2. 程式人生 > >外掛化開發---Hook之動態代理方式

外掛化開發---Hook之動態代理方式

阿新 發佈:2019-02-06

今天自己來了解下Hook原理,以及在安卓開發中佔有的意義,我們先來理解下什麼是hook呢?
hook就是對安卓原始碼、其他apk原始碼,在相應位置找hook點,然後通過反射等操作,來執行自己程式碼,進而達到需要的功能
以下2個截圖就是之前我公司進行的微信的hook,對微信聊天進行加解密
這裡寫圖片描述這裡寫圖片描述

下面我們Hook掉startActivity這個方法,使得每次呼叫這個方法之前輸出一條日誌;
然後我們分析一下startActivity的呼叫鏈,找出合適的Hook點。我們知道對於Context.startActivity(Activity.startActivity的呼叫鏈與之不同),由於Context的實現實際上是ContextImpl;我們看ConetxtImpl類的startActivity方法:


    @Override
    public void startActivity(Intent intent, Bundle options) {
        warnIfCallingFromSystemProcess();
        if ((intent.getFlags()&Intent.FLAG_ACTIVITY_NEW_TASK) == 0) {
            throw new AndroidRuntimeException(
                    "Calling startActivity() from outside of an Activity "
 

                    + " context requires the FLAG_ACTIVITY_NEW_TASK flag."
                    + " Is this really what you want?");
        }
        mMainThread.getInstrumentation().execStartActivity(
                getOuterContext(), mMainThread.getApplicationThread(), null,
                (Activity) null
 
, intent, -1, options);
    }

這裡,實際上使用了ActivityThread類的mInstrumentation成員的execStartActivity方法;
首先我們得拿到主執行緒物件的引用,如何獲取呢?ActivityThread類裡面有一個靜態方法currentActivityThread可以幫助我們拿到這個物件類;但是ActivityThread是一個隱藏類,我們需要用反射去獲取,程式碼如下:

// 先獲取到當前的ActivityThread物件
Class<?> activityThreadClass = Class.forName("android.app.ActivityThread");
Method currentActivityThreadMethod = activityThreadClass.getDeclaredMethod("currentActivityThread");
currentActivityThreadMethod.setAccessible(true);
Object currentActivityThread = currentActivityThreadMethod.invoke(null);

拿到這個currentActivityThread之後,我們需要修改它的mInstrumentation這個欄位為我們的代理物件,我們先實現這個代理物件,由於JDK動態代理只支援介面,而這個Instrumentation是一個類,沒辦法,我們只有手動寫靜態代理類,覆蓋掉原始的方法即可

package com.wang.myapplication;

import android.app.Activity;
import android.app.Instrumentation;
import android.content.Context;
import android.content.Intent;
import android.os.Bundle;
import android.os.IBinder;
import android.util.Log;

import java.lang.reflect.Method;

/**
 * @author weishu
 * @date 16/1/28
 */
public class EvilInstrumentation extends Instrumentation {

    private static final String TAG = "EvilInstrumentation";

    // ActivityThread中原始的物件, 儲存起來
    Instrumentation mBase;

    public EvilInstrumentation(Instrumentation base) {
        mBase = base;
    }

    public ActivityResult execStartActivity(
            Context who, IBinder contextThread, IBinder token, Activity target,
            Intent intent, int requestCode, Bundle options) {

        // Hook之前, XXX到此一遊!
        Log.d(TAG, "\n執行了startActivity, 引數如下: \n" + "who = [" + who + "], " +
                "\ncontextThread = [" + contextThread + "], \ntoken = [" + token + "], " +
                "\ntarget = [" + target + "], \nintent = [" + intent +
                "], \nrequestCode = [" + requestCode + "], \noptions = [" + options + "]");

        // 開始呼叫原始的方法, 調不呼叫隨你,但是不呼叫的話, 所有的startActivity都失效了.
        // 由於這個方法是隱藏的,因此需要使用反射呼叫;首先找到這個方法
        try {
            Method execStartActivity = Instrumentation.class.getDeclaredMethod(
                    "execStartActivity",
                    Context.class, IBinder.class, IBinder.class, Activity.class,
                    Intent.class, int.class, Bundle.class);
            execStartActivity.setAccessible(true);
            return (ActivityResult) execStartActivity.invoke(mBase, who,
                    contextThread, token, target, intent, requestCode, options);
        } catch (Exception e) {
            // 某該死的rom修改了  需要手動適配
            throw new RuntimeException("do not support!!! pls adapt it");
        }
    }
}

Ok,有了代理物件,我們要做的就是偷樑換柱!程式碼比較簡單,採用反射直接修改:

package com.wang.myapplication;

import android.app.Instrumentation;

import java.lang.reflect.Field;
import java.lang.reflect.Method;

/**
 * @author weishu
 * @date 16/1/28
 */
public class HookHelper {

    public static void attachContext() throws Exception{
        // 先獲取到當前的ActivityThread物件
        Class<?> activityThreadClass = Class.forName("android.app.ActivityThread");
        Method currentActivityThreadMethod = activityThreadClass.getDeclaredMethod("currentActivityThread");
        currentActivityThreadMethod.setAccessible(true);
        //currentActivityThread是一個static函式所以可以直接invoke,不需要帶例項引數
        Object currentActivityThread = currentActivityThreadMethod.invoke(null);

        // 拿到原始的 mInstrumentation欄位
        Field mInstrumentationField = activityThreadClass.getDeclaredField("mInstrumentation");
        mInstrumentationField.setAccessible(true);
        Instrumentation mInstrumentation = (Instrumentation) mInstrumentationField.get(currentActivityThread);

        // 建立代理物件
        Instrumentation evilInstrumentation = new EvilInstrumentation(mInstrumentation);

        // 偷樑換柱
        mInstrumentationField.set(currentActivityThread, evilInstrumentation);
    }
}

然後是測試頁面

package com.wang.myapplication;

import android.app.Activity;
import android.content.Context;
import android.content.Intent;
import android.net.Uri;
import android.os.Bundle;
import android.view.View;
import android.widget.Button;


/**
 * @author weishu
 * @date 16/1/28
 */
public class MainActivity extends Activity {
    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);

        Button tv = new Button(this);
        tv.setText("測試介面");

        setContentView(tv);

        tv.setOnClickListener(new View.OnClickListener() {
            @Override
            public void onClick(View v) {
                Intent intent = new Intent(Intent.ACTION_VIEW);
                intent.addFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
                intent.setData(Uri.parse("http://www.baidu.com"));

                // 注意這裡使用的ApplicationContext 啟動的Activity
                // 因為Activity物件的startActivity使用的並不是ContextImpl的mInstrumentation
                // 而是自己的mInstrumentation, 如果你需要這樣, 可以自己Hook
                // 比較簡單, 直接替換這個Activity的此欄位即可.
                getApplicationContext().startActivity(intent);
            }
        });
    }

    @Override
    protected void attachBaseContext(Context newBase) {
        super.attachBaseContext(newBase);
        try {
            // 在這裡進行Hook
            HookHelper.attachContext();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

相關推薦

外掛開發---Hook動態代理方式

今天自己來了解下Hook原理,以及在安卓開發中佔有的意義,我們先來理解下什麼是hook呢? hook就是對安卓原始碼、其他apk原始碼,在相應位置找hook點,然後通過反射等操作,來執行自己程式碼,進而達到需要的功能 以下2個截圖就是之前我公司進行的微信

javaEE Mybatis,Mybatis與Spring整合動態代理方式(推薦),自動建立Dao層實現類

src/applicationContext.xml(Spring核心配置檔案): <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.or

外掛開發系列三---Android外掛從入門到放棄-最強合集

本人最近研究外掛化, 偶然發現此合集, 按照部分連結的文章實際簡單寫了些demo,受益良多, 覺得確實不錯,特轉載過來,給需要的人。 外掛化涉及的東西很多,所以我們需要多個維度去學習。大概分為5個部分:預備知識、入門、進階、系列、類庫。一步一步深入瞭解外掛的原理。 基礎1.Java 類載入器 類載入

Dao開發(Mapper動態代理方式

動態代理物件呼叫sqlSession.selectOne()和sqlSession.selectList()是根據mapper介面方法的返回值決定,如果返回list則呼叫selectList方法,如果返回單個物件則呼叫selectOne方法。

Android外掛原理解析——Hook機制動態代理

使用代理機制進行API Hook進而達到方法增強是框架的常用手段,比如J2EE框架Spring通過動態代理優雅地實現了AOP程式設計,極大地提升了Web開發效率;同樣,外掛框架也廣泛使用了代理機制來增強系統API從而達到外掛化的目的。本文將帶你瞭解基於動態代理的Hook機制。 閱讀本文之前,可以先clo

安卓外掛開發使用PathClassLoader來動態更換面板

這篇文章主要使用PathClassLoader來實現外掛化更換面板 (將面板獨立出來做成一個面板外掛apk,當用戶想使用該面板時需下載對應的面板外掛) 效果圖: 【主要通過改變

Android APP熱更新中的外掛Hook技術:反射或動態代理),Demo (2)

Dexposed、AndFix,(HotFix)Sophix,Qzone超級補丁的類Nuwa方式,微信的Tinker, 大眾點評的nuwa、百度金融的rocooFix, 餓了麼的amigo以及美團的robust、騰訊的Bugly熱更新。 -- 熱更新  DexPathLis

02.MyBatis在DAO層開發使用的Mapper動態代理方式

.get div 技術 before nco mes session list http   在實際開發中,Mybatis作用於DAO層,那麽Service層該如何調用Mybatis   Mybatis鼓勵使用Mapper動態代理的方式   Mapper接口開發方法只需要程

MyBatis開發Dao層的兩種方式(Mapper動態代理方式

  MyBatis開發原始Dao層請閱讀我的上一篇部落格:MyBatis開發Dao層的兩種方式(原始Dao層開發)   接上一篇部落格繼續介紹MyBatis開發Dao層的第二種方式:Mapper動態代理方式   Mapper介面開發方法只需要程式設計師編寫Mapper介面(相當於Dao介面),由Mybat

Android中外掛開發----動態載入Activity 免安裝執行程式

                一、前言又到週末了,時間過的很快,今天我們來看一下Android中外掛開發篇的最後一篇文章的內容:動態載入Activity(免安裝執行程式),在上一篇文章中說道了,如何動態載入資源(應用換膚原理解析),沒看過的同學,可以轉戰:當然,今天說道的內容還這這篇文章有關係。關於動態載入

Mybatis進階學習筆記——動態代理方式開發Dao介面、Dao層(推薦第二種)

1.原始方法開發Dao  Dao介面 1 package cn.sm1234.dao; 2 3 import java.util.List; 4 5 import cn.sm1234.domain.Customer; 6 7 public interface Custo

Android外掛開發AMS與應用程式(客戶端ActivityThread、Instrumentation、Activity)通訊模型分析

今天主要分析下ActivityManagerService(服務端) 與應用程式(客戶端)之間的通訊模型,在介紹這個通訊模型的基礎上,再    簡單介紹實現這個模型所需要資料型別。         本文所介紹內容基於android2.2版本。由於Android版本的不同

mapper動態代理方式的crud(MyBatis介面的開發

二、mapper動態代理方式的crud(MyBatis介面的開發): 原則:約定優於配置 abc.java name 配置方式:abc.xml          <name>myproject</name>

安卓外掛開發使用DexClassLoader&AssetManager來更換面板

這篇文章主要使用DexClassLoader來實現外掛化更換面板,即將面板獨立出來做成一個面板外掛apk,當用戶想使用該面板時需下載(不需要安裝)對應的面板外掛apk 效果圖 【為方便測試,主要通過改變背景圖來簡單地展示面板更換】 一、

MybatisMapper動態代理方式

Mapper動態代理方式 開發規範 Mapper介面開發方法只需要程式設計師編寫Mapper介面(相當於Dao介面),由Mybatis框架根據介面定義建立介面的動態代理物件,代理物件的方法體同上邊Dao介面實現類方法。 Mapper介面開發需要遵

外掛開發筆記(一)代理模式

前言       外掛化開發所涉及到的技術點非常多,比如程式的啟動流程、四大元件啟動流程、ClassLoader原理、上下文Context、AMS原理、反射、代理等。本篇主要簡單介紹代理模式(實際上只是一篇學習筆記),為後面介紹外掛化實現做知識鋪墊。 一、定義   &n

Spring AOP 動態代理實例

delete 日誌 實現類 imp exc print cati user ins 1.項目結構圖如下3.3.3.1: 圖3.3.3.1 2.IUserServ接口代碼與UserServImpl實現類代碼和上述代碼相同 3.LogHandler類代碼

Mapper 動態代理方式

exc exception 類方法 文件中 方式 只需要 prop 類型 sel Mapper接口開發方法只需要程序員編寫Mapper接口(相當於Dao接口),由Mybatis框架根據接口定義創建接口的動態代理對象,代理對象的方法體同上邊Dao接口實現類方法。 Mapper

Autofac高級用法動態代理

tle ast 高級 tin options option static contain ssi 前言 Autofac的DynamicProxy來自老牌的Castle項目。DynamicProxy(以下稱為動態代理)起作用主要是為我們的類生成一個代理類,這個代理類可以在我們

Mybatis框架三:DAO層開發、Mapper動態代理開發

urn 測試類 new post 綁定 def 情況下 asstream implement 這裏是最基本的搭建:http://www.cnblogs.com/xuyiqing/p/8600888.html 接下來做到了簡單的增刪改查:http://www.cnblogs.