【Android 安全】DEX 加密 ( Application 替换 | 分析 ContentProvider 组件中调用 getApplication() 获取的 Application 二 )
文章目錄
- 一、 ActivityThread 中的 installProvider 方法 ( 創建 ContentProvider 內容提供者 )
- 二、 installProvider 方法的第三分支分析
- 三、 ContextImpl 中 createPackageContext 方法分析
- 四、ContentProvider 中替換 Application 的總結
前置博客 : 【Android 安全】DEX 加密 ( Application 替換 | 分析 ContentProvider 組件中調用 getApplication() 獲取的 Application )
一、 ActivityThread 中的 installProvider 方法 ( 創建 ContentProvider 內容提供者 )
在 installProvider 方法中 , 通過 反射創建 ContentProvider ;
// ★ 反射創建 ContentProvider localProvider = (ContentProvider)cl.loadClass(info.name).newInstance();在 創建 ContentProvider 之后 , 調用了 attachInfo 函數 , 注意此處與 Activity , Service , BrocastReceiver 不同 , 這三個組件創建后調用的是 attach 函數 ;
// XXX Need to create the correct context for this provider. // ★ 創建 ContentProvider 之后 , 調用了 attachInfo 函數 // 注意此處與 Activity , Service , BrocastReceiver 不同 , // 這三個組件創建后調用的是 attach 函數 localProvider.attachInfo(c, info);這里分析 attachInfo 中的 c 參數 , 也就是 Context 上下文的獲取過程 :
聲明空的 Context c 對象 ,
// ★ 該上下文對象很重要 Context c = null;獲取 ApplicationInfo 信息 ApplicationInfo ai , 即 AndroidManifest.xml 中配置的 application 節點信息
// 該 ApplicationInfo 是 AndroidManifest.xml 中配置的 application 節點信息 ApplicationInfo ai = info.applicationInfo;進行如下三個分支的判定 :
- 分支一 : if (context.getPackageName().equals(ai.packageName)) : 在應用中配置的代理 Application 包名與真實 Application 包名都是相等的 ;
- 分之二 : else if (mInitialApplication != null && mInitialApplication.getPackageName().equals(ai.packageName)) : 與分支一類似 , 也是要求包名相等 ;
- 分支三 : 上面兩個分支沒有命中 , 就執行第三個分支 ;
上面的分支一 與 分支二 都是將 代理 Application 分支 , 因此必須要命中第三個分支 ;
如果將 代理 Application 的 getPackageName() 獲取包名的方法返回空 , 此時肯定無法命中前兩個分支 , 只能命中第三分支 ;
相關代碼示例 :
public final class ActivityThread {/*** Installs the provider.** Providers that are local to the process or that come from the system server* may be installed permanently which is indicated by setting noReleaseNeeded to true.* Other remote providers are reference counted. The initial reference count* for all reference counted providers is one. Providers that are not reference* counted do not have a reference count (at all).** This method detects when a provider has already been installed. When this happens,* it increments the reference count of the existing provider (if appropriate)* and returns the existing provider. This can happen due to concurrent* attempts to acquire the same provider.*/private ContentProviderHolder installProvider(Context context,ContentProviderHolder holder, ProviderInfo info,boolean noisy, boolean noReleaseNeeded, boolean stable) {// ★ 聲明 ContentProvider ContentProvider localProvider = null;IContentProvider provider;if (holder == null || holder.provider == null) {if (DEBUG_PROVIDER || noisy) {Slog.d(TAG, "Loading provider " + info.authority + ": "+ info.name);}// 該上下文對象很重要 Context c = null;ApplicationInfo ai = info.applicationInfo;// 該 context 是 ProxyApplication , 代理 Application if (context.getPackageName().equals(ai.packageName)) {// 在應用中配置的代理 Application 包名與真實 Application 包名都是相等的// 該分支是命中的 c = context;} else if (mInitialApplication != null &&mInitialApplication.getPackageName().equals(ai.packageName)) {// 該分支中 mInitialApplication 就是 Context context 參數 , 肯定不為空 // 該分支無法命中 c = mInitialApplication;} else {// 上述兩個分支都無法命中 , 才進入該分支 // 需要將代理 Application 的包名 與 真實應用的包名設置成不同的// 此時上面兩個分支都無法命中 try {c = context.createPackageContext(ai.packageName,Context.CONTEXT_INCLUDE_CODE);} catch (PackageManager.NameNotFoundException e) {// Ignore}}if (c == null) {Slog.w(TAG, "Unable to get context for package " +ai.packageName +" while loading content provider " +info.name);return null;}try {final java.lang.ClassLoader cl = c.getClassLoader();// ★ 反射創建 ContentProvider localProvider = (ContentProvider)cl.loadClass(info.name).newInstance();provider = localProvider.getIContentProvider();if (provider == null) {Slog.e(TAG, "Failed to instantiate class " +info.name + " from sourceDir " +info.applicationInfo.sourceDir);return null;}if (DEBUG_PROVIDER) Slog.v(TAG, "Instantiating local provider " + info.name);// XXX Need to create the correct context for this provider.// ★ 創建 ContentProvider 之后 , 調用了 attachInfo 函數 // 注意此處與 Activity , Service , BrocastReceiver 不同 , // 這三個組件創建后調用的是 attach 函數localProvider.attachInfo(c, info);} catch (java.lang.Exception e) {return null;}} else {}return retHolder;}}參考路徑 : frameworks/base/core/java/android/app/ActivityThread.java
二、 installProvider 方法的第三分支分析
下面代碼中的三個分支就是給 ContentProvider 組件設置 Application 上下文的代碼 ;
public final class ActivityThread {private ContentProviderHolder installProvider(Context context,ContentProviderHolder holder, ProviderInfo info,boolean noisy, boolean noReleaseNeeded, boolean stable) {// 該上下文對象很重要 Context c = null;ApplicationInfo ai = info.applicationInfo;// 該 context 是 ProxyApplication , 代理 Application if (context.getPackageName().equals(ai.packageName)) {// 在應用中配置的代理 Application 包名與真實 Application 包名都是相等的// 該分支是命中的 c = context;} else if (mInitialApplication != null &&mInitialApplication.getPackageName().equals(ai.packageName)) {// 該分支中 mInitialApplication 就是 Context context 參數 , 肯定不為空 // 該分支無法命中 c = mInitialApplication;} else {// 上述兩個分支都無法命中 , 才進入該分支 // 需要將代理 Application 的包名 與 真實應用的包名設置成不同的// 此時上面兩個分支都無法命中 try {c = context.createPackageContext(ai.packageName,Context.CONTEXT_INCLUDE_CODE);} catch (PackageManager.NameNotFoundException e) {// Ignore}}return retHolder;}}參考路徑 : frameworks/base/core/java/android/app/ActivityThread.java
在上面的分析中 , 如果要使得分支一 context.getPackageName().equals(ai.packageName) 與分支二 mInitialApplication.getPackageName().equals(ai.packageName) , 都無法命中 , 就需要 Application 的 getPackageName 方法獲取的包名不等于在 AndroidManifest.xml 中的包名 ai.packageName , 這里重寫 ProxyApplication 的 getPackageName 方法 , 使該方法返回值為 “” 字符串 , 這樣就無法命中前兩個分支 , 只能進入 else 分支 ;
三、 ContextImpl 中 createPackageContext 方法分析
繼續分析 分支三 中的內容 , 如果 Application 的 getPackageName 方法返回 “” , 將導致分支一二都沒有命中 , 進入分支三 ;
public final class ActivityThread {private ContentProviderHolder installProvider(Context context,ContentProviderHolder holder, ProviderInfo info,boolean noisy, boolean noReleaseNeeded, boolean stable) {// 該上下文對象很重要 Context c = null;ApplicationInfo ai = info.applicationInfo;// 該 context 是 ProxyApplication , 代理 Application if (context.getPackageName().equals(ai.packageName)) {} else if (mInitialApplication != null &&mInitialApplication.getPackageName().equals(ai.packageName)) {} else {// 上述兩個分支都無法命中 , 才進入該分支 // 需要將代理 Application 的包名 與 真實應用的包名設置成不同的// 此時上面兩個分支都無法命中 try {c = context.createPackageContext(ai.packageName,Context.CONTEXT_INCLUDE_CODE);} catch (PackageManager.NameNotFoundException e) {// Ignore}}return retHolder;}}參考路徑 : frameworks/base/core/java/android/app/ActivityThread.java
分支三中調用了 , context 的 createPackageContext(ai.packageName, Context.CONTEXT_INCLUDE_CODE) 方法 , 該方法在 ContextImpl 中定義 ;
在 ContextImpl 中的 createPackageContext 方法 , 調用了 createPackageContextAsUser 方法 , 調用了如下代碼 , 創建 Context 上下文 ,
ContextImpl c = new ContextImpl(this, mMainThread, pi, null, mActivityToken, user,flags, null);上述代碼中創建 ContextImpl 時 , 使用的 mMainThread , pi , 都沒有替換過 Application , 因此分支三創建的 ContentProvider 對應的 Application 也是代理 Application , 替換前的 Application 對象 ;
class ContextImpl extends Context {// 在該方法中調用了 createPackageContextAsUser 方法創建上下文@Overridepublic Context createPackageContext(String packageName, int flags)throws NameNotFoundException {return createPackageContextAsUser(packageName, flags,mUser != null ? mUser : Process.myUserHandle());}@Overridepublic Context createPackageContextAsUser(String packageName, int flags, UserHandle user)throws NameNotFoundException {if (packageName.equals("system") || packageName.equals("android")) {// The system resources are loaded in every application, so we can safely copy// the context without reloading Resources.return new ContextImpl(this, mMainThread, mPackageInfo, null, mActivityToken, user,flags, null);}// 注意該 LoadedApk 對象LoadedApk pi = mMainThread.getPackageInfo(packageName, mResources.getCompatibilityInfo(),flags | CONTEXT_REGISTER_PACKAGE, user.getIdentifier());if (pi != null) {// 創建新的 ContextImpl // 此時還沒有替換 Application ContextImpl c = new ContextImpl(this, mMainThread, pi, null, mActivityToken, user,flags, null);final int displayId = mDisplay != null? mDisplay.getDisplayId() : Display.DEFAULT_DISPLAY;c.setResources(createResources(mActivityToken, pi, null, displayId, null,getDisplayAdjustments(displayId).getCompatibilityInfo()));if (c.mResources != null) {return c;}}// Should be a better exception.throw new PackageManager.NameNotFoundException("Application package " + packageName + " not found");}}
源碼路徑 : frameworks/base/core/java/android/app/ContextImpl.java
ContextImpl 中的 public Context createPackageContext(String packageName, int flags) 方法是公開方法 , 重寫該方法 , 在重寫的 createPackageContext 方法中 , 先進行一次 Application 替換 , 然后繼續執行 super.createPackageContext 方法的后續操作 , 這樣創建的 ContentProvider 中的上下文就是用戶自定義的 MyApplication , 不再是 ProxyApplication ;
只有在創建 ContentProvider 時才調用到該 createPackageContext 方法 , 如果沒有調用到該方法 , 說明該應用中沒有配置 ContentProvider ;
四、ContentProvider 中替換 Application 的總結
ContentProvider 中替換 Application 的總結 :
- ① 分支選擇 : 首先要命中 ActivityThread 中 installProvider 方法的分支三 ;
- ② Application 替換 : 然后要在 ContextImpl 的 createPackageContext 方法執行前進行一次 Application 替換 ;
總結
以上是生活随笔為你收集整理的【Android 安全】DEX 加密 ( Application 替换 | 分析 ContentProvider 组件中调用 getApplication() 获取的 Application 二 )的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【Android 安全】DEX 加密 (
- 下一篇: 【Android 安全】DEX 加密 (