);                Intent intent = (Intent) intentField.get(r);                                //得到此前保存起来的Intent(启动TargetActivity的intent)               Intent targetIntent= intent.getParcelableExtra("target_intent");               //将要启动的SubActivity的Intent替换为TargetActvity的Intent                intent.setComponent(targetIntent.getComponent());            } catch (Exception e) {                e.printStackTrace();            }        }        mHandler.handleMessage(msg);        return true;    }}

其中

 Field intentField = r.getClass().getDeclaredField("intent"); //1

这一行为什么是这样的呢。因为:

d0ce03f438e2bc4bf9ebce51dd120c61.png

1d87d06e0f05e2af2856f150d80af14a.png

是不是清楚了

接着我们替换Handler中的mCallback

  public static void hookHandler() throws Exception{        Class> activityThreadClass = Class.forName("android.app.ActivityThread");        Field sCurrentActivityThreadField = activityThreadClass.getDeclaredField("sCurrentActivityThread");        sCurrentActivityThreadField.setAccessible(true);        Object activityThread = sCurrentActivityThreadField.get(null);        Field mHField = activityThreadClass.getDeclaredField("mH");        mHField.setAccessible(true);        Handler mHObj = (Handler) mHField.get(activityThread);        Class> handlerClass = Class.forName("android.os.Handler");        Field mCallbackField = handlerClass.getDeclaredField("mCallback");        mCallbackField.setAccessible(true);        mCallbackField.set(mHObj,new HCallback(mHObj));    }

9a30ce68ebde6f21e7d6821307f2140e.png

成功的实现了跳转目标activity.

虽然官方在不断的调整系统API,导致插件化的兼容性问题很多,但是这种插件化实现方式的思想是非常值得学习的,也是深入学习系统源码的一种方式。

源码:https://github.com/FOREVER001/Hook_Activity_plugin

weixin_39832643
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
activity-Bootstrap:使用HTML,CSS和Bootstrap构建的简单网页。 网络编程课程的活动
05-21
使用Bootstrap进行活动 使用HTML,CSS和Bootstrap构建的简单网页。 Web编程课程的活动。
找不到符号+java.lang_找不到符号类意图
weixin_35079144的博客
03-02 167
我刚刚解决了同样的问题,通过了解Android Studio索引文件的方式,正如您所知构建Android应用程序非常复杂。所以Android studio有一些内部引用,它会不断更新您创建的每个文件的更改。我到这个职位,同时寻找解决方案,这是我得到了这个问题我通常不会主体工程包下创建活动,创建子包来组织文件,按照我使用的设计模式,例如,如果我的APP名称是com.example.testingar...
Android个人项目总结——方式一(Hook IActivityManager
PdKingLiu
11-08 868
文章目录整体流程实现 整体流程 本篇主要基于Hook代理对象IActivityManager,Activity启动流程不清楚的可以看看我分析Activity流程的文章。 public ActivityResult execStartActivity( Context who, IBinder contextThread, IBinder token, Activity ta...
Activity原理第二种方案:Hook IActivityManager
weixin_34226706的博客
02-02 287
温馨提示:阅读本文需要20-30分钟(一大波代码) 关注公众号:顾林海 今天,我们来解决一个问题: Activity原理第二种方案:Hook IActivityManager 人生一切难题,知识给你答案。 第一种方案Hook Instrumentation已经顺利完成,接下来我们看第二个方案,还是看这段代码: public void startActivityForResu...
出现误ActivityManager: Warning: Activity not started, its current task has been
Ghost_war的博客
05-19 1016
1、在学习两个Activity的切换时,重新把新的工程部署上模拟器时候出现误:ActivityManager: Warning: Activity not started, its current task has been brought to the front。 原因是:两个应用起了同样的名字,模拟器总是识别第一个 或者是两个应用中的一个已经在系统的缓存中,这是android的机制 解
Bootstrap中的表单验证bootstrapValidator使用方法整理(推荐)
09-02
BootstrapValidator是Bootstrap框架的一个强大的表单验证件,用于提供用户输入验证的实时反馈。这个件能够帮助开发者轻松创建符合各种验证规则的表单,提高用户体验,并减少服务器端的无效数据处理。在本文中,...
Bootstrap简单实用的表单验证BootstrapValidator用法实例详解
10-15
BootstrapValidator是一款针对Bootstrap框架设计的高效且易于使用的表单验证件,它使得在Web应用中实现复杂的表单验证变得简单。以下是对该件的详细介绍: **一、BootstrapValidator的基本概念** Bootstrap...
Bootstrap分页件之Bootstrap Paginator实例详解
10-21
Bootstrap Paginator是一款基于Bootstrap的js分页件,功能很丰富,个人觉得这款件已经无可挑剔了,感兴趣的朋友跟着脚本之家小编一起学习吧
测试bootstrap表格件,表格分页
06-16
在Web开发中,Bootstrap表格件常用于实现数据的展示、排序、分页、筛选等操作,使得网页中的表格更加用户友好,提升用户体验。 在"测试bootstrap表格件,表格分页件"这个场景中,我们关注的核心是表格的分页...
Bootstrap每天必学之警告框
09-02
Bootstrap警告框件是网页设计框架Bootstrap中的一个重要组件,它用于创建吸引用户注意力的通知或警告信息。警告框通常包含重要消息、警告提示或确认信息,能够帮助用户更好地理解和交互网站内容。通过使用警告框...
android Hook IActivityManager和IActivityTaskManager
xiaobaaidaba123的专栏
08-07 1600
public class HookManager { private static final String TAG = "HookManager"; public static void hookActivityManager(){ if(Build.VERSION.SDK_INT > Build.VERSION_CODES.P){ hookIActivityTaskManager(); }else{ .
动态代理 hook IActivityManager
chenjia6409的博客
07-23 584
import android.util.Log; import java.lang.reflect.Field; import java.lang.reflect.InvocationHandler; import java.lang.reflect.Method; import java...
一个Demo了解android中的hook技术
热门推荐
acxingyun的博客
12-07 1万+
最近了解了下android中的hook技术,一段代码黑掉了activity的启动过程,Demo中涉及到framework层activity的启动机制,JAVA的反射+代理机制,不得不说掌握这个技术需要深厚的技术功底才行。文章地址:在这里,写这篇博客是记录下自己对其中用到的技术的理解。 调用startActivity会进入framework,然后通过IActivityManager对象的sta
Hook 实战之 Hook AMS
jeanboy
10-09 4243
本文 Android 系统源码基于 9.0 我们知道新建一个 Activity 之后我们需要在 manifest 中注册,否则启动的时候就会崩溃,现在使用 Hook 的方法绕过检查来启动一个没有注册的 Activity。 如果我们不注册的话就会下面的误: Caused by: android.content.ActivityNotFoundException: Unable to find explicit activity class {com.jeanboy.app.hooktrainning/.
【Android Hook 框架 ( Hook Activity 启动流程 | 反射获取 IActivityManager 对象 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
08-09 1307
一、反射相关源码说明、 1、Instrumentation、 2、ActivityManager、 3、Singleton、 二、反射获取 IActivityManager 对象、 1、反射获取 ActivityManager 类、 2、反射获取 IActivityManagerSingleton 字段、 3、反射获取 IActivityManagerSingleton 对象、 4、反射获取 Singleton 类、 5、反射获取 mInstance 字段、 6、反射获取 mInstance 字段、
关于ActivityManagerNative 类加载异常
aoxianchen1899的博客
11-09 408
在导入他人的工程后出现异常, The import android.app.ActivityManagerNative cannot be resolve; 即android.app.ActivityManagerNative 异常 解决方案: 工程下右键>>Properties Java Build Path 下的Libraries remove 已存...
通过反射机制获得系统字体Size【ActivityManagerNative无法调用问题】
寻箫之音
10-21 1104
【反射机制】参考此文【http://blog.csdn.net/coolcoffee168/article/details/5835143】     一 【获取系统字体】参考此文【http://blog.csdn.net/chr8880/article/details/8021237】      二 【参考文】【http://jaymsimusic.iteye.com/blog/781
物联网工程_基于RFID的食堂食品安全监测系统设计.docx
最新发布
07-20
物联网工程_基于RFID的食堂食品安全监测系统设计
bootstraptable 日期控件_bootstrap table件使用说明demo
06-03
Bootstrap Table 是一个基于 Bootstrap 的可扩展的表格件,支持多种功能扩展、多种数据源以及自定义格式等。如果要在 Bootstrap Table 中使用日期控件,可以使用 Bootstrap Datepicker 件。 下面是一个使用 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值