首先关于startActivity 我们平时会经常使用到 在activity内 直接startActivity(intent)
其实这里还有一种start方式 我们可能没怎么用过 getApplicationContext.startActivity(intent) 通过这种方式可以开启其它程序中的activity

  • 代理
    在说Hook之前先说下代理包括静态代理和动态代理如果不熟悉的可以看下
http://www.jianshu.com/p/8507b4364f11
  • 反射
    其次就是java反射方面的知识
    如何通过变量获取实例对象再进行替换

Hook:我们把修改参数,替换返回值,称之为Hook
Hook点:静态变量和单利;即就是不容易发生改变的对象,容易定位 普通的对象容易发生改变 所以我们可以根据这个原则去hook

1. 首先我们分析下我们平时直接使用的startActivity()方法

源码

@Override

    public void startActivity(Intent intent) {

        this.startActivity(intent, null);

    }


@Override

    public void startActivity(Intent intent, @Nullable Bundle options) {

        if (options != null) {

            startActivityForResult(intent, -1, options);

        } else {

            // Note we want to go through this call for compatibility with

            // applications that may have overridden the method.

            startActivityForResult(intent, -1);

        }

    }


@Override

    public void startActivityForResult(

            String who, Intent intent, int requestCode, @Nullable Bundle options) {

        Uri referrer = onProvideReferrer();

        if (referrer != null) {

            intent.putExtra(Intent.EXTRA_REFERRER, referrer);

        }

        Instrumentation.ActivityResult ar =

            mInstrumentation.execStartActivity(

                this, mMainThread.getApplicationThread(), mToken, who,

                intent, requestCode, options);

        if (ar != null) {

            mMainThread.sendActivityResult(

                mToken, who, requestCode,

                ar.getResultCode(), ar.getResultData());

        }

        cancelInputsAndStartExitTransition(options);

    }

最终调用了startActivityForResult()方法 在方法内调用了mInstrumentation变量的execStartActivity()方法 所以最终startActivity的是Instrumentation类的execStartActivity()方法(nativie层面的)其实是通过远端的ActivityManagerService启动的 是一个跨进程通信的过程

public ActivityResult execStartActivity(

            Context who, IBinder contextThread, IBinder token, Activity target,

            Intent intent, int requestCode, Bundle options) {

       ...

        try {

            intent.migrateExtraStreamToClipData();

            intent.prepareToLeaveProcess();

            int result = ActivityManagerNative.getDefault()

                .startActivity(whoThread, who.getBasePackageName(), intent,

                        intent.resolveTypeIfNeeded(who.getContentResolver()),

                        token, target != null ? target.mEmbeddedID : null,

                        requestCode, 0, null, options);

            checkStartActivityResult(result, intent);

        } catch (RemoteException e) {

            throw new RuntimeException("Failure from system", e);

        }

        return null;

    }

这里呢 我们可以去hook掉activity类内变量 mInstrumentation 将它替换成我们自己的Instrumentation
通过手写静态代理类,替换掉原始的方法

public class EvilInstrumentation extends Instrumentation {

    private static final String TAG = "EvilInstrumentation";

    // ActivityThread中原始的对象, 保存起来

    Instrumentation mBase;

    public EvilInstrumentation(Instrumentation base) {

        mBase = base;

    }

    public ActivityResult execStartActivity(

            Context who, IBinder contextThread, IBinder token, Activity target,

            Intent intent, int requestCode, Bundle options) {

        // Hook之前, XXX到此一游!

        Log.e(TAG, "\n执行了startActivity, 参数如下: \n" + "who = [" + who + "], " +

                "\ncontextThread = [" + contextThread + "], \ntoken = [" + token + "], " +

                "\ntarget = [" + target + "], \nintent = [" + intent +

                "], \nrequestCode = [" + requestCode + "], \noptions = [" + options + "]");

        Uri uri = Uri.parse("http://www.jianshu.com/u/3d228ed8d54d");

        Intent intent1 = new Intent(Intent.ACTION_VIEW,uri);

        // 开始调用原始的方法, 调不调用随你,但是不调用的话, 所有的startActivity都失效了.

        // 由于这个方法是隐藏的,因此需要使用反射调用;首先找到这个方法

        try {

            //这里通过反射找到原始Instrumentation类的execStartActivity方法

            Method execStartActivity = Instrumentation.class.getDeclaredMethod(

                    "execStartActivity",

                    Context.class, IBinder.class, IBinder.class, Activity.class,

                    Intent.class, int.class, Bundle.class);

            execStartActivity.setAccessible(true);

            //执行原始Instrumentation的execStartActivity方法 再次之前 you can do whatever you want ...

            return (ActivityResult) execStartActivity.invoke(mBase, who,

                    contextThread, token, target, intent1, requestCode, options);

        } catch (Exception e) {

            // 某该死的rom修改了  需要手动适配

            throw new RuntimeException("do not support!!! pls adapt it");

        }

    }

}

在这里我们可以拿到Intent 当然你可以将这个intent对象进行替换 跳转到另一个界面(whatever you want)

有了代理对象 下面使用反射直接进行替换

public static void replaceInstrumentation(Activity activity){

            Class<?> k = Activity.class;

        try {

            //通过Activity.class 拿到 mInstrumentation字段

            Field field = k.getDeclaredField("mInstrumentation");

            field.setAccessible(true);

            //根据activity内mInstrumentation字段 获取Instrumentation对象

            Instrumentation instrumentation = (Instrumentation)field.get(activity);

            //创建代理对象

            Instrumentation instrumentationProxy = new EvilInstrumentation(instrumentation);

            //进行替换

            field.set(activity,instrumentationProxy);

        } catch (IllegalAccessException e){

            e.printStackTrace();

        }catch (NoSuchFieldException e){

            e.printStackTrace();

        }

    }

有注释不用过多解释了

@Override

    protected void onCreate(Bundle savedInstanceState) {

        super.onCreate(savedInstanceState);

        HookActivityHelper.replaceInstrumentation(this);

       Button tv = new Button(this);

        tv.setText("测试界面");

        setContentView(tv);

        tv.setOnClickListener(new View.OnClickListener() {

            @Override

            public void onClick(View v) {

                Intent intent = new Intent(Intent.ACTION_VIEW);

                intent.addFlags(Intent.FLAG_ACTIVITY_NEW_TASK);

                intent.setData(Uri.parse("http://www.baidu.com"));

                startActivity(intent);

            }

        });

    }

测试当我们点击button后 跳转到了自己的简书主页而不是百度 同时看到log

 
image.png

可见 我们确实hook成功了

2.下面使用 getApplicationContext().startActivity(intent)这种方式开启另一个activity

Context开启activity 实质为 ContextImpl(Context的实现类)去真正开启的

final ActivityThread mMainThread;

 @Override

    public void startActivity(Intent intent, Bundle options) {

        warnIfCallingFromSystemProcess();

        if ((intent.getFlags()&Intent.FLAG_ACTIVITY_NEW_TASK) == 0) {

            throw new AndroidRuntimeException(

                    "Calling startActivity() from outside of an Activity "

                    + " context requires the FLAG_ACTIVITY_NEW_TASK flag."

                    + " Is this really what you want?");

        }

        mMainThread.getInstrumentation().execStartActivity(

                getOuterContext(), mMainThread.getApplicationThread(), null,

                (Activity) null, intent, -1, options);

    }

可以看到是调用了ActivityThread类的getInstrumentation()方法返回mInstrumentation变量后 再调用execStartActivity()方法

Instrumentation mInstrumentation;

public Instrumentation getInstrumentation()

    {

        return mInstrumentation;

    }

整个流程 almost like this

 
未命名文件.png

所以现在变成了我们需要替换ActivityThread类(不是主线程类 final类只不过运行在主线程而已)中的mInstrumentation,首先我们需要拿到ActivityThread对象吧 刚好在ActivityThread类中有个静态方法currentActivityThread可以帮助我们拿到这个对象类

private static ActivityThread sCurrentActivityThread;

public static ActivityThread currentActivityThread() {

        return sCurrentActivityThread;

    }

so 我们的反射代码如下

      // 先获取到当前的ActivityThread对象

        Class<?> activityThreadClass = Class.forName("android.app.ActivityThread");

        Method currentActivityThreadMethod =

        activityThreadClass.getDeclaredMethod("currentActivityThread");

        currentActivityThreadMethod.setAccessible(true);

        //currentActivityThread是一个static函数所以可以直接invoke,不需要带实例参数

        Object currentActivityThread = currentActivityThreadMethod.invoke(null);

拿到ActivityThread对象之后 后面的就和第一种方法一样了 将ActivityThread类中的mInstrumentaion换为EvilInstrumentation

其实比较这两种方法的区别:

  • Activity的startActivity 是替换 Activity类内部的mInstrumentation
  • Context的startActivity 是替换 ActivityThread类内部的mInstrumentation

还有一点就是拦截的时机
第一种方式在Activity的onCreate()方法内部拦截即可 而第二种方式需要在onCreate()方法之前attachBaseContext()方法中进行拦截
这里就牵扯到一些应用启动后的生命周期:当启动应用时,会孵化一个新进程,启动应用的启动入口为ActivityThread.main(),后面会新建一个ContextImpl实例给application,在后续的启动中,会进行activity的创建,其中ActivityThread会调用performLaunchActivity,先通过createBaseContextForActivity创建Context,然后再activity.attach()

在attach()方法中

final void attach(Context context, ActivityThread aThread,

            Instrumentation instr, IBinder token, int ident,

            Application application, Intent intent, ActivityInfo info,

            CharSequence title, Activity parent, String id,

            NonConfigurationInstances lastNonConfigurationInstances,

            Configuration config, String referrer, IVoiceInteractor voiceInteractor) {

        attachBaseContext(context);

        mInstrumentation = instr;

}

我们看到首先调用了attachBaseContext(context)这个方法
然后给成员mInstrumentation赋值
so 如果我们在onCreate()方法中去做hook是hook不到的 时机已晚

@Override

    protected void attachBaseContext(Context newBase) {

        super.attachBaseContext(newBase);

        try {

            Log.e("activity","attachBaseContext");

            // 在这里进行Hook

            HookHelper.attachContext();

        } catch (Exception e) {

            e.printStackTrace();

        }

    }

测试同样ok

3.前两种方法都是替换Instrumentation 这种方法我们看看在Instrumentation类中的execStartActivity()方法

 int result = ActivityManagerNative.getDefault()

                .startActivity(whoThread, who.getBasePackageName(), intent,

                        intent.resolveTypeIfNeeded(who.getContentResolver()),

                        token, target != null ? target.mEmbeddedID : null,

                        requestCode, 0, null, options);

真正开启的是这句 ActivityManagerNative.getDefault().startActivity()
首先ActivityManagerNative是个什么鬼 点开后发现

ublic abstract class ActivityManagerNative extends Binder implements IActivityManager

继承了Binder 实现了 IActivityManager 而且是个抽象类 类图如下

 
image.png

这张图得看半天
继续往下走

static public IActivityManager getDefault() {

      return gDefault.get();

  }

private static final Singleton<IActivityManager> gDefault = new Singleton<IActivityManager>() {

        protected IActivityManager create() {

            IBinder b = ServiceManager.getService("activity");

            if (false) {

                Log.v("ActivityManager", "default service binder = " + b);

            }

            IActivityManager am = asInterface(b);

            if (false) {

                Log.v("ActivityManager", "default service = " + am);

            }

            return am;

        }

getDefault返回的是一个IActivityManager对象
这里gDefault借助Singleton类实现单利模式 gDefault为static final 形式 根据我们的hook原则 这是一个比较好hook的点

代码如下:

public class HookUtil {

    private static final String TAG = "HookUtil";

    public void hookIActivityManager() {

        try {

            Class<?> c = Class.forName("android.app.ActivityManagerNative");

            Field field = c.getDeclaredField("gDefault");

            field.setAccessible(true);

            //返回ActivityManagerNative对象

            Object amn = field.get(null);

            Class<?> k = Class.forName("android.util.Singleton");

            Field field1 = k.getDeclaredField("mInstance");

            field1.setAccessible(true);

            //拿到ActivityManagerProxy对象 代理ActivityManagerNative对象的子类ActivityManagerService

            //为什么不是IActivityManager对象

            //因为在gDefault对象的 实现方法 onCreate()方法中 asInterface(b)返回的是  return new ActivityManagerProxy(obj) 具体可以看源码

            Object iActivityManager = field1.get(amn);

            IamInvocationHandler iamInvocationHandler = new IamInvocationHandler(iActivityManager);

            Object object = Proxy.newProxyInstance(iamInvocationHandler.getClass().getClassLoader(),iActivityManager.getClass().getInterfaces(),iamInvocationHandler);

            field1.set(amn,object);

        } catch (Exception e) {

            e.printStackTrace();

        }

    }

    class IamInvocationHandler implements InvocationHandler {

        Object iamObject;

        public IamInvocationHandler(Object iamObject) {

            this.iamObject = iamObject;

        }

        @Override

        public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {

//            Log.e(TAG, method.getName());

            if ("startActivity".equals(method.getName())) {

                Log.e(TAG, "要开始启动了 啦啦啦啦啦啦  ");

            }

            return method.invoke(iamObject, args);

        }

    }

}
 
image.png

测试也没问题

so that's all thanks for your time

参考文章:
Weishu's Notes
thanks weishu在某乎上答疑

作者:Allen_tong
链接:https://www.jianshu.com/p/5c6ff86331c8
來源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

[Hook] 免root,自己进程内,startActivity hook的几种姿势的更多相关文章

  1. [Hook] 免root,自己进程内,binder hook (ClipboardManager)

    cp from : http://weishu.me/2016/02/16/understand-plugin-framework-binder-hook/ Android系统通过Binder机制给应 ...

  2. android免root hook框架legend

    一.前言 Android中hook框架已经非常多了,最优秀的当属Xposed和Substrate了,这两个框架我在之前的文章都详细介绍过了,不了解的同学,可以转战这里:http://www.wjdia ...

  3. Linux进程内消息总线设计

    文章目录 Windows平台进程内消息总线 如果没有消息总线,会产生什么问题 死循环包含关系 高耦合.低内聚 消息总线 结构图 原理 生产者与总线的关系 总线与消费者的关系 Linux进程内消息总线设 ...

  4. HOOK函数(一)——进程内HOOK

    什么是HOOK呢?其实很简单,HOOK就是对Windows消息进行拦截检查处理的一个函数.在Windows的消息机制中,当用户产生消息时,应用程序通过调用GetMessage函数取出消息,然后把消息放 ...

  5. 钩子编程(HOOK) 安装进程内键盘钩子 (1)

    摘要:钩子能够监视系统或进程中的各种事件消息.截获发往目标窗体的消息并进行处理.这样,我们就能够在系统中安装自己定义的钩子,监视系统中特定事件的发生.完毕特定的功能,比方截获键盘.鼠标的输入.屏幕取词 ...

  6. x64内核HOOK技术之拦截进程.拦截线程.拦截模块

    x64内核HOOK技术之拦截进程.拦截线程.拦截模块 一丶为什么讲解HOOK技术. 在32系统下, 例如我们要HOOK SSDT表,那么直接讲CR0的内存保护属性去掉. 直接讲表的地址修改即可. 但是 ...

  7. Android进程so注入Hook java方法

    本文博客链接:http://blog.csdn.net/qq1084283172/article/details/53769331 Andorid的Hook方式比较多,现在来学习下,基于Android ...

  8. SSDT Hook实现简单的进程隐藏和保护【转载】

    原文链接:http://www.blogfshare.com/ssdthook-hide-protect.html 原文作者:AloneMonkey SSDT Hook实现简单的进程隐藏和保护 Alo ...

  9. 64位下Hook NtOpenProcess的实现进程保护 + 源码 (升级篇 )

    64位下Hook NtOpenProcess的实现进程保护 + 源码 (升级篇 ) [PS: 如果在64位系统下,出现调用测试demo,返回false的情况下,请修改Hook Dll的代码] glhH ...

随机推荐

  1. spring mvc activemq

    http://websystique.com/spring/spring-4-jms-activemq-example-with-jmslistener-enablejms/

  2. vue报错 ModuleBuildError: Module build failed: Error: `sass-loader` requires `node-sass` >=4. Please install a compatible version.

    解决方法: 输入命令:cnpm install node-sass@latest

  3. LOOPS 概率dp

    题意:迷宫是一个R*C的布局,每个格子中给出停留在原地,往右走一个,往下走一格的概率,起点在(1,1),终点在(R,C),每走一格消耗两点能量,求出最后所需要的能量期望 简单概率dp 注意   原地不 ...

  4. Floyd求最小环!(转载,非原创) 附加习题(原创。)HDU-1599

    //Floyd 的 改进写法可以解决最小环问题,时间复杂度依然是 O(n^3),储存结构也是邻接矩阵 int mincircle = infinity; Dist = Graph; ;k<nVe ...

  5. 样式加载不出来,浏览器控制台报错:Resource interpreted as Stylesheet but transferred with MIME type text/html

    写登录的时候出现的问题,样式时好时坏,浏览器控制台看到的信息是: Uncaught SyntaxError: Unexpected token <Resource interpreted as ...

  6. 【二分答案+2-SAT】Now or later UVALive - 3211

    题目链接:https://cn.vjudge.net/contest/209473#problem/J 题目大意: 有n架飞机,每架飞机有两个可降落时间点a,b(a<b)(即一架飞机可以选择在时 ...

  7. CSS3选择器01—CSS2.1部分选择器

    这篇文章主要用于存储CSS以及CSS3的选择器部分知识,以便日后查阅及记忆. 该内容分为两部分,第一部分为css选择器的一些基本知识.第二部分为CSS3新增加的选择器. 在开始之前,先简单介绍一下选择 ...

  8. Django中的ORM关系映射查询方面

    ORM:Object-Relation Mapping:对象-关系映射 在MVC框架中的Model模块中都包括ORM,对于开发人员主要带来了如下好处: 实现了数据模型与数据库的解耦,通过简单的配置就可 ...

  9. HTTP协议-MIME类型

    每一个 URL 都代表着一个资源对象,而当我们请求一个网页的时候,看似只请求了一个 URI(统一资源标识符),实际上这个网页可能包含多个 URI,例如图片资源的 URI 和视频资源的 URI 等.此时 ...

  10. SPFA算法 O(kE)

    主要思想是:     初始时将起点加入队列.每次从队列中取出一个元素,并对所有与它相邻的点进行修改,若某个相邻的点修改成功,则将其入队.直到队列为空时算法结束.     这个算法,简单的说就是队列优化 ...