2. 程式人生 > >Android8.0繞過後臺啟動服務的限制

Android8.0繞過後臺啟動服務的限制

阿新 發佈:2018-12-31

Android8.0繞過後臺啟動服務的限制

看完startService的原始碼之後發現,只要我們的targetSDK設定成小於26的依然還是可以在8.0的手機上後臺啟動service的。來簡單看下原始碼吧:

ContextImpl$startServiceCommon:

private ComponentName startServiceCommon(Intent service, boolean requireForeground,
            UserHandle user) {
            // ... 
            ComponentName cn = ActivityManager.getService().startService(
                mMainThread.getApplicationThread(), service, service.resolveTypeIfNeeded(
                            getContentResolver()), requireForeground,
                            getOpPackageName(), user.getIdentifier());
            if (cn != null) {
                // ... 
                // 8.0其實就是這裡加了個判斷。
                } else if (cn.getPackageName().equals("?")) {
                    throw new IllegalStateException(
                            "Not allowed to start service " + service + ": " + cn.getClassName());
                }
            }
            return cn;
    }

ActivityManagerService$startService:

public ComponentName startService(IApplicationThread caller, Intent service,
        String resolvedType, boolean requireForeground, String callingPackage, int userId)
        throws TransactionTooLargeException {
        // ...
        ComponentName   res = mServices.startServiceLocked(caller, service,
                    resolvedType, callingPid, callingUid,
                    requireForeground, callingPackage, userId);
        return res;
    }
}

ActiveServices$startServiceLocked:

ComponentName startServiceLocked(IApplicationThread caller, Intent service, String resolvedType,
        int callingPid, int callingUid, boolean fgRequired, String callingPackage, final int userId)
        throws TransactionTooLargeException {
    if (DEBUG_DELAYED_STARTS) Slog.v(TAG_SERVICE, "startService: " + service
            + " type=" + resolvedType + " args=" + service.getExtras());
    // ...
    // retrieve是取回的意思
    ServiceLookupResult res =
        retrieveServiceLocked(service, resolvedType, callingPackage,
                callingPid, callingUid, userId, true, callerFg, false);
    // ...
    ServiceRecord r = res.record;
    // If this isn't a direct-to-foreground start, check our ability to kick off an
    // 這個方法是不允許後臺啟動服務的關鍵,第一次啟動一個
    // service會進來,因為r是剛new出來的,r.startRequested一定是false,其他還有地方把r.startRequested置為false的狀態,這個狀態很重要。
    if (!r.startRequested && !fgRequired) {
        // Before going further -- if this app is not allowed to start services in the
        // background, then at this point we aren't going to let it period.
        final int allowed = mAm.getAppStartModeLocked(r.appInfo.uid, r.packageName,
                r.appInfo.targetSdkVersion, callingPid, false, false);
        if (allowed != ActivityManager.APP_START_MODE_NORMAL) {
            if (allowed == ActivityManager.APP_START_MODE_DELAYED) {
                // 如果是這種情況,不會啟動服務而且什麼提示都沒有.
                return null;
            }
            UidRecord uidRec = mAm.mActiveUids.get(r.appInfo.uid);
            // 只有這個地方才會返回ComponentName("?")
            return new ComponentName("?", "app is in background uid " + uidRec);
        }
    }
    // .... 如果那裡沒被返回ComponentName("?"),這裡會被置為true。
    r.startRequested = true;
    r.fgRequired = fgRequired;
    r.pendingStarts.add(new ServiceRecord.StartItem(r, false, r.makeNextStartId(),
            service, neededGrants, callingUid));

    final ServiceMap smap = getServiceMapLocked(r.userId);
    boolean addToStarting = false;
    // ...
    ComponentName cmp = startServiceInnerLocked(smap, service, r, callerFg, addToStarting);
    return cmp;
}

ActiveServices$retrieveServiceLocked

private ServiceLookupResult retrieveServiceLocked(Intent service,
            String resolvedType, String callingPackage, int callingPid, int callingUid, int userId,
            boolean createIfNeeded = true, boolean callingFromFg = false, boolean isBindExternal = false) {
        ServiceRecord r = null; 
        if (r == null) {
            // ...
            if (r == null && createIfNeeded) {
                    final Intent.FilterComparison filter
                            = new Intent.FilterComparison(service.cloneFilter());
                    final ServiceRestarter res = new ServiceRestarter();
                    // ...
                    // 建立的時候並沒有設定startRequested這個變數,所以預設是false的。
                    r = new ServiceRecord(mAm, ss, name, filter, sInfo, callingFromFg, res);
                    res.setService(r);
                    smap.mServicesByName.put(name, r);
                    smap.mServicesByIntent.put(filter, r);
            }
        }
        if (r != null) {
           // ... 這裡省略的部分都是檢驗許可權之類的
            return new ServiceLookupResult(r, null);
        }
        return null;
    }

ActivityManagerService$getAppStartModeLocked:

int getAppStartModeLocked(int uid, String packageName, int packageTargetSdk,
        int callingPid, boolean alwaysRestrict = false, boolean disabledOnly = false) {
    
    UidRecord uidRec = mActiveUids.get(uid);
    // 如果是在前臺啟動service,就不會進這裡了,主要還是uidRec.idle這個值。
    if (uidRec == null || alwaysRestrict || uidRec.idle) {
            // ...
            if (disabledOnly) {
               return ActivityManager.APP_START_MODE_NORMAL;
            }
            final int startMode = (alwaysRestrict)
                    ? appRestrictedInBackgroundLocked(uid, packageName, packageTargetSdk)
                    : appServicesRestrictedInBackgroundLocked(uid, packageName,
                            packageTargetSdk);
            if (startMode == ActivityManager.APP_START_MODE_DELAYED) {
                // This is an old app that has been forced into a "compatible as possible"
                // mode of background check.  To increase compatibility, we will allow other
                // foreground apps to cause its services to start.
                if (callingPid >= 0) {
                    ProcessRecord proc;
                    synchronized (mPidsSelfLocked) {
                        proc = mPidsSelfLocked.get(callingPid);
                    }
                    if (proc != null &&
                            !ActivityManager.isProcStateBackground(proc.curProcState)) {
                        // Whoever is instigating this is in the foreground, so we will allow it
                        // to go through.
                        return ActivityManager.APP_START_MODE_NORMAL;
                    }
                }
            }
            return startMode;
        }
    }
    return ActivityManager.APP_START_MODE_NORMAL;
}

ActivityManagerService$appServicesRestrictedInBackgroundLocked:
這個方法主要是檢查是否系統應用,白名單等

int appServicesRestrictedInBackgroundLocked(int uid, String packageName, int packageTargetSdk) {
    // Persistent app?
    if (mPackageManagerInt.isPackagePersistent(packageName)) {
         return ActivityManager.APP_START_MODE_NORMAL;
    }

    // Non-persistent but background whitelisted?
    if (uidOnBackgroundWhitelist(uid)) {
        return ActivityManager.APP_START_MODE_NORMAL;
    }

    // Is this app on the battery whitelist?
    if (isOnDeviceIdleWhitelistLocked(uid)) {
            return ActivityManager.APP_START_MODE_NORMAL;
    }

    // None of the service-policy criteria apply, so we apply the common criteria
    return appRestrictedInBackgroundLocked(uid, packageName, packageTargetSdk);
}

ActivityManagerService$appRestrictedInBackgroundLocked:這個方法是關鍵

// Unified app-op and target sdk check
int appRestrictedInBackgroundLocked(int uid, String packageName, int packageTargetSdk) {
    // Apps that target O+ are always subject to background check
    // 最重要的就是這裡了,如果targerSDK >=26,才會返回不允許狀態。
    if (packageTargetSdk >= Build.VERSION_CODES.O) {
        if (DEBUG_BACKGROUND_CHECK) {
            Slog.i(TAG, "App " + uid + "/" + packageName + " targets O+, restricted");
        }
        return ActivityManager.APP_START_MODE_DELAYED_RIGID;
    }
    // ...and legacy apps get an AppOp check
    int appop = mAppOpsService.noteOperation(AppOpsManager.OP_RUN_IN_BACKGROUND,
            uid, packageName);    
    switch (appop) {
        case AppOpsManager.MODE_ALLOWED:
            return ActivityManager.APP_START_MODE_NORMAL;
        case AppOpsManager.MODE_IGNORED:
            return ActivityManager.APP_START_MODE_DELAYED;
        default:
            return ActivityManager.APP_START_MODE_DELAYED_RIGID;
    }
}

AppOpsService$noteOperation:

@Override
public int noteOperation(int code, int uid, String packageName) {
    // ...
    return noteOperationUnchecked(code, uid, resolvedPackageName, 0, null);
}

AppOpsService$noteOperationUnchecked

private int noteOperationUnchecked(int code, int uid, String packageName,
        int proxyUid, String proxyPackageName) {
    synchronized (this) {
        
        Ops ops = getOpsRawLocked(uid, packageName, true);
        Op op = getOpLocked(ops, code, true);
        // private Op getOpLocked(Ops ops, int code, boolean edit = false) {
        //     Op op = ops.get(code);
        //     if (op == null) {
                // ops是剛new出來的,肯定也沒有code的值
        //         if (!edit) return null;
        //         op = new Op(ops.uidState.uid, ops.packageName, code);
        //         ops.put(code, op);
        //     }
        //     return op;
        // }

        // 這裡其實是看是不是AppOpsManager一對一的那個許可權列表,因為Op分為執行時許可權和其他的一些
        switchCode = code
        final int switchCode = AppOpsManager.opToSwitch(code);
        UidState uidState = ops.uidState;
        // ...
            final Op switchOp = switchCode != code ? getOpLocked(ops, switchCode, true) : op;
            // switchOp.mode是default mode,而OP_RUN_IN_BACKGROUND的default mode是allowed的
            // 所以這裡就返回了allowd的結果
            if (switchOp.mode != AppOpsManager.MODE_ALLOWED) {
                if (DEBUG) Log.d(TAG, "noteOperation: reject #" + op.mode + " for code "
                        + switchCode + " (" + code + ") uid " + uid + " package "
                        + packageName);
                op.rejectTime = System.currentTimeMillis();
                return switchOp.mode;
        //  ...
        }

其他地方把ServiceRecord的startRequested置為false的情況:
①呼叫了stopService;
②service呼叫了stopSelf();
③系統殺掉了service。
總結就是service死掉之後這個狀態就會被置為false.

一開始有這樣的想法,既然成功啟動過後startRequested會被置為true,那我們先在程式一開啟的時候先去startService,後面在後臺去呼叫的時候,不就不會進入那個分支了嗎?但是行不通,因為系統會去殺掉後臺的serivce.

8.0還有一個比較狠的是,啟動了一個service,app退到後臺後很快service會在短時間內(一分鐘左右)就被系統幹掉。原因是這樣的,ActivityManagerService有個方法叫updateOomAdjLocked,用來計算程序adj值的,這個方法會被頻繁呼叫,呼叫的時候還會發送一個呼叫idleUids 這個方法的廣播,idleUids裡面會去判斷程序在後臺的時間,接著會呼叫ActiveServices.stopInBackgroundLocked(uid);這個方法,把後臺服務給殺掉,這個機制在8.0以前就有,但在8.0的時候是否要殺掉的邏輯變更了:
8.0以前是這樣的:
在這裡插入圖片描述
這個很少進來的,一般是使用者手動去設定裡面不讓這個程序在後臺啟動服務,就會進去那個分支。
而在8.0的時候就變成:
在這裡插入圖片描述
這個getAppStartModeLocked上面我們分析過了,只要targetSdk還是小於26那個分支就不會進去。一旦service進了stopping這個集合裡,等會就會馬上把它幹掉:
在這裡插入圖片描述

相關推薦

Android8.0繞過後臺啟動服務限制

Android8.0繞過後臺啟動服務的限制 看完startService的原始碼之後發現,只要我們的targetSDK設定成小於26的依然還是可以在8.0的手機上後臺啟動service的。來簡單看下原始碼吧: ContextImpl$startServiceCommon: pri

mycat啟動服務後臺日誌報錯Bit Server VM warning: ignoring option MaxPermSize

主機名現象:下午同事配置mycat,啟動服務的時候報錯,截圖如下:經過詢問發現同事這臺服務器,主機名為localhost,沒有做其它調整,參數修改/etc/hosts,將主機名進行調整,然後問題得到解決。說明:在配置應用服務器的時候,主機名記得要進行調整,不然可能有其它莫名其妙的坑。本文出自 “冰凍vs西瓜”

Android(O) 8.0 怎樣在後臺啟動service

在Android8.0之後, google對後臺啟動service進行了更加嚴格的限制, 具體可以參考官網文件, 上不了外網的朋友看這個網址:android中文官網, 這裡摘出和後臺service相關的內容: 後臺服務限制 在後臺中執行的服務會消耗裝置資源,這可能降低使用者體驗。 為

解決 Win10 安裝 MongoDB 4.0 無法啟動服務的問題( 大坑)

首先在 官網 上下載 msi 安裝包開始安裝。 我不喜歡把軟體裝在系統盤,所以我選擇 Custom,自己選要裝在哪裡,然後就跳出來下面這張圖。針對下面這張圖我翻譯一下官方文件上的內容作為解釋。 從 MongoDB 4.0 開始,預設情況下,你可以在安裝期間配置和啟動 MongoD

Android8.0上突破隱式廣播的限制

Android O對隱式廣播進行了限制, 其限制連結說明: https://developer.android.com/about/versions/oreo/background 上面所說即:若App的TargetSDK達到了26, 我們正常靜態註冊的廣播就沒有用了。能用的僅有以下豁免的

Android8.0使用通知建立前臺服務

Android8.0後臺執行限制 為提高裝置效能,系統會限制未在前臺執行的應用的某些行為。具體而言: 在後臺執行的應用對後臺服務的訪問受到限制 應用無法使用其清單註冊大部分隱式廣播 預設情況下,這些限制僅適用於針對O的應用。不過使用者可以從Settinfs螢幕為任意

Windows下將Tomcat8註冊為系統服務並設定開啟後臺啟動

1、下載解壓版本的Tomcat 我的是apache-tomcat-8.0.51,直接解壓即可,不需要設定環境變  2、修改/bin檔案下的檔案 service.bat、startup.bat、shutdown.bat三個檔案使用編輯器開啟 分別在檔案最開始(@echo

startService啟動服務,應用置於後臺超過1min,服務被銷燬

分析基於Android8.0。 【操作步驟】 播放音樂 音樂切到後臺,播放其他音源超過1min 再將音樂切到前臺 【結果】    音樂播放異常 【原因】    應用在後臺空閒超過1min,系統銷燬了服務。    log中包含如下資訊: ActivityMan

linux 服務 設定後臺啟動jar service

1. 新建檔案 my-apps.service 檔案 可以放在/etc/systemd/system 目錄下 2.在my-apps.service 新增如下 [Unit] Description=apps After=syslog.target [Service

JavaWeb 服務啟動時,在後臺啟動載入一個類

兩種方法, 一、監聽(Listener) 1、建立個監聽類,繼承ServletContextListener package tbp.common.xkins; import javax.servlet.ServletContextEvent; import net

Android8.0 Binder之面向HAL服務(二)

上一篇我們從Binder在系統native層的服務管理與提供機制,它與Framework的native層的實現大不相同,但是實現思想是一致的,都是需要藉助Binder驅動來實現服務的管理與跨程序使用。只不過,由於業務層需要導致實現上的不同,比如HAL層的Bind

Android8.0 Binder之面向系統服務(一)

Android碎片化問題一直是OS更新的痛點,Google在Android8.0引入的Treble旨在解決Android長期以來碎片化嚴重的問題,Treble計劃將Binder擴充套件為三角結構,分別對應dev/binder,dev/vndbinder,dev/

ambari 安裝HDP3.0.1後,啟動服務的問題記錄

HDP的ambari整合安裝工具真的是比ClouderaManager差上那麼一點兒,不說安裝的時候就麻煩,即使軟體安裝包已成功安裝,也不意味著可以正常使用了,啟動HDP叢集過程中還會有不少的錯誤! 一、啟動服務時,出現若干迴圈符號連結錯誤,比如下面是啟動ranger時發生的其中一個錯誤資訊: se

安卓 5.0 之後啟動服務,必須是顯式的,startService()。安卓不能啟動服務

1.當按照正規啟動不了服務的時候,可以試試以下方法: Intent intent = new Intent("com.gnss.GNSSService"); intent.setAction(GPSBOARDCONTROL);//Service能夠匹配的Action

Linux centos 安裝redis服務後臺啟動

網上看了大神的文章,感覺不夠清楚,如果是小白的話估計無法完全正確操作,所以在大神的基礎上修改了下,方便純小白操作 1,下載redis安裝包 wget http://download.redis.io/releases/redis-3.0.6.tar.gz 2,解壓安裝包

windos下redis服務後臺啟動

window all ati ng-click blog 後臺 cli repl server 1. 進入 DOS窗口 2. 在進入Redis的安裝目錄 3. 輸入:redis-server --service-install redis.wind

通過IPsec繞過公司機房服務器網絡限制,實現虛擬化實驗環境的上網

上網 proc 司機 http 不能 6.2 color snat ima 需求:解決機房服務器虛擬化實驗環境的上網問題。背景:部署虛擬化環境學習技術,公司服務器管理網絡不能上外網,辦公內網可以上外網。因是實驗環境,不想改變網絡,加之安全考慮,要自己控制上網時間。使用IPs

Android Activity啟動流程(基於Android8.0系統)

主要物件介紹 ActivityManagerService:負責系統中所有Activity的生命週期; Activi

避免在ASP.NET Core 3.0中為啟動類注入服務

本篇是如何升級到ASP.NET Core 3.0系列文章的第二篇。 Part 1 - 將.NET Standard 2.0類庫轉換為.NET Core 3.0類庫 Part 2 - IHostingEnvironment VS IHostEnvironent - .NET Core 3.0中的廢棄型別

部署基於.netcore5.0的ABP框架後臺Api服務端,以及使用Nginx部署Vue+Element前端應用

前面介紹了很多關於ABP框架的後臺Web API 服務端,以及基於Vue+Element前端應用,本篇針對兩者的聯合部署,以及對部署中遇到的問題進行處理。ABP框架的後端是基於.net core5.0 的Asp.net core 應用,因此和常規的Asp.net core 應用部署一樣;而Vue+Elemen