Android插件化(四)基础之Hook

Android插件化(四)基础之Hook

1、寻找Hook点的原则

Android中主要是依靠分析系统源码类来做到的,首先我们得找到被Hook的对象,我称之为Hook点;什么样的对象比较好Hook呢?一般来说,静态变量和单例变量是相对不容易改变,是一个比较好的hook点,而普通的对象有易变的可能,每个版本都不一样,处理难度比较大。我们根据这个原则找到所谓的Hook点。

2、寻找Hook点

通常点击一个Button就开始Activity跳转了,这中间发生了什么,我们如何Hook,来实现Activity启动的拦截呢?

public void start(View view) {Intent intent = new Intent(this, OtherActivity.class);startActivity(intent);}

我们的目的是要拦截startActivity方法,跟踪源码,发现最后启动Activity是由Instrumentation类的execStartActivity做到的。其实这个类相当于启动Activity的中间者,启动Activity中间都是由它来操作的

public ActivityResult execStartActivity(Context who, IBinder contextThread, IBinder token, Activity target,Intent intent, int requestCode, Bundle options) {IApplicationThread whoThread = (IApplicationThread) contextThread;....try {intent.migrateExtraStreamToClipData();intent.prepareToLeaveProcess(who);//通过ActivityManagerNative.getDefault()获取一个对象,开始启动新的Activityint result = ActivityManagerNative.getDefault().startActivity(whoThread, who.getBasePackageName(), intent,intent.resolveTypeIfNeeded(who.getContentResolver()),token, target != null ? target.mEmbeddedID : null,requestCode, 0, null, options);checkStartActivityResult(result, intent);} catch (RemoteException e) {throw new RuntimeException("Failure from system", e);}return null;}

对于ActivityManagerNative这个东东,熟悉Activity/Service启动过程的都不陌生

public abstract class ActivityManagerNative extends Binder implements IActivityManager

继承了Binder,实现了一个IActivityManager接口,这就是为了远程服务通信做准备的"Stub"类,一个完整的AID L有两部分,一个是个跟服务端通信的Stub,一个是跟客户端通信的Proxy。ActivityManagerNative就是Stub,阅读源码发现在ActivityManagerNative 文件中还有个ActivityManagerProxy,这里就多不扯了。

static public IActivityManager getDefault() {return gDefault.get();
}

ActivityManagerNative.getDefault()获取的是一个IActivityManager对象,由IActivityManager去启动Activity,IActivityManager的实现类是ActivityManagerService,ActivityManagerService是在另外一个进程之中,所有Activity 启动是一个跨进程的通信的过程,所以真正启动Activity的是通过远端服务ActivityManagerService来启动的。

private static final Singleton<IActivityManager> gDefault = new Singleton<IActivityManager>() {protected IActivityManager create() {IBinder b = ServiceManager.getService("activity");if (false) {Log.v("ActivityManager", "default service binder = " + b);}IActivityManager am = asInterface(b);if (false) {Log.v("ActivityManager", "default service = " + am);}return am;}

实gDefalut借助Singleton实现的单例模式,而在内部可以看到先从ServiceManager中获取到AMS远端服务的Binder对象,然后使用asInterface方法转化成本地化对象,我们目的是拦截startActivity,所以改变IActivityManager对象可以做到这个一点,这里gDefault又是静态的,根据Hook原则,这是一个比较好的Hook点。

3、Hook掉startActivity,输出日志

我们先实现一个小需求,启动Activity的时候打印一条日志,写一个工具类HookUtil。

public class HookUtil {private Class<?> proxyActivity;private Context context;public HookUtil(Class<?> proxyActivity, Context context) {this.proxyActivity = proxyActivity;this.context = context;}public void hookAms() {//一路反射,直到拿到IActivityManager的对象try {Class<?> ActivityManagerNativeClss = Class.forName("android.app.ActivityManagerNative");Field defaultFiled = ActivityManagerNativeClss.getDeclaredField("gDefault");defaultFiled.setAccessible(true);Object defaultValue = defaultFiled.get(null);//反射SingleTonClass<?> SingletonClass = Class.forName("android.util.Singleton");Field mInstance = SingletonClass.getDeclaredField("mInstance");mInstance.setAccessible(true);//到这里已经拿到ActivityManager对象Object iActivityManagerObject = mInstance.get(defaultValue);//开始动态代理,用代理对象替换掉真实的ActivityManager,瞒天过海Class<?> IActivityManagerIntercept = Class.forName("android.app.IActivityManager");AmsInvocationHandler handler = new AmsInvocationHandler(iActivityManagerObject);Object proxy = Proxy.newProxyInstance(Thread.currentThread().getContextClassLoader(), new Class<?>[]{IActivityManagerIntercept}, handler);//现在替换掉这个对象mInstance.set(defaultValue, proxy);} catch (Exception e) {e.printStackTrace();}}private class AmsInvocationHandler implements InvocationHandler {private Object iActivityManagerObject;private AmsInvocationHandler(Object iActivityManagerObject) {this.iActivityManagerObject = iActivityManagerObject;}@Overridepublic Object invoke(Object proxy, Method method, Object[] args) throws Throwable {Log.i("HookUtil", method.getName());//我要在这里搞点事情if ("startActivity".contains(method.getName())) {Log.e("HookUtil","Activity已经开始启动");Log.e("HookUtil","小弟到此一游!!!");}return method.invoke(iActivityManagerObject, args);}}
}

结合注释应该很容易看懂,在Application中配置一下

public class MyApplication extends Application {@Overridepublic void onCreate() {super.onCreate();HookUtil hookUtil=new HookUtil(SecondActivity.class, this);hookUtil.hookAms();}
}

可以看到,我们成功的Hook掉了startActivity,输出了一条日志。有了上面的基础,现在我们开始来点有用的东西,Activity不用在清单文件中注册,就可以启动起来,这个怎么搞呢?

4、无需注册,启动Activity

如下,TargetActivity没有在清单文件中注册,怎么去启动TargetActivity?

public void start(View view) {Intent intent = new Intent(this, TargetActivity.class);startActivity(intent);}

这个思路可以是这样,上面已经拦截了启动Activity流程,在invoke中我们可以得到启动参数intent信息,那么就在这里,我们可以自己构造一个假的Activity信息的intent,这个Intent启动的Activity是在清单文件中注册的,当真正启动的时候(ActivityManagerService校验清单文件之后),用真实的Intent把代理的Intent在调换过来,然后启动即可。

首先获取真实启动参数intent信息

@Overridepublic Object invoke(Object proxy, Method method, Object[] args) throws Throwable {if ("startActivity".contains(method.getName())) {//换掉Intent intent = null;int index = 0;for (int i = 0; i < args.length; i++) {Object arg = args[i];if (arg instanceof Intent) {//说明找到了startActivity的Intent参数intent = (Intent) args[i];//这个意图是不能被启动的,因为Acitivity没有在清单文件中注册index = i;}}//伪造一个代理的Intent,代理Intent启动的是proxyActivityIntent proxyIntent = new Intent();ComponentName componentName = new ComponentName(context, proxyActivity);proxyIntent.setComponent(componentName);proxyIntent.putExtra("oldIntent", intent);args[index] = proxyIntent;}return method.invoke(iActivityManagerObject, args);}

有了上面的两个步骤,这个代理的Intent是可以通过ActivityManagerService检验的,因为我在清单文件中注册过

<activity android:name=".ProxyActivity" />

为了不启动ProxyActivity,现在我们需要找一个合适的时机,把真实的Intent换过了来,启动我们真正想启动的Activity。看过Activity的启动流程的朋友,我们都知道这个过程是由Handler发送消息来实现的,可是通过Handler处理消息的代码来看,消息的分发处理是有顺序的,下面是Handler处理消息的代码:

public void dispatchMessage(Message msg) {if (msg.callback != null) {handleCallback(msg);} else {if (mCallback != null) {if (mCallback.handleMessage(msg)) {return;}}handleMessage(msg);}}

handler处理消息的时候,首先去检查是否实现了callback接口,如果有实现的话,那么会直接执行接口方法,然后才是handleMessage方法,最后才是执行重写的handleMessage方法,我们一般大部分时候都是重写了handleMessage方法,而ActivityThread主线程用的正是重写的方法,这种方法的优先级是最低的,我们完全可以实现接口来替换掉系统Handler的处理过程。

public void hookSystemHandler() {try {Class<?> activityThreadClass = Class.forName("android.app.ActivityThread");Method currentActivityThreadMethod = activityThreadClass.getDeclaredMethod("currentActivityThread");currentActivityThreadMethod.setAccessible(true);//获取主线程对象Object activityThread = currentActivityThreadMethod.invoke(null);//获取mH字段Field mH = activityThreadClass.getDeclaredField("mH");mH.setAccessible(true);//获取HandlerHandler handler = (Handler) mH.get(activityThread);//获取原始的mCallBack字段Field mCallBack = Handler.class.getDeclaredField("mCallback");mCallBack.setAccessible(true);//这里设置了我们自己实现了接口的CallBack对象mCallBack.set(handler, new ActivityThreadHandlerCallback(handler)) ;} catch (Exception e) {e.printStackTrace();}}

自定义Callback类

private class ActivityThreadHandlerCallback implements Handler.Callback {private Handler handler;private ActivityThreadHandlerCallback(Handler handler) {this.handler = handler;}@Overridepublic boolean handleMessage(Message msg) {Log.i("HookAmsUtil", "handleMessage");//替换之前的Intentif (msg.what ==100) {Log.i("HookAmsUtil","lauchActivity");handleLauchActivity(msg);}handler.handleMessage(msg);return true;}private void handleLauchActivity(Message msg) {Object obj = msg.obj;//ActivityClientRecordtry{Field intentField = obj.getClass().getDeclaredField("intent");intentField.setAccessible(true);Intent proxyInent = (Intent) intentField.get(obj);Intent realIntent = proxyInent.getParcelableExtra("oldIntent");if (realIntent != null) {proxyInent.setComponent(realIntent.getComponent());}}catch (Exception e){Log.i("HookAmsUtil","lauchActivity falied");}}}

最后在application中注入

public class MyApplication extends Application {@Overridepublic void onCreate() {super.onCreate();//这个ProxyActivity在清单文件中注册过,以后所有的Activitiy都可以用ProxyActivity无需声明,绕过监测HookAmsUtil hookAmsUtil = new HookAmsUtil(ProxyActivity.class, this);hookAmsUtil.hookSystemHandler();hookAmsUtil.hookAms();}
}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/54164.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

第14章 存储器的保护

第14章 存储器的保护 该章主要介绍了GDT、代码段、数据段、栈段等的访问保护机制。 存储器的保护功能可以禁止程序的非法内存访问。利用存储器的保护功能&#xff0c;也可以实现一些有价值的功能&#xff0c;比如虚拟内存管理。 代码清单14-1 该章节的代码主要实现的功能就…

详解Transformer位置编码Positional Encoding

提到 Transformer&#xff0c;大家就会联想到位置编码、注意力机制、编码器-解码器结构&#xff0c;本系列教程将探索 Transformer 的不同模块在故障诊断等信号分类任务中扮演什么样角色&#xff0c;到底哪些模块起作用&#xff1f; 前言 本期基于凯斯西储大学&#xff08;CWR…

微搭低代码实战:构建个性化点餐小程序

目录 前言书籍目录第1章&#xff1a;从零开始&#xff0c;认识微搭低代码平台第2章&#xff1a;用户认证与登录体验优化第3章&#xff1a;点餐小程序功能实现&#xff0c;包括创建应用、页面布局、组件使用等。第4章&#xff1a;变量定义与初始化&#xff0c;讲解低代码开发中变…

Docker部署Joplin Server教程

Joplin Server 是 Joplin 应用的后端服务,提供笔记和待办事项的同步功能。它允许用户在不同设备之间同步笔记,同时支持多用户和协作功能。Joplin Server使用现代技术栈,数据库使用的是 PostgreSQL 。 主要功能 同步:在桌面、移动设备和网页应用之间同步笔记。多用户支持:允…

Qt QSerialPort数据发送和接收DataComm

文章目录 Qt QSerialPort数据发送和接收DataComm2.添加 Qt Serial Port 模块3.实例源码 Qt QSerialPort数据发送和接收DataComm Qt 框架的Qt Serial Port 模块提供了访问串口的基本功能&#xff0c;包括串口通信参数配置和数据读写&#xff0c;使用 Qt Serial Port 模块就可以…

在react中 使用redux

1.安装redux npm install reduxjs/toolkit react-redux 2.创建切片模块化数据 在Src目录下创建store目录&#xff0c;创建moude目录 创建tab.js import { createSlice } from reduxjs/toolkit; const tabSlice createSlice({name: tab,initialState: {Collapse: false,},re…

C# WinForm 中 DataGridView 实现单元格cell 能进编辑状态但是不能修改单元格的效果

在Windows Forms&#xff08;WinForms&#xff09;开发中&#xff0c;DataGridView 控件是一个功能强大的组件&#xff0c; 用于显示和管理表格数据。无论是展示大量数据&#xff0c;还是实现交互式的数据操作&#xff0c; DataGridView 都能提供多样的功能支持&#xff0c;比如…

CLUSTERDOWN Hash slot not served问题复现

1、一主两从 172.31.4.18:6381> cluster nodes f5e774bd5cd8f5bcba53f1297015f3245dd3f18c 172.31.4.20:638316383 master - 0 1726278342891 10 connected 5461-10922 9a79febbfb1d7a8f7a6ba3fb11e86b0f122f71e7 172.31.4.21:638616386 slave 401730ba6e1c2cd8b60243990f0…

C++设计模式(更新中)

文章目录 1、创建型模式1.1 简单工厂&#xff08;Simple Factory&#xff09;&#xff08;1&#xff09;示例&#xff08;2&#xff09;总结 1.2 工厂方法&#xff08;Factory Method&#xff09;&#xff08;1&#xff09;示例&#xff08;2&#xff09;总结 1.3 抽象工厂&…

PL/SQL程序设计入门

PL/SQL程序设计 PL/SQL起步鼻祖&#xff1a;hello World语法分析声明部分举例 应用举例 PL/SQL 起步鼻祖&#xff1a;hello World 先举个例子&#xff0c;用PL/SQL打印输出hello world declarev_string varchar2(20); beginv_string:hello world;dbms_output.put_line(v_str…

Sass实现文字两侧横线及Sass常用方案

Sass常用方案及Sass实现文字两侧横线 1.Sass实现文字两侧横线2.用Sass简化媒体查询3.使用继承占位符实现样式复用4.Sass 模块化5.lighten 和 darken 自我记录 1.Sass实现文字两侧横线 mixin 的基本作用&#xff1a; 代码复用&#xff1a;把常用的样式封装在一起&#xff0c;…

Java如何扫描指定包下所有类?

Java如何扫描指定包下所有类&#xff1f; Java8、jdk8、idea、反射、class背景 每次写算法题时&#xff0c;总觉得测试代码写起来又没营养又很麻烦&#xff0c;即便是借助junit测试框架也很麻烦&#xff0c;太重了。 正好在学习spring过程中接触到注解&#xff0c;研究其原理…

SpringCloud-04 OpenFeign服务调用与负载均衡

OpenFeign是一个声明式、模板化的HTTP客户端&#xff0c;它简化了在Java应用程序中调用RESTful API的过程。OpenFeign是Netflix开发的一个开源项目&#xff0c;它构建在Feign的基础上&#xff0c;为开发者提供了更加简单、灵活的方式来实现HTTP请求。OpenFeign的特点包括&#…

地平线秋招2025

【地平线秋招】 中秋卷起来&#xff01;&#xff01;&#xff01; 内推码 kbrfck 内推码 kbrfck 内推码 kbrfck 投递链接&#xff1a;https://wecruit.hotjob.cn/SU62d915040dcad43c775ec12c/mc/position/campus?acotycoCodekbrfck&recruitType1&isLimitShowPostScope…

深入剖析:C++类对象的内存布局与优化

深入剖析&#xff1a;C类对象的内存布局与优化 引言 在C编程中&#xff0c;理解类对象的内存布局对于优化内存使用和提高程序性能至关重要。本文将详细介绍C类对象的内存布局&#xff0c;包括数据成员、虚函数表指针以及静态变量和静态方法在内存中的位置。通过这些知识&…

【Google Chrome Windows 64 version及 WebDriver 版本】

最近升级到最新版本Chrome后发现页面居然显示错乱实在无语, 打算退回原来的版本, 又发现官方只提供最新的版本下载, 为了解决这个问题所有收集了Chrome历史版本的下载地址分享给大家. Google Chrome Windows version 64 位 VersionSize下载地址Date104.0.5112.10282.76 MBhtt…

MySQL从入门到精通二

第1章&#xff1a;MySQL基础 1.1运算符 1.1.1 算术运算符 算术运算符是MySQL中最常用的一类运算符。MySQL支持的算术运算符包括加、减、乘、除、求余。 算术运算符 符号作用符号作用加法运算%求余运算-减法运算DIV除法运算*乘法运算MOD求余运算&#xff0c;返回余数/除法运算…

Python|基于Kimi大模型,删除已上传的“指定文档”或“全部文档”(6)

前言 本文是该专栏的第6篇,后面会持续分享AI大模型干货知识,记得关注。 在本专栏上一篇《Python|基于Kimi大模型,实现上传文档并进行对话(5)》中,笔者有详细介绍“基于kimi大模型,上传指定文档并结合prompt,获取目标文本数据”。对此感兴趣的同学,可以直接点击翻阅查…

【洛谷】P3743 小鸟的设备 的题解

【洛谷】P3743 小鸟的设备 的题解 题目传送门 题解 水一道二分 qaq 刚开始考虑的是动态规划&#xff0c;但是动态规划并不能维护题目所要求的东西。所以我们将思路转向另一种求最值问题的方法&#xff1a;二分答案。 首先&#xff0c;如果一个设备在 t t t 的时间内消耗的…

Redis事件循环与网络通信机制详解

探索 Redis 底层设计:事件循环与网络通信机制 一、引言 Redis 作为一款高性能的内存数据库,其底层设计中的事件循环与网络通信机制起着至关重要的作用。这些机制使得 Redis 能够高效地处理大量的并发连接,快速响应客户端请求,并在不同的操作系统上实现良好的性能表现。 …