0
点赞
收藏
分享

微信扫一扫

【Android 安全】DEX 加密 ( Application 替换 | 兼容 ContentProvider 操作 | 源码资源 )



文章目录


  • ​​一、 命中 ActivityThread 中 installProvider 方法的分支三​​

  • ​​1、 原理分析​​
  • ​​2、 代码实现​​

  • ​​二、 在 ContextImpl 的 createPackageContext 方法执行前进行 Application 替换​​

  • ​​1、 原理分析​​
  • ​​2、 代码实现​​

  • ​​三、 完整代码示例​​
  • ​​四、日志分析​​
  • ​​五、源码资源​​




前两篇分析 ContentProvider 中的 Application 的博客 :


  • ​​【Android 安全】DEX 加密 ( Application 替换 | 分析 ContentProvider 组件中调用 getApplication() 获取的 Application )​​
  • ​​【Android 安全】DEX 加密 ( Application 替换 | 分析 ContentProvider 组件中调用 getApplication() 获取的 Application 二 )​​

ContentProvider 中替换 Application 的总结 :


  • ① 分支选择 :​ 首先要命中 ActivityThread 中 installProvider 方法的分支三 ;
  • ② Application 替换 :​ 然后要在 ContextImpl 的 createPackageContext 方法执行前进行一次 Application 替换 ;





一、 命中 ActivityThread 中 installProvider 方法的分支三




1、 原理分析



ActivityThread 中的 installProvider 方法中的三个分支如下 , 在上面的分析中 , 如果要使得分支一 ​​context.getPackageName().equals(ai.packageName)​​​ 与分支二 ​​mInitialApplication.getPackageName().equals(ai.packageName)​​​ , 都无法命中 , 就需要 Application 的 getPackageName 方法获取的包名不等于在 AndroidManifest.xml 中的包名 ​​ai.packageName​​ , 这里重写 ProxyApplication 的 getPackageName 方法 , 使该方法返回值为 “” 字符串 , 这样就无法命中前两个分支 , 只能进入 else 分支 ;



public final class ActivityThread {

private ContentProviderHolder installProvider(Context context,
ContentProviderHolder holder, ProviderInfo info,
boolean noisy, boolean noReleaseNeeded, boolean stable) {

// 该上下文对象很重要
Context c = null;
ApplicationInfo ai = info.applicationInfo;


// 该 context 是 ProxyApplication , 代理 Application
if (context.getPackageName().equals(ai.packageName)) {
// 在应用中配置的代理 Application 包名与真实 Application 包名都是相等的
// 该分支是命中的
c = context;
} else if (mInitialApplication != null &&
mInitialApplication.getPackageName().equals(ai.packageName)) {
// 该分支中 mInitialApplication 就是 Context context 参数 , 肯定不为空
// 该分支无法命中
c = mInitialApplication;
} else {

// 上述两个分支都无法命中 , 才进入该分支
// 需要将代理 Application 的包名 与 真实应用的包名设置成不同的
// 此时上面两个分支都无法命中
try {
c = context.createPackageContext(ai.packageName,
Context.CONTEXT_INCLUDE_CODE);
} catch (PackageManager.NameNotFoundException e) {
// Ignore
}
}

return retHolder;
}

}

参考路径 :​ ​​frameworks/base/core/java/android/app/ActivityThread.java​​




2、 代码实现



代码示例 :​ 暂时省略其余代码 ;

public class ProxyApplication extends Application {

@Override
public String getPackageName() {
if(TextUtils.isEmpty(app_name)){
// 如果 AndroidManifest.xml 中配置的 Application 全类名为空
// 那么 不做任何操作
}else{
// 如果 AndroidManifest.xml 中配置的 Application 全类名不为空
// 为了使 ActivityThread 的 installProvider 方法
// 无法命中如下两个分支
// 分支一 : context.getPackageName().equals(ai.packageName)
// 分支二 : mInitialApplication.getPackageName().equals(ai.packageName)
// 设置该方法返回值为空 , 上述两个分支就无法命中
return "";
}

return super.getPackageName();
}

}






二、 在 ContextImpl 的 createPackageContext 方法执行前进行 Application 替换




1、 原理分析



分支三中调用了 , context 的 createPackageContext(ai.packageName, Context.CONTEXT_INCLUDE_CODE) 方法 , 该方法在 ContextImpl 中定义 ;

在 ContextImpl 中的 createPackageContext 方法 , 调用了 createPackageContextAsUser 方法 , 调用了如下代码 , 创建 Context 上下文 ,

ContextImpl c = new ContextImpl(this, mMainThread, pi, null, mActivityToken, user,
flags, null);

上述代码中创建 ContextImpl 时 , 使用的 mMainThread , pi , 都没有替换过 Application , 因此分支三创建的 ContentProvider 对应的 Application 也是代理 Application , 替换前的 Application 对象 ;



class ContextImpl extends Context {

// 在该方法中调用了 createPackageContextAsUser 方法创建上下文
@Override
public Context createPackageContext(String packageName, int flags)
throws NameNotFoundException {
return createPackageContextAsUser(packageName, flags,
mUser != null ? mUser : Process.myUserHandle());
}

@Override
public Context createPackageContextAsUser(String packageName, int flags, UserHandle user)
throws NameNotFoundException {
if (packageName.equals("system") || packageName.equals("android")) {
// The system resources are loaded in every application, so we can safely copy
// the context without reloading Resources.
return new ContextImpl(this, mMainThread, mPackageInfo, null, mActivityToken, user,
flags, null);
}

// 注意该 LoadedApk 对象
LoadedApk pi = mMainThread.getPackageInfo(packageName, mResources.getCompatibilityInfo(),
flags | CONTEXT_REGISTER_PACKAGE, user.getIdentifier());
if (pi != null) {
// 创建新的 ContextImpl
// 此时还没有替换 Application
ContextImpl c = new ContextImpl(this, mMainThread, pi, null, mActivityToken, user,
flags, null);

final int displayId = mDisplay != null
? mDisplay.getDisplayId() : Display.DEFAULT_DISPLAY;

c.setResources(createResources(mActivityToken, pi, null, displayId, null,
getDisplayAdjustments(displayId).getCompatibilityInfo()));
if (c.mResources != null) {
return c;
}
}

// Should be a better exception.
throw new PackageManager.NameNotFoundException(
"Application package " + packageName + " not found");
}

}

源码路径 :​ ​​frameworks/base/core/java/android/app/ContextImpl.java​​

ContextImpl 中的 public Context createPackageContext(String packageName, int flags) 方法是公开方法 , 重写该方法 , 在重写的 createPackageContext 方法中 , 先进行一次 Application 替换 , 然后继续执行 super.createPackageContext 方法的后续操作 , 这样创建的 ContentProvider 中的上下文就是用户自定义的 MyApplication , 不再是 ProxyApplication ;

只有在创建 ContentProvider 时才调用到该 createPackageContext 方法 , 如果没有调用到该方法 , 说明该应用中没有配置 ContentProvider ;




2、 代码实现



代码实现 :​ 在 代理 Application 的中重写 ​​public Context createPackageContext(String packageName, int flags)​​ 方法 , 先替换 Application , 然后再继续向后执行 ;

这里建议 Application 替换操作 , 只执行一次 , 使用 ​​Application delegate​​ 是否为空 , 作为替换操作是否执行的标志 ;

public class ProxyApplication extends Application {

@Override
public void onCreate() {
super.onCreate();

// 如果之前没有替换过 , 执行 Application 替换操作
// 说明没有调用到 createPackageContext 方法
// 该 createPackageContext 方法只有在创建 ContentProvider 时才调用到
// 如果没有调用到 , 说明 AndroidManifest.xml 中没有配置 ContentProvider
// 此时需要在此处进行 Application 替换
if (delegate == null){
applicationExchange();
}

}

@Override
public Context createPackageContext(String packageName, int flags)
throws PackageManager.NameNotFoundException {
if(TextUtils.isEmpty(app_name)){
// 如果 AndroidManifest.xml 中配置的 Application 全类名为空
// 说明没有进行 dex 加密操作 , 返回父类方法执行即可
return super.createPackageContext(packageName, flags);
}else{
// 只有在创建 ContentProvider 时才调用到该 createPackageContext 方法 ,
// 如果没有调用到该方法 , 说明该应用中没有配置 ContentProvider ;
// 该方法不一定会调用到
// 先进行 Application 替换
applicationExchange();
// Application 替换完成之后 , 再继续向下执行创建 ContentProvider
return delegate;
}
}

/**
* 调用 applicationExchange 替换 Application
* 该成员就是替换后的 Application
*/
private Application delegate;

/**
* Application 替换主方法
*/
private void applicationExchange(){
}
}






三、 完整代码示例


完整代码示例 :

package kim.hsl.multipledex;

import android.app.Application;
import android.content.Context;
import android.content.pm.ApplicationInfo;
import android.content.pm.PackageManager;
import android.os.Build;
import android.os.Bundle;
import android.text.TextUtils;
import android.util.Log;

import java.io.File;
import java.io.IOException;
import java.lang.reflect.Array;
import java.lang.reflect.Field;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import java.util.ArrayList;
import java.util.List;

public class ProxyApplication extends Application {
public static final String TAG = "ProxyApplication";

/**
* 应用真实的 Application 全类名
*/
String app_name;

/**
* DEX 解密之后的目录名称
*/
String app_version;

/**
* 在 Application 在 ActivityThread 中被创建之后,
* 第一个调用的方法是 attachBaseContext 函数.
* 该函数是 Application 中最先执行的函数.
*/
@Override
protected void attachBaseContext(Context base) {
super.attachBaseContext(base);
try {
Log.i(TAG, "attachBaseContext");

/*
在该 Application 中主要进行两个操作 :
1 . 解密并加载多个 DEX 文件
2 . 将真实的 Application 替换成应用的主 Application
*/


/*
I . 解密与加载多 DEX 文件
先进行解密, 然后再加载解密之后的 DEX 文件

1. 先获取当前的 APK 文件
2. 然后解压该 APK 文件
*/

// 获取当前的 APK 文件, 下面的 getApplicationInfo().sourceDir 就是本应用 APK 安装文件的全路径
File apkFile = new File(getApplicationInfo().sourceDir);

// 获取在 app Module 下的 AndroidManifest.xml 中配置的元数据,
// 应用真实的 Application 全类名
// 解密后的 dex 文件存放目录
ApplicationInfo applicationInfo = null;

applicationInfo = getPackageManager().getApplicationInfo(
getPackageName(),
PackageManager.GET_META_DATA
);

Bundle metaData = applicationInfo.metaData;
if (metaData != null) {
// 检查是否存在 app_name 元数据
if (metaData.containsKey("app_name")) {
app_name = metaData.getString("app_name").toString();
}
// 检查是否存在 app_version 元数据
if (metaData.containsKey("app_version")) {
app_version = metaData.getString("app_version").toString();
}
}

// 创建用户的私有目录 , 将 apk 文件解压到该目录中
File privateDir = getDir(app_name + "_" + app_version, MODE_PRIVATE);

Log.i(TAG, "attachBaseContext 创建用户的私有目录 : " + privateDir.getAbsolutePath());

// 在上述目录下创建 app 目录
// 创建该目录的目的是存放解压后的 apk 文件的
File appDir = new File(privateDir, "app");

// app 中存放的是解压后的所有的 apk 文件
// app 下创建 dexDir 目录 , 将所有的 dex 目录移动到该 dexDir 目录中
// dexDir 目录存放应用的所有 dex 文件
// 这些 dex 文件都需要进行解密
File dexDir = new File(appDir, "dexDir");

// 遍历解压后的 apk 文件 , 将需要加载的 dex 放入如下集合中
ArrayList<File> dexFiles = new ArrayList<File>();

// 如果该 dexDir 不存在 , 或者该目录为空 , 并进行 MD5 文件校验
if (!dexDir.exists() || dexDir.list().length == 0) {
// 将 apk 中的文件解压到了 appDir 目录
ZipUtils.unZipApk(apkFile, appDir);


// 获取 appDir 目录下的所有文件
File[] files = appDir.listFiles();

Log.i(TAG, "attachBaseContext appDir 目录路径 : " + appDir.getAbsolutePath());
Log.i(TAG, "attachBaseContext appDir 目录内容 : " + files);

// 遍历文件名称集合
for (int i = 0; i < files.length; i++) {
File file = files[i];

Log.i(TAG, "attachBaseContext 遍历 " + i + " . " + file);

// 如果文件后缀是 .dex , 并且不是 主 dex 文件 classes.dex
// 符合上述两个条件的 dex 文件放入到 dexDir 中
if (file.getName().endsWith(".dex") &&
!TextUtils.equals(file.getName(), "classes.dex")) {
// 筛选出来的 dex 文件都是需要解密的
// 解密需要使用 OpenSSL 进行解密

// 获取该文件的二进制 Byte 数据
// 这些 Byte 数组就是加密后的 dex 数据
byte[] bytes = OpenSSL.getBytes(file);

// 解密该二进制数据, 并替换原来的加密 dex, 直接覆盖原来的文件即可
OpenSSL.decrypt(bytes, file.getAbsolutePath());

// 将解密完毕的 dex 文件放在需要加载的 dex 集合中
dexFiles.add(file);

// 拷贝到 dexDir 中

Log.i(TAG, "attachBaseContext 解密完成 被解密文件是 : " + file);

}// 判定是否是需要解密的 dex 文件
}// 遍历 apk 解压后的文件

} else {
// 已经解密完成, 此时不需要解密, 直接获取 dexDir 中的文件即可
for (File file : dexDir.listFiles()) {
dexFiles.add(file);
}
}

Log.i(TAG, "attachBaseContext 解密完成 dexFiles : " + dexFiles);

for (int i = 0; i < dexFiles.size(); i++) {
Log.i(TAG, i + " . " + dexFiles.get(i).getAbsolutePath());
}

// 截止到此处 , 已经拿到了解密完毕 , 需要加载的 dex 文件
// 加载自己解密的 dex 文件
loadDex(dexFiles, privateDir);

Log.i(TAG, "attachBaseContext 完成");
} catch (PackageManager.NameNotFoundException e) {
e.printStackTrace();
} catch (Exception e) {
e.printStackTrace();
}
}

/**
* 加载 dex 文件集合
* 这些 dex 文件已经解密
* 参考博客 : https://hanshuliang.blog.csdn.net/article/details/109608605
* <p>
* 创建自己的 Element[] dexElements 数组
* ( libcore/dalvik/src/main/java/dalvik/system/DexPathList.java )
* 然后将 系统加载的 Element[] dexElements 数组 与 我们自己的 Element[] dexElements 数组进行合并操作
*/
void loadDex(ArrayList<File> dexFiles, File optimizedDirectory)
throws
IllegalAccessException,
InvocationTargetException,
NoSuchFieldException,
NoSuchMethodException {
Log.i(TAG, "loadDex");
/*
需要执行的步骤
1 . 获得系统 DexPathList 中的 Element[] dexElements 数组
( libcore/dalvik/src/main/java/dalvik/system/DexPathList.java )
2 . 在本应用中创建 Element[] dexElements 数组 , 用于存放解密后的 dex 文件
3 . 将 系统加载的 Element[] dexElements 数组
与 我们自己的 Element[] dexElements 数组进行合并操作
4 . 替换 ClassLoader 加载过程中的 Element[] dexElements 数组 ( 封装在 DexPathList 中 )
*/


/*
1 . 获得系统 DexPathList 中的 Element[] dexElements 数组

第一阶段 : 在 Context 中调用 getClassLoader() 方法 , 可以拿到 PathClassLoader ;

第二阶段 : 从 PathClassLoader 父类 BaseDexClassLoader 中找到 DexPathList ;

第三阶段 : 获取封装在 DexPathList 类中的 Element[] dexElements 数组 ;

上述的 DexPathList 对象 是 BaseDexClassLoader 的私有成员
Element[] dexElements 数组 也是 DexPathList 的私有成员
因此只能使用反射获取 Element[] dexElements 数组
*/

// 阶段一二 : 调用 getClassLoader() 方法可以获取 PathClassLoader 对象
// 从 PathClassLoader 对象中获取 private final DexPathList pathList 成员
Field pathListField = ReflexUtils.reflexField(getClassLoader(), "pathList");
// 获取 classLoader 对象对应的 DexPathList pathList 成员
Object pathList = pathListField.get(getClassLoader());

//阶段三 : 获取封装在 DexPathList 类中的 Element[] dexElements 数组
Field dexElementsField = ReflexUtils.reflexField(pathList, "dexElements");
// 获取 pathList 对象对应的 Element[] dexElements 数组成员
Object[] dexElements = (Object[]) dexElementsField.get(pathList);



/*
2 . 在本应用中创建 Element[] dexElements 数组 , 用于存放解密后的 dex 文件
不同的 Android 版本中 , 创建 Element[] dexElements 数组的方法不同 , 这里需要做兼容

*/
Method makeDexElements;
Object[] addElements = null;

if (Build.VERSION.SDK_INT <=
Build.VERSION_CODES.M) { // 5.0, 5.1 makeDexElements

// 反射 5.0, 5.1, 6.0 版本的 DexPathList 中的 makeDexElements 方法
makeDexElements = ReflexUtils.reflexMethod(
pathList, "makeDexElements",
ArrayList.class, File.class, ArrayList.class);
ArrayList<IOException> suppressedExceptions = new ArrayList<IOException>();
addElements = (Object[]) makeDexElements.invoke(pathList, dexFiles,
optimizedDirectory,
suppressedExceptions);

} else if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.M) { // 7.0 以上版本 makePathElements

// 反射 7.0 以上版本的 DexPathList 中的 makeDexElements 方法
makeDexElements = ReflexUtils.reflexMethod(pathList, "makePathElements",
List.class, File.class, List.class);
ArrayList<IOException> suppressedExceptions = new ArrayList<IOException>();
addElements = (Object[]) makeDexElements.invoke(pathList, dexFiles,
optimizedDirectory,
suppressedExceptions);

}

/*
3 . 将 系统加载的 Element[] dexElements 数组
与 我们自己的 Element[] dexElements 数组进行合并操作

首先创建数组 , 数组类型与 dexElements 数组类型相同
将 dexElements 数组中的元素拷贝到 newElements 前半部分, 拷贝元素个数是 dexElements.size
将 addElements 数组中的元素拷贝到 newElements 后半部分, 拷贝元素个数是 dexElements.size
*/
Object[] newElements = (Object[]) Array.newInstance(
dexElements.getClass().getComponentType(),
dexElements.length + addElements.length);

// 将 dexElements 数组中的元素拷贝到 newElements 前半部分, 拷贝元素个数是 dexElements.size
System.arraycopy(dexElements, 0, newElements, 0, dexElements.length);

// 将 addElements 数组中的元素拷贝到 newElements 后半部分, 拷贝元素个数是 dexElements.size
System.arraycopy(addElements, 0, newElements, dexElements.length, addElements.length);


/*
4 . 替换 ClassLoader 加载过程中的 Element[] dexElements 数组 ( 封装在 DexPathList 中 )
*/
dexElementsField.set(pathList, newElements);

Log.i(TAG, "loadDex 完成");

}


@Override
public void onCreate() {
super.onCreate();

// 如果之前没有替换过 , 执行 Application 替换操作
// 说明没有调用到 createPackageContext 方法
// 该 createPackageContext 方法只有在创建 ContentProvider 时才调用到
// 如果没有调用到 , 说明 AndroidManifest.xml 中没有配置 ContentProvider
// 此时需要在此处进行 Application 替换
if (delegate == null){
applicationExchange();
}

}

@Override
public String getPackageName() {
if(TextUtils.isEmpty(app_name)){
// 如果 AndroidManifest.xml 中配置的 Application 全类名为空
// 那么 不做任何操作
}else{
// 如果 AndroidManifest.xml 中配置的 Application 全类名不为空
// 为了使 ActivityThread 的 installProvider 方法
// 无法命中如下两个分支
// 分支一 : context.getPackageName().equals(ai.packageName)
// 分支二 : mInitialApplication.getPackageName().equals(ai.packageName)
// 设置该方法返回值为空 , 上述两个分支就无法命中
return "";
}

return super.getPackageName();
}

@Override
public Context createPackageContext(String packageName, int flags)
throws PackageManager.NameNotFoundException {
if(TextUtils.isEmpty(app_name)){
// 如果 AndroidManifest.xml 中配置的 Application 全类名为空
// 说明没有进行 dex 加密操作 , 返回父类方法执行即可
return super.createPackageContext(packageName, flags);
}else{
// 只有在创建 ContentProvider 时才调用到该 createPackageContext 方法 ,
// 如果没有调用到该方法 , 说明该应用中没有配置 ContentProvider ;
// 该方法不一定会调用到
// 先进行 Application 替换
applicationExchange();
// Application 替换完成之后 , 再继续向下执行创建 ContentProvider
return delegate;
}
}

/**
* 调用 applicationExchange 替换 Application
* 该成员就是替换后的 Application
*/
private Application delegate;

/**
* Application 替换主方法
*/
private void applicationExchange(){
try {

/*
在此处进行 Application 替换
*/

// 先判断是否有配置 Application ,
// 那么在 Manifest.xml 中的 meta-data 元数据 app_name 不为空
// 如果开发者没有自定义 Application , 没有配置元数据 , 直接退出
if (TextUtils.isEmpty(app_name)) {
return;
}

// 获取上下文对象 , 保存下来 , 之后要使用
Context baseContext = getBaseContext();

// 通过反射获取 Application , 系统也是进行的反射操作
Class<?> delegateClass = Class.forName(app_name);

// 创建用户真实配置的 Application
delegate = (Application) delegateClass.newInstance();

// 调用 Application 的 attach 函数
// 该函数无法直接调用 , 也需要通过反射调用
// 这里先通过反射获取 Application 的 attach 函数
Method attach = Application.class.getDeclaredMethod("attach", Context.class);
// attach 方法是私有的 , 设置 attach 方法允许访问
attach.setAccessible(true);

// 获取上下文对象 ,
// 该 Context 是通过调用 Application 的 attachBaseContext 方法传入的 ContextImpl
// 将该上下文对象传入 Application 的 attach 方法中
attach.invoke(delegate, baseContext);


/*
参考 : https://hanshuliang.blog.csdn.net/article/details/111569017 博客
查询应该替换哪些对象中的哪些成员

截止到此处, Application 创建完毕 , 下面开始逐个替换下面的 Application

① ContextImpl 的 private Context mOuterContext
成员是 kim.hsl.multipledex.ProxyApplication 对象 ;

② ActivityThread 中的 ArrayList<Application> mAllApplications
集合中添加了 kim.hsl.multipledex.ProxyApplication 对象 ;

③ LoadedApk 中的 mApplication 成员是 kim.hsl.multipledex.ProxyApplication 对象 ;

④ ActivityThread 中的 Application mInitialApplication
成员是 kim.hsl.multipledex.ProxyApplication 对象 ;
*/

// I . 替换 ① ContextImpl 的 private Context mOuterContext
// 成员是 kim.hsl.multipledex.ProxyApplication 对象
Class<?> contextImplClass = Class.forName("android.app.ContextImpl");
// 获取 ContextImpl 中的 mOuterContext 成员
Field mOuterContextField = contextImplClass.getDeclaredField("mOuterContext");
// mOuterContext 成员是私有的 , 设置可访问性
mOuterContextField.setAccessible(true);
// ContextImpl 就是应用的 Context , 直接通过 getBaseContext() 获取即可
mOuterContextField.set(baseContext, delegate);




// II . 替换 ④ ActivityThread 中的 Application mInitialApplication
// 成员是 kim.hsl.multipledex.ProxyApplication 对象 ;
Class<?> activityThreadClass = Class.forName("android.app.ActivityThread");
// 获取 ActivityThread 中的 mInitialApplication 成员
Field mInitialApplicationField =
activityThreadClass.getDeclaredField("mInitialApplication");
// mInitialApplication 成员是私有的 , 设置可访问性
mInitialApplicationField.setAccessible(true);

// 从 ContextImpl 对象中获取其 ActivityThread mMainThread 成员变量
Field mMainThreadField = contextImplClass.getDeclaredField("mMainThread");
mMainThreadField.setAccessible(true);
// ContextImpl 就是本应用的上下文对象 , 调用 getBaseContext 方法获得
Object mMainThread = mMainThreadField.get(baseContext);

// ContextImpl 就是应用的 Context , 直接通过 getBaseContext() 获取即可
mInitialApplicationField.set(mMainThread, delegate);



// III . 替换 ② ActivityThread 中的 ArrayList<Application> mAllApplications
// 集合中添加了 kim.hsl.multipledex.ProxyApplication 对象 ;

// 获取 ActivityThread 中的 mAllApplications 成员
Field mAllApplicationsField =
activityThreadClass.getDeclaredField("mAllApplications");
// mAllApplications 成员是私有的 , 设置可访问性
mAllApplicationsField.setAccessible(true);

// 获取 ActivityThread 中的 ArrayList<Application> mAllApplications 队列
ArrayList<Application> mAllApplications =
(ArrayList<Application>) mAllApplicationsField.get(mMainThread);
// 将真实的 Application 添加到上述队列中
mAllApplications.add(delegate);



// IV . 替换 ③ LoadedApk 中的 mApplication
// 成员是 kim.hsl.multipledex.ProxyApplication 对象

// 1. 先获取 LoadedApk 对象
// LoadedApk 是 ContextImpl 中的 LoadedApk mPackageInfo 成员变量
// 从 ContextImpl 对象中获取其 LoadedApk mPackageInfo 成员变量
Field mPackageInfoField = contextImplClass.getDeclaredField("mPackageInfo");
mPackageInfoField.setAccessible(true);
// ContextImpl 就是本应用的上下文对象 , 调用 getBaseContext 方法获得
Object mPackageInfo = mPackageInfoField.get(baseContext);

// 2. 获取 LoadedApk 对象中的 mApplication 成员
Class<?> loadedApkClass = Class.forName("android.app.LoadedApk");
// 获取 ActivityThread 中的 mInitialApplication 成员
Field mApplicationField =
loadedApkClass.getDeclaredField("mApplication");
// LoadedApk 中的 mApplication 成员是私有的 , 设置可访问性
mApplicationField.setAccessible(true);

// 3. 将 Application 设置给 LoadedApk 中的 mApplication 成员
mApplicationField.set(mPackageInfo, delegate);


// V . 下一步操作替换替换 ApplicationInfo 中的 className , 该操作不是必须的 , 不替换也不会报错
// 在应用中可能需要操作获取应用的相关信息 , 如果希望获取准确的信息 , 需要替换 ApplicationInfo
// ApplicationInfo 在 LoadedApk 中

Field mApplicationInfoField = loadedApkClass.getDeclaredField("mApplicationInfo");
// 设置该字段可访问
mApplicationInfoField.setAccessible(true);

// mPackageInfo 就是 LoadedApk 对象
// mApplicationInfo 就是从 LoadedApk 对象中获得的 mApplicationInfo 字段
ApplicationInfo mApplicationInfo = (ApplicationInfo) mApplicationInfoField.get(mPackageInfo);

// 设置 ApplicationInfo 中的 className 字段值
mApplicationInfo.className = app_name;


// 再次调用 onCreate 方法
delegate.onCreate();

} catch (ClassNotFoundException e) {
e.printStackTrace();
} catch (IllegalAccessException e) {
e.printStackTrace();
} catch (InstantiationException e) {
e.printStackTrace();
} catch (NoSuchMethodException e) {
e.printStackTrace();
} catch (InvocationTargetException e) {
e.printStackTrace();
} catch (NoSuchFieldException exception) {
exception.printStackTrace();
}
}
}






四、日志分析


修改后再次分析 ContentProvider 中的 Application 是替换后的 MyApplication ;

【Android 安全】DEX 加密 ( Application 替换 | 兼容 ContentProvider 操作 | 源码资源 )_dex 加密

2021-04-05 19:31:27.928 15336-15336/kim.hsl.dex I/octopus.MyApplication: Application : kim.hsl.dex.MyApplication@5439ba9
2021-04-05 19:31:27.929 15336-15336/kim.hsl.dex I/octopus.MyApplication: ApplicationContext : kim.hsl.dex.MyApplication@5439ba9
2021-04-05 19:31:27.929 15336-15336/kim.hsl.dex I/octopus.MyApplication: ApplicationInfo.className : kim.hsl.dex.MyApplication
2021-04-05 19:31:27.929 15336-15336/kim.hsl.dex I/octopus.MyProvider: Application : kim.hsl.dex.MyApplication@5439ba9
2021-04-05 19:31:27.929 15336-15336/kim.hsl.dex I/octopus.MyProvider: ApplicationContext : kim.hsl.dex.MyApplication@5439ba9
2021-04-05 19:31:27.929 15336-15336/kim.hsl.dex I/octopus.MyProvider: ApplicationInfo.className : kim.hsl.dex.MyApplication
2021-04-05 19:31:28.030 15336-15336/kim.hsl.dex I/octopus.MainActivity: Application : kim.hsl.dex.MyApplication@5439ba9
2021-04-05 19:31:28.030 15336-15336/kim.hsl.dex I/octopus.MainActivity: ApplicationContext : kim.hsl.dex.MyApplication@5439ba9
2021-04-05 19:31:28.030 15336-15336/kim.hsl.dex I/octopus.MainActivity: ApplicationInfo.className : kim.hsl.dex.MyApplication
2021-04-05 19:31:28.033 15336-15336/kim.hsl.dex E/octopus.MyProvider: MyProvider delete : kim.hsl.dex.MyApplication@5439ba9
2021-04-05 19:31:28.051 15336-15336/kim.hsl.dex I/octopus.MyService: Application : kim.hsl.dex.MyApplication@5439ba9
2021-04-05 19:31:28.051 15336-15336/kim.hsl.dex I/octopus.MyService: ApplicationContext : kim.hsl.dex.MyApplication@5439ba9
2021-04-05 19:31:28.051 15336-15336/kim.hsl.dex I/octopus.MyService: ApplicationInfo.className : kim.hsl.dex.MyApplication
2021-04-05 19:31:28.052 15336-15336/kim.hsl.dex I/octopus.MyBroadCastReciver: reciver:android.app.ReceiverRestrictedContext@e207566
2021-04-05 19:31:28.052 15336-15336/kim.hsl.dex I/octopus.MyBroadCastReciver: reciver:kim.hsl.dex.MyApplication@5439ba9
2021-04-05 19:31:28.052 15336-15336/kim.hsl.dex I/octopus.MyBroadCastReciver: reciver:kim.hsl.dex.MyApplication






五、源码资源


DEX 加密源码资源 :


  • GitHub 地址 :​ ​​https://github.com/han1202012/DexEncryption​​

  • 注意事项 :​ DexEncryption\multiple-dex-tools\src\main\java\kim\hsl\multiple_dex_tools 中的 Main.kt 中 , sdkDirectory 修改成你自己电脑上的 SDK 配置 , 需要使用其中的 build-tools 下的 签名工具 , 对齐工具 等 ;
val sdkDirectory = "Y:/001_DevelopTools/002_Android_SDK/"
  • 执行流程 :​ 先按照 ​​【Android 安全】DEX 加密 ( Java 工具开发 | 加密解密算法 API | 编译代理 Application 依赖库 | 解压依赖库 aar 文件 )​​ 生成依赖库的 aar 文件 , 然后选择 菜单栏 -> Build -> Build Bundle(s) / APK (s) 选项 , 最后执行 DexEncryption\multiple-dex-tools\src\main\java\kim\hsl\multiple_dex_tools 中的 Main.kt 文件 ;

【Android 安全】DEX 加密 ( Application 替换 | 兼容 ContentProvider 操作 | 源码资源 )_Android 安全_02



举报

相关推荐

Android10.0 ContentProvider源码分析

0 条评论