android插件化(二)----四大组件的加载

最新推荐文章于 2024-05-01 10:19:25 发布
最新推荐文章于 2024-05-01 10:19:25 发布
阅读量436 收藏
点赞数 1
分类专栏: android 文章标签: 安卓 android 移动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/adminyuqiao/article/details/110950054
版权
本文介绍如何使用Hook技术实现在Android应用中动态加载未注册的插件Activity,包括修改启动Intent和替换Activity的具体步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

https://blog.youkuaiyun.com/adminyuqiao/article/details/110690030

上一篇文章说了Android中的普通类的加载方法。
这次说一说四大组件的加载----以activity为例。因为android版本不同,这里以26为准。至于其他版本,需要适配下。流程逻辑没有啥太大区别。

首先咱现在插件apk中添加一个MainActivity。当然先把setContentVIew注释掉,因为用到了资源文件,等下次再说。

 	@Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
//        setContentView(R.layout.activity_main);
//		就简单打个log吧
        Log.e(TAG, "onCreate: 启动插件的activity" );
    }

大家都知道activity需要在manifest中进行注册才能启动。

  <activity android:name=".MainActivity"/>

但是在宿主的app中不会有插件activity的注册。这咋解决?
这里需要用到Hook技术,所谓hook说直白点就是反射和动态代理。知道这就行了。也许大家有更好的办法,这只是一个思路而已。

 Intent intent = new Intent();
intent.setComponent(new ComponentName("com.winter.test","com.winter.test.MainActivity"));
startActivity(intent);

直接这么写大家肯定知道无法启动,因为没有注册,那么我们可以在我们的宿主中加入一个ProxyActivity并在宿主的manifest中注册。在AMS去检查的时候将我们的intent中的内容换成ProxyActivity。而后再换成插件的activity就可以了。

proxyActivity如下:

public class ProxyActivity extends AppCompatActivity {
    @Override
    protected void onCreate(@Nullable Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        Log.e("winter", "onCreate: 我是宿主代理Activity" );
    }
}

这里需要一点activity启动流程和动态代理的基础。如果不太了解希望先去了解下。

画个图,这个思路就是这样
在这里插入图片描述
接下来的步骤就是找哪儿能够让我们做这些个步骤了。

一般找hook点的准则有2点
1.尽量找静态变量或者单利的
2.尽量找public的

知道了目标就开干!
修改启动的activity,其实就是修改intent,所以我们就去启动流程中找intent就好了。

按照启动流程,很容易找到下面代码

Instrumentation.ActivityResult ar = mInstrumentation.
execStartActivity(this, 
mMainThread.getApplicationThread(), 
mToken, this,
intent, requestCode, options);

我们点进去看看,看到这里

 int result = ActivityManager.getService()
                .startActivity(whoThread, who.getBasePackageName(), intent,
                        intent.resolveTypeIfNeeded(who.getContentResolver()),
                        token, target != null ? target.mEmbeddedID : null,
                        requestCode, 0, null, options);

这个ActivityTaskManager.getService.startActivity()就是我要找的hook点,
可以动态代理IActivityTaskManager这个对象,在其startActivity的时候,做点小动作,就是替换intent。是不是就可以实现了。关于动态代理,这就不说了,如果不是很明白,那就先去了解下。

首先获取IActivityManger对象,根据源码

public static IActivityManager getService() {
        return IActivityManagerSingleton.get();
    }

    private static final Singleton<IActivityManager> IActivityManagerSingleton =
            new Singleton<IActivityManager>() {
                @Override
                protected IActivityManager create() {
                    final IBinder b = ServiceManager.getService(Context.ACTIVITY_SERVICE);
                    final IActivityManager am = IActivityManager.Stub.asInterface(b);
                    return am;
                }
            };

我们需要先获取这个Singleton的对象,然后调用其get方法

public abstract class Singleton<T> {
    private T mInstance;

    protected abstract T create();

    public final T get() {
        synchronized (this) {
            if (mInstance == null) {
                mInstance = create();
            }
            return mInstance;
        }
    }
}

还是一样通过反射获取

Class<?> clazz = Class.forName("android.app.ActivityManager");
Field singletonField = clazz.getDeclaredField("IActivityManagerSingleton");
singletonField.setAccessible(true);
Object singleTon = singletonField.get(null);

调用get方法

Class<?> singleTonClass = Class.forName("android.util.Singleton");
Field mInstanceFiled = singleTonClass.getDeclaredField("mInstance");
mInstanceFiled.setAccessible(true);
Method getMethod = singleTonClass.getMethod("get");
final Object mInstance = getMethod.invoke(singleTon);

这个mInstance就是我们想要的

而后就是通过动态代理,干点坏事情

 Object proxyInstance = Proxy.newProxyInstance(Thread.currentThread().getContextClassLoader(),
                    new Class[]{IActivityManager}, new InvocationHandler() {
                        @Override
                        public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
                        //过滤,只有当调用startActivity的时候才去动态代理
                            if ("startActivity".equals(method.getName())) {
                                int index = -1;
                                //获取Intent 对象
                                for (int i = 0; i < args.length; i++) {
                                    if (args[i] instanceof Intent) {
                                        index = i;
                                    }
                                }
                                //修改intent
                                Intent intent = (Intent) args[index];
                                Intent proxyIntent = new Intent();
                                proxyIntent.setClassName("com.winter.myutils",
                                        "com.winter.myutils.ProxyActivity");
								//我们将原先的intent保存起来,方便之后获取                                
                                proxyIntent.putExtra(TARGET_INTENT, intent);
                                args[index] = proxyIntent;
                            }

                            return method.invoke(mInstance, args);
                        }
                    });

最后别忘了最后一步

 mInstanceFiled.set(singleTon, proxyInstance);

至此,我们就完成了在AMS检查注册之前替换intent的步骤。我们可以运行一下看看,当我们启动插件中的MainActivity

Intent intent = new Intent();
intent.setComponent(new ComponentName("com.winter.test",
                    "com.winter.test.MainActivity"));
startActivity(intent);

可以看到日志
在这里插入图片描述
OK 接下来下一步就是替换回来了。

经过了AMS检查注册,而后我们只要关注经过AMS之后干了啥就可以了,在这中间找我们需要的hook点

我们进入ActivityThread中的ApplicationThread的scheduleLaunchActivity方法

@Override
public final void scheduleLaunchActivity(Intent intent, IBinder token, int ident,
                ActivityInfo info, Configuration curConfig, Configuration overrideConfig,
                CompatibilityInfo compatInfo, String referrer, IVoiceInteractor voiceInteractor,
                int procState, Bundle state, PersistableBundle persistentState,
                List<ResultInfo> pendingResults, List<ReferrerIntent> pendingNewIntents,
                boolean notResumed, boolean isForward, ProfilerInfo profilerInfo) {
           		...
            sendMessage(H.LAUNCH_ACTIVITY, r);
        }

可以看到这里发送了一个LAUNCH_ACTIVITY的消息。这个H就是一个Handler。接下来我们看handleMessage

public void handleMessage(Message msg) {
            if (DEBUG_MESSAGES) Slog.v(TAG, ">>> handling: " + codeToString(msg.what));
            switch (msg.what) {
                case LAUNCH_ACTIVITY: {
                    Trace.traceBegin(Trace.TRACE_TAG_ACTIVITY_MANAGER, "activityStart");
                    final ActivityClientRecord r = (ActivityClientRecord) msg.obj;

                    r.packageInfo = getPackageInfoNoCheck(
                            r.activityInfo.applicationInfo, r.compatInfo);
                    handleLaunchActivity(r, null, "LAUNCH_ACTIVITY");
                    Trace.traceEnd(Trace.TRACE_TAG_ACTIVITY_MANAGER);
                } 
                break;
                ...
}

然后就是一步步点进去看,正常的启动流程。不详细描述了
最后走到了这里

private Activity performLaunchActivity(ActivityClientRecord r, Intent customIntent) {
       ...
       ComponentName component = r.intent.getComponent();
      ...
}

我们找到了我们需要的intent,但是这个intent在ActivityClitentRecord中

static final class ActivityClientRecord {
      	...
        Intent intent;
        ...
}

可以通过源码看到,intent并不是静态的,所以我们需要ActivityClientRecord对象。
细心的同学已经知道了,在上面给出的源码中已经给出了这个对象,
在handleMessage中已经有ActivityClientRecord对象r

 final ActivityClientRecord r = (ActivityClientRecord) msg.obj;

如果我们能拿到msg拿到,是不是就能拿到ActivityClientRecord对象了。
接下来就是分析Handler的源码。emmmm。。这个应该是最基本的,不了解的话我也没办法了。

所以我们要Hook Handler
我们直接看HandleMessage

 /**
     * Subclasses must implement this to receive messages.
     */
    public void handleMessage(Message msg) {
    }
    
    /**
     * Handle system messages here.
     */
    public void dispatchMessage(Message msg) {
        if (msg.callback != null) {
            handleCallback(msg);
        } else {
            if (mCallback != null) {
                if (mCallback.handleMessage(msg)) {
                    return;
                }
            }
            handleMessage(msg);
        }
    }

看源码可以知道实际上是通过dispatchMessage方法调用了handleMessage。
分析dispatchMessage方法
可以看到,如果mCallback不等于空,是不是就能把msg回调给我们。
再分析上面发送消息的H

 final H mH = new H();

其中H类中并没有构造方法,所以其调用的是Handler中的构造方法

public Handler() {
//第一个参数就是callback
        this(null, false);
}

所以可以看到在这里callback是空的。
所以我们可以写一个接口,实现callback。替换系统的callback。从而拿到msg,而msg的obj就是ActivityClientRecord,所以就能拿到intent了

剩下的事情就是撸码了

首先自己创建一个callback

Handler.Callback callback = msg -> {
            switch (msg.what) {
            	//	通过msg 可以拿到intent
            	//100就是上面LAUNCH_ACTIVITY的值
                case 100:
                    try {
                    //msg.obj 为ActivityClientRecord
                        Field intentField = msg.obj.getClass().getDeclaredField("intent");
                        intentField.setAccessible(true);
                       
                        Intent proxyIntent = (Intent) intentField.get(msg.obj);
                         //第一步保存的intent,替换
                        Intent intent = proxyIntent.getParcelableExtra(TARGET_INTENT);
                        if (intent != null) {
                            intentField.set(msg.obj, intent);
                        }
                    } catch (Exception e) {
                        e.printStackTrace();
                    }
                    break;
            }
            //必须return false 
            return false;
};

代码没啥好说的。一目了然。

接下来就是进行hook 替换了

要替换系统的callback,因为callback不是静态的,所以首先拿到handler对象就是ActivityThread中的mh,mh也不是静态的,所以要拿到ActivityThread对象。正好在ActivityThread中有这个

 private static volatile ActivityThread sCurrentActivityThread;

正好是静态的,我们就获取这个玩意儿,就是通过反射api的调用,没啥好说的了

Class<?> clazz = Class.forName("android.app.ActivityThread");
Field activityThreadField = clazz.getDeclaredField("sCurrentActivityThread");
activityThreadField.setAccessible(true);
Object activityThread = activityThreadField.get(null);

Field mHField = clazz.getDeclaredField("mH");
mHField.setAccessible(true);
final Handler mH = (Handler) mHField.get(activityThread);

Field mCallbackField = Handler.class.getDeclaredField("mCallback");
mCallbackField.setAccessible(true);

最后别忘了

 mCallbackField.set(mH, callback);

至此第二部分的替换也完成了。

运行一下试试。
在这里插入图片描述
OK 大功告成。

PS:这里只是基于api26 。在android10上面不一样,要通过适配,IActivityManager好像变成了IActiivityTaskManager。下面的Handler发送消息的也不一样,应该是159.而不是100.详细代码不写了。这里只是提供一个思路给大家了解插件化这个东西。希望大家喜欢

android进阶解密 第四章 android8.0四大组件的工作过程
龚礼鹏的博客
07-20 385
一.根Activity的启动过程: 分成三部分讲解:Laucher请求AMS过程,AMS到ApplicationThread的过程,ActivityThread启动Activity过程。 1.Laucher请求AMS过程时序图: 注意: ①.Instrumentation主要是用来监控应用程序和系统之间的交互,在Instrumentation的execStartActivity方法中调...
Android进阶知识树——Android四大组件启动过程
浅谈Android
08-13 1050
Activity Activity的启动是从Activity的startActivityForResult(),在startActivityForResult()中调用Instrumentation.execStartActivity() execStartActivity():调用IActivityManager代理类执行Activity的启动,IActivityManager在此处采用B...
Android插件化开发教程(
jasonfresher的专栏
06-27 770
上一篇文章介绍了插件化开发的基本概念以及可以用到的框架等内容,那么现在我们选择Small框架来进行插件化开发 创建工程:1.下载源码:Clone Small (下载源码) > cd [你要放Small的目录] > git clone https://github.com/wequick/Small.git 2.导入模版:在Small项目的/Small/Android/templates/activ
Android插件化原理和实践 ()四大组件解决方案
子云心的博客
12-10 1192
在前面的几篇文章中已经介绍完了Android插件化的第一和第个根本问题,就是宿主和插件的代码互相调用问题和插件中资源的读取问题。现剩下的就是Android插件化里最麻烦的第三个根本问题,也就是在插件中使用四大组件的问题。我们知道,目前插件中的四大组件要想正常使用就必须要在宿主中的AndroidManifest.xml中提前声明好,因为四大组件在启动过程中只认宿主中的AndroidManifest...
插件化框架解读之四大组件调用原理-Activity(三)上篇
AndroidAlvin的博客
11-14 208
阿里P7移动互联网架构师进阶视频(每日更新中)免费学习请点击:https://space.bilibili.com/474380680 本文通过Activity调用原理来解读Replugin插件化技术 一、开启插件Activity流程 第1步 开启插件Activity的入口在Replugin.StartActivity(Context context, Intent intent)...
Android 知识点总结 (三) android四大组件加载过程(笔记)
a136447572的专栏
07-13 1004
Android 知识点总结(目录) Android 知识点总结 (三) android四大组件加载过程 四大组件以及Application和Context的全面理解
Node.js-Android--›360全面插件化RePlugin框架交互通信使用概述
08-12
3. **Activity、Service、BroadcastReceiver、ContentProvider的插件化**: 这些是Android四大组件,RePlugin实现了它们的插件化,使得插件中的组件可以在宿主中运行。 **、RePlugin的通信机制** 1. **插件间的...
Android 修炼手册】常用技术篇 -- Android 插件化解析
最新发布
2401_84132496的博客
05-01 651
其实Android开发的知识点就那么多,面试问来问去还是那么点东西。所以面试没有其他的诀窍,只看你对这些知识点准备的充分程度。so,出去面试时先看看自己复习到了哪个阶段就好。上面分享的腾讯、头条、阿里、美团、字节跳动等公司2019-2021年的高频面试题,博主还把这些技术点整理成了视频和PDF(实际上比预期多花了不少精力),包含知识脉络 + 诸多细节,由于篇幅有限,上面只是以图片的形式给大家展示一部分。【Android思维脑图(技能树)】知识不体系?
Android插件化开发之OpenAtlas中四大组件与Application功能的验证
08-24
OpenAtlas是一款开源的Android插件框架,它支持四大组件Activity、Service、BroadcastReceiver、ContentProvider)以及Application的插件化。下面将详细探讨OpenAtlas在这些方面的实现和功能验证。 首先,让我们...
Android-AndroidStudio在线查看Android和Java指定版本源码插件
08-12
使用AndroidSourceViewer,开发者可以更深入地了解Android系统的运行机制,如四大组件的实现,系统服务的工作流程,以及各种API的内部逻辑。这对于优化代码性能,解决bug,以及设计更高效的应用程序至关重要。 此外...
Android插件化系列三】技术流派和四大组件支持
Stay Hungry Stay Foolish 求知若饥 虚心若愚
03-28 3987
本篇文章是本系列比较核心的一篇文章,我计划这篇文章把插件化的大体技术给讲清楚。
Android四大组件之服务(),服务的基本用法
12-21
服务常常被用来在后台悄悄的执行一些事情,这些事情是用户在不影响用户使用的情况下完成的,比如后台更新天气,下载文件等等,这个也是几乎每一款app产品都有的功能,这里是一个简单的服务demo
总结--Android四大组件的工作过程(写了一个)
shaoenxiao的博客
02-15 460
首先几个类说明: TaskRecord:启动的Activity所在的栈 ProcessRecord:描述一个应用程序进程 ActivityRecord:描述一个Activity,记录一个Activity的所有信息 ServiceRecord:描述一个Service,记录一个Service的所有信息 LoadedAPK:描述已加载的APK文件,可以获取到packageInfo,等信息(清单...
请简单说明Android开发四大组件,Android 四大组件的工作过程
weixin_39813009的博客
05-25 209
导语本章的意义在于加深对四大组件工作方式的认识,有助于加深对Android整体的体系结构的认识。很多情况下,只有对Android的体系结构有一定认识,在实际开发中才能写出优秀的代码。 读者对四大组件的工作过程有一个感性的认识并且能够给予上层开发一些指导意义。主要内容四大组件的运行状态Activity的工作过程Service的工作过程BroadcastReceiver的工作过程ContentProv...
Android——简单易懂说原理之Android四大组件工作过程(热修复、插件化基础2)
nanquan11的博客
12-22 441
写在前面:这是“简单易懂说原理(热修复、插件化基础)”系列的第篇文章,也是理解插件化原理的必备基础。阅读本文前须有Android系统启动流程及应用程序进程启动过程相关基础。 目录一、根Activity的启动过程、Service的启动与绑定过程三、广播的动态注册、发送和及接收过程四、Content Provider的启动过程 在前一篇文章中我们说到应用程序进程在创建的同时也创建了Binder线程池和消息循环。其实,在创建了Binder线程池后,应用程序进程还会创建并运行一个代表主线程的ActivityTh
Android四大组件activity启动过程
seven_poul的博客
04-09 772
最近一直在搞项目上的事,前端的东西真是又多又杂啊,没办法现在有点时间来仔细研究Android上的,从这开始四大组件的源码工作过程,首先说为什么要从源码上研究四大组件的工作过程,第一,我们平时用的时候直接拿来用,出现BUG的时候,哎这个BUG怎么一串串红色的,这东西报什么错,为什么,其实稍微看一下activity的工作过程就知道它是怎么一步步到ontouch然后再加载到window上,我们这里不管后
Android进阶解密读书笔记(四)——四大组件的启动过程
qq_29639599的博客
10-28 420
Activity 的启动过程 Activity 的启动分为两种,一种是根 Activity 的启动过程,另一种是普通 Activity 的启动过程。根 Activity 指的是应用程序启动的第一个 Activity,因此根 Activity 的启动过程一般情况下也可以理解为应用程序的启动过程。普通Activity 指的是除应用程序启动的第一个 Activity 之外的其他 Activity。根 Activity 的启动过程分为3个部分:Launcher 请求 AMS 过程、AMS 到 Applicat
4.四大组件的工作过程
只影的博客
06-25 614
Activity的启动分为两种一种是根Activity的启动过程,另一种是普通Activity的启动过程。根Activity指的是应用程序启动的第一个Activity,因此根Activity的启动过程也可以理解为应用程序的启动过程。普通Activity指的是除第一个Activity外其他的Activity。Launcher桌面上应用程序的快捷图标就是启动根Activity的入口,当我们点击某个程序的快捷图标时,就会通过Launcher请求Ams来启动该应用程序。Launch请求Ams的时序图如下当我们点击应
Android-插件化一插桩实现Activity加载
风的轨迹
03-07 809
1.插件化定义 插件化,就是把一些核心复杂依赖度高的业务模块封装成插件,然后根据不同的业务进行不同的组合,动态进行替换。 2.插件化跟组件化的差异 组件化:是将一个app分成多个模块,每个模块都是一个组件,开发过程中我们可以让这些组件相互依赖或者单独调试部分组件,但是最终发布的时候是将这些组件合并成一个统一的apk,这就是组件化。 插件化:跟组件化不同,插件化开发就是将整个app拆分成很多模块,每个模块都是apk(组件化每个模块是一个lib),最终发布的时候宿主和插件apk分开打包,插件apk通过动态下发的
仿微信相册列表模块:Android-zfalbum的开发实践
- **Activity**:ActivityAndroid应用的四大组件之一,负责创建用户界面,一个应用通常有多个Activity- **Fragment**:Fragment用于构建动态灵活的用户界面,可以被嵌入到Activity中。 - **Service**:Service...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值