通过hook思想拦截系统APi(startActivity)并跳转到没注册过的Activity

最新推荐文章于 2024-04-25 22:55:04 发布
原创 最新推荐文章于 2024-04-25 22:55:04 发布 · 948 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hook #拦截startactivity方法

本文介绍了如何通过hook技术拦截Android系统的startActivity方法,即使Activity没有注册也能启动。首先分析了startActivity的调用流程,发现关键在于ActivityManagerNative的IActivityManager接口。利用动态代理,替换单例中的mInstance对象,实现在不注册Activity的情况下启动。然后,通过傀儡Activity加载并替换目标Activity,最后在Handler中进行hook操作,确保在onFinish后恢复原状。

hook俗称钩子可以对系统api进行拦截做一些自己的操作,如何拦截我们android中的startActivity方法呢,并且在不注册activity的情况下去启动activity。首先我们先看下startActivity方法是怎样调用的吧。、

点开startActivity方法我们发现先重写了startActivity

@Override
    public void startActivity(Intent intent) {
        this.startActivity(intent, null);
    }
    @Override
    public void startActivity(Intent intent, @Nullable Bundle options) {
        if (options != null) {
            startActivityForResult(intent, -1, options);
        } else {
            // Note we want to go through this call for compatibility with
            // applications that may have overridden the method.
            startActivityForResult(intent, -1);
        }
    }

再去看startActivityForResult(intent, -1)这个源码

public void startActivityForResult(@RequiresPermission Intent intent, int requestCode) {
        startActivityForResult(intent, requestCode, null);
    }
    还是重写了startActivityForResult
    public void startActivityForResult(@RequiresPermission Intent intent, int requestCode,
            @Nullable Bundle options) {
        if (mParent == null) {
            options = transferSpringboardActivityOptions(options);
            Instrumentation.ActivityResult ar =
                mInstrumentation.execStartActivity(
                    this, mMainThread.getApplicationThread(), mToken, this,
                    intent, requestCode, options);
            if (ar != null) {
                mMainThread.sendActivityResult(
                    mToken, mEmbeddedID, requestCode, ar.getResultCode(),
                    ar.getResultData());
            }
            if (requestCode >= 0) {
                // If this start is requesting a result, we can avoid making
                // the activity visible until the result is received.  Setting
                // this code during onCreate(Bundle savedInstanceState) or onResume() will keep the
                // activity hidden during this time, to avoid flickering.
                // This can only be done when a result is requested because
                // that guarantees we will get information back when the
                // activity is finished, no matter what happens to it.
                mStartedActivity = true;
            }

            cancelInputsAndStartExitTransition(options);
            // TODO Consider clearing/flushing other event sources and events for child windows.
        } else {
            if (options != null) {
                mParent.startActivityFromChild(this, intent, requestCode, options);
            } else {
                // Note we want to go through this method for compatibility with
                // existing applications that may have overridden it.
                mParent.startActivityFromChild(this, intent, requestCode);
            }
        }
    }

关键的地方来了,这行代码好像是execStartActivity启动了activity,那我们看下Instrumentation这个类里边的execStartActivity方法都干了什么

Instrumentation.ActivityResult ar =
                mInstrumentation.execStartActivity(
                    this, mMainThread.getApplicationThread(), mToken, this,
                    intent, requestCode, options);

进入Instrumentation找到execStartActivity

public ActivityResult execStartActivity(
            Context who, IBinder contextThread, IBinder token, Activity target,
            Intent intent, int requestCode, Bundle options) {
        IApplicationThread whoThread = (IApplicationThread) contextThread;
        Uri referrer = target != null ? target.onProvideReferrer() : null;
        if (referrer != null) {
            intent.putExtra(Intent.EXTRA_REFERRER, referrer);
        }
        if (mActivityMonitors != null) {
            synchronized (mSync) {
                final int N = mActivityMonitors.size();
                for (int i=0; i<N; i++) {
                    final ActivityMonitor am = mActivityMonitors.get(i);
                    if (am.match(who, null, intent)) {
                        am.mHits++;
                        if (am.isBlocking()) {
                            return requestCode >= 0 ? am.getResult() : null;
                        }
                        break;
                    }
                }
            }
        }
        try {
            intent.migrateExtraStreamToClipData();
            intent.prepareToLeaveProcess(who);
            int result = ActivityManagerNative.getDefault()
                .startActivity(whoThread, who.getBasePackageName(), intent,
                        intent.resolveTypeIfNeeded(who.getContentResolver()),
                        token, target != null ? target.mEmbeddedID : null,
                        requestCode, 0, null, options);
            checkStartActivityResult(result, intent);
        } catch (RemoteException e) {
            throw new RuntimeException("Failure from system", e);
        }
        return null;
    }

看下这行代码我们发现了startActivity方法,原来是ActivityManagerNative.getDefault()调用了startActivity方法。

int result = ActivityManagerNative.getDefault()
                .startActivity(whoThread, who.getBasePackageName(), intent,
                        intent.resolveTypeIfNeeded(who.getContentResolver()),
                        token, target != null ? target.mEmbeddedID : null,
                        requestCode, 0, null, options);
            checkStartActivityResult(result, intent);

我们在进入ActivityManagerNative中的getDefault方法,它返回的对象是一个IActivityManager 接口,我们先看gDefault这个对象究竟是谁,之后再去看IActivityManager有什么值得查看的方法;

static public IActivityManager getDefault() {
        return gDefault.get();
    }

进入gDefault,发现是一个Singleton类,而且泛型是IActivityManager。

private static final Singleton<IActivityManager> gDefault = new Singleton<IActivityManager>() {
        protected IActivityManager create() {
            IBinder b = ServiceManager.getService("activity");
            if (false) {
                Log.v("ActivityManager", "default service binder = " + b);
            }
            IActivityManager am = asInterface(b);
            if (false) {
                Log.v("ActivityManager", "default service = " + am);
            }
            return am;
        }
    };
}

进入Singleton(这个类是我在线查看的源码http://androidxref.com/7.1.2_r36/xref/frameworks/base/core/java/android/util/Singleton.java)类中找到了get方法,发现这是一个单例模式

7package android.util;
18
19/**
20 * Singleton helper class for lazily initialization.
21 *
22 * Modeled after frameworks/base/include/utils/Singleton.h
23 *
24 * @hide
25 */
26public abstract class Singleton<T> {
27    private T mInstance;
28
29    protected abstract T create();
30
31    public final T get() {
32        synchronized (this) {
33            if (mInstance == null) {
34                mInstance = create();
35            }
36            return mInstance;
37        }
38    }
39}
40

那么就是说是mInstance这个对象启动了activity,mInstance = ActivityManagerNative.getDefault() ;并且这个对象是ActivityManagerNative类型的,mInstance算是ActivityManagerNative的代理对象了。

public interface IActivityManager extends IInterface {
    public int startActivity(IApplicationThread caller, String callingPackage, Intent intent,
            String resolvedType, IBinder resultTo, String resultWho, int requestCode, int flags,
            ProfilerInfo profilerInfo, Bundle options) throws RemoteException;

IActivityManager 中的方法startActivity验证了mInstance启动了activity。
同时我们的hook条件也得到了满足,有单例类,有静态变量。
我们可以通过动态代理来实现hook去替换掉mInstance ,IActivityManager 这个接口也满足动态代理的条件。
我们先去得到gDefault对象,在通过gDefault对象得到mInstance对象。

 Class amnClass = Class.forName("android.app.ActivityManagerNative");
        Field gDefaultField = amnClass.getDeclaredField("gDefault");
        gDefaultField.setAccessible(true);
        gDefaultObj = gDefaultField.get(null);

得到了gDefaultObj 对象,再去得到mInstance对象;

 Class singletonClass = Class.forName("android.util.Singleton");
        mInstanceField = singletonClass.getDeclaredField("mInstance");
        mInstanceField.setAccessible(true);
        mInstanceObj = mInstanceField.get(gDefaultObj);

我们在去拿到IActivityManager这个类型的class。动态代理会用到。

Class iamClass = Class.forName("android.app.IActivityManager");

通过内部匿名类的方式实现

Object newmInstanceObj = Proxy.newProxyInstance(iamClass.getClassLoader(), new Class[]{iamClass}, new InvocationHandler() {
            @Override
            public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
                /*startActivity(IApplicationThread caller, String callingPackage, Intent intent,
                        String resolvedType, IBinder resultTo, String resultWho, int requestCode, int flags,
                ProfilerInfo profilerInfo, Bundle options) throws RemoteException;*/
                if(method.getName().equals("startActivity")){
          
                }
                return  method.invoke(mInstanceObj,args);
            }
        });

method.invoke(mInstanceObj,args)返回的对象就是一个新的mInstance。重新赋值给原来的mInstance。

mInstanceField.set(gDefaultObj,newmInstanceObj);

我们的hook就完成了,调用startActivity时就会执行。

接下来我们继续学习如何加载没有注册过的Activity。
首先我们先注册一个傀儡Activity,启动Activity时先去加载这个傀儡Activity,加载完成之后我们再把我们的目标Activity替换过来。
把动态代理改一下

Object newmInstanceObj = Proxy.newProxyInstance(iamClass.getClassLoader(), new Class[]{iamClass}, new InvocationHandler() {
            @Override
            public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
                /*startActivity(IApplicationThread caller, String callingPackage, Intent intent,
                        String resolvedType, IBinder resultTo, String resultWho, int requestCode, int flags,
                ProfilerInfo profilerInfo, Bundle options) throws RemoteException;*/
                if(method.getName().equals("startActivity")){
                    Toast.makeText(HookActivity.this,"我拦截到了startActivity方法",Toast.LENGTH_SHORT).show();
                    Intent targetIntent = (Intent)args[2];//要跳转的intent
                    Intent proxyIntent = new Intent();
                    ComponentName componentName = new ComponentName(HookActivity.this,PuppetActivity.class);
                    proxyIntent.setComponent(componentName);
                    proxyIntent.putExtra("target_intent", targetIntent);
                    args[2] = proxyIntent;
                    return  method.invoke(mInstanceObj,args);
                }
                return  method.invoke(mInstanceObj,args);
            }
        });

再去hook Handler把傀儡Activity替换成目标Activity。

 public void hookHandler() {
        try {
            Class<?> activityThreadClass = Class.forName("android.app.ActivityThread");
            Method currentActivityThreadMethod = activityThreadClass.getDeclaredMethod("currentActivityThread");
            currentActivityThreadMethod.setAccessible(true);
            Object activityThread = currentActivityThreadMethod.invoke(null);
            Field mH = activityThreadClass.getDeclaredField("mH");
            mH.setAccessible(true);
            Handler handler = (Handler) mH.get(activityThread);
            Field mCallBack = Handler.class.getDeclaredField("mCallback");
            mCallBack.setAccessible(true);
            mCallBack.set(handler, new ActivityThreadHandlerCallback(handler)) ;
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
    private class ActivityThreadHandlerCallback implements Handler.Callback {
        private Handler handler;
        private ActivityThreadHandlerCallback(Handler handler) {
            this.handler = handler;
        }
        @Override
        public boolean handleMessage(Message msg) {
            if (msg.what ==100) {
                handleLauchActivity(msg);
            }
            handler.handleMessage(msg);
            return true;
        }
        private void handleLauchActivity(Message msg) {
            Object obj = msg.obj;
            try{
                Field intentField = obj.getClass().getDeclaredField("intent");
                intentField.setAccessible(true);
                Intent proxyInent = (Intent) intentField.get(obj);
                Intent realIntent = proxyInent.getParcelableExtra("target_intent");
                if (realIntent != null) {
                    proxyInent.setComponent(realIntent.getComponent());
                }
            }catch (Exception e){
            }
        }
    }

因为mInstance是单例的,如果替换了会影响所有的Activity启动,所有要在onFinish中把修改过的值替换为原来的。

@Override
    public void finish() {
        super.finish();
        try {
            mInstanceField.set(gDefaultObj,mInstanceObj);
        } catch (IllegalAccessException e) {
            e.printStackTrace();
        }
    }

完整代码:

public class HookActivity extends AppCompatActivity {
    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_hook);
        try {
            hook();
        } catch (Exception e) {
            e.printStackTrace();
        }
        findViewById(R.id.btn).setOnClickListener(new View.OnClickListener() {
            @Override
            public void onClick(View v) {
                startActivity(new Intent(HookActivity.this,NoRegisterXMlActivity.class));
            }
        });
    }
    @Override
    public void onAttachedToWindow() {
        super.onAttachedToWindow();

    }
    private boolean isHook = false;
    private Object mInstanceObj;
    private Field mInstanceField;
    private Object gDefaultObj;
    public void hook()throws Exception{
        //startActivity(new Intent(this,MainActivity.class));
        //先得到gDefault对象 其实是Singleton的对象。
        Class amnClass = Class.forName("android.app.ActivityManagerNative");
        Field gDefaultField = amnClass.getDeclaredField("gDefault");
        gDefaultField.setAccessible(true);
        gDefaultObj = gDefaultField.get(null);
        //通过gDefault对象拿到Singleton的成员变量mInstance。
        Class singletonClass = Class.forName("android.util.Singleton");
        mInstanceField = singletonClass.getDeclaredField("mInstance");
        mInstanceField.setAccessible(true);
        mInstanceObj = mInstanceField.get(gDefaultObj);
        //拿到实现了startActivity方法的接口类IActivityManager。
        Class iamClass = Class.forName("android.app.IActivityManager");
        //通过动态代理去拦截startActivity方法,并且返回一个IActivityManager代理对象。
        Object newmInstanceObj = Proxy.newProxyInstance(iamClass.getClassLoader(), new Class[]{iamClass}, new InvocationHandler() {
            @Override
            public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
                /*startActivity(IApplicationThread caller, String callingPackage, Intent intent,
                        String resolvedType, IBinder resultTo, String resultWho, int requestCode, int flags,
                ProfilerInfo profilerInfo, Bundle options) throws RemoteException;*/
                if(method.getName().equals("startActivity")){
                    Toast.makeText(HookActivity.this,"我拦截到了startActivity方法",Toast.LENGTH_SHORT).show();
                    Intent targetIntent = (Intent)args[2];//要跳转的intent
                    Intent proxyIntent = new Intent();
                    ComponentName componentName = new ComponentName(HookActivity.this,PuppetActivity.class);
                    proxyIntent.setComponent(componentName);
                    proxyIntent.putExtra("target_intent", targetIntent);
                    args[2] = proxyIntent;
                    return  method.invoke(mInstanceObj,args);
                }
                return  method.invoke(mInstanceObj,args);
            }
        });
        //对之前的对象进行替换。
        if(newmInstanceObj==null){
            return;
        }
        mInstanceField.set(gDefaultObj,newmInstanceObj);
        hookHandler();
        Toast.makeText(HookActivity.this,"我完成了",Toast.LENGTH_SHORT).show();
    }

    @Override
    public void finish() {
        super.finish();
        try {
            mInstanceField.set(gDefaultObj,mInstanceObj);
        } catch (IllegalAccessException e) {
            e.printStackTrace();
        }
    }

    public void hookHandler() {
        try {
            Class<?> activityThreadClass = Class.forName("android.app.ActivityThread");
            Method currentActivityThreadMethod = activityThreadClass.getDeclaredMethod("currentActivityThread");
            currentActivityThreadMethod.setAccessible(true);
            Object activityThread = currentActivityThreadMethod.invoke(null);
            Field mH = activityThreadClass.getDeclaredField("mH");
            mH.setAccessible(true);
            Handler handler = (Handler) mH.get(activityThread);
            Field mCallBack = Handler.class.getDeclaredField("mCallback");
            mCallBack.setAccessible(true);
            mCallBack.set(handler, new ActivityThreadHandlerCallback(handler)) ;
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
    private class ActivityThreadHandlerCallback implements Handler.Callback {

        private Handler handler;

        private ActivityThreadHandlerCallback(Handler handler) {
            this.handler = handler;
        }

        @Override
        public boolean handleMessage(Message msg) {
            if (msg.what ==100) {
                handleLauchActivity(msg);
            }
            handler.handleMessage(msg);
            return true;
        }
        private void handleLauchActivity(Message msg) {
            Object obj = msg.obj;
            try{
                Field intentField = obj.getClass().getDeclaredField("intent");
                intentField.setAccessible(true);
                Intent proxyInent = (Intent) intentField.get(obj);
                Intent realIntent = proxyInent.getParcelableExtra("target_intent");
                if (realIntent != null) {
                    proxyInent.setComponent(realIntent.getComponent());
                }
            }catch (Exception e){
            }
        }
    }
}
Android黑科技:如何启动未注册Activity
xiangzhihong8的专栏
01-29 2624
如果有人问你,未在配置文件中注册Activity可以启动吗。可能你一开始会回答不行,但是细细思考,你会发现,使用Android Hook等技术启动未注册Activity也是可以的,这也是Android Hook 插件化技术原理的基础。 使用Android Hook 技术启动未注册Activity,需要了解Java的反射机制 和Android App启动流程非常熟悉。 下面,我们从两点来讲解Android Hook 技术启动未注册Activity: 通过对Instrumentation进行Hook
HOOK startActivity
YJJYXM的博客
12-14 643
Hook的英文含义是钩子,你可以理解为用钩子把要Hook的对象勾过来,然后再把替换的对象送回去。Hook其实就是把原来的对象替换成仿造的对象,还有就是必须拿到当前对象里的某个属性进行Hook,否则你的hook是失败的,有意义的。
Android:hook应用拦截系统startActivity方法
qq_36335563的博客
04-09 1722
安卓开发中我们可以使用hook技术拦截系统方法做自己想要的操作,大多是通过反射实现. 应用场景之一:在用户跳转到目标页面时,我们经常需要判断用户是否登录,如果已登录,正常跳转.否则先跳转到登录页面,登录之后再跳转到目标页面. 1,先写工具类的方法 我们目标是:替换ActivityThread中的H类中的callback public void hookHandlerCallback(Contex...
Hook startActivity
Blank的程序员之路
05-02 1077
文章目录context 是当前activitycontext是application的context context 是当前activity public class InstrumentationProxy extends Instrumentation { private static final String TAG = "InstrumentationProxy"; Instrumentation instrumentation; public Instrumentatio
HookstartActivity
lotty_wh的博客
05-02 1701
文章通过反射动态替换的方式,修改activitystartActivity()方法来实现一些注入操作。
基于动态代理的Android Activity启动拦截技术
又如在安全检测工具中,可通过拦截所有startActivity请求来监控是否存在恶意跳转行为。再如在自动化测试或UI爬虫中,可借此实现对特定页面的强制进入或路径干预。 值得注意的是,随着Android版本的演进,Google不断...
如何拦截Activity的启动(二)
风语的专栏
02-16 2833
本文我们将以一个工程为例,验证Hook Activity的可行性。我们的目标如下: - 指定插件Apk路径,启动插件 - 插件内部可启动Activity - 插件可作为独立App启动首先新建插件工程,和正常APP一般无二,有任何特别的地方。所有的Activity都是从android.app.Activity继承,可以安装运行。接下来新建宿主工程,将插件Apk用adb push到宿主
XPosed基本使用 Activity生命周期拦截
d773689630的专栏
08-07 1865
文章目录核心类 核心类 上一篇说到如何集成Xposed框架,接下来就是要实现相关功能,初步了解基本使用 核心接口: IXposedHookInitPackageResources–>应用加载完成初始化资源时调用 IXposedHookLoadPackage -->加载应用时调用 IXposedHookZygoteInit --> 系统启动是加载 XposedHelpers -->构造帮助类,辅助通过反射获得实体类,方法,属性对其进行操作 demo场景: 为方便测试,本文
arouter拦截器导致activity闪屏
最新发布
04-26
如果通过Hook机制实现了占位Activity的功能(如引用[3]提到的内容),而未正确处理占位Activity到目标Activity之间的切换逻辑,也可能引发短暂的空白屏幕显示[^3]。 --- #### 解决方案 ##### 方法一:异步处理...
Activity劫持技术演示与APK文件解析
Android系统中,Activity劫持是一种常见的安全问题,通常涉及到恶意应用在用户不知情的情况下接管合法应用的界面组件(Activity),从而实施钓鱼攻击、信息窃取或诱导用户进行非预期操作。这种行为不仅破坏了应用...
Hook StartActivity Demo
11-17
Hook StartActivity Demo
API HOOK拦截系统窗口
01-10
API HOOK拦截系统窗口,采用APIHOOK技术对系统API函数MessageBox进行拦截,让系统执行自定义的函数内容!
Hook startActivity()
outer199
12-06 416
什么是Hook呢? Hook的英文含义是钩子。hook其实就是对原来对象的替换 静态变量和单例;在一个进程之内,静态变量和单例变量是相对不容易发生变化的,因此非常容易定位,而普通的对象则要么无法标志,要么容易改变。我们根据这个原则找到所谓的Hook点。
Android 在AMS中拦截某个指定Activity的启动
不要用过去的错误约束现在的自己。
04-25 1857
最近在开发的过程中遇到这样一个问题,Android13项目带有GMS应用和服务的情况下,如果在系统中操作Location(位置信息),com.google.android.gms这个应用会弹出一个关于Location相关的提示框,因此非常影响我当下的业务需求和使用,所以我们研究如何屏蔽这个来自GMS的应用发出的弹窗。拦截一个和拦截这个包名中的全部来源,在本质上还是有区别的。因为我项目中的业务是在某个应用的使用过程中不想要出现这个提示框,那么我就要获取到当前顶层运行的应用Activity
Android拦截 Activity 的启动(拦截系统的 Intent)
热门推荐
有酒平步上青天
03-18 1万+
目的最近因为项目需要,我们自己定制的只能硬件里面系统的电话、相机、短信、浏览器等组件,如果其他 App 来发 Intent 调用的话,程序就会崩溃。要求我们做一个系统拦截拦截这些意图。有几种方法: 1.写一个 App 专门来拦截这些 Intent。(通用性比较高) 2.在源码层做拦截。(比较简单)给程序加锁360等相关程序可以给我们装上的应用程序加锁,也就是我们在点开某个应用程序的时候,会
Android插件化系列第(一)篇---Hook技术之Activity的启动过程的拦截
Looper景
02-09 9164
这篇文章主要讲解如何利用动态代理技术Hook系统的AMS服务,来实现拦截Activity的启动流程。代码量不是很多,为了更容易的理解,需要掌握JAVA的反射,动态代理技术,以及Activity的启动流程。 如果对上面的知识点有些遗忘,建议按需扫读下面三篇文章,否则跳过。 Java 反射 Java 动态代理机制分析及扩展,第 1 部分 深入理解Activity启动流程()Activity启动的
android_API拦截技术与注入技术
liu31187的专栏
04-03 1906
API拦截技术与注入技术:   金山毒霸,实现广告拦截功能,采用了java虚拟机拦截技术;在查看代码过程中,会看到许多被hook的Java类,例如ActivityThread/ServiceManager等;分析有关iphonesubinfo服务拦截;   Java虚拟机拦截技术总体流程:1,首先通过ptrace注入so到远程进程,例如金山就是注入libksrootclient.so到远程进程
Android插件化开发基础之静态代理模式
码莎拉蒂
06-27 4392
一 Proxy模式 意图: 为其他对象提供一种代理以控制这个对象的访问。 适用性:   l 远程代理( Remote Proxy ): 为一个对象在不同的地址空间提供局部代表。   l 虚代理(Virtual Proxy)根据需要创建开销很大的对象。使用一个代理对象作为代表,在真正的需要时进行创建。   l 保护代理(Protection Proxy):控制对原始对
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值