2. 程式人生 > >Android外掛化架構之Hook繞過manifest檢測

Android外掛化架構之Hook繞過manifest檢測

阿新 發佈:2019-02-04

學習自

https://www.jianshu.com/p/e359fafe5c29

問題

我們外掛apk是不會進行一個安裝的,那麼他的manifest就不會生效,所以我們直接啟動肯定是行不通的。所以我們只能隔絕掉我們主apk的manifest的檢測。

具體思路如下

只需要動態代理hook,先在AMS的startActivity的方法中的Intent中啟動一個已註冊的活動假扮,然後在ActivityThread.H.launchActivity的處理中替換我們真實的Intent即可!

具體程式碼不解釋了,很簡單!

package com.example.myapplication;
import android.app.Activity;

 
import android.app.Application;
import android.content.ComponentName;
import android.content.Context;
import android.content.Intent;
import android.os.Handler;
import android.os.Message;
import android.util.Log;
import java.lang.reflect.Field;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Method;

 
import java.lang.reflect.Proxy;
public class App extends Application {

    private static final String TAG = "xbh";
@Override
public void onCreate() {
        super.onCreate();
mContext = this;
        try {
            hookStartActivity();
hookLaunchActivity();
} catch (Exception e) {
            e.printStackTrace();

 
}
    }

    private Context mContext;
/**
     * hook
     */
public void hookStartActivity() throws Exception{
        //ActivityManagerNative.gDefault
Class<?> amnClazz = Class.forName("android.app.ActivityManagerNative");
Field defaultField = amnClazz.getDeclaredField("gDefault");
defaultField.setAccessible(true);
Object gDefaultObj = defaultField.get(null);
//gDefault中的singletoninstance,他就是AMS
Class<?> singletonClazz = Class.forName("android.util.Singleton");
Field amsField = singletonClazz.getDeclaredField("mInstance");
amsField.setAccessible(true);
Object amsObj = amsField.get(gDefaultObj);
//動態代理Hook下鉤子
amsObj = Proxy.newProxyInstance(mContext.getClass().getClassLoader(),
amsObj.getClass().getInterfaces(),
                new StartActivityInvocationHandler(amsObj));
// 注入
amsField.set(gDefaultObj,amsObj);
}

    private class StartActivityInvocationHandler implements InvocationHandler {
        private Object mAmsObj;
StartActivityInvocationHandler(Object amsObj){
            this.mAmsObj = amsObj;
}

        @Override
public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
            // 攔截到所有AMS中被呼叫的方法
if(method.getName().equals("startActivity")){
                Intent realIntent = (Intent) args[2];
Intent proxyIntent = new Intent();
proxyIntent.setComponent(new ComponentName(mContext,MainActivity.class));
// 把原來的Intent綁在代理Intent上面
proxyIntent.putExtra("realIntent",realIntent);
// proxyIntent去晒太陽,借屍
args[2] = proxyIntent;
}
            return method.invoke(mAmsObj,args);
}
    }

    /**
     * 還魂
*/
public void hookLaunchActivity() throws Exception{
        // 獲取ActivityThread
Class<?> activityThreadClazz = Class.forName("android.app.ActivityThread");
Field sCurrentActivityThreadField = activityThreadClazz.getDeclaredField("sCurrentActivityThread");
sCurrentActivityThreadField.setAccessible(true);
Object sCurrentActivityThreadObj = sCurrentActivityThreadField.get(null);
// 獲取Handler mH
Field mHField = activityThreadClazz.getDeclaredField("mH");
mHField.setAccessible(true);
Handler mH = (Handler) mHField.get(sCurrentActivityThreadObj);
// 設定Callback
Field callBackField = Handler.class.getDeclaredField("mCallback");
callBackField.setAccessible(true);
callBackField.set(mH, new ActivityThreadHandlerCallBack());
}

    class ActivityThreadHandlerCallBack implements Handler.Callback {

        @Override
public boolean handleMessage(Message msg) {
            if (msg.what == 100)
                handleLaunchActivity(msg);
            return false;
}
    }
    // 還魂
private void handleLaunchActivity(Message msg) {
        // final ActivityClientRecord r = (ActivityClientRecord) msg.obj;
try {
            Object obj = msg.obj;
Field intentField = obj.getClass().getDeclaredField("intent");
intentField.setAccessible(true);
Intent proxyIntent = (Intent) intentField.get(obj);
// 代理意圖
Intent originIntent = proxyIntent.getParcelableExtra("realIntent");
            if (originIntent != null) {
                // 替換意圖
intentField.set(obj, originIntent);
}
        } catch (Exception e) {
            e.printStackTrace();
}
    }
}

然後你去啟動一個未註冊的活動就可以成功了。但是上述的前提是你的target活動是繼承自Activity,而不是AppcompatActivity。否則會報

Caused by: java.lang.IllegalArgumentException: android.content.pm.PackageManager$NameNotFoundException: ComponentInfo{com.example.myapplication/com.example.myapplication.Main3Activity}

這樣的錯。

原因我猜測一下:Appcompat在找的時候,依然會去從manifest中去找!他找了,結果自然是找不到。我的意思就是Activity是單重檢查,Appcompat是一前一後的雙重檢查,如何規避掉第二重檢查使我們解決問題的關鍵!目前暫時沒能解決,需要看PMS有關的原始碼!

最後我定位到PMS的這個方法

private ActivityInfo getActivityInfoInternal(ComponentName component, int flags,
        int filterCallingUid, int userId) {
    if (!sUserManager.exists(userId)) return null;
flags = updateFlagsForComponent(flags, userId, component);
enforceCrossUserPermission(Binder.getCallingUid(), userId,
            false /* requireFullPermission */, false /* checkShell */, "get activity info");
    synchronized (mPackages) {
        PackageParser.Activity a = mActivities.mActivities.get(component);
        if (DEBUG_PACKAGE_INFO) Log.v(TAG, "getActivityInfo " + component + ": " + a);
        if (a != null && mSettings.isEnabledAndMatchLPr(a.info, flags, userId)) {
            PackageSetting ps = mSettings.mPackages.get(component.getPackageName());
            if (ps == null) return null;
            if (filterAppAccessLPr(ps, filterCallingUid, component, TYPE_ACTIVITY, userId)) {
                return null;
}
            return PackageParser.generateActivityInfo(
                    a, flags, ps.readUserState(userId), userId);
}
        if (mResolveComponentName.equals(component)) {
            return PackageParser.generateActivityInfo(
                    mResolveActivity, flags, new PackageUserState(), userId);
}
    }
    return null;
}

如果這個方法返回空,就會丟擲crash中的那個異常!

ComponentName就是我們目標的Activity的ComponentName,在這裡也就是:

ComponentInfo{com.example.myapplication/com.example.myapplication.Main3Activity

顯然這個東西在這個方法裡是通不過的,會返回null,而註冊後就不會返回null了,這個就是突破口

最後瞭解到在apk安卓的時候,PackageParser就會解析一次manifest,所以哪怕繞過第一次manifest的校驗,也無法繞過第二次針對於AppcompatActivity的校驗。所以提出兩個方式解決:

1.運用大量反射,代理,HOOK,在程式碼中動態修改manifest或者在校驗源頭動態增加我們的target activity

2.直接在註冊檔案裡註冊得了!最省事!只不過能否註冊未安裝apk中的元件,還有待考究,個人感覺是可以的|

相關推薦

Android外掛架構Hook繞過manifest檢測

學習自https://www.jianshu.com/p/e359fafe5c29問題我們外掛apk是不會進行一個安裝的,那麼他的manifest就不會生效,所以我們直接啟動肯定是行不通的。所以我們只能隔絕掉我們主apk的manifest的檢測。具體思路如下只需要動態代理ho

Android外掛架構設計載入資原始檔

開篇介紹 現在專案比較大 資源比較多,但是若希望動態來載入資原始檔,可以有以下幾種方式: 1. 通過下載資原始檔zip包然後解壓來載入 2. 通過外掛開發 本文通過外掛開發來實現載入外掛中的資原始檔. 程式演示 也可以開啟連結 效果演示 開

Android外掛原理解析——Hook機制Binder Hook

Android系統通過Binder機制給應用程式提供了一系列的系統服務,諸如ActivityManagerService,ClipboardManager, AudioManager等;這些廣泛存在系統服務給應用程式提供了諸如任務管理,音訊,視訊等異常強大的功能。 外掛

Android外掛原理解析——Hook機制動態代理

使用代理機制進行API Hook進而達到方法增強是框架的常用手段,比如J2EE框架Spring通過動態代理優雅地實現了AOP程式設計,極大地提升了Web開發效率;同樣,外掛框架也廣泛使用了代理機制來增強系統API從而達到外掛化的目的。本文將帶你瞭解基於動態代理的Hook機制。 閱讀本文之前,可以先clo

Android外掛技術旅 1 開篇 - 實現啟動外掛與呼叫外掛中的Activity和Service

前言 Android技術如今已很成熟了,元件化、外掛化、熱修復等等框架層出不窮,如果只停留在單純的會用框架上,技術永遠得不到成長,只有懂得其原理,能夠婉婉道來,能夠自己手動寫出,技術才會得到成長,與其焦慮未來,不如把握現在。本篇將手寫教大家寫出外掛化框架,外掛化技術是Android高階工程師必備的技術之一,

Android外掛開發AMS與應用程式(客戶端ActivityThread、Instrumentation、Activity)通訊模型分析

今天主要分析下ActivityManagerService(服務端) 與應用程式(客戶端)之間的通訊模型,在介紹這個通訊模型的基礎上,再    簡單介紹實現這個模型所需要資料型別。         本文所介紹內容基於android2.2版本。由於Android版本的不同

Android外掛學習路(四)使用外掛中的R資源

res裡的每一個資源都會在R.java裡生成一個對應的Integer型別的id,APP啟動時會先把R.java註冊到當前的上下文環境,我們在程式碼裡以R檔案的方式使用資源時正是通過使用這些id訪問res資源,然而外掛的R.java並沒有註冊到當前的上下文環境,所

Android外掛學習路(六)動態建立Activity

靜態代理Activity模式的限制 我們在代理Activity模式一文裡談到啟動外掛APK裡的Activity的兩個難題嗎,由於外掛裡的Activity沒在主專案的Manifest裡面註冊,所以無法經歷系統Framework層級的一系列初始化過程,最終導致獲得

Android外掛基礎載入已安裝的apk資源

郵箱:[email protected] 我也是在進行學習和研究,有問題可以直接說 應該明確的問題 外掛化是什麼意思? 為什麼要使用外掛化的這種方式? 外掛化的優劣? 根據上述問題我們就可以進行初步的瞭解了 外掛顧名思義就是

Android外掛學習路(一)動態載入綜述

前段時間,公司專案完成了外掛化的開發,自己也因此學習了很多Android外掛化的知識,於是想把這些內容記錄下來,本次帶來Android外掛化的第一篇:動態載入綜述 背景知識 1.什麼是動態載入? 動態載入技術應由以下幾個部分組成: 1) 應用在執行

Android外掛學習路(五)代理Activity

簡單模式中,使用ClassLoader載入外部的Dex或Apk檔案,可以載入一些本地APP不存在的類,從而執行一些新的程式碼邏輯。但是使用這種方法卻不能直接啟動外掛裡的Activity。 啟動外掛中Activity的兩個主要問題 Activity等元件是

Android外掛學習路(二)ClassLoader完全解析

Java程式碼都是寫在Class裡面的,程式執行在虛擬機器上時,虛擬機器需要把需要的Class載入進來才能建立例項物件並工作,而完成這一個載入工作的角色就是ClassLoader。 類載入器ClassLoader介紹 Android的Dalvik/ART虛擬

Android 外掛Hook機制

Android Hook簡介 什麼是Hook Hook 英文翻譯過來就是「鉤子」的意思,就是在程式執行的過程中去擷取其中的資訊。Android 作業系統中系統維護著自己的一套事件分發機制,那麼Hook就是在事件傳送到終點前截獲並監控事件的傳輸。其原理示意圖如

Android熱修復與外掛實踐

第1章 class檔案與dex檔案解析本章通過從java最基本的class檔案與android最基本的dex檔案進行對比,並不藉助IDE去生成及執行class與dex檔案,通過講解class與dex的手動生成,執行, 格式對比,讓學生明白二者的相同與不同。1-1 課程專案整體介紹1-2 本章概述1-3 cla

Android外掛原理和實踐 (四) 合併外掛中的資源

我們繼續來學習Android外掛化相關知識,還是要圍繞著三個根本問題來展開。在前面兩章中已經講解過第一個根本問題:在宿主中如何去載入外掛以及呼叫外掛中類和元件程式碼。Demo中使用了Service來演示,因為還沒有解決載入外掛中資源的問題,用Activity不好展示。所以本文將要從資源的載入機制

Android外掛原理和實踐 (七) 專案實踐

我們在前面一系列文章中已經介紹完了外掛化原理以及三個根本問題的解決方案,本文主要就是作為前面幾篇文章的一個總結,通過專案實踐將前面的知識點串起來使完成一個入門級簡單的外掛化工程以及在實際外掛化開發中遇到的一些總結。 實踐 我們先通過Android Studio建立一個工程,工程中包括了兩

Android外掛原理和實踐 (八) 注意事項

注意事項 關於外掛化的三個根本問題和解決方案就已經全部介紹完畢了,前一篇文章也通過一個入門級的工程來完整地演示了。但是其實目前熱門的外掛化框架也遠不止這些內容,我們在實際開發中也遠不止這麼簡單。前面介紹的所有知識點只是一個入門而已,外掛化雖然帶來了很多便利,但是在開發過程中也增添了不少麻煩和

Android外掛原理和實踐 (六) 四大元件解決方案

在前面的幾篇文章中已經介紹完了Android外掛化的第一和第二個根本問題,就是宿主和外掛的程式碼互相呼叫問題和外掛中資源的讀取問題。現剩下的就是Android外掛化裡最麻煩的第三個根本問題,也就是在外掛中使用四大元件的問題。我們知道,目前外掛中的四大元件要想正常使用就必須要在宿主中的Androi

Android外掛原理和實踐 (五) 解決合併資源後資源Id衝突的問題

Android外掛化中,要解決資源的問題,有些外掛化框架會選擇不合並資源,這樣就得維護多套mResources變數,這樣的話難免開發上沒有那麼的靈活和方便。所以一般地都是選擇合併資源,也就是我們上一遍文章《Android外掛化原理和實踐 (四) 之 合併外掛中的資源》介紹的辦法。但是合併後資源i

Android外掛原理和實踐 (三) 載入外掛中的元件程式碼

我們在上一篇文章《Android外掛化原理和實踐 (二) 之 載入外掛中的類程式碼》中埋下了一個懸念,那就是通過構造一個DexClassLoader物件後使用反射只能反射出普通的類,而不能正常使用四大元件,因為會報出異常。今天我們就來解開這個懸念和提出解決方法。 1 揭開懸念 還記得《A