插件化二:Hook AMS实现

于 2024-09-15 20:39:41 发布
阅读量1.4k 收藏 19
点赞数 37
CC 4.0 BY-SA版权
分类专栏: APP开发常识 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36329049/article/details/142288539

一、Android Activity启动流程与Hook技术实现插件化

概述

在Android系统中,通过结合拦截修改startActivity方法和Hook Handler的LAUNCH_ACTIVITY消息,可以实现插件Activity的动态加载和执行,同时绕过AMS(Activity Manager Service)对插件Activity的直接检测。腾讯的QZone和Tinker等应用本质上就是采用了这种hook方式来实现插件化,主要操作的是dexElements。

详细流程

  1. 应用层发起启动请求

    • 用户或代码在应用层通过startActivity方法发起启动插件Activity的请求。

  2. 拦截修改startActivity方法(Hook节点1)

    • startActivity方法执行后,但在Intent被传递给AMS之前,利用反射和动态代理等技术修改Intent的组件信息,将其指向宿主应用中的一个代理Activity。
    • 这一步的目的是为了绕过AMS对插件Activity的直接检测,因为AMS通常不允许直接启动未在Manifest中声明的Activity。

  3. Intent传递给AMS

    • 修改后的Intent(指向代理Activity)被传递给AMS,请求启动该代理Activity。

  4. AMS处理启动请求

    • AMS接收到启动请求后,解析Intent,检查权限等,并准备启动代理Activity。此时,AMS并不知晓最终将启动的是插件Activity。

  5. 准备启动Activity

    • AMS为代理Activity准备必要的资源,如创建Task和ActivityRecord等。

  6. 通知目标应用进程

    • AMS通过IPC机制通知宿主应用进程的ApplicationThread,准备启动代理Activity。

  7. Hook Handler的LAUNCH_ACTIVITY消息(Hook节点2)

    • 在宿主应用进程的ActivityThread中,当Handler接收到来自AMS的LAUNCH_ACTIVITY消息时,准备处理该消息以启动Activity。
    • 在消息被处理之前,通过反射和Hook技术拦截这个消息,并修改其中的Intent对象,将其组件信息更改为插件Activity。

  8. 处理LAUNCH_ACTIVITY消息

    • 使用修改后的Intent(指向插件Activity)启动Activity。
    • ActivityThread调用插件Activity的onCreateonStartonResume等生命周期方法,完成插件Activity的启动和显示。

  9. 自定义DexClassLoader加载相关类

    • 使用自定义的DexClassLoader来加载和执行插件中的类文件。
注意事项
  • 安全性和稳定性:由于此方法涉及对系统底层机制的修改,需特别注意安全性和稳定性问题。不当的Hook操作可能导致系统崩溃或应用行为异常。
  • 兼容性问题:Android系统不断更新,不同版本在系统实现上可能存在差异。因此,实现Hook时需考虑兼容性,确保在不同Android版本上均能正常工作。
  • 权限问题:修改系统级组件或拦截系统消息通常需要较高权限,这些权限可能无法通过普通应用获取。因此,此方法可能需要在系统层面或具有root权限的环境下实现。
结论

通过上述方法,Android系统可实现插件化技术,动态加载和执行插件Activity。然而,此方法具有复杂性和风险性,需谨慎使用,并确保充分测试以避免潜在问题。

二、具体源码实现和解析

1. Hook AMS,绕过AMS对插件Activity的检测
private void hookAmsAction() throws Exception {
    // 获取必要的类
    Class<?> mIActivityManagerClass = Class.forName("android.app.IActivityManager");
    Class<?> mActivityManagerNativeClass2 = Class.forName("android.app.ActivityManagerNative");
    
    // 获取IActivityManager实例
    Object mIActivityManager = mActivityManagerNativeClass2.getMethod("getDefault").invoke(null);

    // 创建IActivityManager的动态代理
    Object mIActivityManagerProxy = Proxy.newProxyInstance(
        HookApplication.class.getClassLoader(),
        new Class[]{mIActivityManagerClass},
        new InvocationHandler() {
            @Override
            public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
                if ("startActivity".equals(method.getName())) {
                    // 修改Intent以启动ProxyActivity
                    Intent intent = new Intent(HookApplication.this, ProxyActivity.class);
                    intent.putExtra("actionIntent", (Intent) args[2]);
                    args[2] = intent;
                }
                Log.d("hook", "拦截到了IActivityManager的方法: " + method.getName());
                // 调用原始方法
                return method.invoke(mIActivityManager, args);
            }
        }
    );

    // 替换ActivityManagerNative中的gDefault为代理对象
    Class<?> mActivityManagerNativeClass = Class.forName("android.app.ActivityManagerNative");
    Field gDefaultField = mActivityManagerNativeClass.getDeclaredField("gDefault");
    gDefaultField.setAccessible(true);
    gDefaultField.set(null, mIActivityManagerProxy);

    // 替换Singleton中的mInstance(如果需要)
    // 注意:这部分通常不是必需的,除非有特定实现要求
    // ...
}
2. Hook LAUNCH_ACTIVITY事件,启动插件Activity
private void hookLaunchActivity() throws Exception {
    // 替换Handler的mCallback
    Field mCallbackField = Handler.class.getDeclaredField("mCallback");
    mCallbackField.setAccessible(true);

    // 获取ActivityThread的Handler
    Class<?> mActivityThreadClass = Class.forName("android.app.ActivityThread");
    Object mActivityThread = mActivityThreadClass.getMethod("currentActivityThread").invoke(null);
    Field mHField = mActivityThreadClass.getDeclaredField("mH");
    mHField.setAccessible(true);
    Handler mH = (Handler) mHField.get(mActivityThread);

    // 替换Handler的Callback
    mCallbackField.set(mH, new MyCallback(mH));
}

class MyCallback implements Handler.Callback {
    private Handler mH;

    public MyCallback(Handler mH) {
        this.mH = mH;
    }

    @Override
    public boolean handleMessage(Message msg) {
        if (msg.what == LAUNCH_ACTIVITY) {
            // 替换Intent为原始插件Activity的Intent
            try {
                Object obj = msg.obj;
                Field intentField = obj.getClass().getDeclaredField("intent");
                intentField.setAccessible(true);
                Intent intent = (Intent) intentField.get(obj);
                Intent actionIntent = intent.getParcelableExtra("actionIntent");
                if (actionIntent != null) {
                    intentField.set(obj, actionIntent);
                }
            } catch (Exception e) {
                e.printStackTrace();
            }
        }
        // 继续处理消息
        mH.handleMessage(msg);
        return true;
    }
}
3. 将插件dex和宿主dex合并
private void mergePluginDex() throws Exception {
    // 获取宿主DexPathList
    PathClassLoader pathClassLoader = (PathClassLoader) this.getClassLoader();
    Class<?> mBaseDexClassLoaderClass = Class.forName("dalvik.system.BaseDexClassLoader");
    Field pathListField = mBaseDexClassLoaderClass.getDeclaredField("pathList");
    pathListField.setAccessible(true);
    Object mDexPathList = pathListField.get(pathClassLoader);

    // 获取插件DexPathList
    File pluginDirFile = getDir("plugin", Context.MODE_PRIVATE);
    File pluginFile = new File(pluginDirFile, "p.apk");
    DexClassLoader dexClassLoader = new DexClassLoader(
        pluginFile.getAbsolutePath(),
        getDir("pluginDir", Context.MODE_PRIVATE).getAbsolutePath(),
        null,
        getClassLoader()
    );
    Class<?> mBaseDexClassLoaderClassPlugin = Class.forName("dalvik.system.BaseDexClassLoader");
    Field pathListFieldPlugin = mBaseDexClassLoaderClassPlugin.getDeclaredField("pathList");
    pathListFieldPlugin.setAccessible(true);
    Object mDexPathListPlugin = pathListFieldPlugin.get(dexClassLoader);

    // 合并DexElements
    Field dexElementsField = mDexPathList.getClass().getDeclaredField("dexElements");
    dexElementsField.setAccessible(true);
    Object dexElements = dexElementsField.get(mDexPathList);
    Object dexElementsPlugin = dexElementsField.get(mDexPathListPlugin);

    int mainDexLeng = Array.getLength(dexElements);
    int pluginDexLeng = Array.getLength(dexElementsPlugin);
    Object newDexElements = Array.newInstance(
        dexElements.getClass().getComponentType(),
        mainDexLeng + pluginDexLeng
    );
    System.arraycopy(dexElements, 0, newDexElements, 0, mainDexLeng);
    System.arraycopy(dexElementsPlugin, 0, newDexElements, mainDexLeng, pluginDexLeng);

    // 设置新的DexElements
    dexElementsField.set(mDexPathList, newDexElements);

    // 处理加载插件中的布局等后续操作
    doPluginLayoutLoad();
}
4. 小结

插件化技术主要包括以下三个步骤:

  1. 欺骗AMS:通过Hook IActivityManager的startActivity方法,使得系统认为插件中的Activity是宿主应用的一部分。
  2. Hook LAUNCH_ACTIVITY事件:拦截并修改AMS的LAUNCH_ACTIVITY消息,以启动插件中的Activity。
  3. 合并插件Dex和宿主Dex:动态地将插件的Dex文件合并到宿主应用的Dex列表中,使得插件中的类可以被宿主应用直接加载和使用。

这种插件化方式能够减少对宿主应用的侵入性,但同时也需要处理Android系统版本的适配问题,增加了开发和维护的复杂度。

AndroidHook AMS实现集中登录管理
calm1516的专栏
03-07 706
学无止境,学以致用。 在实际开发中,需求是随着业务的发展不断变化的。以登录来说,看似简单,但随着业务性质的不同,其场景需求就会不断发生变化。 比如微信、QQ这种,他们是强登录的类型,就是在应用开启的第一步就是必须先进行登录的动作,否则无法使用后续的功能。但如淘宝、京东这类软件,用户只是先浏览商品,在加入购物车或者下订单、购买等环节才需要登录,如果这种类型的软件也做成一进来先必须要登录的话明显是不合理的。但问题也随之而来,以加入购物车为例,用户浏览完商品,点击加入购物车,发现用户未登录,那么跳转到登录页面进行
Android插件化——高手必备的Hook技术
浅谈Android
08-11 1597
1、Hook技术之动态代理 Hook技术的基础和必备技术是动态代理,关于动态代理的使用和原理参见Java动态代理 2、Binder HookHook 系统服务) 2.1、系统获取服务的原理 ContextImpl.getSystemService(String name) @Override public Object getSystemService(String name) { ...
安卓程序员必备hook技术之进阶篇,干货精讲
最新发布
pCITv1C的博客
04-10 970
这里有个判定,先看true在这个execStartActivity中,可以找到关键代码= null?通过这种方式启动Activity,最终的执行权被交给了(即AMS),它的作用是 启动一个Activity并且返回result,然后这句话,对当前的跳转意图intent进行检测;这句异常应该很熟悉了吧?启动一个没有注册的Activity的报错.再看个的false分支:控制权依然是交给了,剩余的代码索引和上面的一样.在。
Android Framework实战:AMS HOOK实现集中登陆
写好每一篇文章
09-16 1995
AMS在应用端的实际应用。如何去hook AMS的源码,以此来实现一些类似黑科技的技术。
Hook系统的AMS服务
09-27
Hook系统的AMS服务,拦截应用启动流程
Android 插件化原理解析——Hook机制之AMS&PMS
parallelyk的专栏
06-29 3212
在前面的文章中我们介绍了DroidPlugin的Hook机制,也就是代理方式和Binder Hook;插件框架通过AOP实现了插件使用和开发的透明性。在讲述DroidPlugin如何实现四大组件的插件化之前,有必要说明一下它对ActivityManagerServiche以及PackageManagerService的Hook方式(以下简称AMS,PMS)。 ActivityManagerS
Hook机制之AMS
weixin_43254706的博客
09-21 523
Hook机制之AMS 前文提到Android的四大组件无一不与AMS相关,也许读者还有些许疑惑;这里我就挑一个例子,依据Android源码来说明,一个简单的startActivity是如何调用AMS最终通过IPC到system_server的。 不论读者是否知道,我们使用startActivity有两种形式: 直接调用Context类的startActivity方法;这种方式启动的Activity...
AMS Hook
Jack的博客
07-31 487
2,AMS Hook AMS 的详细Hook点请看这篇文章, http://blog.csdn.net/u012439416/article/details/70665923 Hook AMS只需要简单的Hook ActivityManagerNative的gDefault变量就可以了。 该变量定义如下, private static final Singleton gDefault
Android Framework系列】第9章 AMSHook实现登录页跳转
Yvan
08-01 1932
本章节通过反射和动态代理对不同Android版本下AMS进行Hook实现登录页面的跳转。
深入解析Android 28源码:实现基于Hook的Activity插件化
- 插件化技术的实现代码,展示了如何通过Hook技术实现Activity和其他Android组件的动态加载和替换。 - 项目中可能包含自定义的ClassLoader实现,用于加载插件模块中的类。 - 可能包含了对AMS等系统服务的Hook实现,...
Android代码-利用AMS Hook和APT去构建的一个Activity路由框架
08-06
EasyRouter 欢迎加入Android技术交流群,群号码:577953847 EasyRouter是一个简易的使用字符串进行Activity,Browser跳转的路由框架,并支持组件化开发。 Features EasyRouter实现了通过字符串进行Activity之间跳转路由,通过APT在编译器实现路由表的构建,劫持了startActivity()进行动态路由 EasyRouter实现了Activity之间跳转,返回时的数据自动注入,完全屏蔽了原生的一套繁琐API EasyRouter实现了通过字符串进程Browser的路由跳转 EasyRouter支持更换路由跳转时数据序列化的解析器,默认为Gson,可以通过EasyRouterSet进行更换 EasyRouter劫持了onActivityResult(),并将其改为接口回调 EasyRouter通过transform ASM实现了一个gradle插件来支持组件化开发 Usage 1.在Activity中自定义URL标识符,目前只支持单一的URL标识,URL的Scheme均为activity:// @Route("acti
Android 插件化开发——对startActivity方法进行hook(一)
lmq121210的博客
07-20 746
本篇博客主要讲述一下对startActivity进行hook,对于Android开发来说,跳转一个新的Activity页面,最常见的无非两种了, 方法一: Intent intent = new Intent(MainActivity.this, NewActivity.class); startActivity(intent); 方法: Intent intent = new Intent(...
Android笔记(十三):以插件化APK方式启动带WebView的Activity
ZBM来了
11-28 808
本文记录插件化学习过程中,如何以插件化apk方式启动带WebView的Activity,分三大步骤完成。
android hook ams
weixin_42602241的博客
01-06 196
你可以通过 Android hook AMS (Activity Manager Service) 来修改 Android 系统中的活动管理行为。AMSAndroid 系统中负责管理应用活动的组件,包括启动、停止和管理应用程序。通过 hook AMS,可以改变系统对应用程序的启动和停止行为,以及应用程序间的交互。 注意:Android hook AMS 可能会对系统造成不可预测的影响,并且可...
hook AMS
niu0147的专栏
01-04 545
通过了解activity启动流程,我们知道当调用startActivity后,会通过ipc和ActivityManagerService服务 进行通信,然后做任务栈管理,包的解析等等工作,最终调用ActivityThread中的scheduleLaunchActivity方法 来启动新的activity。  了解这一基本知识后,我来练习一个小demo: 拦截ActivityManagerSe
Android Hook AMS实现登陆架构
hongxue8888的博客
11-01 741
SystemServer:frameworks/base/services/java/com/android/server PackageManagerService:frameworks\base\services\core\java\com\android\server\pm Hook技术也称为钩子函数。 钩子函数实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。 在系统没有到...
Hook 实战之 Hook AMS
jeanboy
10-09 4729
本文 Android 系统源码基于 9.0 我们知道新建一个 Activity 之后我们需要在 manifest 中注册,否则启动的时候就会崩溃,现在使用 Hook 的方法绕过检查来启动一个没有注册的 Activity。 如果我们不注册的话就会报下面的错误: Caused by: android.content.ActivityNotFoundException: Unable to find explicit activity class {com.jeanboy.app.hooktrainning/.
Androidhook AMS和PMS
mockingbirds的专栏
01-02 5125
好吧,我承认,其实这一篇文章,主要使用到的就是动态代理,但是个人觉得还是有很大意义的,比如说可以降低代码耦合度,如果想在用户的某一类操作都要打印log获取当前参数,或者是记录用户的点击事件,点击时间等,那么此时在现有代码的基础上每次在点击事件中做处理,肯定是可以的,但是这样,我们要修改多少代码,其实此时,我们就可以完全使用代理来实现类似的功能。说道这里了,就先来看看,什么是代理吧 静态代理比如,现在
Hook简述以及Hook AMS 实现统一登录
派派的生活
04-11 1775
什么是hookhook 翻译成中文是 名词钩子、挂钩,动词 钩住的意思。 在程序中 Hook 是一种技术,也成为钩子函数。 实际上,一个处理消息的程序段,通过系统的调用,把它挂入系统。 在系统没有调用到该函数之前,钩子程序先捕获该消息,先得到控制权,然后加工处理,然后再扔给系统做后续的处理。 比如说,有一辆货车 每天从A仓库拉货(一个集装箱的苹果) 到 B 水果分发站。 我们的钩子函数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

望佑

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值