Activity免注册跳转

原創 幸福专买店 2020-02-22 14:39

要实现免注册跳转需要解决的问题:

1、未注册的activity怎么通过系统验证

2、怎么在handleMessage中监听 LAUNCH_ACTIVITY 的消息



解决的方法

1、使用动态代理activity替换未注册activity,使其通过系统验证

2、hook到ActivityThread、mH变量、H类;在Callback中监听 LAUNCH_ACTIVITY 的消息



//第一步:

	Class<?> clazz = Class.forName("android.app.ActivityManagerNative");
        //第一种 方式获取 通过gDefault
        Field gDefault = clazz.getDeclaredField("gDefault");
        gDefault.setAccessible(true);
        //静态类型字段不用传入所属对象
        Object defaultValue = gDefault.get(null);
        Class<?> aClass = Class.forName("android.util.Singleton");
        Field mInstace = aClass.getDeclaredField("mInstance");
        mInstace.setAccessible(true);
        Object iActivityManagerValue = mInstace.get(defaultValue);
//        第二种方式
//        Method getDefault = clazz.getDeclaredMethod("getDefault"); //获取的是子类 ActivityManagerProxy 
//        getDefault.setAccessible(true);
//        //获取主线程对象
//        Object defaultValue = getDefault.invoke(null);
//        Class<?> aClass = Class.forName("android.util.Singleton");
//        Field mInstace = aClass.getDeclaredField("mInstance");
//        mInstace.setAccessible(true);
//        Object iActivityManagerValue = mInstace.get(defaultValue); //不能获取
 //创建新的接口对象 
          Class<?> iActivityManagerProxy = Class.forName("android.app.IActivityManager");      
          AmsInvocationHandler handler = new AmsInvocationHandler(iActivityManagerValue);     
          Object IActivityManager = Proxy.newProxyInstance(context.getClassLoader(), new Class[]{iActivityManagerProxy}, handler);
//        替换掉原有的IActivityManager      
           mInstace.set(defaultValue, IActivityManager);






        
/**
 * 拦截未注册的Activity ,替换为已 注册代理Activity
 */

 class AmsInvocationHandler implements InvocationHandler {

        private Object iActivityManagerValue;

        public AmsInvocationHandler(Object iActivityManagerValue) {
            this.iActivityManagerValue = iActivityManagerValue;
        }

        @Override
        public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
//          替换系统方法
            if ("startActivity".contains(method.getName())) {

                int index = 0;
                for (int i = 0; i < args.length; i++) {
                    //找到 参数中的意图
                    if (args[i] instanceof Intent) {
                        index = i;//非法意图的索引
                        break;
                    }
                }

                for (int i = 0; i < args.length; i++) {
                    Log.e("tag", "args:" + args[i]);
                }

                Intent proxyIntnet = new Intent();
                ComponentName cn = new ComponentName(context, proxyActivity);
                proxyIntnet.setComponent(cn);
                //将 非法的意图附带在合法的意图中 作为参数
                proxyIntnet.putExtra("oldIntent", (Intent)args[index]);
                args[index] = proxyIntnet;
                return method.invoke(iActivityManagerValue, args);
            }

            return method.invoke(iActivityManagerValue, args);
        }
    }
//第二步:
 // 获取到回调 使用插件意图 替换
    public void hookSystemHandler() {
        try {

            Class<?> aClass = Class.forName("android.app.ActivityThread");

            //获取ActivityThread 方式一 (api17 以上适用)

//            Field sCurrentActivityThread = aClass.getDeclaredField("sCurrentActivityThread");
//            sCurrentActivityThread.setAccessible(true);
//            ActivityThreadValue = sCurrentActivityThread.get(null);
//            获取ActivityThread 方式二 
            Method currentActivityThreadMethod = aClass.getDeclaredMethod("currentActivityThread");
            currentActivityThreadMethod.setAccessible(true);
            //获取主线程对象
            Object activityThread = currentActivityThreadMethod.invoke(null);
            //ActivityThread 的mH字段
            Field mH = aClass.getDeclaredField("mH");
            mH.setAccessible(true);
            Handler handlerObject = (Handler) mH.get(activityThread);
            //获取H类中mCallback字段

            Field mCallbackField = Handler.class.getDeclaredField("mCallback");
            mCallbackField.setAccessible(true);


		//将处理后的 Handler对象替换系统的
 mCallbackField.set(handlerObject, new ActivityThreadHandlerCallback(handlerObject)); 
     } catch (ClassNotFoundException e) {   
         e.printStackTrace();     
   } catch (IllegalAccessException e) {  
          e.printStackTrace();     
   } catch (NoSuchFieldException e) {    
        e.printStackTrace();      
  } catch (NoSuchMethodException e) {         
   e.printStackTrace();      
  } catch (InvocationTargetException e) {   
         e.printStackTrace();    
    }  
  }  
  class ActivityThreadHandlerCallback implements Handler.Callback {   
     Handler handler;     
   public ActivityThreadHandlerCallback(Handler handler) { 
           super();        
    this.handler = handler;      
  }        @Override       
 public boolean handleMessage(Message msg) {   
         //把非法intent替换回来        
    if (msg.what == 100) {         
       try {              
      handleLaunchActivity(msg);    
            } catch (NoSuchFieldException e) {     
               e.printStackTrace();           
     } catch (IllegalAccessException e) {     
               e.printStackTrace();          
      }    
        }        
    handler.handleMessage(msg);  
          return true;      
  }  
  }

	//替换原有的验证前的合法意图
    private void handleLaunchActivity(Message msg) throws NoSuchFieldException, IllegalAccessException {
        Object obj = msg.obj; //获取当前ActivityRecord的记录信息
        Field intentField = obj.getClass().getDeclaredField("intent");
        intentField.setAccessible(true);

        Intent proxyIntent = (Intent) intentField.get(obj);
        Intent oldIntent = proxyIntent.getParcelableExtra("oldIntent");

        //判断如果使用的动态代理,就使用插件intent替换掉
        if (oldIntent != null) {
            proxyIntent.setComponent(oldIntent.getComponent());
        }
    }

//第三步
在Application中调用
AmsUtils amsUtils = new AmsUtils(ProxyActivity.class, this);
amsUtils.hookSystemHandler();
try {
    amsUtils.hookAms();
} catch (Exception e) {
    e.printStackTrace();
}












1、api18 以下没有 sCurrentActivityThread 静态变量,但是都有一个 静态方法 currentActivityThread 返回值为 ActivityThread,可以通过返回值 获取


2、未注册的类(OtherActivity)只能直接继承自Activity才能正常跳转,继承AppCompatActivity 显示找不到
































幸福专买店



发布了49 篇原创文章 · 获赞 17 · 访问量 3万+





私信

关注

















發表評論














所有評論



還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.







相關文章








有隙可乘 - Android 序列化漏洞分析实战






作者:vivo 互聯網大前端團隊 - Ma Lian
本文主要描述了FileProvider,startAnyWhere實現,Parcel不對稱漏洞以及這三者結合產生的漏洞利用實戰,另外闡述了漏洞利用的影響和修復預防措施,這個漏洞波及了






 原創

2024-05-16 12:09:07









爱奇艺APP Android低端机性能优化






01
   背景介紹
在智能手機市場上,高端機型經常備受矚目,但低端機型亦佔據了不可忽視的份額。衆多廠商爲滿足低端市場的需求,不斷推出低配系列手機。另外過去幾年的中高端






 原創

2024-04-16 01:06:42









一键生成视频!用 PAI-EAS 部署 AI 视频生成模型 SVD 工作流






SVD技術介紹
Stable Video Diffusion(以下簡稱 SVD),是一個圖像到視頻模型模型,能夠以每秒 3 到 30 幀的可自定義的幀率生成 14 幀和 25 幀的視頻。去年 11 月,Stability.AI 發佈了它的






 原創

2024-04-03 23:38:15









adb功能速查






最近需要弄android調試,把adb功能列於此方便查看。本文內容主要來自以下地址
https://developer.android.com/tools/adb?hl=zh-cn
 
查詢設備
adb devices -l
 
將






 原創

2024-02-29 23:53:16









奇异果投屏的进化之路






筆者按:奇異果投屏伴隨奇異果TV一路發展至2022年,日活用戶已達300多萬,用戶和我們都對投屏的功能和性能提出了更多的訴求和更高要求,因此2022開始系統地對投屏功能和性能做了擴展和優化。本文立足於TV端,爲大家介紹愛奇藝站內投屏優化過






 原創

2024-02-21 03:08:35









带你走进灵动岛 | 京东云技术团队






前言
iOS最近幾年新特性
iOS14
視頻畫中畫
AppLibrary
桌面小組件
照片隱私加強
應用限免
智能摺疊
全新siri懸浮顯示
iOS15
FaceTime支持屏幕共享
信息和新增擬我表情
推出專注模式
通知重






 原創

2023-12-05 12:22:24









鸿蒙OS和Android开发概念对比






鴻蒙
Android
備註
UIAbility
Activity
生命週期管理
WindowStage
Window
UI組件的具體呈現,可以將鴻蒙App理解爲單Activity多Window形式
Context
Co






 原創

2023-11-03 01:38:20









英特尔助力龙蜥加速 AI 应用及 LLM 性能






操作系統的發展離不開南北向軟硬件生態的擴展和支持,龍蜥社區也離不開各合作伙伴的共創。在 2023 龍蜥操作系統大會全面擁抱智算時代分論壇上,英特爾 AI 軟件工程師王華強從兩方面分享了英特爾至強處理器平臺上的兩個重點算力和內存帶寬,以及英特






 原創

2024-03-23 00:43:41









Android 劫持并模拟运行Service范例






場景:
假設某SDK的aar有個服務,但是此服務必須通過Service啓動,並且改Service可能是多進程的,如果不想啓動service或避免使用多進程,以此避免和AMS通信,該如何實現呢
方案:
答案是:通過Context去Hook啓動






 原創

2023-03-16 12:04:41









AMS Launcher启动Activity流程图












 原創

2022-04-30 12:05:27









Twin Builder—系统级多物理域数字孪生平台






  Twin Builder是ANSYS公司系統仿真單元的核心產品,是一款專業的跨學科多領域系統仿真軟件和數字孿生平臺。能夠做到統領建模、仿真和驗證,並與IIoT物聯網平臺集成、部署與運行數字孿生體。在Twin Builder的支持下,能夠






 原創

2021-12-25 21:12:40









ams1117-3.3v电源稳压芯片低压差线性稳压器






AMS1117是一個三端穩壓器,它的穩壓調整管是由一個PNP驅動的NPN管組成,有固定和可調兩個版本可用,輸出電壓可以是:1.2V,1.5V,1.8V,2.5V,2.85V,3.0V,3.3V,和5.0V。AMS1117-3.3是一種輸出






 原創

2021-08-27 21:29:42









Android Binder机制(一)






binder用於android進程間的通訊。客戶端程序和系統服務,客戶端進程之間,都是通過binder進行進程間通訊的。
1.客戶端程序和系統服務
客戶端和系統服務通訊的入口:cotext.getSystemService(Str






 天王蓋地虎626

2021-05-09 21:27:36









Android AMS IPC代理获取






一、問題
我們知道,ActivityManagerService隨着版本的變化,獲取方式上也出現了差異,最容易獲取的方式當然是
ActivityManager activityManager = Context.getSystemSer






 原創

2021-03-27 21:32:18









Android源码分析--Android系统启动






Android系統啓動
其實Android系統的啓動最主要的內容無非是init、Zygote、SystemServer這三個進程的啓動,他們一起構成的鐵三角是Android系統的基礎。
啓動大綱
啓動電源以及引導程序加載
引導程






 薛翔

2021-03-22 21:30:19