Shizuku 源码解读 (自动解锁手机抢购飞天茅台)解决遗留部分问题

最新推荐文章于 2024-06-18 17:15:15 发布
最新推荐文章于 2024-06-18 17:15:15 发布
阅读量694 收藏 27
点赞数 13
分类专栏: 移动开发 java Android 文章标签: android java kotlin gradle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45427063/article/details/139415798
版权
Android 同时被 3 个专栏收录
11 篇文章 0 订阅
订阅专栏
移动开发
4 篇文章 1 订阅
订阅专栏
java
3 篇文章 0 订阅
订阅专栏

每天定时抢购飞天茅台

原视频链接

背景

Shizuku 源码解读上文

  • 上次预留两个问题

      - 1. 新进程中的context 如何构建创造

  - 2. hidden api的实现原理

问题一 新进程中的context 如何构建创造

  • 反射构造客户端Service,构造使用context 原代码

    • public class UserService {

  
    @Nullable
    public static Pair<IBinder, String> create(String[] args) {
      
        Log.i(TAG, String.format("starting service %s/%s...", pkg, cls));

        IBinder service;

        try {
            Context systemContext = ActivityThread.systemMain().getSystemContext();

            DdmHandleAppName.setAppName(name != null ? name : pkg + ":user_service", 0);

            //noinspection InstantiationOfUtilityClass
            UserHandle userHandle = Refine.unsafeCast(
                    Build.VERSION.SDK_INT >= Build.VERSION_CODES.N
                            ? UserHandleHidden.of(userId)
                            : new UserHandleHidden(userId));
            Context context = Refine.<ContextHidden>unsafeCast(systemContext).createPackageContextAsUser(pkg, Context.CONTEXT_INCLUDE_CODE | Context.CONTEXT_IGNORE_SECURITY, userHandle);
            ClassLoader classLoader = context.getClassLoader();
            Class<?> serviceClass = classLoader.loadClass(cls);
            Constructor<?> constructorWithContext = null;
            try {
                constructorWithContext = serviceClass.getConstructor(Context.class);
            } catch (NoSuchMethodException | SecurityException ignored) {
            }
            if (constructorWithContext != null) {
                service = (IBinder) constructorWithContext.newInstance(context);
            } else {
                service = (IBinder) serviceClass.newInstance();
            }
        } catch (Throwable tr) {
            Log.w(TAG, String.format("unable to start service %s/%s...", pkg, cls), tr);
            return null;
        }

        return new Pair<>(service, token);
    }
}

  • Context systemContext = ActivityThread.systemMain().getSystemContext(); ActivityThread 作为隐藏API,为什么项目中可以使用到?

    • 自定义ActivityThread,包名类名和系统相同

      •   package android.app;
  
  public class ActivityThread {
  
      public static ActivityThread systemMain() {
          throw new RuntimeException();
      }
  
      public static ActivityThread currentActivityThread() {
          throw new RuntimeException();
      }
  
      public Application getApplication() {
          throw new RuntimeException();
      }
  
      public ContextImpl getSystemContext() {
          throw new RuntimeException();
      }
  }

    • 调用自定义的ActivityThread,这样运行不就抛出异常吗?为什么会顺利执行

    • 双亲委派机制

      •  private final ClassLoader parent;
 protected Class<?> loadClass(String name, boolean resolve)
	        throws ClassNotFoundException {
	            // First, check if the class has already been loaded
	            Class<?> c = findLoadedClass(name);
	            if (c == null) {
	                try {
	                    if (parent != null) {
	                        c = parent.loadClass(name, false);
	                    } else {
	                        c = findBootstrapClassOrNull(name);
	                    }
	                } catch (ClassNotFoundException e) {
	                    // ClassNotFoundException thrown if class not found
	                    // from the non-null parent class loader
	                }
	                if (c == null) {
	                    // If still not found, then invoke findClass in order
	                    // to find the class.
	                    c = findClass(name);
	                }
	            }
	            return c;
}
        1. findLoadedClass(name) 从缓存中获取Class对象,如果获取不到,就让parent.loadClass(name)找。

        • android 调用native方法从 class_table(哈希map)的缓存中查找

        • java中可能java层和native层都有缓存,Android只有native有缓存

        1. 递归此过程。直到顶层为BootClassLoader类型时,如果在缓存中无法获取到需要的class对象,就调用BootClassLoader.findClass(name)。
        1. 最后,如果parent获取不到class对象,就调用自己的findClass(name)寻找。

        • DexPathList -> dexElements这个数组就是一个Dex文件集合,而findClass就是遍历这个集合,然后从Dex文件中获取需要的字节码文件,然后使用字节码文件创建对应的Class对象,并将其缓存到class_table中。

        1. 如果findClass()方法仍然无法加载该类,那么ClassLoader会抛出ClassNotFoundException异常。

    • 根据双亲委派机制,loadClass时返回BootClassCloder中已经加载的系统ActivityThread类,那我们自己实验一下,

      • apk类加载器的父类是否是BootClassCloder?

        • ClassLoader classLoader = MainActivity.class.getClassLoader();
while (classLoader != null) {
    Log.d("gzp", classLoader.getClass().getCanonicalName());
    classLoader = classLoader.getParent();
}
          在这里插入图片描述

      • 自己替换一下系统类,demo验证一下,

        • package android.os;

import android.util.Log;

public class ServiceManager {

    public static IBinder getService(String name) {
        Log.d("gzp", "custom getService");
        throw new RuntimeException("STUB");
    }

    public static void addService(String name, IBinder service) {
        Log.d("gzp", "custom addService");
        throw new RuntimeException("STUB");
    }

}

public class MainActivity extends HomeActivity {
    @Override
    protected void onCreate(@Nullable Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
     
        IBinder iBinder = ServiceManager.getService("activity");
        Log.d("gzp", "custom" + iBinder);
    }
}
          在这里插入图片描述
          果然没有输出custom getService日志,并且返回的是一个对象

  • 是不是所有的类都可以自定义替换呢

    • 当然不是,如果替换View类,你会发现编译报错;android jar 包含的类替换有可能编译失败;导入类时,优先导入android jar的类

问题二 hidden api的实现原理

  • hidden api的实现原理 Context context = Refine.<ContextHidden>unsafeCast(systemContext).createPackageContextAsUser();

  • HiddenApiRefinePlugin 查看源码

    • gradle 插件,在编译(compileDebugJavaWithJavac/compileRelaseJavaWithJavac)之后 将android.content.ContextHidden重新命名为 android.content.Context

      •  class RefineRemapper extends Remapper {
    
 
     @Override
     public String map(final String typeName) {
         final ClassData data = context.loadClassData(typeName.replace('/', '.') + "$" + RefineProcessor.REFINE_METADATA_CLASS_NAME);
         if (data == null) {
             return typeName;
         }
 
         if (data.getClassAnnotations().contains(RefineProcessor.Descriptor.class.getName())) {
             final String to = data.getClassAnnotations().stream()
                     .filter(a -> a.startsWith(RefineProcessor.REFINE_NS_PACKAGE))
                     .findFirst()
                     .orElseThrow(() -> new UnsupportedOperationException("Use deprecated refine class " + data.getClassName()));
 
             return to.substring(RefineProcessor.REFINE_NS_PACKAGE.length() + 1).replace('.', '/');
         }
 
         return typeName;
     }
 
 }

    • 过程:

        1. 编译时调用自定义ContextHidden.createPackageContextAsUser 保证编译通过,不会因为类找不到或者方法找不到而抛出编译异常;
        1. 编译之后,重新命名(android.content.ContextHidden重新命名为 android.content.Context)
        1. 加载类时,根据双亲委派机制,findClass时,返回BootClassCloder中的系统android.content.Context
        1. 运行调用系统的android.content.Context
android-greenhand
关注
  • 13
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
京东秒杀程序定时自动抢购茅台,原来我们一直抢不到是有原因的!(完整源码在文末)
python03014的博客
04-27 4358
本教程完成针对小白,大佬请绕道!!本教程完成针对小白,大佬请绕道!!本教程完成针对小白,大佬请绕道!!重要的事情说三遍!小白福音!!这两天问茅台脚本使用方法的人很多!!本人没有精力有限,所以弄了一个!!是 .exe 文件,点击 main.exe 就能运行但是有个前提是需要更改 eid, fp 这两个参数这两个参数在 config.ini 文件中获取这两个参数的方法在第 4 步!!你用软件抢购只看前面和第 4 步就可以了~~~最新全套【Python入门到进阶资料 & 实战源码 & 安装工具】
App Ops + Shizuku +Adb(免积分下载)
02-16
App Ops、Shizuku 和 ADB 是安卓系统中用于高级用户和开发者操作的重要工具,它们各自扮演着不同的角色。在没有获取 root 权限的安卓设备上,这三者组合可以实现许多系统级别的功能和应用权限管理。 1. **App Ops**...
Shizuku:通过以app_process开头的Java进程直接从普通应用程序使用具有adbroot特权的系统API
03-29
uku宿 背景 在开发需要root的应用程序时,最常见的方法是在su shell中运行一些命令。 例如,有一个应用程序使用pm enable/disable命令启用/禁用组件。 这种方法有很大的缺点: 极慢(创建多个进程) 需要处理文本(超级不可靠) 可能性仅限于可用命令 即使ADB具有足够的权限,该应用也需要具有root权限才能运行 Shizuku使用完全不同的方式。 请参阅下面的详细说明。 用户指南和下载 Shizuku如何工作? 首先,我们需要讨论应用程序如何使用系统API。 例如,如果应用程序想要安装应用程序,我们都知道我们应该使用PackageManager#getInstalledPackages() 。 这实际上是应用程序进程和系统服务器进程的进程间通信(IPC)进程,只是Android框架为我们完成了内部工作。 Android使用binder来执行这种类型的IP
Shizuku-API:Shizuku和Sui的API
05-20
Shizuku-API 和API和开发人员指南。 概念是“相同的API,不同的实现”,Shizuku和Sui共享API设计。 作为应用程序开发人员,您只需编写一次代码即可支持Shizuku和Sui。 介绍 首先,请阅读和的自述文件,以便您对Shizuku和Sui的工作原理有一个基本的了解。 Shizuku API提供的最重要的功能是“远程活页夹调用”和“用户服务”。 远程活页夹呼叫 调用所有使用活页夹(例如getInstalledPackages )作为根(或adb)身份的Android API。 用户服务 与类似,但该服务以root(或adb)的身份运行。 还支持JNI。 要求 Shizuku和Sui要求用户先安装一些东西。 i 需要魔幻 要求用户安装两个Magisk模块“ Riru”和“ Riru-Sui” uku宿 需要root或adb 对于adb,需要在每次启动时使用
Android Volley完全解析(一),初识Volley的基本用法
热门推荐
郭霖的专栏
04-10 36万+
我们平时在开发Android应用的时候不可避免地都需要用到网络技术,而多数情况下应用程序都会使用HTTP协议来发送和接收网络数据。Android系统中主要提供了两种方式来进行HTTP通信,HttpURLConnection和HttpClient,几乎在任何项目的代码中我们都能看到这两个类的身影,使用率非常高。Android开发团队也是意识到了有必要将HTTP的通信操作再进行简单化,于是在2013年Google I/O大会上推出了一个新的网络通信框架——Volley。Volley可是说是把AsyncHttpC
Shizuku 源码解读自动解锁手机抢购飞天茅台
weixin_45427063的博客
04-01 1368
每天定时抢购飞天茅台 实现原理:Shizuku 源码解读
免ROOT调用Android系统隐藏接口教程
sorry_my_life的博客
10-01 1375
通过以上软件的源码分析,我们可以知道,它们为了能够顺利调用系统api接口,在本地也创建了很多跟那些隐藏接口一样的文件跟对外接口函数,我们在分析Android Framework源码的时候,也发现了一个问题,里面那些接口,大部分都是@hide属性的,这部分我们是不可以调用的,但是adb shell环境下是可以使用的,这意味着,我们也仿照上述软件创建对应的文件跟编写对外接口函数名字,是否也可以达到同样效果?这里就简单先分析了两个命令的功能,其它的就不一一分析了,由于篇幅的问题,只能交给你们自己去分析了。
京东抢购飞天茅台秒杀程序JAVA
#虾米生活 博客V
01-15 8872
这两天在Github 上看到了一个开源的抢茅台程序源码(点我查看),分享下。 亲测程序可编译可用,试过1次没抢到哈哈哈,你也可以跑起来试试或者改下源代码优化下试试! 使用: 1. 配置文件initData.txt文件必须与.exe文件或者项目在同一目录下,主要配置抢购的商品pid,,账号关联的eid和fp 商品id为商品详情url中的一串数字。如下图: eid以及fp在订单结算页面https://...
Shizuku 系统API调用工具v12.8.1.zip
08-30
Shizuku系统API调用工具v12.8.1——深入了解与接口调用指南》 Shizuku系统API调用工具是一款专为Android开发者设计的实用软件,它允许用户在没有root权限的情况下,安全地访问系统级别的API。这款工具的最新版本v...
京东自动茅台脚本源码
01-16
* 本仓库发布的`jd_seckill`项目中涉及的任何脚本,仅用于测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。 * 本项目内所有资源文件,禁止任何公众号、自媒体进行任何形式的转载、发布。 * `huanghyw` 对任何脚本问题概不负责,包括但不限于由任何脚本错误导致的任何损失或损害. * 间接使用脚本的任何用户,包括但不限于建立VPS或在某些行为违反国家/地区法律或相关法规的情况下进行传播, `huanghyw` 对于由此引起的任何隐私泄漏或其他后果概不负责。 * 请勿将`jd_seckill`项目的任何内容用于商业或非法目的
京东抢购软件
05-13
京东抢购软件,非常强大,可以定时,抢购,加车一键操作
秒杀神器,亲测可用
11-06
速淘宝秒杀器最给力的淘宝秒杀器,天天特价秒杀器,极限加速,出题快,显题快,提交快。完美增加成功率!
Shizuku:实时模拟和渲染自由表面流体
02-04
Shizuku:实时模拟与渲染自由表面流体解析》 在计算机图形学领域,Shizuku是一款专注于实时模拟和渲染自由表面流体的高级工具。它的设计目标是为游戏开发、影视特效以及虚拟现实应用提供逼真的水体表现。在深入...
adb shizuku manage
08-01
"adb shizuku manage" 是一个与Android操作系统相关的命令,它是ADB(Android Debug Bridge)工具的一个扩展功能。ADB是Google开发的一个命令行工具,用于帮助开发者调试Android设备或模拟器。Shizuku则是第三方...
茅台小代码
kuayueday的博客
04-19 440
/取消默认的居中放置,只有取消了才会按照XY轴的形式添加组件。setTitle("洛克王国性格模拟器");
使用Shizuku和LSPatch对应用注入代码
最新发布
gjc91126的博客
06-18 1287
使用LSPatch和Shizuku可以对应用注入代码,修改方法的参数或返回值,但是它需要对应用重新打包,重新打包后,签名会发生改变。虽然它提供了跳过签名校验的选项,但是部分应用(例如MT管理器)仍然能够检测到应用被修改,从而无法正常运行。因此最靠谱的方案还是Root之后使用LSPosed模块,该方案无需对应用重新打包,可以直接将模块作用在应用上。源代码:GitHub - MagicianGuo/Android-XposedTest: Xposed模块,实现修改应用内布局、解除应用截图限制等功能。
(shizuku+小黑屋)完美实现应用程序冻结无需root/解bl锁
NiUNiUSHENTAO的博客
07-04 7429
小黑屋与手机的某些功能类似,比如安卓系统的应用停用功能。二者的相似之处在于都可以停用应用程序,防止其后台运行和消耗系统资源。然而,小黑屋相较于手机的应用停用功能具有以下优势:方便易用,高度可定制,隐私保护,续航优化小黑屋的工作原理是利用安卓系统的应用停用功能,将应用停用后相当于被卸载,但应用的数据不受影响,可以随时恢复使用。通常需要连接电脑使用ADB命令才能停用应用,但小黑屋软件可以在手机上直接停用和恢复应用,非常方便。
termux请求shizuku
03-23
Termux是一款在Android设备上运行的开源终端模拟器,它允许用户在手机上使用Linux命令行工具。而Shizuku是一个Android平台上的权限管理工具,它可以帮助用户在没有Root权限的情况下使用一些需要高权限的应程序。 如果你在Termux中请求Shizuku权限,按照以下步进行操作: 1. 首先,在你的Android设备上安装Termux应用。 2. 打开Termux应用,并在终端中输入以下令来安装Shizuku: ``` pkg install shizuku ``` 3.装完成后,输入以下命令来启动Shizuku服务: ``` shizuku ``` 4. 接下来,你可以在Termux中使用一些需要高权限的应用程序了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值