如何绕过清单文件,动态注入activity

最新推荐文章于 2022-07-27 17:43:27 发布
最新推荐文章于 2022-07-27 17:43:27 发布
阅读量2.9k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: android系统开发 Android APP/UI开发 Android 流行框架 Android NDK/JNI开发 Android Framework开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sky_pjf/article/details/52817261
本文探讨了如何在Android中绕过清单文件动态注入Activity,以实现插件开发。通过分析Activity的实例化过程,了解到Instrumentation在其中的作用。接着介绍了如何偷梁换柱,包括绕过未注册Activity的校验和利用Intent参数来启动插件Activity。最后,详细阐述了如何替换系统方法,用自己的newActivity方法来控制Activity的创建。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

【Android】Android插件开发 —— 打开插件的Activity(Hook系统方法)


Android打开插件中Activity的实现原理

摘要

Android打开插件Activity的方式有很多种,类名固定的可以使用预注册的方式。代理也是一种很好的方式,同时代理的方式也可以用于打开插件中的Service。

这两种方式都有一些弊端,这篇文章要分享的是如何更好地打开插件中的Activity,采用Instrumentation注入的方式。

1. Activity是如何被实例化的

1.1 在哪一个类、哪一个方法中实例化的

当开发者实现一个Activity时,不能自己添加一个带参数的构造方法。如果添加了,也需要实现一个无参构造方法。原因是在调用Context.startActivity(…)后,系统会利用反射的方式根据activityClass实例化一个Activity对象:

?
1
Activity activity = (Activity)clazz.newInstance();

其中clazz就是传入的Activity的子类。这一行代码是在Instrumentaion.java中的newActivity(…)方法中的。也就是说,Activity的实例化是在Instrumentation这个类里面,通过反射的方式进行的。

1.2 谁持有了Instrumentation的引用

每个Activity对象都持有了一个mInstrumentation的变量,该变量并不是Activity自己创建的,而是由ActivityThread传递给Activity的。而在ActivityThread中,持有了一个名为mInstrumentation的变量。因此,创建Activity的Instrumentation的对象,是被ActivityThread持有着。

2. 如何偷梁换柱打开插件的Activity

2.1 Activity是否在AndroidManifest.xml注册的校验

如果一个Activity没有注册,想要打开它,会抛出异常:

Unable to find explicit activity class XXXXActivity have you declared this activity in your AndroidManifest.xml?

这个异常是Instrumentation的checkStartActivityResult方法中抛出的:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
/** @hide */
public static void checkStartActivityResult( int res, Object intent) {
     if (res >= ActivityManager.START_SUCCESS) {
         return ;
     }
 
     switch (res) {
         case ActivityManager.START_INTENT_NOT_RESOLVED:
         case ActivityManager.START_CLASS_NOT_FOUND:
             if (intent instanceof Intent && ((Intent)intent).getComponent() != null )
                 throw new ActivityNotFoundException(
                         "Unable to find explicit activity class "
                         + ((Intent)intent).getComponent().toShortString()
                         + "; have you declared this activity in your AndroidManifest.xml?" );
             throw new ActivityNotFoundException(
                     "No Activity found to handle " + intent);
         ...(以下省略)
     }
}

很明显的一件事,插件中的Activity是没有在AndroidManifest.xml中注册的,直接打开肯定抛异常崩溃。读者可能会想:我要是直接重写这个方法,不管什么情况全部不抛异常,校验不就通过了吗?但是很抱歉,这个方法是static类型的,子类无法重写。这个条件我们没有办法解决,只能绕过去。

2.2 如何绕过Activity的注册校验

Instrumentation有一个很重要的事:checkStartActivityResult(…)方法 是在newActivity(…)方法之前执行的。请看这两个信息:

当开发者使用一个已经注册过的Activity去接受校验时,肯定能通过校验; 实例化出来的Activity一定是经过校验的那一个Activity吗?不一定。

让我们看一下Instrumentation#newActivity(…)方法的具体实现(有两个重载实现):
第一个:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
public Activity newActivity(Class<!--?--> clazz, Context context,
         IBinder token, Application application, Intent intent, ActivityInfo info,
         CharSequence title, Activity parent, String id,
         Object lastNonConfigurationInstance) throws InstantiationException,
         IllegalAccessException {
 
     Activity activity = (Activity)clazz.newInstance();
     ActivityThread aThread = null ;
     activity.attach(context, aThread, this , token, 0 , application, intent,
             info, title, parent, id,
             (Activity.NonConfigurationInstances)lastNonConfigurationInstance,
             new Configuration(), null );
     return activity;
}

第二个:

?
1
2
3
4
5
6
public Activity newActivity(ClassLoader cl, String className,
         Intent intent)
         throws InstantiationException, IllegalAccessException,
         ClassNotFoundException {
     return (Activity)cl.loadClass(className).newInstance();
}

注意参数列表中有一个 Intent intent 参数,这个参数就是我们在startActivity(Intent intent);传入的那个intent。两个重载方法的参数列表中都包含了这个intent。
所以绕过注册验证的思路大致就出来了:

第一步:
Intent intent = new Intent(this, 某个已经注册的 ActivityA );
intent.putString(“插件中的的Activity的类名”); 系统在接受startActivity后,校验”已经注册Activity”是否注册,结果肯定是已经注册,顺利通过; 接着来到newActivity(…)方法准备实例化Activity
我们通过反射的方式,事先替换掉newActivity(…)方法,改为我们自己的方法。在我们自己的newActivity方法中做以下工作: 开始从intent中获得通过校验的Activity的类,赋值给replyActivityClassA == ActivityA ?从intent中获得插件中的Activity的类名,赋值给pluginActivityClassName根据类名反射获得对应的类, pluginActivityClass由C实例化出插件Activity对象pluginActivity返回说明并不是要打开插件中的Activity结束yesno

最后将pluginActivity就打开我们插件中的Activity了。修改后的代码如下:
其中,SonaInner.getRelayActivity() 就是事先约定好的中继Activity,也就是上面说得ActivityA。
另外,PluginManager.loadClassFromPlugin(…) 方法可以简单理解为是Class.forName()

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
package com.mzdxl.sona.hooks;
 
import android.app.Activity;
import android.app.Application;
import android.content.Context;
import android.content.Intent;
import android.content.pm.ActivityInfo;
import android.content.res.AssetManager;
import android.content.res.Resources;
import android.os.Bundle;
import android.os.IBinder;
import android.view.ContextThemeWrapper;
 
import com.mzdxl.sona.Log;
import com.mzdxl.sona.PluginManager;
import com.mzdxl.sona.SonaInner;
 
import java.lang.reflect.Field;
import java.lang.reflect.Method;
 
/**
  * @author 郑海鹏
  * @since 2016/5/16 21:57
  */
public class InstrumentationHook extends android.app.Instrumentation{
 
     /* -------------------------------------------------------------
                                               Fields
     ------------------------------------------------------------- */
     public static final String PLUGIN_ACTIVITY_NAME = "plugin_activity" ;
     public static final String PLUGIN_PATH = "plugin_path" ;
 
     protected String pluginPath;
 
 
     /* -------------------------------------------------------------
                       System Override / Implements Methods
     ------------------------------------------------------------- */
     @Override
     public Activity newActivity(Class<!--?--> clazz, Context context,
                                 IBinder token, Application application, Intent intent, ActivityInfo info,
                                 CharSequence title, Activity parent, String id,
                                 Object lastNonConfigurationInstance) throws InstantiationException,
             IllegalAccessException {
         Log.i( "CustomInstrumentation#newActivity 执行了!code 1" );
 
         Activity handleResult = createActivity(intent);
         if (handleResult != null ){
             return handleResult;
         }
 
         return super .newActivity(clazz, context, token, application, intent, info, title, parent, id, lastNonConfigurationInstance);
     }
 
     @Override
     public Activity newActivity(ClassLoader cl, String fromClassName, Intent intent) throws InstantiationException, IllegalAccessException, ClassNotFoundException {
         Log.i( "CustomInstrumentation#newActivity 执行了!code 2" );
 
         Activity handleResult = createActivity(intent);
         if (handleResult != null ){
             handleResult.attach(context, null , this , token, 0 , application, intent,
                 info, title, parent, id,
                 (Activity.NonConfigurationInstances)lastNonConfigurationInstance,
                 new Configuration(), null );
             return handleResult;
         }`
 
         return super .newActivity(cl, fromClassName, intent);
     }
 
     @Override
     public void callActivityOnCreate(Activity activity, Bundle icicle) {
         super .callActivityOnCreate(activity, icicle);
         injectResources(activity);
     }
 
     /* -------------------------------------------------------------
                                            Methods
     ------------------------------------------------------------- */
     /**
      * 根据Intent中的class判断是否存在中继Activity,如果目标Activity是中继Activity则打开插件
      */
     @SuppressWarnings ( "unchecked" )
     protected Activity createActivity(Intent intent){
         SonaInner.checkInit();
 
         // 获得Intent中要打开的Activity
         String className = intent.getComponent().getClassName();
 
         // 判断该Activity是否是中继Activity
         if (SonaInner.getRelayActivity().getName().equals(className)) {
             // 如果是中继Activity,取出真实想启动的插件的Activity的类名、插件的位置
             String pluginActivityName = intent.getStringExtra(PLUGIN_ACTIVITY_NAME);
             pluginPath = intent.getStringExtra(PLUGIN_PATH);
             // 实例化Activity
             Class<!--? extends Activity--> PluginActivity;
             try {
                 if (pluginPath == null ){
                     // 如果插件保存地址为null,不从插件中找
                     PluginActivity = (Class<!--? extends Activity-->) Class.forName(pluginActivityName);
                 } else {
                     PluginActivity = PluginManager.loadClassFromPlugin(getContext(), pluginPath, pluginActivityName);
                 }
                 return PluginActivity == null ? null : PluginActivity.newInstance();
             } catch (Exception e) {
                 e.printStackTrace();
                 Log.e( "Intent中传入的插件的Class名无法实例化, 或者Class名不是一个Activity的类名,或者对应插件中不包含这个Activity。" );
             }
         }
         return null ;
     }
 
     /**
      * 注入插件的资源
      */
     protected void injectResources(Activity activity){
         if (pluginPath == null ){
             return ;
         }
 
         // 获取Activity的Resource资源
         Resources hostResource = activity.getApplication().getResources();
 
         // 获取插件的Resource
         try {
             // 获得系统assetManager
             AssetManager assetManager = AssetManager. class .newInstance();
             // 将插件地址添加到资源地址
             Method method_addAssetPath = AssetManager. class .getDeclaredMethod( "addAssetPath" , String. class );
             method_addAssetPath.setAccessible( true );
             method_addAssetPath.invoke(assetManager, pluginPath);
 
             // 获得新的完整的资源
             Resources resources = new Resources(assetManager, hostResource.getDisplayMetrics(), hostResource.getConfiguration());
             Field field_mResources = ContextThemeWrapper. class .getDeclaredField( "mResources" );
             field_mResources.setAccessible( true );
             field_mResources.set(activity, resources);
         } catch (Exception e) {
             e.printStackTrace();
             Log.e( "复制插件Resource时出现异常" );
         }
     }
}

2.3 如何用自己的newActivity方法替换系统方法

在1.2中已经提到了,Instrumentation的对象是保存在ActivityThread里的。很不幸,ActivityThread对象我们无法直接获得到,同时连ActivityThread这个类我们在代码中都不能直接调用。ActivityThread有一个静态方法:

?
1
2
3
public static ActivityThread currentActivityThread() {
     return sCurrentActivityThread;
}

该方法返回了当前的ActivityThread。
我们可以通过反射的方式,先获得ActivityThread,再获得currentActivityThread方法,最后调用这个方法就可以获得ActivityThread的变量(设为activityThread)了。最后把我们自己的Instrumentation对象替换掉activityThread里的mInstrumentation就可以了。代码如下:
其中:

ActivityThread_method_currentActivityThread 就是ActivityThread的currentActivityThread方法; activityThread就是当前的ActivityThread。 InstrumentationHook 是我们自定义的Instrumentaion,修改了系统的newActivity。
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
package com.mzdxl.sona;
 
import android.content.res.AssetManager;
 
import com.mzdxl.sona.hooks.InstrumentationHook;
 
import java.lang.reflect.Field;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
 
/**
  * @author 郑海鹏
  * @since 2016/5/17 10:25
  */
public class HookManager {
     /* -------------------------------------------------------------
                                               Fields
     ------------------------------------------------------------- */
     static Class<!--?--> ActivityThread;
     static Method ActivityThread_method_currentActivityThread;
     static Object obj_activityThread;
     static Method AssetManager_method_addAssetPath;
 
 
     /* -------------------------------------------------------------
                                         Static Methods
     ------------------------------------------------------------- */
     /**
      * 初始化操作,获得一些基本的类、变量、方法等。
      */
     public static void init() throws ClassNotFoundException, NoSuchMethodException, InvocationTargetException, IllegalAccessException {
         // 获得ActivityThread类
         ActivityThread = Class.forName( "android.app.ActivityThread" );
 
         // 获得ActivityThread#currentActivityThread()方法
         ActivityThread_method_currentActivityThread = ActivityThread.getDeclaredMethod( "currentActivityThread" );
 
         // 根据currentActivityThread方法获得ActivityThread对象
         obj_activityThread = ActivityThread_method_currentActivityThread.invoke(ActivityThread);
 
         // 获得AssetManager#addAssetPath()方法
         AssetManager_method_addAssetPath = AssetManager. class .getDeclaredMethod( "addAssetPath" , String. class );
         AssetManager_method_addAssetPath.setAccessible( true );
     }
 
     /**
      * 注入Sona的Instrumentation
      */
     public static void injectInstrumentation() throws NoSuchFieldException, IllegalAccessException {
         Log.i( "开始注入Sona的Instrumentation。" );
         // 获得ActivityThread类中的Instrumentation字段
         Field field_instrumentation = obj_activityThread.getClass().getDeclaredField( "mInstrumentation" );
         field_instrumentation.setAccessible( true );
         // 创建出一个新的Instrumentation
         InstrumentationHook obj_custom_instrumentation = new InstrumentationHook();
         // 用Instrumentation字段注入Sona的Instrumentation变量
         field_instrumentation.set(obj_activityThread, obj_custom_instrumentation);
     }
 
}

最后我们需要在自己Application中的onCreate()方法中调用HookManager.init() 和 HookManager.injectInstrumentation()就可以替换为我们自己的Instrumentation了。


不需要在清单文件中注册的Acrivity的启动方式--Hook技术
独具匠心的博客
12-29 1800
最近发现自己的技术很欠缺所以看了一些真正大神级别的开发者的直播课比如什么华为的定制开发项目经理啊、什么担任过腾讯的什么经理啊等等的我认为的大神(不知道别人怎么认为啊) 好了废话不多说,开始说说今天的主题 ====》怎么能启动一个不在清单文件中注册的Actriviry 可能大家看到之后会很质疑,从自己Android开发到现在都将Activity清单文件中才启动负责,否则会报an
hook(4)实现无清单启动Activity的应用
最新发布
2501_90330696的博客
01-20 1023
但是,还是那句话,天塌下来砸不到我们的头上,自然有大佬顶着,到时候,如果谷歌真的禁用反射,国内的巨佬们自然有新的解决办法,到时候跟随大流就好了。//4个参数分别是,外部dex的path,优化之后的目录,lib库文件查找目录,我们这没有用到lib里面的so,所以可以设置为null,最后一个是父ClassLoader。//Hook第三次,加载插件资源包,让系统的Resources能够读取插件的资源。//使用假的Activity,骗过AMS的检测。//重写资源管理器,资源管理器是每个Activity自带的,
launchAnyWhere: Activity组件权限绕过漏洞解析(Google Bug 7699048 )
移动安全研究和Android/iOS/小程序隐私合规
09-02 1万+
作者:申迪      转载请注明出处    http://blogs.360.cn/360mobile/2014/08/19/launchanywhere-google-bug-7699048/前几天在试用gitx这个软件时偶然看到Google修复了一个漏洞,并记为Google Bug 7699048。这是一个AccountManagerService的漏洞,利用这个漏洞,我们可以任意调起任意未导
Android学习之LayoutInflater动态载入activity界面
古语云
06-13 773
LayoutInflater 类 用来找res/layout/下的xml布局文件,并且实例化 对比: findB
Android Hook 技术之 绕过系统对Activity验证
07-18
【SDK热更系列】Android Hook 技术之 绕过系统对Activity验证 , 原理详见个人博客https://blog.youkuaiyun.com/u012573920/
错误提示:have you declared this activity in your AndroidManifest.xml?
Gungnir的博客
02-27 1万+
文中代码出自郭霖先生所著《第一行代码》,人民邮电出版社出版。第4章 FragmentBestPractice在本节实践,制作一个简易版的新闻应用中,当写好代码开始运行时,程序正常打开,但点击新闻标题时,程序停止,并报错:android.content.ActivityNotFoundException: Unable to find explicit activity class {com.exam
hook(4)实现无清单启动Activity的应用,androidui框架
m0_64319112的博客
11-23 434
#正文 ##一.整体思路 下方有两张图:表示了插件化架构中,插件单独运行,和 插件作为宿主的一部分随宿主启动的技术关键点。 如上图,如果跟随宿主一起启动,插件 apk的资源文件要能够被宿主读到,插件的 apk的 class文件也必须能够被宿主读取,实现的方式就是,让在宿主的代码中进行 hook编程,生成一个能够读取宿主以及所有插件内 class的 ClassLoader,以及 一个能够读取 宿主以及插件内所有资源的 Resource.而,实现的具体过程,就是一个融合过程. ##二.实际
proguard-rules 输出aar库清单文件中需要带有meta-data
12-27
除了调整 ProGuard 设置外,还可以考虑在构建过程中手动编辑或者动态注入必要的 `meta-data` 到最终 APK/AAR 的 `AndroidManifest.xml` 文件里。不过这种方法相对复杂些,建议优先尝试前两种方案解决问题后再评估...
安卓注入悬浮框.pdf
06-09
- AndroidManifest.xml:应用的清单文件,描述了应用的包名、活动、服务等重要信息。 - META-INF:包含了应用签名的相关信息。 ### 知识点三:APK反编译工具 在注入之前,我们需要对目标APK包进行反编译。常用安卓...
have you declared this activity in your AndroidManifest.xml?
weixin_30750335的博客
10-15 992
Activity没有在AndroidManifest.xml中定义。 转载于:https://www.cnblogs.com/xiao-xu/p/3370199.html
Android Studio bug
TYA_Saras的博客
04-20 1861
have you declared this activity in your AndroidManifest.xml? 要在AndroidManifest.xml里加上新加的activity eg: < activity android:name=“.activity.MainActivity” > < /activity > Missing Constraints in ConstraintLayout:控件旁边有红色感叹号 给控件定个位置,例如把它constraint weig
Android运行时错误:Unable to find explicit activity,have you declared this activity in AndroidManifest.xml
AlienTech for better life!~
05-09 1929
在调试程序的时候,出现了这个错误,后来发现是因为没有在AndroidManifest.xml文件中声明该Activity,后来在AndroidManifest.xml中声明该Activity,问题解决,这个问题产生的主要原因是:当时新建这个Activity的时候直接新建的Class文件,而不是新建的Android Activiy文件(没有按照标准来导致的错误)。
关于安卓启动模拟器时出现~~~~have you declared this activity in your AndroidMainfest.xml?问题
Kevincram的博客
06-18 2669
关于安卓启动模拟器时出现~~~~have you declared this activity in your AndroidMainfest.xml?问题 在安卓中我们有时会遇到下面图片所示的问题,尽管显示这么多的错误,但是其实一般错误就一个,其他都是连带发生的,越大的项目,错一个也会连带出现很多的错误。下面这个我们认真点就会发现问题出现在浅蓝色线中,意思是没有注册或者注册的时候有错误。 那么这种问题的解决方法有哪些呢? 本人多次遇到,总结如下: 1.没有注册 解决方法:安卓四大组件都要在androidM
The activity ‘MainTwoActivity‘ is not declared in AndroidManifest.xml
stormzhuo的博客
03-19 5595
解决办法 打开AndroidMainfest.xml 复制MainActivity类的模板复制粘贴在它的下面,然后把文件名改成自定义即可
The activity 'MainTwoActivity' is not declared in AndroidManifest.xml
热门推荐
墨笙弘一
05-06 2万+
最近在空余时间都在学习android开发和使用git及github,因为是刚入门,所以会犯初级的错误,但是我觉得初级的错误也是需要及时总结的,俗话说吃一堑长一智,总结总是会提醒自己的,吸取教训,避免下次犯错。 这个错误是: Error running MainTwoActivity: The activity 'MainTwoActivity' is not declared in Andr
安卓逆向基础篇-代码的动态加载
qq_35950233的博客
07-27 509
代码动态加载 启蒙
Android中的代码植入
a347347347的专栏
03-17 1615
1.反编译目标文件apk 2.创建一个新工程,包名要和目标文件的包名一致,有一个和目标文件一样的类,再创建一个相似类继承上面那个类,在子类中写自己想要实现的代 码 3.将自己创建的类导出,生成 4.将自己的apk反编译,找到创建的那个子类,将其复制到目标工程(反编译过了)对应的文件夹中 5.修改目标文件夹中的清单文件(将Activity中父类名字改成子类名字),重新打包目
Dagger2 Activity注入
BunnyCoffer的博客
03-21 843
架构图: 现在有个需求,就是在mvp中使用dagger2,需要将p注入到v中。 首先我们需要创建一个p层类MainPresenter public class MainPresenter { @Inject public MainPresenter() { } public void loadMain(){ Log.i("TAG",...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值