Android Framework实战:AMS HOOK实现集中登陆

已于 2022-09-16 17:23:55 修改
阅读量1.8k 收藏 5
点赞数 1
分类专栏: Framework 文章标签: android framework
于 2022-09-16 17:23:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wumeixinjiazu/article/details/126893328
版权

一、目的

        项目代码

        实现需要登陆场景判断的任何页面做到没有代码插入。

例如下面,当我们启动一个页面需要判断它有没有登陆,一般会做如下判断:

        if (!isLogin) {
            //未登录
            val intent = Intent(this, LoginActivity::class.java)
            startActivity(intent)
            return
        }
        val intent = Intent(this, SecondActivity::class.java)
        startActivity(intent)

但是如果你通过hook AMS,就可以做到以下面代码实现自动跳转登陆页。

        val intent = Intent(this, SecondActivity::class.java)
        startActivity(intent)

二、实现逻辑

实现的逻辑难点在于要去适配每一个版本的AMS代码,因为我们都是通过反射去hook Activity的启动逻辑。

既然要适配每一个版本的代码,那就需要我们对Activity的启动流程有一定的了解。

不了解AMS源码的可以看这一篇

如果了解了Activity的启动流程,那么肯定知道下面几个步骤:

  • Activity的启动是通过ActivityManagerService来启动的
  • ActivityManagerService通过发送消息给ActivityThread来启动Activity
  • ActivityThread负责创建和调用Activity的生命周期

有了上面的了解后,这个AMS HOOK集中登陆技术大概可以总结为以下三个流程:

第一步:通过反射获取到ActivityManagerService,通过动态代理去监听startActivity的事件

第二步:在ActivityManagerService的startActivity的事件中,我们需要替换成一个真实的Activity。

第三步:最后,监听ActivityThreadmH,获取创建Activity的命令。

下面,我们通过代码,看下是如何实现上面三步的。

提示:下面的代码基于安卓源码6.0

第一步: 获取ActivityManagerService

    public void hookAmsFor6() throws Exception {
        //1.反射获取类>ActivityManagerNative
        Class ActivityManagerClz = Class.forName("android.app.ActivityManagerNative");

        //2.获取变量>gDefault
        Field IActivityManagerSingletonFiled = ActivityManagerClz.
                getDeclaredField("gDefault");
        //2.1 设置访问权限
        IActivityManagerSingletonFiled.setAccessible(true);

        //3. 获取变量的实例值
        Object IActivityManagerSingletonObj = IActivityManagerSingletonFiled.get(null);

        //4.获取mInstance
        Class SingletonClz = Class.forName("android.util.Singleton");
        Field mInstanceField = SingletonClz.getDeclaredField("mInstance");
        mInstanceField.setAccessible(true);
        //5.获取AMS Proxy
        Object AMSProxy = mInstanceField.get(IActivityManagerSingletonObj);
        //6.由于不能去手动实现IActivityManager实现类,
        //  所以只能通过动态代理去动态生成实现类

        //6.1 获取需要实现的接口
        Class IActivityManagerClz = Class.forName("android.app.IActivityManager");
        //6.2 动态生成接口对象
        Object proxyIActivityManager = Proxy.newProxyInstance(Thread.currentThread().getContextClassLoader(),
                new Class[]{IActivityManagerClz}, new AmsInvocationHandler(AMSProxy));
        mInstanceField.setAccessible(true);
        //7.替换掉系统的变量
        mInstanceField.set(IActivityManagerSingletonObj, proxyIActivityManager);
    }

第二步:替换Intent

监听ActivityManagerService的方法事件如下:

    private class AmsInvocationHandler implements InvocationHandler {

        private Object iActivityManagerObject;

        public AmsInvocationHandler(Object iActivityManagerObject) {
            this.iActivityManagerObject = iActivityManagerObject;
        }

        @Override
        public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
            if ("startActivity".contains(method.getName())) {
                Intent intent = null;
                int index = 0;
                for (int i = 0; i < args.length; i++) {
                    Object arg = args[i];
                    if (arg instanceof Intent) {
                        intent = (Intent) args[i]; // 原意图,过不了安检
                        index = i;
                        break;
                    }
                }
                Intent proxyIntent = new Intent();
                ComponentName componentName = new ComponentName(context, proxyActivity);
                proxyIntent.setComponent(componentName);
                proxyIntent.putExtra("realIntent", intent);
                //替换原有的intent为我们自己生成的,为了骗过PMS
                //为跳到我们的传入的proxyActivity
                args[index] = proxyIntent;
            }
            return method.invoke(iActivityManagerObject, args);
        }
    }

第三步:监听mH

    public void hookSystemHandler() throws Exception {
        //1.反射ActivityThread
        Class ActivityThreadClz = Class.forName("android.app.ActivityThread");
        //2. 获取sCurrentActivityThread 是一个static变量
        Field field = ActivityThreadClz.getDeclaredField("sCurrentActivityThread");
        field.setAccessible(true);
        //3.获取ActivityThread对象
        Object ActivityThreadObj = field.get(null);
        //4.通过ActivityThreadObj获取到mH变量
        Field mHField = ActivityThreadClz.getDeclaredField("mH");
        mHField.setAccessible(true);
        //5.获取到mH的对象
        Handler mHObj = (Handler) mHField.get(ActivityThreadObj);//ok,当前的mH拿到了
        //到这里,获取到mH的对象了,那我们怎么去监听他的方法调用呢?
        //能不能通过动态代理?不能,因为它不是个接口
        //由于在Handler的源码中,我们知道如果mCallback如果不等于空,就会调用mCallback的handleMessage方法。
        //6.获取mH的mCallback
        Field mCallbackField = Handler.class.getDeclaredField("mCallback");
        mCallbackField.setAccessible(true);
        //7.创建我们自己的Callback,自己处理handleMessage
        Handler.Callback proxyMHCallback = getMHCallback();
        //8.给系统的mH(Handler)的mCallback设值(proxyMHCallback)
        mCallbackField.set(mHObj, proxyMHCallback);
    }

其他细节代码可以看项目源码。

最后,在项目代码中,已经适配了安卓版本6和9。其他的版本适配可以留给你们练手,这样的好处是可以大大的熟悉Activity启动流程的源码。包括这篇这篇文章,是基于安卓10流程讲解的,看完后你是否可以适配去安卓10对应的Hook。

         完整代码点击这里

最后的最后,留几个问题。

在AMS HOOK集中登陆技术第二步流程中:

第二步:在ActivityManagerService的startActivity的事件中,我们需要替换成一个真实的Activity。

请问,这里为什么要替换成一个真实的Activity?能不能不替换?替换了会有什么好处?

I'm an Android Dev
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android插件化——高手必备的Hook技术
2401_84520182的博客
04-30 609
Android 详细知识点思维脑图(技能树)】其实Android开发的知识点就那么多,面试问来问去还是那么点东西。所以面试没有其他的诀窍,只看你对这些知识点准备的充分程度。so,出去面试时先看看自己复习到了哪个阶段就好。虽然 Android 没有前几年火热了,已经过去了会四大组件就能找到高薪职位的时代了。这只能说明 Android 中级以下的岗位饱和了,现在高级工程师还是比较缺少的,很多高级职位给的薪资真的特别高(钱多也不一定能找到合适的),所以努力让自己成为高级工程师才是最重要的。
菜鸟带你Hook技术实战
风花散却隽世间,雪月寥落化雨田
03-19 2506
问题 上一篇文章:你想成为Android高级工程师你还得学习Hook中我们提了一个问题: 我们如果要启动一个activity,我们的做法是1. 在AndroidManifest.xml中声明一个Activity 2. startActivity,如果不在AndroidManifest.xml中声明,启动activity会报错(android.content.ActivityNotFoundEx...
Android 开源项目和文章集合(更新:2022.03.21)
热门推荐
z979451341的博客
11-08 14万+
1.再见SharedPreferences,你好MMKV! https://mp.weixin.qq.com/s/VBMDIE0QHXQAMuIjon-Fjg
Android插件化主流框架和实现原理
2401_84149256的博客
05-03 638
Android实现插件化框架,需要解决的问题主要如下:下面分析几个目前主流的开源框架,看看每个框架具体实现思路和优缺点。DL 动态加载框架 ( 2014 年底)是基于代理的方式实现插件框架,对 App 的表层做了处理,通过在 Manifest 中注册代理组件,当启动插件组件时,首先启动一个代理组件,然后通过这个代理组件来构建,启动插件组件。 需要按照一定的规则来开发插件 APK,插件中的组件需要实现经过改造后的 Activity、FragmentActivity、Service 等的子类。优点如下:
android实战项目app,android开发工具deve
2401_84415589的博客
04-21 864
面向Android中的一切实体(高级UI/Framework)+实体间的通信方案+实体中数据存储专题等,篇幅有限,很多都是截图展示,但是图片都是很高清的,可以清晰的看见其中的内容。Activity与View相关实体知识体系Task启动原理与调用栈内核ViewGroup源码解析View源码分析与高级自定义View项目实战事件分发的核心机制Handler通信原理与框架手写Hook Resource源码实现 theme项目实战FrameWork源码Service 内核原理Fragment 内核。
精通 FrameworkAndroid 高级工程师的必备技能吗?
m0_62167422的博客
07-19 305
工作场景中遇到难题,往往只能靠盲猜和感觉,用临时性的补救措施去掩盖,看似解决了问题,但下次同样的问题又会发作,原因则是缺乏方法论、思路的指引以及工具支持;能力修炼中,缺乏互联网项目这一实践环境,对Framework只能通过理论知识进行想象,无法认识其在工作实战中的真实面目和实操过程;职场晋升中,只管功能开发,不了解底层原理,缺少深入地思考与总结,无法完成复杂系统设计这类高阶工作,难以在工作中大展拳脚,而有挑战的工作往往留给有准备的人。总之,一旦遇到问题,很少人能够由点及面逆向分析httpshttps。...
android实战开发项目阅读器,android的开发语言
2401_84415234的博客
04-21 418
面试问题还记得一些,一部分已经忘记了,为了防止再忘记,所以写出来。1:你是如何理解Android操作系统的。2:是否熟悉framework层,如果熟悉,那就对framework做个简介。3:是否熟悉多线程,如果熟悉,介绍下线程。4:对象锁和类锁是否会互相影响,会举例子让你判断锁的使用是否恰当,并说出原因。5:是否熟悉Lopper架构,如果熟悉说下其原理,如果你自己实现,你会怎么实现。这里主要考察阻塞消息队列原理,和其变形。6:自定义控件原理,及消息分发流程。
AndroidHook机制连简单实战都不会凭什么拿高薪?成功入职腾讯
clhcowboy的博客
05-19 193
前言: 本文收集整理了各大厂常见面试题N道,你想要的这里都有内容涵盖:Java 相关、Android 基础、Android Framework、三方源码、算法与数据结构、等技术栈,希望大家都能找到适合自己的公司,开开心心的撸代码。 面试官提了一个问题,我们来看看 A、B 和 C三位同学的表现如何吧 A 面试官:说说 Application 的作用。 A:Application 是应用进程创建后就会创建的系统组件,所以可以用它来做一些初始化操作;Application 生命周期和应用进程一样长,所以可以用来
Android面试题中高级,androidframework视频
m0_68629662的博客
03-27 1940
前言 非计算机大学毕业, 毕业之后 觉得程序员工资高,就去北京一家培训机构 培训了Android 然后学习一切都非常顺利 ,一学完就找到了工作, 做了 5 年, 当时在一个不大不小的公司帮人做android开发 ,工资 12K 一个月 ,2015 年 那个时候 有个朋友 鼓吹一下,辞职 拿着 30 万 跟 2 个朋友 出来开火锅店,前 2 年赚了点钱,买了车,并且贷款买了房子,但是我自己投资的其他几个副业都亏了。 这 2 年餐饮不好做啊,成本上涨太快,竞争太厉害 我们赚不到钱了,合伙人商量 9 月份把火锅店
AndroidHook神器:XPosed入门与登陆劫持演示
02-20
在本文中,作者详细介绍了Xposed的操作步骤以及登陆劫持实战演练。前段时间写了一篇关于CydiaSubstrate广告注入的文章,大家都直呼过瘾。但是,真正了解这一方面的同学应该知道,其实还有一个比CydiaSubstrate更出名...
Android上玩玩Hook:CydiaSubstrate实战
02-26
摘要:Hook的出现为开发者希望通过一个程序改变其他程序的某些行为的想法开拓了解决道路,而作为一款基于Hook的代码修改框架,CydiaSubstrate可以修改任何主进程的代码,本文作者以广告注入的实战详细介绍了Hook的...
47、PHP实现机器人的运动范围
weixin_44010641的博客
07-24 830
地上有一个m行和n列的方格。一个机器人从坐标0,0的格子开始移动,每一次只能向左,右,上,下四个方向移动一格,但是不能进入行坐标和列坐标的数位之和大于k的格子。但是,它不能进入方格(35,38),因为3+5+3+8 = 19。请问该机器人能够达到多少个格子?当k为18时,机器人能够进入方格(35,37),因为3+5+3+7 = 18。
Android】广播机制
2301_79977698的博客
07-24 784
Android中,广播(Broadcast)是一种消息,任何应用程序都可以发送广播消息,任何应用程序也都可以接收广播消息。广播通常用于通知应用程序某些事件的发生,比如系统启动、电量低、网络状态改变等。Broadcast Receiver(广播接收器):用于接收广播消息并响应这些消息的组件。Intent(意图):用于传递广播消息的数据结构。标准广播(Normal Broadcast)是完全异步的,所有接收器几乎同时接收广播,并且接收顺序是不确定的。
Android 通过接收广播int值来控制GPS开关
最新发布
qq_46687516的博客
07-25 708
Override} else {try {
Android笔试面试题AI答之Android系统与综合类(1)
学无止境,止于至善
07-25 881
答案仅供参考,来着文心一言、Kimi.ai。
Android SurfaceFlinger——GraphicBuffer内存申请(三十)
小旭的专栏
07-24 1200
Android的图形子系统中,GraphicBufferAllocator 和 GraphicBufferMapper 是处理图形缓冲区的核心组件。这两个类分别负责缓冲区的分配和映射,是 GraphicBuffer 类的基础,GraphicBuffer 用于封装和管理图形数据。
DASCTF-BabyAndroid
Nike_name的博客
07-24 374
jpg隐藏解密函数,native层余弦变换什么什么的
HOOKAPI教程:全局HOOK MessageBox 实现
"本教程主要讲解如何实现HOOK所有程序的MessageBox,包括 MessageBoxA 和 MessageBoxW,通过将自定义的代码注入到目标进程中,实现系统级别的HOOKAPI。" 在Windows编程中,HOOKAPI是一种技术,用于拦截并修改特定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值