基于《Android插件化开发指南》第5章对于"欺骗AMS"的思考

最新推荐文章于 2024-04-22 04:07:46 发布
最新推荐文章于 2024-04-22 04:07:46 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: Android 文章标签: Intent Android Android插件化开发指南 欺骗AMS 动态代理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xlh1191860939/article/details/88299872
版权

    在我们初学Android阶段经常会遇到一个异常:

  Unable to find explicit activity class xxx; have you declared this 
activity in your AndroidManifest.xml?

    异常信息提示的很清楚,原来我们在start一个新的Activity时,忘记在AndroidManifest.xml文件中进行注册了。这条异常信息我们可以在Android源码中的Instrumentation类中的checkStartActivityResult()方法中找到出处。为什么要注册呢?因为我们知道,对于Activity,framework通过解析AndroidManifest.xml文件,然后通过反射的方式创建一个Activity,不注册当然就无法去创建一个Activity实例。那么我们是否可以通过某种方式来启动一个未注册的Activity呢?

    在《Android插件化开发指南》一书中,为我们提供了一种"欺骗AMS"从而可以启动一个未注册Activity的方式,下面直接贴代码(建议大家先阅读相关资料,对Activity的启动流程有个大致的了解),基于的源码是Android9.0(api28)。

在MainActivity中,通过点击按钮,跳转到一个新的Activity:

fun goSecond(view: View) {
    val intent = Intent(this, NoRegisterAct::class.java)
    startActivity(intent)
}

并且在onCreate中调用:

AMSHookHelper.hookAm()

下面是AMSHookHelper类的实现:

public class AMSHookHelper {

   public static final String EXTRA_TARGET_INTENT  = "target_intent";

    @SuppressLint("PrivateApi")
    public static void hookAm() {

        try {
            // 通过反射拿到ActivityManager中的Singleton对象
            Class<?> amClass = Class.forName("android.app.ActivityManager");
            Field singleField = amClass.getDeclaredField("IActivityManagerSingleton");
            singleField.setAccessible(true);
            Object rawSingleton = singleField.get(null);

            // 通过反射拿到Singleton中的mInstance
            Class<?> sClass = Class.forName("android.util.Singleton");
            Field instanceField = sClass.getDeclaredField("mInstance");
            instanceField.setAccessible(true);
            Object rawInstance = instanceField.get(rawSingleton);

            // 防止多次重复hook,在"基于《Android插件化开发指南》第4章对于ActivityManager hook的思考"一文已介绍
            if (Proxy.isProxyClass(rawInstance.getClass())) {
                return;
            }

            // 拿到动态代理对象
            Class<?>[] interfaces = new Class[]{Class.forName("android.app.IActivityManager")};
            Object proxy = Proxy.newProxyInstance(Thread.currentThread().getContextClassLoader(), interfaces, new AMSHandler(rawInstance));

            // 用动态代理对象来替换Singleton中的mInstance
            instanceField.set(rawSingleton, proxy);


        } catch (ClassNotFoundException | NoSuchFieldException | IllegalAccessException e) {
            e.printStackTrace();
        }

    }
}

这个地方的核心就是通过反射和动态代理对Singleton中的mInstance属性进行hook,用一个代理对象类替换它。实际上这个mInstace就是指向ActivityManagerService的实例。下面贴出AMSHandler的源码:

public class AMSHandler implements InvocationHandler {

    private Object mBase;

    public AMSHandler(Object base) {
        this.mBase = base;
    }

    @Override
    public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {

         // hookActivityManagerService的startActivity方法
        if ("startActivity".equals(method.getName())) {

            Intent rawIntent;
            int index = 0;

            // 遍历,从args中找到Intent
            for (int i = 0; i < args.length; i++) {
                if (args[i] instanceof Intent) {
                    index = i;
                    break;
                }
            }

            rawIntent = (Intent) args[index];

            // 创建新的替身Intent
            Intent newIntent = new Intent();

            String stubPackage = rawIntent.getComponent().getPackageName();
            // 这个StubActivity我们在AndroidManifest.xml中已注册
            String cls = StubActivity.class.getName();

            // 将componentName设置到替身Intent中
            ComponentName componentName = new ComponentName(stubPackage, cls);
            newIntent.setComponent(componentName);

            // 将原始Intent作为extra放置到替身Intent中
            newIntent.putExtra(AMSHookHelper.EXTRA_TARGET_INTENT, rawIntent);

            // 用替身Intent替换原始Intent
            args[index] = newIntent;
        }

        return method.invoke(mBase, args);
    }
}

我们已经对相关源码进行了注释,核心思想就是将一个新的替身Intent来替换原来的Intent,并且将我们事先已注册的StubActivity来设置到新的替身Intent中,这就意味着欺骗AMS:我们要启动的并不是未注册NoRegisterAct,而是一个已经注册的StubActivity,这样就不会抛出我们文章开头提到的异常了。 既然已经替换了,但是StubActivity并不是我们所期望的Activity,自然而然我们还需要替换回来。 重写MainActivity的attachBaseContext()方法:

override fun attachBaseContext(newBase: Context?) {
    super.attachBaseContext(newBase)
    HookHelper.attachBaseContext()
}

下面是HookHelper类的实现:

@SuppressLint("PrivateApi")
public static void attachBaseContext() {


    try {
        //反射得到ActivityThread的实例
        Class<?> ahClass = Class.forName("android.app.ActivityThread");
        Field ahField = ahClass.getDeclaredField("sCurrentActivityThread");
        ahField.setAccessible(true);
        Object sCurrentActivityThread = ahField.get(null);

        // 反射得到ActivityThread中的mInstrumentation
        Field instrumentField = ahClass.getDeclaredField("mInstrumentation");
        instrumentField.setAccessible(true);
        Instrumentation rawInstrumentation = (Instrumentation) instrumentField.get(sCurrentActivityThread);

        // 替换mInstrumentation原来指向对象,这里用的是一个静态代理
        instrumentField.set(sCurrentActivityThread, new EvilInstrumentation(rawInstrumentation));


    } catch (ClassNotFoundException | NoSuchFieldException | IllegalAccessException e) {
        e.printStackTrace();
    }

}

接着看EvilInstrumentation类的实现:

public class EvilInstrumentation extends Instrumentation {

    private Instrumentation mBase;

    public EvilInstrumentation(Instrumentation base) {
        this.mBase = base;
    }

    @Override
    public Activity newActivity(ClassLoader cl, String className, Intent intent) throws ClassNotFoundException, IllegalAccessException, InstantiationException {
        Log.e("EvilInstrumentation", "newActivity()");

        Intent rawIntent = intent.getParcelableExtra(AMSHookHelper.EXTRA_TARGET_INTENT);

        if (rawIntent == null) {
            return mBase.newActivity(cl, className, intent);
        }

        String newClassName = rawIntent.getComponent().getClassName();
        return mBase.newActivity(cl, newClassName, rawIntent);
    }

}

在newActivity方法中我们实现了Intent还原,这样我们启动的就是所期望的NoRegisterAct了。

class NoRegisterAct : Activity() {

    override fun onCreate(savedInstanceState: Bundle?) {
        super.onCreate(savedInstanceState)
        val textView = TextView(this)
        textView.text = "I'm in no register act"
        setContentView(textView)
    }
}

ok,这样整个欺瞒的过程也就结束了,我们已经可以实现启动未注册的Activity了,很开心。本来应该到此就结束了,但是我对源码中创建替身Intent的方式(即AMSHandler的invoke方法的实现中)有点怀疑:它是直接new了一个新的Intent对象,那么万一rawIntent中携带有相关参数呢,那么我们在目标Activity不是取不到了吗?但是转念一想,不应该,因为在newActivity方法中将它还原成rawIntent。嗯,我们来试一试,我们在启动的时候:

val intent = Intent(this, NoRegisterAct::class.java)
intent.putExtra("data", "hello world")
startActivity(intent)

然后再到NoRegisterAct中尝试去取:

 override fun onCreate(savedInstanceState: Bundle?) {
    super.onCreate(savedInstanceState)
    val textView = TextView(this)
    val data = intent.getStringExtra("data")

    textView.text = if (!TextUtils.isEmpty(data)) {
            data
        } else {
            "I'm in no register act"
        }

    setContentView(textView)
}

屏幕上显示的是I'm in no register act,而不是hello world,这就意味着我们确实没有取到。有点懵,不是替换了吗,为什么没有?带着疑问,我先尝试使用clone的方式来得到一个替身Intent,这样替身Intent中也带有了相关数据:

// 创建新的替身Intent
//  Intent newIntent = new Intent();   
Intent newIntent = (Intent) rawIntent.clone();

顺带看一下Intent的clone方法:

@Override
public Object clone() {
   return new Intent(this);
}   

/**
 * Copy constructor.
 */
public Intent(Intent o) {
    this(o, COPY_MODE_ALL);
}

private Intent(Intent o, @CopyMode int copyMode) {
    this.mAction = o.mAction;
    this.mData = o.mData;
    this.mType = o.mType;
    this.mPackage = o.mPackage;
    this.mComponent = o.mComponent;

    if (o.mCategories != null) {
        this.mCategories = new ArraySet<>(o.mCategories);
    }

    if (copyMode != COPY_MODE_FILTER) {
        this.mFlags = o.mFlags;
        this.mContentUserHint = o.mContentUserHint;
        this.mLaunchToken = o.mLaunchToken;
        if (o.mSourceBounds != null) {
            this.mSourceBounds = new Rect(o.mSourceBounds);
        }
        if (o.mSelector != null) {
            this.mSelector = new Intent(o.mSelector);
        }

        if (copyMode != COPY_MODE_HISTORY) {
            if (o.mExtras != null) {
                this.mExtras = new Bundle(o.mExtras);
            }
            if (o.mClipData != null) {
                this.mClipData = new ClipData(o.mClipData);
            }
        } else {
            if (o.mExtras != null && !o.mExtras.maybeIsEmpty()) {
                this.mExtras = Bundle.STRIPPED;
            }

            // Also set "stripped" clip data when we ever log mClipData in the (broadcast)
            // history.
        }
    }
}

因为我们往Intent中putExtra的时候,就是put到Intent中的mExtras(Bundle)去,这里看到当mExtras不为空时,重新创建了Bundle对象,看的出来是一种深拷贝的方式(实际上不看源码也应该猜得出来)。扯远了,再次运行,发现这回显示的是"hello world"。到这里,我们可以大胆猜测:我们在NoRegisterAct中getIntent返回的是替身Intent,而不是rawIntent。

override fun onCreate(savedInstanceState: Bundle?) {
    super.onCreate(savedInstanceState)
    val textView = TextView(this)
    val data = intent.getStringExtra("data")
    val rawIntent = intent.getParcelableExtra<Intent>(AMSHookHelper.EXTRA_TARGET_INTENT)

    textView.text = if (!TextUtils.isEmpty(data)) {
        "received msg from rawIntent: ${rawIntent.getStringExtra("data")}"
        data
    } else {
        "I'm in no register act"
    }


    setContentView(textView)
}

从结果可以证实我们的想法是正确的。那么问题来了,明明我们在newActivity中对Intent进行了替换,为什么没有成功,但是NoRegisterAct却确确实实启动了的。最终在ActivityThread类找到了答案:

在performLaunchActivity方法中:

private Activity performLaunchActivity(ActivityClientRecord r, Intent customIntent){
    ContextImpl appContext = createBaseContextForActivity(r);
    Activity activity = null;
    try {
        java.lang.ClassLoader cl = appContext.getClassLoader();
        activity = mInstrumentation.newActivity(
                cl, component.getClassName(), r.intent);
        StrictMode.incrementExpectedActivityCount(activity.getClass());
        r.intent.setExtrasClassLoader(cl);
        r.intent.prepareToEnterProcess();
        if (r.state != null) {
            r.state.setClassLoader(cl);
        }
    } catch (Exception e) {
        if (!mInstrumentation.onException(activity, e)) {
            throw new RuntimeException(
                "Unable to instantiate activity " + component
                + ": " + e.toString(), e);
        }
    }
    ...

    activity.attach(appContext, this, getInstrumentation(), r.token,
                    r.ident, app, r.intent/*getIntent中返回的intent*/, r.activityInfo, title, r.parent,
                    r.embeddedID, r.lastNonConfigurationInstances, config,
                    r.referrer, r.voiceInteractor, window, r.configCallback);

}

可以看到,这里调用了我们熟悉的Intrumentation的newActivity方法。也就是说,一旦程序执行到这一行,我们代理类EvilInstrumentation的newActivity就会得到调用,intent还原之后,代理角色需要调用真实角色(被代理角色)的newActivity方法(也就是mBase.newActivity()那行代码),我们看Instrumentation的newActivity的实现:

public Activity newActivity(ClassLoader cl, String className,
        Intent intent)  // 这个intent就是rawIntent
        throws InstantiationException, IllegalAccessException,
        ClassNotFoundException {
    String pkg = intent != null && intent.getComponent() != null
            ? intent.getComponent().getPackageName() : null;
    return getFactory(pkg).instantiateActivity(cl, className, intent);
}

public @NonNull Activity instantiateActivity(@NonNull ClassLoader cl, @NonNull String className,
        @Nullable Intent intent)
        throws InstantiationException, IllegalAccessException, ClassNotFoundException {
    return (Activity) cl.loadClass(className).newInstance();//反射创建Activity对象
}

可以看到,我们还原的rawIntent只是在创建Activity对象时起了作用,它作为一个局部变量,仅在方法体中起作用,并且没有传递到其他地方。而我们在Activity中getIntent方法返回的对象,是在performLaunchActivity方法中调用activity.attach()传入的,传入的intent还是我们的替身intent。

现在,过程我们都理清楚了,所以建议:在创建替身Intent之时,使用clone的方式而不是new的方式。

xlh1191860939
关注
专栏目录
Android获取App启动时间
yutou58nian的专栏
03-16 5031
调用Android隐藏API的方法目前一共有三总,Java反射、API欺骗、修改源码重新编译
【中级—,androidstudio基础
m0_66264798的博客
01-21 529
然后自己创建了一个VAInstrumentation对象,接下来就直接反射将VAInstrumentation对象设置给ActivityThread对象即可。 这样就完成了hook Instrumentation,之后调用Instrumentation的任何方法,都可以在VAInstrumentation进行拦截并做一些修改。 这里还hook了ActivityThread的mH类的Callback,暂不赘述。 刚才说了,可以通过Instrumentation的execStartActivity方法进行偷梁换
android欺骗的方法使用隐藏API调用举例(国际,多语言)
mrleeapple的专栏
11-20 1219
Android对国际与多语言切换已经做得不错了,一个应用只要命名相应语系的values-[language]文件夹,通过“设置”→“语言&键盘”→“选择语言”即可实现应用多种语言的切换。        但如何在应用里自己实现?搜索过发现网上有如下的做法:          Resources res = getResources();          Configuratio
android插件欺骗AMS
inquisiter
08-01 412
反射到ActivityManagerNative—gDefault-----Singleton—mInstance ,因为mInstance是ActivityManager类型的,而ActivityManage是接口类型,所以动态构造代理替换startActivty实现目标Activity替换subactivity绕过 AMSactivity得检查。 通过反射currentThread一路...
【干货分享】腾讯出品Android插件开发指南+项目实战(附源码)
大模型学习路线
10-15 287
插件即将一个完整的工程,按业务划分为不同的插件,都是分治法的一种体现。整为零,相互配合。越小的模块越容易维护。 Android 插件开发和组件略有不同,插件开发是将整个app拆分成多个模块, 这些模块包括一个宿主和多个插件,每个模块都是一个apk,最终打包的时 候宿主apk和插件apk分开打包。
Android插件开发指南》 git项目地址 视频 网址等资料汇总
轻量开发
11-12 605
1.2012 年 AndroidDynamicLoader 是大众点评 屠毅敏https://github.com/mmin18/AndroidDynamicLoader 2.2013 年,23Code 自定义控件动态下载 这个项目的作者和开源地址,目前不是很清楚。 3.2013年3月27 日,淘宝的Atlas插件框架 第16期阿里技术沙龙 视频地址:https://...
Android 插件
zenmela2011的专栏
08-12 3534
1.插件 插件可以理解为免安装的Apk,而支持插件的app称为宿主。 在Android系统中,应用是以Apk的形式存在的,应用都需要安装才能使用。实际上Android系统安装应用的方式相当简单,就是把应用Apk拷贝到系统不同的目录下,然后把so解压出来而已。 常见的应用安装目录有: /system/app:系统应用 /system/priv-app:系统应用 /data/app:用户应用 一个Apk会包含如下几个部分: classes.dex:Java代码字节码 res:资源文件 .
Android动态部署与插件.pptx
06-08
Android应用开发中,动态部署和插件是两种重要的技术,它们可以帮助开发者实现更灵活的应用管理和升级,以及实现模块开发模式。以下是对这两种技术的详细解释。 **Android动态部署**,其核心思想是在不卸载...
Android 插件开发(四)—— LoadApk方式插件开发
明天的增加的博客
08-24 976
插件开发的第三种方法,其实是在第二种Hook式方法上继续改进,因为第二种hook式存在一个问题,那就是第三步中将多个apk插件进行加载,导致dexElements会很大,占用内存比较大,很有可能当插件很多时候,直接oom,因此产生了一种新的方法,就是讲LoadApk进行扩展,当加载插件时候,使用插件的LoadApk,这样就不会产生占很大内存的dexElements了。 下面是步骤: 1、绕过AMS检测,使用ProxyActivity替换PluginActivity 2、将ProxyActivity换回Pl
Android组件插件的概念,android快速开发框架
m0_66264569的博客
02-03 315
开发单个模块时可以共享资源和工具类。 可以针对单个模块测试, 开发调试时不需要对整个项目进行编译。 多人合作时可以只关注自己的业务模块,把某一业务当成单一项目来开发。 可以灵活的对业务模块进行组装和拆分。 4、组件开发的主要思路 就是将一个Module拆分成若干个Module,由主App提供统一的入口,每个拆分后的Module都依赖共享的Common依赖库,通过相关配置,各个Module可以独立运行调试,也可以供主App依赖使用。 5、组件开发的步骤: 新建一个lib组件,New..
Android Studio 阿里java代码规范插件开发手册、android开发手册
04-16
Android Studio 阿里java代码规范插件、java开发手册、安卓开发手册
最完整的Andriod studio插件整理,android插件开发指南
m0_60226911的博客
03-18 1711
希望大家能有一个好心态,想进什么样的公司要想清楚,并不一定是大公司,我选的也不是特大厂。当然如果你不知道选或是没有规划,那就选大公司!希望我们能先选好想去的公司再投或内推,而不是有一个公司要我我就去!还有就是不要害怕,也不要有压力,平常心对待就行,但准备要充足。最后希望大家都能拿到一份满意的 offer!如果目前有一份工作也请好好珍惜好好努力,找工作其实挺累挺辛苦的。这里附上上述的面试题相关的几十套字节跳动,京东,小米,腾讯、头条、阿里、美团等公司19年的面试题。
Android插件:从入门到放弃》PDF版电子书下载
fghghh8df的博客
08-23 669
点击下载: 《Android插件:从入门到放弃》
Android插件开发指南——类加载器
u013773608的博客
04-10 376
曾在JVM虚拟机知识点浅析总结中提到过在Java中的类加载器。我们知道Java中类的加载由类加载器完成,类加载器通常由JVM提供,这些类加载器也是前面所有程序运行的基础,JVM提供的这些类加载器通常被称为系统类加载器。除此之外,开发者可以通过继承ClassLoader基类来创建自己的类加载器。启动类加载器(Bootstrap ClassLoader);主要负责加载 jre\lib\rt.jar 中的JDK文件。扩展类加载器(Extension ClassLoader);
android插件开发指南pdf,android开发的基础知识
2401_84415415的博客
04-22 846
实战项目源码讲义》**
Android入门教程android插件开发指南
m0_60607562的博客
03-12 843
其实Android开发的知识点就那么多,面试问来问去还是那么点东西。所以面试没有其他的诀窍,只看你对这些知识点准备的充分程度。so,出去面试时先看看自己复习到了哪个阶段就好。上面分享的腾讯、头条、阿里、美团、字节跳动等公司2019-2021年的高频面试题,博主还把这些技术点整理成了视频和PDF(实际上比预期多花了不少精力),包含知识脉络 + 诸多细节,由于篇幅有限,上面只是以图片的形式给大家展示一部分。Android学习PDF+学习视频+面试文档+知识点笔记【Android思维脑图(技能树)】知识不体系。
android游戏开发框架,android插件开发指南pdf
最新发布
2401_84412988的博客
04-22 724
最后,如果大伙有什么好的学习方法或建议欢迎大家在评论中积极留言哈,希望大家能够共同学习、共同努力、共同进步。
DroidPlugin:Android插件实现与360手机助手应用解析
“DroidPlugin Android 插件的实现原理以及在 360 手机助手中的应用” 本文档详细介绍了DroidPlugin,一个用于实现Android应用插件的框架,其核心目标是实现免安装、免修改、免重新打包的APK运行机制。Droid...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值