五. AMS实践,Hook启动未注册的Activity

news2025/1/19 20:29:42

Activity任务栈解析
正常情况下我们的app中的所有Activity都是运行在同一个任务栈(ActivityStack)里面的,也就是我们app的build.gradle文件中的applicationId那个任务栈.

如何实现Activity运行在不同的任务栈呢?

  • 需要在Intent启动这个Activity的时候,给这个intent赋值,设置代码如下:
    intent.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
  • 需要指定这个Activity的栈名,通过AndroidManifest.xml中注册这个Activity时,给他设置栈的名称,如果不通过taskAffinity指定栈名,即使设置了FLAG_ACTIVITY_NEW_TASK,但是这个Activity与我们其他的Activity还是在同一个栈里面,设置栈名(ActivityStack)代码如下:
    <activity
	android:name="com.tangkun.lifecycle.LifecycleActivity"
	android:taskAffinity="com.tangkun.myTaskName123"/>

这样新启动的Activity就与我们的其他Activity不在同一个任务栈里面了,当我们把App退到后台,查看后台的App进程时,就会发现我们当前的App存在两个后台程序,但是他们属于同一个进程.

使用场景:

保活、让部分业务逻辑存在一个新的任务栈中,防止对我们原有的任务栈造成影响等.

拓展:

通过ActivityStackSupervisor管理任务栈(ActivityStack),ActivityStackSupervisor中包含一个或者多个任务栈(ActivityStack),每个任务栈(ActivityStack)中可以存放不同的进程(ProcessRecord)里的Activity(ActivityRecord),每一个App进程中都包含了很多的Activity(ActivityRecord).

Activity的启动流程图
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WEWymqt7-1684124223598)(evernotecid://3A22127D-0425-400F-9B33-054BC6B3328D/appyinxiangcom/40619816/ENResource/p24)]

Activity的启动流程 (App进程已创建并且打开首页,启动其他Activity)
App进程:
MainActivity.startActivity();
-> (Activity)this.startActivity();
-> (Activity)startActivityForResult();
-> Instrumentation.execStartActivity()//这个方法可以作为动态代理突破点,因为调用startActivity()后面就会去检测启动的Activity是否注册
-> ActivityTaskManager.getService(intent).startActivity()//Hook技术第一步:围绕这行代码,更改startActivity()方法中的intent参数启动的页面,将未注册页面更改为已注册页面,从而绕过AMS的检测
-> Instrumentation.checkStartActivityResult(int res, Object intent)//在上面一句startActivity启动页面后面,还有一句检测启动Activity的代码,我们使用Hook技术就是要在AMS检测我们Activity是否注册前,将未注册的Activity替换成已经注册的Activity

通过Binder实现跨进程通信(App进程作为Client端,调用SystemServer进程作为Server端的ATMS服务)

SystemServer进程中的ATMS服务:
-> ATMS.startActivity()
-> ATMS.startActivityAsUser()
-> getActivityStartController().obtainStarter(intent, “startActivityAsUser”).execute();
-> ActivityStarter.execute();
-> ActivityStarter.startActivityUnchecked()
-> ActivityStarter.startActivityInner()
-> RootWindowContainer.resumeFocusedStacksTopActivities()
-> ActivityStack.resumeTopActivityUncheckedLocked()
-> ActivityStack.resumeTopActivityInnerLocked()
-> ActivityStackSupervisor.startSpecificActivity() //这里会判断启动页面所在的进程是否存在,不存在会调用startProcess()方法去创建App进程,存在则直接走后面的流程
-> ActivityStackSupervisor.realStartActivityLocked()
-> ATMS.ClientLifecycleManager.scheduleTransaction();
-> ClientTransaction.scheduleTransaction();
-> ActivityThread.ApplicationThread.scheduleTransaction()

通过Binder实现跨进程通信(SystemServer进程调用App进程)

App进程:
-> ActivityThread.scheduleTransaction()
-> ClientTransactionHandler.sendMessage(ActivityThread.H.EXECUTE_TRANSACTION, transaction);
-> final ClientTransaction transaction = (ClientTransaction) msg.obj; //Hook技术第二步:接收到Handler发送过来的消息ClientTransaction,这个对象包含了一个集合(List<ClientTransactionItem>)mActivityCallbacks,这个集合中每一个元素ClientTransactionItem的实现类LaunchActivityItem中,包含了一个变量(Intent)mIntent,我们去改变这个intent启动的页面,将已注册页面更改为未注册页面
-> mTransactionExecutor.execute(transaction); @ActivityThread
-> TransactionExecutor.execute()//这个方法中会执行两个重要方法,分别执行启动Activity的onCreate和onResume生命周期,中间会通过计算方法cycleToPath执行onStart生命周期

  1. -> TransactionExecutor.executeCallbacks(transaction)
    -> LaunchActivityItem.execute()
    -> ClientTransactionHandler.handleLaunchActivity()
    -> ActivityThread.handleLaunchActivity()
    -> ActivityThread.performLaunchActivity()
    -> Instrumentation.newActivity()
    -> Instrumentation.callActivityOnCreate()
    -> Activity.performCreate()
    -> Activity.onCreate()

  2. -> TransactionExecutor.executeLifecycleState(transaction);
    -> ResumeActivityItem.execute()
    -> ClientTransactionHandler.handleResumeActivity()
    -> ActivityThread.handleResumeActivity()
    -> ActivityThread.performResumeActivity()
    -> ActivityThread.ActivityClientRecord.Activity.performResume()
    -> Instrumentation.callActivityOnResume(this);
    -> Activity.onResume();

利用Hook技术启动未注册的Activity
Hook技术的原理就是通过反射动态代理,达到改变原有的执行流程的目的.

同样适用于:

  • 插桩:
  • 热修复: 相对于热修复技术来说,就是要加载运行的.patch.dex.apk等一系列包含dex修复内容的文件.
  • 插件化: 相对于插件化技术来说,就是要加载运行的apk类文件.

Hook技术使用技巧:

  • 尽量找静态变量、单例,这种不容易改变;
  • 找public修饰的变量、对象和方法,这种是提供给外部使用的,不会轻易改变.

实现方式:

  1. 在页面中调用startActivity()之后,AMS检测启动的页面之前,我们将已经注册的页面(ProxyActivity)替换成未注册的页面(UnregistActivity),即可实现通过AMS检测启动页面的目的.
    我们选择在Activity的启动流程过程中的Instrumentation.execStartActivity()方法中,通过动态代理反射技术,去替换我们启动的未注册页面(UnregistActivity)为我们已经注册过的页面(ProxyActivity);AMS在检测启动的页面时,会发现启动的页面是已经被替换成已注册的页面(ProxyActivity);
  2. AMS检测启动的页面之后,Activity执行生命周期之前,我们将已经注册的页面(ProxyActivity)替换成未注册的页面(UnregistActivity),即可实现启动未注册页面的目的.
    我们选择在ActivityThread的(Handler)mH变量处理消息的过程中,将消息中的Intent启动的已注册页面替换成未注册页面,即可达到我们的目的.
    mH一个Handler,在处理Message消息的时候,这里的消息是ClientTransaction对象,消息对象ClientTransaction中包含一个集合(List<ClientTransactionItem>)mActivityCallbacks,而集合中的每一个元素ClientTransactionItem的实现类LaunchActivityItem,包含了一个Intent变量,我们通过更改这个Intent中启动的页面,将已注册的页面替换成未注册的页面,即可达到我们的目的.

HookUtil.java实现代码如下:

/**
 * Hook工具类
 */
public class HookUtil {

	private static final String TARGET_INTENT = "target_intent";

	/**
	 * 使用代理的Activity替换需要启动的未注册的Activity
	 * 在启动startActivity和AMS检测启动的页面之间,将未注册的Activity替换为已注册的Activity
	 */
	public static void hookAMS() {
		// Android10之前要适配
		try {
			//反射
			Class<?> clazz = Class.forName("android.app.ActivityTaskManager");
			Field singletonField = clazz.getDeclaredField("IActivityTaskManagerSingleton");

			singletonField.setAccessible(true);
			Object singleton = singletonField.get(null);

			Class<?> singletonClass = Class.forName("android.util.Singleton");
			Field mInstanceField = singletonClass.getDeclaredField("mInstance");
			mInstanceField.setAccessible(true);
			Method getMethod = singletonClass.getMethod("get");
			Object mInstance = getMethod.invoke(singleton);

			Class IActivityTaskManagerClass = Class.forName("android.app.IActivityTaskManager");

			//动态代理
			Object mInstanceProxy = Proxy.newProxyInstance(Thread.currentThread().getContextClassLoader(),
					new Class[]{IActivityTaskManagerClass}, new InvocationHandler() {
						@Override
						public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {

							if ("startActivity".equals(method.getName())) {
								int index = -1;

								// 获取 Intent 参数在 args 数组中的index值
								for (int i = 0; i < args.length; i++) {
									if (args[i] instanceof Intent) {
										index = i;
										break;
									}
								}
								// 生成代理proxyIntent -- 孙悟空(代理)的Intent
								Intent proxyIntent = new Intent();
								// 这个包名是宿主的
								proxyIntent.setClassName("com.tangkun.hook",
										ProxyActivity.class.getName());

								// 原始Intent能丢掉吗?保存原始的Intent对象
								Intent intent = (Intent) args[index];
								proxyIntent.putExtra(TARGET_INTENT, intent);

								// 使用proxyIntent替换数组中的Intent
								args[index] = proxyIntent;
							}

							// 原来流程
							return method.invoke(mInstance, args);
						}
					});

			// 用代理的对象替换系统的对象
			mInstanceField.set(singleton, mInstanceProxy);
		} catch (Exception e) {
			e.printStackTrace();
		}
	}

	/**
	 * 需要启动的未注册的Activity 替换回来  ProxyActivity
	 * 在AMS检测启动的Activity之后,Activity执行生命周期之前,将已注册页面替换成未注册的页面即可
	 */
	public static void hookHandler() {
		try {
			Class<?> clazz = Class.forName("android.app.ActivityThread");

			Field activityThreadField = clazz.getDeclaredField("sCurrentActivityThread");
			activityThreadField.setAccessible(true);
			Object activityThread = activityThreadField.get(null);

			Field mHField = clazz.getDeclaredField("mH");
			mHField.setAccessible(true);
			final Handler mH = (Handler) mHField.get(activityThread);

			Field mCallbackField = Handler.class.getDeclaredField("mCallback");
			mCallbackField.setAccessible(true);

			mCallbackField.set(mH, new Handler.Callback() {

				@Override
				public boolean handleMessage(Message msg) {
					switch (msg.what) {
						case 159:
							// msg.obj = ClientTransaction
							try {
								// 获取 List<ClientTransactionItem> mActivityCallbacks 对象
								Field mActivityCallbacksField = msg.obj.getClass()
										.getDeclaredField("mActivityCallbacks");
								mActivityCallbacksField.setAccessible(true);
								List mActivityCallbacks = (List) mActivityCallbacksField.get(msg.obj);

								for (int i = 0; i < mActivityCallbacks.size(); i++) {
									// 打印 mActivityCallbacks 的所有item:
									//android.app.servertransaction.WindowVisibilityItem
									//android.app.servertransaction.LaunchActivityItem

									// 如果是 LaunchActivityItem,则获取该类中的 mIntent 值,即 proxyIntent
									if (mActivityCallbacks.get(i).getClass().getName()
											.equals("android.app.servertransaction.LaunchActivityItem")) {
										Object launchActivityItem = mActivityCallbacks.get(i);
										Field mIntentField = launchActivityItem.getClass()
												.getDeclaredField("mIntent");
										mIntentField.setAccessible(true);
										Intent proxyIntent = (Intent) mIntentField.get(launchActivityItem);

										// 获取启动插件的 Intent,并替换回来
										Intent intent = proxyIntent.getParcelableExtra(TARGET_INTENT);
										if (intent != null) {
											mIntentField.set(launchActivityItem, intent);
										}
									}
								}
							} catch (Exception e) {
								e.printStackTrace();
							}
							break;
					}
					return false;
				}
			});
		} catch (Exception e) {
			e.printStackTrace();
		}
	}
}

使用方式:
在页面中通过startActivity方法启动未注册的页面前,调用这个工具类的这两个方法:HookUtil.hookAMS()HookUtil.hookHandler(),就可以启动未注册的页面,不过这里要注意版本适配问题,因为不同的Android SDK,源码不尽相同.

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/527874.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【KVM虚拟化】· 存储池、存储卷

【KVM虚拟化】· 存储池、存储卷

目录 &#x1f341;虚拟磁盘文件 &#x1f342;基于文件系统的KVM存储 &#x1f342;基于设备的KVM存储 &#x1f341;使用KVM存储池 &#x1f342;存储池概念 &#x1f341;virsh中存储池命令 &#x1f341;virsh中存储卷命令 &#x1f341;命令实例 &#x1f342;创建存储池 …
阅读更多...
一个开源的即时通讯应用 Tailchat

一个开源的即时通讯应用 Tailchat

今天给大家介绍一款即时通讯应用&#xff0c;这个开源项目是&#xff1a;Tailchat&#xff0c;它是一个基于 React Typescript 的现代开源 noIM 应用程序。 简单介绍 相信大家都或多或少了解过 Discord / Slack 这样大火的即时通讯应用。两者分别在各自的领域有很大的成就。…
阅读更多...
http强缓存和协商缓存的介绍和应用案例,简介明了

http强缓存和协商缓存的介绍和应用案例,简介明了

http强缓存和协商缓存的介绍和应用案例&#xff0c;简介明了 http缓存方式简介缓存机制案例1. Expires老版本的方式&#xff1a;2. cache-control新版本的方式&#xff1a;3.Etag和If-None-Match http缓存方式简介 强缓存&#xff1a;强缓存使用Expires&#xff08;老版本&…
阅读更多...
el-table实现可编辑表格的思路;el-table删除不正确:表格中的el-select下拉数据项有值,但输入框中value值不显示

el-table实现可编辑表格的思路;el-table删除不正确:表格中的el-select下拉数据项有值,但输入框中value值不显示

目录 一、问题 二、原因及解决方法 三、总结 tips:如嫌繁琐&#xff0c;直接看总结即可&#xff01; 一、问题 el-table实现可编辑表格的思路&#xff1a; 1.要写一个可编辑的表格&#xff1a;表格中的一列是下拉框。实现方法很简单&#xff1a;在el-table-column(elemen提…
阅读更多...
PMP课堂模拟题目及解析(第9期)

PMP课堂模拟题目及解析(第9期)

81. 一位经验丰富的项目经理在到达一个重大开发里程碑之前识别到一个问题&#xff0c;项目经理采取相应的行动&#xff0c;并能够按时解决问题。两周后&#xff0c;发起人通知项目经理&#xff0c;客户发出了处罚费。若要避免这个问题&#xff0c;项目经理应该事先做什么&…
阅读更多...
FGX Native 1.4.1.1 For Delphi Crack

FGX Native 1.4.1.1 For Delphi Crack

FGX Native 1.4.1.1 For Delphi Crack FGX Native Network Frame是制造跨平台和现代移动设备的强大工具。FG开发团队的主要目标是简化移动应用程序的开发&#xff0c;使大多数人都能以各种技能开发应用程序。此外&#xff0c;这种形式的网络最重要的功能可以在100%的用户界面中…
阅读更多...
CorelDRAW2020工作室版下载及新增功能介绍

CorelDRAW2020工作室版下载及新增功能介绍

CorelDRAW Graphics Suite 2020将基于人工智能的图形设计提升到一个全新水平。CorelDRAW 中增强了“查找和替换”\“对齐和分布”、阴影效果等功能。您喜欢的 Corel PHOTO-PAINT 功能 — 从遮罩、效果和透镜到“替换颜色”— 均已优化&#xff01; 针对操作系统的功能优化 Core…
阅读更多...
微信之小程序授权登录

微信之小程序授权登录

首先我要怒骂微信的后台开发 真的还是乱七八糟。 首先我们登录微信开发平台 选择要开发的类型 然后小程序登录&#xff1a;选择 微信小程序实现微信登录详解&#xff08;JAVA后台&#xff09;官方文档&#xff1a;https://developers.weixin.qq.com/miniprogram/dev/framework…
阅读更多...
玩转ChatGPT:魔改文章成果格式

玩转ChatGPT:魔改文章成果格式

一、写在前面 首先&#xff0c;我让小Chat替我吐槽一下&#xff1a; 科研人员天天都在填各种表格&#xff0c;简直成了我们的“表格王子”和“表格公主”。从申请项目、提交论文到汇报成果&#xff0c;表格无处不在。我们填表格的时候总是期待着它能让我们的工作更高效、更顺…
阅读更多...
Redis 内存消耗及回收

Redis 内存消耗及回收

Redis 是一个开源、高性能的 Key-Value 数据库&#xff0c;被广泛应用在服务器各种场景中。Redis 是一种内存数据库&#xff0c;将数据保存在内存中&#xff0c;读写效率要比传统的将数据保存在磁盘上的数据库要快很多。所以&#xff0c;监控 Redis 的内存消耗并了解 Redis 内存…
阅读更多...
tinyWebServer 学习笔记——四、日志系统

tinyWebServer 学习笔记——四、日志系统

文章目录 一、基础知识1. 概念2. API 二、代码解析1. 单例模式2. 阻塞队列3. 日志类定义4. 生成日志文件并判断写入方式5. 日志分级与分文件 参考文献 一、基础知识 1. 概念 流程图 [2] 日志&#xff1a;由服务器自动创建&#xff0c;用于记录运行状态和错误信息&#xff1b;同…
阅读更多...
C++系列六:运算符

C++系列六:运算符

C运算符 1. 算术运算符2. 关系运算符3. 逻辑运算符4. 按位运算符5. 取地址运算符6. 取内容运算符7. 成员选择符8. 作用域运算符9. 总结 1. 算术运算符 算术运算符用于执行基本数学运算&#xff0c;例如加减乘除和取模等操作。下表列出了C中支持的算术运算符&#xff1a; 运算…
阅读更多...
JSON+AJAX+ThreadLocal+文件上传下载

JSON+AJAX+ThreadLocal+文件上传下载

文章目录 JSON和AJAX文档介绍1. JSON介绍1.1 JSON快速入门1.2 JSON和字符串转换1.2.1 JSON转字符串1.2.2 字符串转JSON1.2.3 JSON和字符串转换细节 1.3 JSON在java中使用1.3.1 Java对象和JSON字符串转换1.3.2 List对象和JSON字符串转换1.3.3 Map对象和JSON字符串转换 2. Ajax介…
阅读更多...
DAY 58 数据库的存储引擎

DAY 58 数据库的存储引擎

存储引擎的概念 什么是存储引擎 MySQL中的数据用各种不下同的技术存储在文件中&#xff0c;每一种技术都使用不同的存储机制、索引技巧、锁定水平并最终提供不同的功能和能力&#xff0c;这些不同的技术以及配套的功能在MySQL中称为存储引擎。 存储引擎是MySQL将数据存储在文…
阅读更多...
JUC之volatile

JUC之volatile

作用&#xff1a;volatile是Java提供的一种轻量级的同步机制 保证内存可见性 不保证原子性 防止指令重排序 public class VolatileDemo {private static int num0;public static void main(String[] args) {new Thread(()->{while (num0){}},"A").start();try {…
阅读更多...
Spark大数据处理讲课笔记4.6 Spark SQL数据源 - JDBC

Spark大数据处理讲课笔记4.6 Spark SQL数据源 - JDBC

文章目录 零、本讲学习目标一、Spark SQL读取关系数据库二、Spark SQL JDBC连接属性三、创建数据库与表&#xff08;一&#xff09;创建数据库&#xff08;二&#xff09;创建学生表&#xff08;二&#xff09;创建成绩表 四、读取和写入数据库表&#xff08;一&#xff09;利用…
阅读更多...
力扣第 104 场双周赛 2681. 英雄的力量

力扣第 104 场双周赛 2681. 英雄的力量

原题链接力扣 题目大意&#xff1a;我开始看成连续子段了&#xff0c;写了个递归程序....... 一个数组任选一个子序列&#xff0c;子序列的力量值最大值平方*最小值。求所有子序列的力量和。 分析过程&#xff1a;如序列长度为n&#xff0c;子序列总数为2的n次幂&#xff0c…
阅读更多...
SpringCloud------zookeeper代替Eureka,zookeeper版本冲突解决(七)

SpringCloud------zookeeper代替Eureka,zookeeper版本冲突解决(七)

SpringCloud------zookeeper代替Eureka&#xff08;七&#xff09; SpringCloud整合zookeeper代替Eureka 注册中心zookeeper zookeeper是一个分布式协调工具&#xff0c;可以实现注册中心功能 关闭Linux服务器防火墙后&#xff0c;启动zookeeper服务器 zookeeper服务器取代Eur…
阅读更多...
mac桌面文件删除怎么恢复?别急,有办法!

mac桌面文件删除怎么恢复?别急,有办法!

大家是不是习惯于将临时要用的文件都存放在桌面上。虽然文件放在桌面上&#xff0c;可以方便我们随时调取&#xff0c;但是也容易出现误删除的情况&#xff0c;给我们带来麻烦。mac桌面文件删除怎么恢复&#xff1f;希望通过本篇教程&#xff0c;你能找回误删除的桌面文件。 案…
阅读更多...
script标签type值application/json,importmap和module

script标签type值application/json,importmap和module

type&#xff08;默认text/javascript&#xff09; 该属性定义 script 元素包含或src引用的脚本语言。属性的值为 MIME 类型&#xff08;媒体类型&#xff09;&#xff1b; 如果没有定义这个属性&#xff0c;脚本会被视作 JavaScript。 如果 MIME 类型不是 JavaScript 类型&a…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023