文章目录
一、VAHunt 检测插件引擎具体细节
上图的执行顺序是 ⑤ -> ④ -> ③ -> ② -> ① ;
存在 2 2 2 个 Intent 对象 , StubIntent 是 “桩” 组件对应的 Intent 对象 , TargetIntent 是插件包中的 Intent 对象 ;
StubIntent 对应的组件需要欺骗 AMS , 因此该组件一定在 AndroidManifest.xml 中注册过 ;
如果找到了上述模式 , 可以反向查找找到对应的在 AndroidManifest.xml 清单文件中注册过的 “桩” 组件 ;
在 ① 中启动了 Activity 组件 ;
在 ② 中发现启动的组件 StubIntent 类型 来自内部封装的 TargetIntent 中 , 调用 setType / setClassName ( setComponent ) 设置启动的组件是插件组件 ;
一旦发现了上述模式 , 就直接根据执行路径 , 反向找到 ⑤ 中在 AndroidManifest.xml 中注册的组件信息 ;
插件组件可以以不同的方式存储 , 字符串 , 对象 , 特殊标识 等 ; 可以使用 setData , setDataAndType , putExtra 和 putExtras 等 API 设置插件组件信息 ;
查找 " 桩 " 组件 : 追踪 Intent 的 setComponent 或 setClassName 方法 , 这是最常用的为 Intent 设置组件的方法 , 如果参数不是直接的字符串和对象 , 而是调用的方法的返回值 , 那么分析该方法的调用链 , 一直找到最终设置的组件类型 ;
匹配 " 桩 " 组件 : 获取到 " 桩 " 组件 , 与 AndroidManifest.xml 清单文件中的组件进行对比 , 如果查到了相应的组件 , 则可以直接判定该应用是插件化应用 ;