【Android】Binder 的 Oneway 拦截

作者：iofomo

2024-04-30
湖南
本文字数：4194 字
阅读完需：约 14 分钟

在某些虚拟化，免安装，打点，环境检测，拦截器等场景，针对Android系统服务接口的拦截是常用的技术方案。通常只是针对正向的接口调用，如果涉及被动的服务回调拦截，则实现起来就有些许麻烦。

说明

由于我们容器产品的特性，需要将应用完整的运行起来，所以必须要对各系统服务（超过100+系统服务）通信进行拦截过滤，修正和还原接口通信的数据。让系统和应用可以无感知运行，实现免安装运行的效果。

整个方案基本上都聚焦在服务模块主动调用的拦截上，系统回调的拦截涉及较少，但随着功能的深入，越来越需要对服务回调的接口（Binder for Oneway）进行拦截。在这里将整个通用的拦截方案和实现过程分享出来，希望对大家有益。

原理

Binder的Oneway回调机制，即应用进程向系统服务注册回调（通常注册和取消注册成对出现），当服务端有相应时间时，可以直接回调给改Binder对象实例。

如常见的AMS服务接口：

// source code: /frameworks/base/core/java/android/app/IActivityManager.aidlinterface IActivityManager {    // ...      Intent registerReceiver(IApplicationThread caller,                           String callerPackage,                           IIntentReceiver receiver,                          IntentFilter filter,                           String requiredPermission,                          int userId,                           int flags                         );  void unregisterReceiver(in IIntentReceiver receiver);    // ...}

复制代码

我们的目标：

拦截AMS的registerReceiver方法，将参数receiver通过Proxy创建一个新的扩展类对象传递出去。
为了参数校验通过，所以对象的类名是合法的（如：android.content.IIntentReceiver）
服务端实际拿到的是我们扩展的接口对象，因此当服务端，通过 Binder 数据还原成服务端的同名对象。
当服务端有事件回调时，则我们扩展的接口对象优先处理，然后再像原对象调用传递。
当应用注销回调时，同样需要将我们扩展的对象通知服务端解除。

1.0 方案：源码导入

由于通常系统接口类（如：IActivityManager.aidl，IPackageManager.aidl等）均为隐藏类，因此很自然的想法是将系统的aidl源文件导入到工程中。

配置好目录：

    sourceSets {        main {            aidl.srcDirs = ['src/main/aidl']        }    }

复制代码

编译后我们就可以连接该类，并进行继承扩展了，如：

public class StubIntentReceiver extends IIntentReceiver.Stub {    Object mOrigin;
    protected StubIntentReceiver(Object org) {        this.mOrigin = org;    }
    private static Method sMethod_performReceive;    public void performReceive(Intent intent, int resultCode, String data, Bundle extras, boolean ordered, boolean sticky, int sendingUser) throws RemoteException {        // TODO something here ...              if (null == sMethod_performReceive) {            sMethod_performReceive = ReflectUtils.getDeclaredMethod(                    mOrigin, "performReceive",                    Intent.class, int.class, String.class, Bundle.class, boolean.class, boolean.class, int.class            );        }        sMethod_performReceive.invoke(mOrigin, intent, resultCode, data, extras, ordered, sticky, sendingUser);    }
}

复制代码

对于IIntentReceiver.aidl的回调接口来说，这样就可以解决了，因为他满足了几个特性：

足够简单，就只有一个函数。
足够稳定，从9.0 ~ 14.0接口名和参数都一致。

然而更多的接口并非如此，接口类函数不仅仅是多个，而且不同版本类方法各异，同函数参数也都不相同，这才是常态，所以我们自然的解决方案就是：flavor。

2.0 方案：Flavor

既然每个版本可能不一致，那就编译多版本就可以解决了，如：

这样确实能解决多版本系统接口变化的问题，但同时带来了新的问题：

多版本的编译，维护，加载运行导致工作量成倍增加，是个灾难。
通常接口中我们感兴趣的只是其中一部分，其他的接口则是直接放过。
很多系统接口参数又是继承于Parcelable的对象，而该对象又为隐藏类，因此又需要继续导入关联的类确保编译运行正常，导致越来越臃肿。
某些接口厂商还会在该类定制新的接口，无法做到默认兼容。

3.0 方案：接口模板

我们对于复杂的方案生来恐惧，越复杂越做不稳定，所以我们的目标：

无需多版本编译，一套代码适配所有版本。
仅需处理我们关心的接口，对于其他接口默认可放过。

于是我们通过编译后的源码我们目标锁定在Binder的onTransact函数，如：

public interface IIntentReceiver extends android.os.IInterface{  /** Local-side IPC implementation stub class. */  public static abstract class Stub extends android.os.Binder implements android.content.IIntentReceiver  {    private static final java.lang.String DESCRIPTOR = "android.content.IIntentReceiver";    /** Construct the stub at attach it to the interface. */
    @Override     public boolean onTransact(int code,                               android.os.Parcel data,                              android.os.Parcel reply,                              int flags                             ) throws android.os.RemoteException    {      java.lang.String descriptor = DESCRIPTOR;      switch (code)      {        case TRANSACTION_performReceive:        {            data.enforceInterface(DESCRIPTOR);                        Intent _arg0;            if (0 != data.readInt()) {                _arg0 = Intent.CREATOR.createFromParcel(data);            } else {                _arg0 = null;            }
            int _arg1 = data.readInt();            String _arg2 = data.readString();            Bundle _arg3;            if (0 != data.readInt()) {                _arg3 = (Bundle)Bundle.CREATOR.createFromParcel(data);            } else {                _arg3 = null;            }
            boolean _arg4 = 0 != data.readInt();            boolean _arg5 = 0 != data.readInt();            int _arg6 = data.readInt();
              // call function here !!!            this.performReceive(_arg0, _arg1, _arg2, _arg3, _arg4, _arg5, _arg6);
            reply.writeNoException();            return true;        }        default:        {          return super.onTransact(code, data, reply, flags);        }      }    }      }

复制代码

于是我们的方案：

定义目标接口类（如：IIntentReceiver.aidl），该接口无方法，仅保持名字一致，目的只是为了编译出IIntentReceiver.class类。
定义扩展类继承于接口代理类。
重载实现onTransact方法，仅处理感兴趣的code（aidl文件编译后函数对应的编号），其他的默认调用原对象方法。

于是我们扩展实现类为：

import android.content.IIntentReceiver;import android.content.Intent;import android.os.Bundle;import android.os.IBinder;import android.os.Parcel;import android.text.TextUtils;
public class OnewayIIntentReceiver extends IIntentReceiver.Stub {    private final Object mArgument;    private static int TRANSACTION_performReceive = -1;
    public OnewayIIntentReceiver(Object org) {        mArgument = org;        if (TRANSACTION_performReceive < 0) {            TRANSACTION_performReceive = ReflectUtils.getMethodCode(org, "TRANSACTION_performReceive");        }    }
    @Override    public boolean onTransact(int code, Parcel data, Parcel reply, int flags) throws android.os.RemoteException {        if (TRANSACTION_performReceive == code) {            data.enforceInterface(getInterfaceDescriptor());            Intent _arg0;            if (0 != data.readInt()) {                _arg0 = Intent.CREATOR.createFromParcel(data);            } else {                _arg0 = null;            }
            int _arg1 = data.readInt();            String _arg2 = data.readString();            Bundle _arg3;            if (0 != data.readInt()) {                _arg3 = (Bundle)Bundle.CREATOR.createFromParcel(data);            } else {                _arg3 = null;            }
            boolean _arg4 = 0 != data.readInt();            boolean _arg5 = 0 != data.readInt();            int _arg6 = data.readInt();
            // do call origin            Method method = ReflectUtils.getDeclaredMethod(                    mArgument.mOrigin, "performReceive",                    Intent.class, int.class, String.class, Bundle.class, boolean.class, boolean.class, int.class            );            method.invoke(mOrigin, _arg0, _arg1, _arg2, _arg3, _arg4, _arg5, _arg6);
            reply.writeNoException();            return true;        }        return doTransact(code, data, reply, flags);    }      public boolean doTransact(int code, Parcel data, Parcel reply, int flags) {        Method method = ReflectUtils.getDeclaredMethod(                mOrigin, "onTransact",                int.class, Parcel.class, Parcel.class, int.class            );        }        try {            return (Boolean) method.invoke(mOrigin, code, data, reply, flags);        } catch (Throwable e) {            Logger.e(e);        }        return false;    }}

复制代码

至此，我们找到了相对简单，兼容性好的系统接口回调的拦截方案。

如果该服务为Native实现，则需要参考我们的另一篇文章 ☞ 深入Binder拦截 ☜ 来解决。

发布于: 刚刚阅读数: 4

原文链接:【http://xie.infoq.cn/article/b41463cf97c6e0cd1bfc5c293】。文章转载请联系作者。

iofomo

关注

开源技术爱好者 2023-12-04 加入

专注应用沙箱，虚拟化，云手机，逆向分析，数据采集，风控对抗，数据保护方向。

发布

暂无评论

创作场景

【Android】Binder 的 Oneway 拦截

说明

原理

1.0 方案：源码导入

2.0 方案：Flavor

3.0 方案：接口模板

iofomo

评论