日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網營銷解決方案
另一種繞過 Android P以上非公開API限制的辦法

去年發(fā)布的 Android P上引入了針對非公開API的限制,對開發(fā)者來說,這絕對是有史以來最重大的變化之一。前天 Google 發(fā)布了 Android Q 的 Beta 版,越來越多的 API 被加入了黑名單,而且 Google 要求下半年 app 必須 target 28,這意味著現(xiàn)在的深灰名單也會生效;可以預見,在不久的將來,我們要跟大量的 API 說再見了。

去年我給出了一種繞過Android P對非SDK接口限制的簡單方法,經驗證,這辦法在 Android Q 的 Beta 版上依然能正常使用。雖然這個方法需要進行內存搜索,理論上有可能失敗,但實際上它曾在 VirtualXposed 和 太極 中得到了較為廣泛的驗證,從未收到過由于反射失敗而導致問題的反饋。而且據我所知,有若干用戶量不少的 APP 在線上使用了我提供的 FreeReflection 庫,想來應該也是沒有問題的吧。

不過今天,我打算給出另外一種繞過限制的辦法。這個辦法目前來說是***方案,我個人使用了一個多月,不存在任何問題。

上次分析系統(tǒng)是如何施加這個限制 的時候,我們提到了幾種方式,最終給出了一種修改 runtime flag 的辦法;其中我們提到,系統(tǒng)有一個 fn_caller_is_trusted 條件:如果調用者是系統(tǒng)類,那么就允許被調用。這是顯而易見的,畢竟這些私有 API 就是給系統(tǒng)用的,如果系統(tǒng)自己都被拒絕了,這是在玩錘子呢?

也就是說,如果我們能以系統(tǒng)類的身份去反射,那么就能暢通無阻。問題是,我們如何以「系統(tǒng)的身份去反射」呢?一種最常見的辦法是,我們自己寫一個類,然后通過某種途徑把這個類的 ClassLoader 設置為系統(tǒng)的 ClassLoader,再借助這個類去反射其他類。但是這里的「通過某種途徑」依然要使用一些黑科技才能實現(xiàn),與修改 flags / inline hook 無本質區(qū)別。

以系統(tǒng)類的身份去反射 有兩個意思,1. 直接把我們自己變成系統(tǒng)類;2. 借助系統(tǒng)類去調用反射。我們一個個分析。

「直接把我們自己變成系統(tǒng)類」這個方式有童鞋可能覺得天方夜譚,APP 的類怎么可能成為系統(tǒng)類?但是,一定不要被自己的固有思維給局限,一切皆有可能!我們知道,對APP來說,所謂的系統(tǒng)類就是被 BootstrapClassLoader 加載的類,這個 ClassLoader 并非普通的 DexClassLoader,因此我們無法通過插入 dex path的方式注入類。但是,Android 的 ART 在 Android O 上引入了 JVMTI,JVMTI 提供了將某一個類轉換為 BootstrapClassLoader 中的類的方法!具體來說,我們寫一個類暴露反射相關的接口,然后通過 JVMTI 提供的 AddToBootstrapClassLoaderSearch將此類加入 BootstrapClassLoader 就實現(xiàn)目的了。不過,JVMTI 要在 release 版本的 APP 上運行依然需要 Hack,所以這種途徑與其他的黑科技無本質區(qū)別。

第二種方法,「借助系統(tǒng)的類去反射」也就是說,如果系統(tǒng)有一個方法systemMethod,這個systemMethod 去調用反射相反的方法,那么systemMethod毋庸置疑會反射成功。但是,我們從哪去找到這么一個方法給我們用?事實上,我們不僅能找到這樣的方法,而且這個方法能幫助我們調用任意的函數(shù),那就是反射本身!可能你已經繞暈了,我解釋一下:

首先,我們通過反射 API 拿到 getDeclaredMethod 方法。getDeclaredMethod 是 public 的,不存在問題;這個通過反射拿到的方法我們稱之為元反射方法。

然后,我們通過剛剛反射拿到元反射方法去反射調用 getDeclardMethod。這里我們就實現(xiàn)了以系統(tǒng)身份去反射的目的——反射相關的 API 都是系統(tǒng)類,因此我們的元反射方法也是被系統(tǒng)類加載的方法;所以我們的元反射方法調用的 getDeclardMethod 會被認為是系統(tǒng)調用的,可以反射任意的方法。

偽代碼如下:

 
 
 
      
  
  
  1. Method metaGetDeclaredMethod = 
    2.   
  
  
  2.         Class.class.getDeclaredMethod("getDeclardMethod"); // 公開API,無問題 
    3.   
  
  
  3. Method hiddenMethod = metaGetDeclaredMethod.invoke(hiddenClass, 
    4.   
  
  
  4.         "hiddenMethod", "hiddenMethod參數(shù)列表"); // 系統(tǒng)類通過反射使用隱藏 API,檢查直接通過。 
    5.   
  
  
  5. hiddenMethod.invoke // 正確找到 Method 直接反射調用 
    6.

到這里,我們已經能通過「元反射」的方式去任意獲取隱藏方法或者隱藏 Field 了。但是,如果我們所有使用的隱藏方法都要這么干,那還有點小麻煩。在 上文中,我們后來發(fā)現(xiàn),隱藏 API 調用還有「豁免」條件,具體代碼如下:

 
 
 
      
  
  
  1. if (shouldWarn || action == kDeny) { 
    2.   
  
  
  2.     if (member_signature.IsExempted(runtime->GetHiddenApiExemptions())) { 
    3.   
  
  
  3.       action = kAllow; 
    4.   
  
  
  4.       // Avoid re-examining the exemption list next time. 
    5.   
  
  
  5.       // Note this results in no warning for the member, which seems like what one would expect. 
    6.   
  
  
  6.       // Exemptions effectively adds new members to the whitelist. 
    7.   
  
  
  7.       MaybeWhitelistMember(runtime, member); 
    8.   
  
  
  8.       return kAllow; 
    9.   
  
  
  9.     } 
    10.   
  
  
  10.     // 略     
    11.   
  
  
    12.

只要 IsExempted 方法返回 true,就算這個方法在黑名單中,依然會被放行然后允許被調用。我們再觀察一下IsExempted方法:

 
 
 
      
  
  
  1. bool MemberSignature::IsExempted(const std::vector& exemptions) { 
    2.   
  
  
  2.   for (const std::string& exemption : exemptions) { 
    3.   
  
  
  3.     if (DoesPrefixMatch(exemption)) { 
    4.   
  
  
  4.       return true; 
    5.   
  
  
  5.     } 
    6.   
  
  
  6.   } 
    7.   
  
  
  7.   return false; 
    8.   
  
  
    9.

繼續(xù)跟蹤傳遞進來的參數(shù) runtime->GetHiddenApiExemptions() 發(fā)現(xiàn)這玩意兒也是 runtime 里面的一個參數(shù),既然如此,我們可以一不做二不休,仿照修改 runtime flag 的方式直接修改 hidden_api_exemptions_ 也能繞過去。但如果我們繼續(xù)跟蹤下去,會有個有趣的發(fā)現(xiàn):這個API 竟然是暴露到 Java 層的,有一個對應的 VMRuntime.setHiddenApiExemptions Java方法;也就是說,只要我們通過 VMRuntime.setHiddenApiExemptions 設置下豁免條件,我們就能愉快滴使用反射了。

再結合上面這個方法,我們只需要通過 「元反射」來反射調用 VMRuntime.setHiddenApiExemptions 就能將我們自己要使用的隱藏 API 全部都豁免掉了。更進一步,如果我們再觀察下上面的 IsExempted 方法里面調用的 DoesPrefixMatch,發(fā)現(xiàn)這玩意兒在對方法簽名進行前綴匹配;童鞋們,我們所有Java方法類的簽名都是以 L開頭啊!如果我們把直接傳個 L進去,所有的隱藏API全部被赦免了!

詳細代碼在這里:https://github.com/tiann/FreeReflection

理論上講,這個方案不存在兼容性問題。即使 ROM 刪掉了 setHiddenApiExemptions 方法,我們依然可以用「元反射」的方式去反射隱藏API,并且所有的代碼加起來不超過30行!當然,如果 Google 繼續(xù)改進驗證隱藏API調用的方法,這個方式可能會失效;但是目前的機制沒有問題。

文章的***,我想說的是,本文的目的不是刻意去繞過限制。不給思維設限、不給人生設限,才會有更多可能。


網頁標題:另一種繞過 Android P以上非公開API限制的辦法
地址分享:http://www.5511xx.com/article/cdoipch.html