本文介绍了Android中的Hook技术,包括Hook的原理、分类和代理模式。以Instrumentation和Binder Hook为例,详细讲解了如何通过Hook实现Activity的插件化启动和服务的修改。在Instrumentation Hook中,通过创建代理类替换系统Instrumentation,实现代理Activity的启动。而在Binder Hook中,以剪切板服务为例,创建服务动态代理类,拦截系统服务,改变系统行为。最后,探讨了Hook系统服务AMS(Android 9.0)来启动未注册的Service。文章强调理解目标原理和确定合理Hook点的重要性。
1、Hook技术
在程序开发中方法的调用和执行都是按顺序执行的,那如果我们想修改或接入程序的执行,就必须在执行的过程中插入自己的程序,但同时又不影响原来程序的执行,这就是Hook 技术,Hook中文意思是钩子,它是一个两头的钩子,切开原来的程序然后用Hook勾住两端,是程序仍然整体执行但数据都同过钩子传递,既然数据都要通过钩子,那我们就可以在这个过程中偷梁换柱了;
- Hook分类
- 根据Hook的API语言划分,分为Hook Java 和 Hook Native
- 根据Hook进程划分,分为应用进程Hook 和 全局 Hook
- 代理模式
- 代理模式是Hook模式的基础原型,代理模式指为某个类的操作提供代理执行
- 代理模式的意义在于无需修改原来的程序结构,增加或扩展程序的功能
- 代理类的实现:声明一个功能接口,代理类和真实类都实现这个功能接口,在代理类中保存真实类的对象,当调用代理类执行方法时,内部调用真实对象执行;
interface Function {
// 声明的方法接口
fun function()
}
class RealFunction : Function {
// 创建的真实实现类,需要执行具体的逻辑
override fun function() {
TODO("not implemented") //To change body of created functions use File | Settings | File Templates.
}
}
class ProxyFunction(val realFunction: Function) : Function {
// 代理类,内部传入真实实例
override fun function() {
// doSomething.....
realFunction.function()
}
}
- 代理模式的使用
val realFunction = RealFunction()
val proxyFunction = ProxyFunction(realFunction)
proxyFunction.realFunction // 执行代理方法
- 动态代理,关于动态代理的使用和原理见另一篇文章Java动态代理
从上面的代理模式和动态代理可以看出,我们完全可以通过代理的代码去拦截和修改原来程序的逻辑,这里针对的是自己创建的类,那针对系统或框架的源码呢?是不是也可以实现呢?答案是肯定的,但从上面对Hook的定以中可以看出,我们入过要想稳定的Hook程序,那必须找到最合适且一定会执行的地方,也就是寻找Hook点,这也是重点和难点的地方,一般选择不太变换的对象最作为Hook点,如:单例、静态对象等;
2、Hook系统中的Instrumentation
通过上面的学习大概知道Hook的原理和使用,剩下部分已安卓中常见的Hook使用为例深入理解和使用Hook技术,我们现在利用Hook技术修改掉Activity的启动过程,由Android进阶知识树——Android四大组件启动过程知道,Activity在启动的开始和最后创建对象时都是通过Instrumentation类,而且Instrumentation在ActivityThread中的对象即进程中只有一个实例,正好符合Hook点,下面就一起实现Hook Instrumentation,具体步骤如下:
- 创建Instrumentation的代理类,内部保存系统原来的Instrumentation
public class FixInstrumentation extends Instrumentation {
private Instrumentation instrumentation;
private static final String ACTIVITY_RAW = "raw_activity";
public FixInstrumentation(Instrumentation instrumentation) {
this.instrumentation = instrumentation;
}
}
- Hook系统的Instrumentation对象
Class<?> classes = Class.forName("android.app.ActivityThread");
Method activityThread = classes.getDeclaredMethod("currentActivityThread");
activityThread.setAccessible(true);
Object currentThread = activityThread.invoke(null); //1、
Field instrumentationField = classes.getDeclaredField("mInstrumentation");
instrumentationField.setAccessible(true);
Instrumentation instrumentationInfo = (Instrumentation) instrumentationField.get(currentThread);//2、
FixInstrumentation fixInstrumentation = new FixInstrumentation(instrumentationInfo);
instrumentationField.set(currentThread, fixInstrumentation); //3、
- 首先反射获取进程中ActivityThread的对象,然后以此对象反射获取系统中的mInstrumentation对象
- 创建FixInstrumentation对象,内部保存上一步获取的mInstrumentation的实例
- 反射将FixInstrumentation对象设置到ActivityThread中,此时进程中的mInstrumentation就是FixInstrumentation
- 在代理类中重写Instrumentation方法,用于替换代理Activity
现在要在FixInstrumentation中实现启动Main3Activity的功能,但是Main3Activity为加载进来的插件活动,未在程序的注册清单中注册,正常启动的话一定会抛出异常,这里想利用Hook的Instrumentation对象将启动对象替换车成已注册的活动,从而逃避系统的检查,这也是Android插件化技术的方案,下面我们就在execStartActivity()方法中替换
public ActivityResult execStartActivity(
Context who, IBinder contextThread, IBinder token, Activity target,
Intent intent, int requestCode, Bundle options) {
ComponentName componentName = intent.getComponent();// 获取启动的Intent中的Component对象
String packageName = componentName.getPackageName(); // 获取包名
String classname = componentName.getClassName(); // 获取Class类名
if (classname.equals("com.alex.kotlin.plugin.Main3Activity")) {
//判断是否为Main3Activity
intent.setClassName(who, ProxyActivity.class.getCanonicalName()); // 替换为注册的ProxyActivity启动
}
intent.putExtra(ACTIVITY_RAW, classname); // 同时保存原来的Main3Activity
try {
@SuppressLint("PrivateApi")
Method method = instrumentation.getClass().
最低0.47元/天 解锁文章
扫一扫
3155
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
