Hook机制之AMS

最新推荐文章于 2024-09-15 20:39:41 发布
最新推荐文章于 2024-09-15 20:39:41 发布
阅读量478 收藏 1
点赞数
分类专栏: framework

Hook机制之AMS

前文提到Android的四大组件无一不与AMS相关,也许读者还有些许疑惑;这里我就挑一个例子,依据Android源码来说明,一个简单的startActivity是如何调用AMS最终通过IPC到system_server的。

不论读者是否知道,我们使用startActivity有两种形式:

直接调用Context类的startActivity方法;这种方式启动的Activity没有Activity栈,因此不能以standard方式启动,必须加上FLAG_ACTIVITY_NEW_TASK这个Flag。
调用被Activity类重载过的startActivity方法,通常在我们的Activity中直接调用这个方法就是这种形式;
Context.startActivity
我们查看Context类的startActivity方法,发现这竟然是一个抽象类;查看Context的类继承关系图如下:
在这里插入图片描述
我们看到诸如Activity,Service等并没有直接继承Context,而是继承了ContextWrapper;继续查看ContextWrapper的实现:

@Override
public void startActivity(Intent intent) {
    mBase.startActivity(intent);
}

WTF!! 果然人如其名,只是一个wrapper而已;这个mBase是什么呢?这里我先直接告诉你,它的真正实现是ContextImpl类;至于为什么,有一条思路:mBase是在ContextWrapper构造的时候传递进来的,那么在ContextWrapper构造的时候可以找到答案
什么时候会构造ContextWrapper呢?它的子类Application,Service等被创建的时候。

可以在App的主线程AcitivityThread的performLaunchActivit方法里面找到答案;更详细的解析可以参考老罗的 Android应用程序启动过程源代码分析

好了,我们姑且当作已经知道Context.startActivity最终使用了ContextImpl里面的方法,代码如下

public void startActivity(Intent intent, Bundle options) {
    warnIfCallingFromSystemProcess();
    if ((intent.getFlags()&Intent.FLAG_ACTIVITY_NEW_TASK) == 0) {
        throw new AndroidRuntimeException(
                "Calling startActivity() from outside of an Activity "
                + " context requires the FLAG_ACTIVITY_NEW_TASK flag."
                + " Is this really what you want?");
    }
    mMainThread.getInstrumentation().execStartActivity(
        getOuterContext(), mMainThread.getApplicationThread(), null,
        (Activity)null, intent, -1, options);
}

代码相当简单;我们知道了两件事:

其一,我们知道了在Service等非Activity的Context里面启动Activity为什么需要添加FLAG_ACTIVITY_NEW_TASK;
其二,真正的startActivity使用了Instrumentation类的execStartActivity方法;继续跟踪:

public ActivityResult execStartActivity(
        Context who, IBinder contextThread, IBinder token, Activity target,
        Intent intent, int requestCode, Bundle options) {
	// ... 省略无关代码
    try {
        intent.migrateExtraStreamToClipData();
        intent.prepareToLeaveProcess();
        // ----------------look here!!!!!!!!!!!!!!!!!!!
        int result = ActivityManagerNative.getDefault()
            .startActivity(whoThread, who.getBasePackageName(), intent,
                    intent.resolveTypeIfNeeded(who.getContentResolver()),
                    token, target != null ? target.mEmbeddedID : null,
                    requestCode, 0, null, null, options);
        checkStartActivityResult(result, intent);
    } catch (RemoteException e) {
    }
    return null;
}

到这里我们发现真正调用的是ActivityManagerNative的startActivity方法;如果你不清楚ActivityManager,ActivityManagerService以及ActivityManagerNative之间的关系;建议先仔细阅读我之前关于Binder的文章 Binder学习指南。

Activity.startActivity
Activity类的startActivity方法相比Context而言直观了很多;这个startActivity通过若干次调用辗转到达startActivityForResult这个方法,在这个方法内部有如下代码:

Instrumentation.ActivityResult ar =
    mInstrumentation.execStartActivity(
        this, mMainThread.getApplicationThread(), mToken, this,
        intent, requestCode, options);

可以看到,其实通过Activity和ContextImpl类启动Activity并无本质不同,他们都通过Instrumentation这个辅助类调用到了ActivityManagerNative的方法。

Hook AMS
OK,我们到现在知道;其实startActivity最终通过ActivityManagerNative这个方法远程调用了AMS的startActivity方法。那么这个ActivityManagerNative是什么呢?

ActivityManagerNative实际上就是ActivityManagerService这个远程对象的Binder代理对象;每次需要与AMS打交道的时候,需要借助这个代理对象通过驱动进而完成IPC调用。

我们继续看ActivityManagerNative的getDefault()方法做了什么:

static public IActivityManager getDefault() {
    return gDefault.get();
}

gDefault这个静态变量的定义如下:

private static final Singleton<IActivityManager> gDefault = new Singleton<IActivityManager>() {
    protected IActivityManager create() {
        IBinder b = ServiceManager.getService("activity
        IActivityManager am = asInterface(
        return am;
    }
};

由于整个Framework与AMS打交道是如此频繁,framework使用了一个单例把这个AMS的代理对象保存了起来;这样只要需要与AMS进行IPC调用,获取这个单例即可。这是AMS这个系统服务与其他普通服务的不同之处,也是我们不通过Binder Hook的原因——我们只需要简单地Hook掉这个单例即可。

这里还有一点小麻烦:Android不同版本之间对于如何保存这个单例的代理对象是不同的;Android 2.x系统直接使用了一个简单的静态变量存储,Android 4.x以上抽象出了一个Singleton类;具体的差异可以使用grepcode进行比较:差异

我们以4.x以上的代码为例说明如何Hook掉AMS;方法使用的动态代理,如果有不理解的,可以参考之前的系列文章Android插件化原理解析——Hook机制之动态代理

Class<?> activityManagerNativeClass = Class.forName("android.app.ActivityManagerNative");

// 获取 gDefault 这个字段, 想办法替换它
Field gDefaultField = activityManagerNativeClass.getDeclaredField("gDefault");
gDefaultField.setAccessible(true);
Object gDefault = gDefaultField.get(null);

// 4.x以上的gDefault是一个 android.util.Singleton对象; 我们取出这个单例里面的字段
Class<?> singleton = Class.forName("android.util.Singleton");
Field mInstanceField = singleton.getDeclaredField("mInstance");
mInstanceField.setAccessible(true);

// ActivityManagerNative 的gDefault对象里面原始的 IActivityManager对象
Object rawIActivityManager = mInstanceField.get(gDefault);

// 创建一个这个对象的代理对象, 然后替换这个字段, 让我们的代理对象帮忙干活
Class<?> iActivityManagerInterface = Class.forName("android.app.IActivityManager");
Object proxy = Proxy.newProxyInstance(Thread.currentThread().getContextClassLoader(),
        new Class<?>[] { iActivityManagerInterface }, new IActivityManagerHandler(rawIActivityManager));
mInstanceField.set(gDefault, proxy);

好了,我们hook成功之后启动Activity看看会发生什么:

D/HookHelper﹕ hey, baby; you are hook!!
D/HookHelper﹕ method:activityResumed called with args:[android.os.BinderProxy@9bc71b2]
D/HookHelper﹕ hey, baby; you are hook!!
D/HookHelper﹕ method:activityIdle called with args:[android.os.BinderProxy@9bc71b2, null, false]
D/HookHelper﹕ hey, baby; you are hook!!
D/HookHelper﹕ method:startActivity called with args:[android.app.ActivityThread$ApplicationThread@17e750c, com.weishu.upf.ams_pms_hook.app, Intent { act=android.intent.action.VIEW dat=http://wwww.baidu.com/... }, null, android.os.BinderProxy@9bc71b2, null, -1, 0, null, null]
D/HookHelper﹕ hey, baby; you are hook!!
D/HookHelper﹕ method:activityPaused called with args:[android.os.BinderProxy@9bc71b2]

反射 这里面涉及到几个的反射方法
Class.forName()
通过类名获取Class对象。
setAccessible()
改变访问对象的可见性,常常用来访问private属性的对象。
invoke(Object receiver, Object… args)
通过对象和参数列表执行方法。
get(Object object)
获取Feild的值。
怎么Hook 先理清Hook是什么?翻译过来是钩子。
我的理解是一些已有的API不能满足新的需求,可以通过Hook来改变其功能,或在原API前后插入新的代码,或改变其返回值,或干脆覆盖掉原来的代码,来实现新的需求。

ZJ_Ming
关注
专栏目录
Android 插件化之Hook机制
xiangzhihong8的专栏
06-05 3025
Android Hook简介 什么是Hook Hook 英文翻译过来就是「钩子」的意思,就是在程序执行的过程中去截取其中的信息。Android 操作系统中系统维护着自己的一套事件分发机制,那么Hook就是在事件传送到终点前截获并监控事件的传输。其原理示意图如下: 众所周知,Android 系统中使用了沙箱机制,普通用户程序的进程空间都是独立的,程序的运行互不干扰,而进程之间要实现通信需要...
在Android中实现Hook机制的实验
邹迪飞
11-18 7933
写过windows编辑的同学肯定对当时的特别强大的HOOK记忆犹新,不管是什么系统事件,都能捕捉住,那么在android中,如何实现Hook机制呢。 hook,又叫钩子,通常是指对一些方法进行拦截。这样当这些方法被调用时,也能够执行我们自己的代码,这也是面向切面编程的思想(AOP) android中,本身并不提供这样的拦截机制,但是有时候,我们可以在一些特殊的场合实现一种的Hook方法。 大致
Hook系统的AMS服务
09-27
Hook系统的AMS服务,拦截应用启动流程
Android 插件化原理解析——Hook机制AMS&PMS
parallelyk的专栏
06-29 3133
在前面的文章中我们介绍了DroidPlugin的Hook机制,也就是代理方式和Binder Hook;插件框架通过AOP实现了插件使用和开发的透明性。在讲述DroidPlugin如何实现四大组件的插件化之前,有必要说明一下它对ActivityManagerServiche以及PackageManagerService的Hook方式(以下简称AMS,PMS)。 ActivityManagerS
hook AMS
niu0147的专栏
01-04 506
通过了解activity启动流程,我们知道当调用startActivity后,会通过ipc和ActivityManagerService服务 进行通信,然后做任务栈管理,包的解析等等工作,最终调用ActivityThread中的scheduleLaunchActivity方法 来启动新的activity。  了解这一基本知识后,我来练习一个小demo: 拦截ActivityManagerSe
Hook 实战之 Hook AMS
jeanboy
10-09 4491
本文 Android 系统源码基于 9.0 我们知道新建一个 Activity 之后我们需要在 manifest 中注册,否则启动的时候就会崩溃,现在使用 Hook 的方法绕过检查来启动一个没有注册的 Activity。 如果我们不注册的话就会报下面的错误: Caused by: android.content.ActivityNotFoundException: Unable to find explicit activity class {com.jeanboy.app.hooktrainning/.
AMS Hook
Jack的博客
07-31 436
2,AMS Hook AMS 的详细Hook点请看这篇文章, http://blog.csdn.net/u012439416/article/details/70665923 Hook AMS只需要简单的Hook ActivityManagerNative的gDefault变量就可以了。 该变量定义如下, private static final Singleton gDefault
Android Hook AMS 实现统一登录
04-11
5. **异常处理**:考虑到Hook可能会引发崩溃或其他问题,需要添加适当的错误处理机制,确保即使Hook失败,应用仍能正常运行。 6. **测试与优化**:在多种设备和Android版本上进行广泛测试,确保Hook的稳定性和兼容...
基于Android框架的AMS和PMS Hook项目.zip
09-07
本项目旨在深入理解Android系统中的Activity Manager Service (AMS) 和 Package Manager Service (PMS) 的Hook机制。通过反射和动态代理技术,项目实现了对AMS和PMS的Hook操作,从而能够在运行时修改系统级组件的...
【Android Framework系列】第9章 AMSHook实现登录页跳转
Yvan
08-01 1709
本章节通过反射和动态代理对不同Android版本下AMS进行Hook,实现登录页面的跳转。
Android代码-利用AMS Hook和APT去构建的一个Activity路由框架
08-06
EasyRouter 欢迎加入Android技术交流群,群号码:577953847 EasyRouter是一个简易的使用字符串进行Activity,Browser跳转的路由框架,并支持组件化开发。 Features EasyRouter实现了通过字符串进行Activity之间跳转路由,通过APT在编译器实现路由表的构建,劫持了startActivity()进行动态路由 EasyRouter实现了Activity之间跳转,返回时的数据自动注入,完全屏蔽了原生的一套繁琐API EasyRouter实现了通过字符串进程Browser的路由跳转 EasyRouter支持更换路由跳转时数据序列化的解析器,默认为Gson,可以通过EasyRouterSet进行更换 EasyRouter劫持了onActivityResult(),并将其改为接口回调 EasyRouter通过transform ASM实现了一个gradle插件来支持组件化开发 Usage 1.在Activity中自定义URL标识符,目前只支持单一的URL标识,URL的Scheme均为activity:// @Route("acti
Android Hook 技术之 绕过系统对Activity验证
07-18
【SDK热更系列】Android Hook 技术之 绕过系统对Activity验证 , 原理详见个人博客https://blog.csdn.net/u012573920/
Android之Hook AMS实现集中登录管理
calm1516的专栏
03-07 611
学无止境,学以致用。 在实际开发中,需求是随着业务的发展不断变化的。以登录来说,看似简单,但随着业务性质的不同,其场景需求就会不断发生变化。 比如微信、QQ这种,他们是强登录的类型,就是在应用开启的第一步就是必须先进行登录的动作,否则无法使用后续的功能。但如淘宝、京东这类软件,用户只是先浏览商品,在加入购物车或者下订单、购买等环节才需要登录,如果这种类型的软件也做成一进来先必须要登录的话明显是不合理的。但问题也随之而来,以加入购物车为例,用户浏览完商品,点击加入购物车,发现用户未登录,那么跳转到登录页面进行
Android Hook AMS实现登陆架构
hongxue8888的博客
11-01 670
SystemServer:frameworks/base/services/java/com/android/server PackageManagerService:frameworks\base\services\core\java\com\android\server\pm Hook技术也称为钩子函数。 钩子函数实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。 在系统没有到...
Android Framework实战:AMS HOOK实现集中登陆
写好每一篇文章
09-16 1884
AMS在应用端的实际应用。如何去hook AMS的源码,以此来实现一些类似黑科技的技术。
插件化二:Hook AMS实现
最新发布
望佑
09-15 1289
在Android系统中,通过结合拦截修改方法和Hook Handler的消息,可以实现插件Activity的动态加载和执行,同时绕过AMS(Activity Manager Service)对插件Activity的直接检测。腾讯的QZone和Tinker等应用本质上就是采用了这种hook方式来实现插件化,主要操作的是dexElements。
Hook简述以及Hook AMS 实现统一登录
派派的生活
04-11 1689
什么是hookhook 翻译成中文是 名词钩子、挂钩,动词 钩住的意思。 在程序中 Hook 是一种技术,也成为钩子函数。 实际上,一个处理消息的程序段,通过系统的调用,把它挂入系统。 在系统没有调用到该函数之前,钩子程序先捕获该消息,先得到控制权,然后加工处理,然后再扔给系统做后续的处理。 比如说,有一辆货车 每天从A仓库拉货(一个集装箱的苹果) 到 B 水果分发站。 我们的钩子函数...
Android上hook AMS和PMS
mockingbirds的专栏
01-02 5005
好吧,我承认,其实这一篇文章,主要使用到的就是动态代理,但是个人觉得还是有很大意义的,比如说可以降低代码耦合度,如果想在用户的某一类操作都要打印log获取当前参数,或者是记录用户的点击事件,点击时间等,那么此时在现有代码的基础上每次在点击事件中做处理,肯定是可以的,但是这样,我们要修改多少代码,其实此时,我们就可以完全使用代理来实现类似的功能。说道这里了,就先来看看,什么是代理吧 静态代理比如,现在
Hook AMS + APT实现集中式登录框架
Android技术之家
09-24 467
背景登录功能是App开发中一个很常见的功能,一般存在两种登录方式:1、一种是进入应用就必须先登录才能使用(如聊天类软件)。2、另一种是以游客身份使用,需要登录的时候才会去登录(如商城类软件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值