Hook技术--Activity的启动过程的拦截

1、寻找Hook点的原则

Android中主要是依靠分析系统源码类来做到的,首先我们得找到被Hook的对象,我称之为Hook点;什么样的对象比较好Hook呢?自然是容易找到的对象。什么样的对象容易找到?静态变量和单例;在一个进程之内,静态变量和单例变量是相对不容易发生变化的,因此非常容易定位,而普通的对象则要么无法标志,要么容易改变。我们根据这个原则找到所谓的Hook点。

2、寻找Hook点

通常点击一个Button就开始Activity跳转了,这中间发生了什么,我们如何Hook,来实现Activity启动的拦截呢?

public void start(View view) {
        Intent intent = new Intent(this, OtherActivity.class);
        startActivity(intent);
}

我们的目的是要拦截startActivity方法,跟踪源码,发现最后启动Activity是由Instrumentation类的execStartActivity做到的。其实这个类相当于启动Activity的中间者,启动Activity中间都是由它来操作的

 1 public ActivityResult execStartActivity(
 2             Context who, IBinder contextThread, IBinder token, Activity target,
 3             Intent intent, int requestCode, Bundle options) {
 4         IApplicationThread whoThread = (IApplicationThread) contextThread;
 5         ....
 6         try {
 7             intent.migrateExtraStreamToClipData();
 8             intent.prepareToLeaveProcess(who);
 9
10         //通过ActivityManagerNative.getDefault()获取一个对象,开始启动新的Activity
11             int result = ActivityManagerNative.getDefault()
12                 .startActivity(whoThread, who.getBasePackageName(), intent,
13                         intent.resolveTypeIfNeeded(who.getContentResolver()),
14                         token, target != null ? target.mEmbeddedID : null,
15                         requestCode, 0, null, options);
16
17
18             checkStartActivityResult(result, intent);
19         } catch (RemoteException e) {
20             throw new RuntimeException("Failure from system", e);
21         }
22         return null;
23     }

对于ActivityManagerNative这个东东,熟悉Activity/Service启动过程的都不陌生

public abstract class ActivityManagerNative extends Binder implements IActivityManager

继承了Binder,实现了一个IActivityManager接口,这就是为了远程服务通信做准备的”Stub”类,一个完整的AID L有两部分,一个是个跟服务端通信的Stub,一个是跟客户端通信的Proxy。ActivityManagerNative就是Stub,阅读源码发现在ActivityManagerNative 文件中还有个ActivityManagerProxy,这里就多不扯了。

1 static public IActivityManager getDefault() {
2       return gDefault.get();
3   }

ActivityManagerNative.getDefault()获取的是一个IActivityManager对象,由IActivityManager去启动Activity,IActivityManager的实现类是ActivityManagerService,ActivityManagerService是在另外一个进程之中,所有Activity 启动是一个跨进程的通信的过程,所以真正启动Activity的是通过远端服务ActivityManagerService来启动的。

 private static final Singleton<IActivityManager> gDefault = new Singleton<IActivityManager>() {
        protected IActivityManager create() {
            IBinder b = ServiceManager.getService("activity");
            if (false) {
                Log.v("ActivityManager", "default service binder = " + b);
            }
            IActivityManager am = asInterface(b);
            if (false) {
                Log.v("ActivityManager", "default service = " + am);
            }
            return am;
}

其实gDefalut借助Singleton实现的单例模式,而在内部可以看到先从ServiceManager中获取到AMS远端服务的Binder对象,然后使用asInterface方法转化成本地化对象,我们目的是拦截startActivity,所以改变IActivityManager对象可以做到这个一点,这里gDefault又是静态的,根据Hook原则,这是一个比较好的Hook点。

3、Hook掉startActivity,输出日志

我们先实现一个小需求,启动Activity的时候打印一条日志。

 1 public class HookUtil {
 2
 3     private Class<?> proxyActivity;
 4
 5     private Context context;
 6
 7     public HookUtil(Class<?> proxyActivity, Context context) {
 8         this.proxyActivity = proxyActivity;
 9         this.context = context;
10     }
11
12     public void hookAms() {
13
14         //一路反射,直到拿到IActivityManager的对象
15         try {
16             Class<?> ActivityManagerNativeClss = Class.forName("android.app.ActivityManagerNative");
17             Field defaultFiled = ActivityManagerNativeClss.getDeclaredField("gDefault");
18             defaultFiled.setAccessible(true);
19             Object defaultValue = defaultFiled.get(null);
20             //反射SingleTon
21             Class<?> SingletonClass = Class.forName("android.util.Singleton");
22             Field mInstance = SingletonClass.getDeclaredField("mInstance");
23             mInstance.setAccessible(true);
24             //到这里已经拿到ActivityManager对象
25             Object iActivityManagerObject = mInstance.get(defaultValue);
26
27
28             //开始动态代理,用代理对象替换掉真实的ActivityManager,瞒天过海
29             Class<?> IActivityManagerIntercept = Class.forName("android.app.IActivityManager");
30
31             AmsInvocationHandler handler = new AmsInvocationHandler(iActivityManagerObject);
32
33             Object proxy = Proxy.newProxyInstance(Thread.currentThread().getContextClassLoader(), new Class<?>[]{IActivityManagerIntercept}, handler);
34
35             //现在替换掉这个对象
36             mInstance.set(defaultValue, proxy);
37
38
39         } catch (Exception e) {
40             e.printStackTrace();
41         }
42     }
 1  private class AmsInvocationHandler implements InvocationHandler {
 2
 3         private Object iActivityManagerObject;
 4
 5         private AmsInvocationHandler(Object iActivityManagerObject) {
 6             this.iActivityManagerObject = iActivityManagerObject;
 7         }
 8
 9         @Override
10         public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
11
12             Log.i("HookUtil", method.getName());
13             //我要在这里搞点事情
14             if ("startActivity".contains(method.getName())) {
15                 Log.e("HookUtil","Activity已经开始启动");
16                 Log.e("HookUtil","小弟到此一游!!!");
17             }
18             return method.invoke(iActivityManagerObject, args);
19         }
20     }
21 }

结合注释应该很容易看懂,在Application中配置一下

1 public class MyApplication extends Application {
2
3     @Override
4     public void onCreate() {
5         super.onCreate();
6         HookUtil hookUtil=new HookUtil(SecondActivity.class, this);
7         hookUtil.hookAms();
8     }
9 }

看看执行结果: 

可以看到,我们成功的Hook掉了startActivity,输出了一条日志。有了上面的基础,现在我们开始来点有用的东西,Activity不用在清单文件中注册,就可以启动起来,这个怎么搞呢?

4、无需注册,启动Activity

如下,TargetActivity没有在清单文件中注册,怎么去启动TargetActivity?

public void start(View view) {
        Intent intent = new Intent(this, TargetActivity.class);
        startActivity(intent);
    }

这个思路可以是这样,上面已经拦截了启动Activity流程,在invoke中我们可以得到启动参数intent信息,那么就在这里,我们可以自己构造一个假的Activity信息的intent,这个Intent启动的Activity是在清单文件中注册的,当真正启动的时候(ActivityManagerService校验清单文件之后),用真实的Intent把代理的Intent在调换过来,然后启动即可。

首先获取真实启动参数intent信息

 1  @Override
 2   public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
 3             if ("startActivity".contains(method.getName())) {
 4                 //换掉
 5                 Intent intent = null;
 6                 int index = 0;
 7                 for (int i = 0; i < args.length; i++) {
 8                     Object arg = args[i];
 9                     if (arg instanceof Intent) {
10                         //说明找到了startActivity的Intent参数
11                         intent = (Intent) args[i];
12                         //这个意图是不能被启动的,因为Acitivity没有在清单文件中注册
13                         index = i;
14                     }
15                 }
16
17                //伪造一个代理的Intent,代理Intent启动的是proxyActivity
18                 Intent proxyIntent = new Intent();
19                 ComponentName componentName = new ComponentName(context, proxyActivity);
20                 proxyIntent.setComponent(componentName);
21                 proxyIntent.putExtra("oldIntent", intent);
22                 args[index] = proxyIntent;
23             }
24
25             return method.invoke(iActivityManagerObject, args);
26         }

有了上面的两个步骤,这个代理的Intent是可以通过ActivityManagerService检验的,因为我在清单文件中注册过

<activity android:name=".ProxyActivity" />

为了不启动ProxyActivity,现在我们需要找一个合适的时机,把真实的Intent换过了来,启动我们真正想启动的Activity。看过Activity的启动流程的朋友,我们都知道这个过程是由Handler发送消息来实现的,可是通过Handler处理消息的代码来看,消息的分发处理是有顺序的,下面是Handler处理消息的代码:

public void dispatchMessage(Message msg) {
        if (msg.callback != null) {
            handleCallback(msg);
        } else {
            if (mCallback != null) {
                if (mCallback.handleMessage(msg)) {
                    return;
                }
            }
            handleMessage(msg);
        }
    }

handler处理消息的时候,首先去检查是否实现了callback接口,如果有实现的话,那么会直接执行接口方法,然后才是handleMessage方法,最后才是执行重写的handleMessage方法,我们一般大部分时候都是重写了handleMessage方法,而ActivityThread主线程用的正是重写的方法,这种方法的优先级是最低的,我们完全可以实现接口来替换掉系统Handler的处理过程。这里详见Android源码解析Handler系列第(一)篇 — Message全局池

 1 public void hookSystemHandler() {
 2         try {
 3
 4             Class<?> activityThreadClass = Class.forName("android.app.ActivityThread");
 5             Method currentActivityThreadMethod = activityThreadClass.getDeclaredMethod("currentActivityThread");
 6             currentActivityThreadMethod.setAccessible(true);
 7             //获取主线程对象
 8             Object activityThread = currentActivityThreadMethod.invoke(null);
 9             //获取mH字段
10             Field mH = activityThreadClass.getDeclaredField("mH");
11             mH.setAccessible(true);
12             //获取Handler
13             Handler handler = (Handler) mH.get(activityThread);
14             //获取原始的mCallBack字段
15             Field mCallBack = Handler.class.getDeclaredField("mCallback");
16             mCallBack.setAccessible(true);
17             //这里设置了我们自己实现了接口的CallBack对象
18             mCallBack.set(handler, new ActivityThreadHandlerCallback(handler)) ;
19
20         } catch (Exception e) {
21             e.printStackTrace();
22         }
23     }

自定义Callback类

 1 private class ActivityThreadHandlerCallback implements Handler.Callback {
 2
 3         private Handler handler;
 4
 5         private ActivityThreadHandlerCallback(Handler handler) {
 6             this.handler = handler;
 7         }
 8
 9         @Override
10         public boolean handleMessage(Message msg) {
11             Log.i("HookAmsUtil", "handleMessage");
12             //替换之前的Intent
13             if (msg.what ==100) {
14                 Log.i("HookAmsUtil","lauchActivity");
15                 handleLauchActivity(msg);
16             }
17
18             handler.handleMessage(msg);
19             return true;
20         }
21
22         private void handleLauchActivity(Message msg) {
23             Object obj = msg.obj;//ActivityClientRecord
24             try{
25                 Field intentField = obj.getClass().getDeclaredField("intent");
26                 intentField.setAccessible(true);
27                 Intent proxyInent = (Intent) intentField.get(obj);
28                 Intent realIntent = proxyInent.getParcelableExtra("oldIntent");
29                 if (realIntent != null) {
30                     proxyInent.setComponent(realIntent.getComponent());
31                 }
32             }catch (Exception e){
33                 Log.i("HookAmsUtil","lauchActivity falied");
34             }
35
36         }
37     }

最后在application中注入

 1 public class MyApplication extends Application {
 2     @Override
 3     public void onCreate() {
 4         super.onCreate();
 5         //这个ProxyActivity在清单文件中注册过,以后所有的Activitiy都可以用ProxyActivity无需声明,绕过监测
 6         HookAmsUtil hookAmsUtil = new HookAmsUtil(ProxyActivity.class, this);
 7         hookAmsUtil.hookSystemHandler();
 8         hookAmsUtil.hookAms();
 9     }
10 }
11 1

执行,点击MainActivity中的按钮成功跳转到了TargetActivity。

原文地址:https://www.cnblogs.com/ganchuanpu/p/8485715.html

时间: 2024-11-13 09:00:50

Hook技术--Activity的启动过程的拦截的相关文章

Activity组件启动过程(二)

前面启动过程图:(源码基于Android5.1) 获得到ActivityManagerProxy的实例后,会通过ActivityManagerProxy将启动Activity组件的相关信息写入到Parcel对象data中,然后发送一个类型为START_ACTIVITY_TRANSACTION的进程间通信请求给AMS(ActivityManagerService),接下来的工作的会在AMS进程中进行完成. 接下来的启动过程总结为下图: 处理START_ACTIVITY_TRANSACTION类型的

从源码角度看一个apk的启动过程和一个activity的启动过程

APK程序的运行过程 首先,ActivityThread从main()函数中开始执行,调用prepareMainLooper()为UI线程创建一个消息队列(MessageQueue). 然后创建一个ActivityThread对象,在ActivityThread的初始化代码中会创建一个H(Handler)对象和一个ApplicationThread(Binder)对象.其中Binder负责接收远程AmS的IPC调用,接收到调用后,则通过Handler把消息发送到消息队列,UI主线程会异步地从消息

0-Android应用程序的Activity启动过程简要介绍和学习计划

源码分析 之 Activity启动过程简要介绍和学习计划 来源: http://blog.csdn.net/luoshengyang/article/details/6685853 声明: RTFSC(Read the fucking source code)是Linus的名言,也是学习IT技术一个重要手段.学习android最好手段就是对android进行系统分析,关于android系统的源码,CSDN的老罗分析分析是最系统一个.但是老罗的分析源码的blog,有几点不够好: 1.废话太多,可能

Android 子Activity组件在进程内的启动过程 &amp;&amp; 子Activity组件在新进程中的启动过程

1.子Activity组件在进程内的启动过程 在Android Activity组件的启动过程http://blog.csdn.net/jltxgcy/article/details/35984557一文中,我们已经详细分析了Activity的启动过程,对于子Activity组件在进程内的启动过程,我们只分析它们之间的不同. 主要是2处,1是不需要创建新的任务栈,2是不需要创建新进程和子线程. 第1点,体现在如下代码上: -/Android/frameworks/base/services/ja

【转载】【凯子哥带你学Framework】Activity启动过程全解析

It's right time to learn Android's Framework ! 前言 一个App是怎么启动起来的? App的程序入口到底是哪里? Launcher到底是什么神奇的东西? 听说还有个AMS的东西,它是做什么的? Binder是什么?他是如何进行IPC通信的? Activity生命周期到底是什么时候调用的?被谁调用的? 等等... 你是不是还有很多类似的疑问一直没有解决?没关系,这篇文章将结合源码以及大量的优秀文章,站在巨人的肩膀上,更加通俗的来试着解释一些问题.但是毕

【凯子哥带你学Framework】Activity启动过程全解析

It's right time to learn Android's Framework ! 前言 学习目标 写作方式 主要对象功能介绍 主要流程介绍 zygote是什么有什么作用 SystemServer是什么有什么作用它与zygote的关系是什么 ActivityManagerService是什么什么时候初始化的有什么作用 Launcher是什么什么时候启动的 Instrumentation是什么和ActivityThread是什么关系 如何理解AMS和ActivityThread之间的Bi

Android应用程序的Activity启动过程简要介绍和学习计划

文章转载至CSDN社区罗升阳的安卓之旅,原文地址:http://blog.csdn.net/luoshengyang/article/details/6685853 在Android系统中,Activity和Service是应用程序的核心组件,它们以松藕合的方式组合在一起构成了一个完整的应用程序,这得益 于应用程序框架层提供了一套完整的机制来协助应用程序启动这些Activity和Service,以及提供Binder机制帮助它们相互间进行通信.在前 面的文章Android进程间通信(IPC)机制B

github项目解析(八)--&gt;Activity启动过程中获取组件宽高的三种方式

转载请标明出处:一片枫叶的专栏 上一个github小项目中我们介绍了防止按钮重复点击的小框架,其实现的核心逻辑是重写OnClickListener的onClick方法,添加防止重复点击的逻辑,即为第二次点击与第一次点击的时间间隔添加阙值,若第二次点击的时间间隔与第一次点击的时间间隔小于阙值,则此次点击无效,再次基础上我们又封装了点击组件验证网络Listener,点击组件验证是否登录Listener等,具体可参考:github项目解析(七)–>防止按钮重复点击 本文中我将介绍一下android中A

Android深入四大组件(一)应用程序启动过程

相关文章 Android系统架构与系统源码目录 Android系统启动流程(一)解析init进程启动过程 Android系统启动流程(二)解析Zygote进程启动过程 Android系统启动流程(三)解析SyetemServer进程启动过程 Android系统启动流程(四)Launcher启动过程与系统启动流程 Android应用程序进程启动过程(前篇) Android应用程序进程启动过程(后篇) 前言 在此前的文章中,我讲过了Android系统启动流程和Android应用进程启动过程,这一篇顺