Android 繞過反射黑名單的方法
Google 從 Android P 開始引入了針對(duì)非公開 API 的限制,這一點(diǎn)可以從 Native 相關(guān)的源碼中找到限制的原理,從而從中找到解決辦法,不過非必要原因不太建議去挑戰(zhàn)這種限制,畢竟不清楚在后續(xù)的版本中會(huì)不會(huì)做限制,維護(hù)起來挺麻煩的。
在 Native 層有幾個(gè)訪問級(jí)別:
class HiddenApiAccessFlags { public: enum ApiList { kWhitelist = 0, kLightGreylist, kDarkGreylist, kBlacklist, };}
另外還有幾個(gè)對(duì)應(yīng)的響應(yīng)級(jí)別:
enum Action { kAllow, //通過 kAllowButWarn, //通過,但日志警告 kAllowButWarnAndToast, //通過,且日志警告和彈窗 kDeny //拒絕訪問};
這里介紹一下網(wǎng)上的一些解決方式,此外,還可以把我們調(diào)用了反射方法的類的類加載器設(shè)置為系統(tǒng)類加載器,這樣就可以繞過 Native 層的限制了。
系統(tǒng)類偽裝黑名單在系統(tǒng)中有一個(gè) fn_caller_is_trusted 的條件:如果調(diào)用者是系統(tǒng)類,那么就允許被調(diào)用。即如果我們能以系統(tǒng)類的身份去反射,那么就能暢通無阻:
首先通過反射 API 拿到 getDeclaredMethod 方法。getDeclaredMethod 是 public 的,不存在問題;這個(gè)通過反射拿到的方法網(wǎng)上稱之為元反射方法。 然后通過剛剛的元反射方法去反射調(diào)用 getDeclardMethod。這里我們就實(shí)現(xiàn)了以系統(tǒng)身份去反射的目的——反射相關(guān)的 API 都是系統(tǒng)類,因此我們的元反射方法也是被系統(tǒng)類加載的方法;所以我們的元反射方法調(diào)用的 getDeclardMethod 會(huì)被認(rèn)為是系統(tǒng)調(diào)用的,可以反射任意的方法。偽代碼如下:
// 公開API,無問題Method metaGetDeclaredMethod = Class.class.getDeclaredMethod('getDeclardMethod');// 系統(tǒng)類通過反射使用隱藏 API,檢查直接通過。Method hiddenMethod = metaGetDeclaredMethod.invoke(hiddenClass, 'hiddenMethod', 'hiddenMethod參數(shù)列表');// 正確找到 Method 直接反射調(diào)用hiddenMethod.invoke豁免條件
隱藏 API 的調(diào)用有「豁免」條件,即只要它是豁免的,則即使它在黑名單中,也會(huì)被放行。這種方式暴露給了 Java 層,因此可以通過 VMRuntime.setHiddenApiExemptions 方法來實(shí)現(xiàn)。再結(jié)合上面這個(gè)方法,我們只需要通過 「元反射」 來反射調(diào)用 VMRuntime.setHiddenApiExemptions 就能將我們自己要使用的隱藏 API 全部都豁免掉了。另外系統(tǒng)在檢查豁免時(shí)是通過方法簽名進(jìn)行前綴匹配的,而 Java 方法簽名都是 L 開頭的,因此我們可以把直接傳個(gè) L 進(jìn)去,那么所有的隱藏API全部被赦免了!
源碼直接參考網(wǎng)上大佬的開源項(xiàng)目: FreeReflection。
public final class BootstrapClass { private static final String TAG = 'BootstrapClass'; private static Object sVmRuntime; private static Method setHiddenApiExemptions; static { if (SDK_INT >= Build.VERSION_CODES.P) { try {Method forName = Class.class.getDeclaredMethod('forName', String.class);Method getDeclaredMethod = Class.class.getDeclaredMethod('getDeclaredMethod', String.class, Class[].class);Class<?> vmRuntimeClass = (Class<?>) forName.invoke(null, 'dalvik.system.VMRuntime');Method getRuntime = (Method) getDeclaredMethod.invoke(vmRuntimeClass, 'getRuntime', null);setHiddenApiExemptions = (Method) getDeclaredMethod.invoke(vmRuntimeClass, 'setHiddenApiExemptions', new Class[]{String[].class});sVmRuntime = getRuntime.invoke(null); } catch (Throwable e) {Log.w(TAG, 'reflect bootstrap failed:', e); } } } /** * make the method exempted from hidden API check. * * @param method the method signature prefix. * @return true if success. */ public static boolean exempt(String method) { return exempt(new String[]{method}); } /** * make specific methods exempted from hidden API check. * * @param methods the method signature prefix, such as 'Ldalvik/system', 'Landroid' or even 'L' * @return true if success */ public static boolean exempt(String... methods) { if (sVmRuntime == null || setHiddenApiExemptions == null) { return false; } try { setHiddenApiExemptions.invoke(sVmRuntime, new Object[]{methods}); return true; } catch (Throwable e) { return false; } } /** * Make all hidden API exempted. * * @return true if success. */ public static boolean exemptAll() { return exempt(new String[]{'L'}); }}
以上就是Android 繞過反射黑名單的方法的詳細(xì)內(nèi)容,更多關(guān)于Android 繞過反射黑名單的資料請(qǐng)關(guān)注好吧啦網(wǎng)其它相關(guān)文章!
相關(guān)文章:
1. ASP動(dòng)態(tài)網(wǎng)頁制作技術(shù)經(jīng)驗(yàn)分享2. .Net Core和RabbitMQ限制循環(huán)消費(fèi)的方法3. JSP之表單提交get和post的區(qū)別詳解及實(shí)例4. Xml簡(jiǎn)介_動(dòng)力節(jié)點(diǎn)Java學(xué)院整理5. 詳解瀏覽器的緩存機(jī)制6. jsp文件下載功能實(shí)現(xiàn)代碼7. 如何在jsp界面中插入圖片8. phpstudy apache開啟ssi使用詳解9. jsp實(shí)現(xiàn)登錄驗(yàn)證的過濾器10. vue3+ts+elementPLus實(shí)現(xiàn)v-preview指令
