android穿越之旅--如何弹出一个非比寻常的窗体
上一篇中介绍了一种闻所未闻在android执行java命令的方法,虽然这是一种非常"高级"的技术,然后并没有什么卵用,因此被移除了博客园首页。实际上也并不是一点用处也没有,对已立即安卓的原理还是很有帮助的。
这一篇继续介绍一种更加"高级"的技术,在android中弹出一个非同寻常的窗体,这个窗体可不是一般的窗体,因为已经穿越到了android fragment层了,因此称之为SupperWindows,没有apk文件,不经过安装,这个窗体将凭空出现!
之所以要弹这样的窗体是应为之前看到一篇介绍WindowManagerService的文章,通过这样的窗体来说面WindowManagerService的工作机制。
原文地址:http://blog.csdn.net/innost/article/details/47660193
由于使用了framework层的代码,文中的代码是在android源码环境下编译的。
由于编译android源码是一件非常麻烦的事,当时就想有没有其他的办法可以编译呢,因为之前搞代码注入的时候也用了fragment层,不用在源代码的环境也是可以编译的,并且执行代码的方式和我之前用的一样,同样是通过app_process。
在编写上一遍文的时候,我突然想到,为什么不测试一下看看呢。
一开始我想把系统目录下的jar吧拿出来反编译一下得到非dex格式的jar包,这样就可以加到lib里,这样依赖的函数就能找到。
但在android5.0的设备上我发现jar包里并没有内容,拿出也没什么用,于是又换了个android4.2的设备,4.2的/system/fragment目录下和jar同命的还有.odex的文件,于是通过.odex文件最终得到可以用的jar包。
之前正式通过这样的方式来操作的,但是编译弹出窗体的代码却不行,有一些接口类找不到,这些类是由aidl生产的反编译并不能得到这些类。
不过幸运的是,在搜索这些aidl文件的时候,看到了一个网站,可以直接下载内容比较全的fragment层代码包括aidl自动生成的接口类。
http://grepcode.com/snapshot/repository.grepcode.com/java/ext/com.google.android/android/4.2_r1/
选择"Binary download",下载后直接放到lib下就可以解决依赖的问题。上面的地址是4.2的源代码。
解决了依赖的问题,那么要如何编译呢。
新建一个java工程,建立SupperWindows.java类,package为com,把之前WindowManagerService文章中代码拷贝过来。
package com;
import android.content.Context;
import android.content.res.Configuration;
import android.graphics.*;
import android.hardware.display.IDisplayManager;
import android.os.*;
import android.view.*;
public class SuperWindows {
public static void main(String[] args) {
System.out.println("Hello SuperWindows");
try {
//SampleWindow.Run()是这个程序的主入口
new SuperWindows().Run();
} catch (Exception e) {
e.printStackTrace();
}
}
//IWindowSession 是客户端向WMS请求窗口操作的中间代理,并且是进程唯一的
IWindowSession mSession = null;
//InputChannel 是窗口接收用户输入事件的管道。在第5章中将对其进行详细的探讨
InputChannel mInputChannel = new InputChannel();
// 下面的三个Rect保存了窗口的布局结果。其中mFrame表示了窗口在屏幕上的位置与尺寸
// 在4.4中将详细介绍它们的作用以及计算原理
Rect mInsets = new Rect();
Rect mFrame = new Rect();
Rect mVisibleInsets = new Rect();
Configuration mConfig = new Configuration();
// 窗口的Surface,在此Surface上进行的绘制都将在此窗口上显示出来
Surface mSurface = new Surface();
// 用于在窗口上进行绘图的画刷
Paint mPaint = new Paint();
// 添加窗口所需的令牌,在4.2节将会对其进行介绍
IBinder mToken = new Binder();
// 一个窗口对象,本例演示了如何将此窗口添加到WMS中,并在其上进行绘制操作
MyWindow mWindow = new MyWindow();
//WindowManager.LayoutParams定义了窗口的布局属性,包括位置、尺寸以及窗口类型等
WindowManager.LayoutParams mLp = new WindowManager.LayoutParams();
Choreographer mChoreographer = null;
//InputHandler 用于从InputChannel接收按键事件做出响应
InputHandler mInputHandler = null;
boolean mContinueAnime = true;
public void Run() throws Exception{
Looper.prepare();
// 获取WMS服务
IWindowManager wms = IWindowManager.Stub.asInterface(
ServiceManager.getService(Context.WINDOW_SERVICE));
// 通过WindowManagerGlobal获取进程唯一的IWindowSession实例。它将用于向WMS
// 发送请求。注意这个函数在较早的Android版本(如4.1)位于ViewRootImpl类中
mSession= WindowManagerGlobal.getWindowSession(Looper.myLooper());
// 获取屏幕分辨率
IDisplayManager dm = IDisplayManager.Stub.asInterface(
ServiceManager.getService(Context.DISPLAY_SERVICE));
DisplayInfo di = dm.getDisplayInfo(Display.DEFAULT_DISPLAY);
Point scrnSize = new Point(di.appWidth, di.appHeight);
// 初始化WindowManager.LayoutParams
initLayoutParams(scrnSize);
// 将新窗口添加到WMS
installWindow(wms);
// 初始化Choreographer的实例,此实例为线程唯一。这个类的用法与Handler
// 类似,不过它总是在VSYC同步时回调,所以比Handler更适合做动画的循环器[1]
mChoreographer= Choreographer.getInstance();
// 开始处理第一帧的动画
scheduleNextFrame();
// 当前线程陷入消息循环,直到Looper.quit()
Looper.loop();
// 标记不要继续绘制动画帧
mContinueAnime= false;
// 卸载当前Window
uninstallWindow(wms);
}
public void initLayoutParams(Point screenSize) {
// 标记即将安装的窗口类型为SYSTEM_ALERT,这将使得窗口的ZOrder顺序比较靠前
mLp.type = WindowManager.LayoutParams.TYPE_SYSTEM_ALERT;
mLp.setTitle("SampleWindow");
// 设定窗口的左上角坐标以及高度和宽度
mLp.gravity = Gravity.LEFT | Gravity.TOP;
mLp.x = screenSize.x / 4;
mLp.y = screenSize.y / 4;
mLp.width = screenSize.x / 2;
mLp.height = screenSize.y / 2;
// 和输入事件相关的Flag,希望当输入事件发生在此窗口之外时,其他窗口也可以接受输入事件
mLp.flags = mLp.flags | WindowManager.LayoutParams.FLAG_NOT_TOUCH_MODAL;
}
public void installWindow(IWindowManager wms) throws Exception {
// 首先向WMS声明一个Token,任何一个Window都需要隶属与一个特定类型的Token
wms.addWindowToken(mToken,WindowManager.LayoutParams.TYPE_SYSTEM_ALERT);
// 设置窗口所隶属的Token
mLp.token = mToken;
// 通过IWindowSession将窗口安装进WMS,注意,此时仅仅是安装到WMS,本例的Window
// 目前仍然没有有效的Surface。不过,经过这个调用后,mInputChannel已经可以用来接受
// 输入事件了
mSession.add(mWindow,0, mLp, View.VISIBLE, mInsets, mInputChannel);
/*通过IWindowSession要求WMS对本窗口进行重新布局,经过这个操作后,WMS将会为窗口
创建一块用于绘制的Surface并保存在参数mSurface中。同时,这个Surface被WMS放置在
LayoutParams所指定的位置上 */
mSession.relayout(mWindow,0, mLp, mLp.width, mLp.height, View.VISIBLE,
0, mFrame, mInsets,mVisibleInsets, mConfig, mSurface);
if(!mSurface.isValid()) {
throw new RuntimeException("Failed creating Surface.");
}
// 基于WMS返回的InputChannel创建一个Handler,用于监听输入事件
//mInputHandler一旦被创建,就已经在监听输入事件了
mInputHandler= new InputHandler(mInputChannel, Looper.myLooper());
}
public void uninstallWindow(IWindowManager wms) throws Exception {
// 从WMS处卸载窗口
mSession.remove(mWindow);
// 从WMS处移除之前添加的Token
wms.removeWindowToken(mToken);
}
public void scheduleNextFrame() {
// 要求在显示系统刷新下一帧时回调mFrameRender,注意,只回调一次
mChoreographer.postCallback(Choreographer.CALLBACK_ANIMATION
, mFrameRender, null);
}
// 这个Runnable对象用以在窗口上描绘一帧
public Runnable mFrameRender = new Runnable() {
@Override
public void run() {
try{
// 获取当期时间戳
long time = mChoreographer.getFrameTime() % 1000;
// 绘图
if (mSurface.isValid()) {
Canvas canvas = mSurface.lockCanvas(null);
canvas.drawColor(Color.WHITE);
canvas.drawRect(2 * mLp.width / 1000
- mLp.width, 0, 2 *mLp.width
/ 1000, mLp.height,mPaint);
String text = "哈哈 这是一个非比寻常的窗体!";
canvas.drawText(text, 0, text.length(), 10, 20, mPaint);
mSurface.unlockCanvasAndPost(canvas);
mSession.finishDrawing(mWindow);
}
if(mContinueAnime)
scheduleNextFrame();
} catch (Exception e) {
e.printStackTrace();
}
}
};
// 定义一个类继承InputEventReceiver,用以在其onInputEvent()函数中接收窗口的输入事件
class InputHandler extends InputEventReceiver {
Looper mLooper = null;
public InputHandler(InputChannel inputChannel, Looper looper) {
super(inputChannel,looper);
mLooper= looper;
}
@Override
public void onInputEvent(InputEvent event) {
if(event instanceof MotionEvent) {
MotionEvent me = (MotionEvent)event;
if (me.getAction() ==MotionEvent.ACTION_UP) {
// 退出程序
mLooper.quit();
}
}
super.onInputEvent(event);
}
}
// 实现一个继承自IWindow.Stub的类MyWindow。
class MyWindow extends IWindow.Stub {
// 保持默认的实现即可
}
}
导入上面所说的android-4.2_r1.jar依赖包,解决依赖问题,编译就可以得到superwindows.jar文件。
当然原始的.jar在android下是不能运行的,要转成dex才可以,于是使用sdk中的dx命令将superwindows.jar转成superwindows.dex。dx程序位于sdk中build-tool目录下。
dx --dex --output=superwindows.dex superwindows.jar
将dex传送到安卓设备上:adb push SupperWindows.dex /data/local/tmp/
执行su命令 获得root权限,如果不是root执行下面命令的时候会提示没有权限。
执行 app_process -Djava.class.path=/data/local/tmp/superwindows.dex /system/bin com.SuperWindows ,运行SupperWindows。app_process的代码可以在app_main.cpp中看到。
第一次执行的时候不知道是什么原因程序会崩溃,再次执行命令就没有问题了,如果没有其他问题的话就可以看到弹出的SupperWindows窗体了。
执行su获取root权限后,在用app_process加载的代码同样是觉有root权限的,希望本文不要被恐怖分子看到。
更多内容请关注我的微信公众号:zhaojieTec