解决MIUI8的冻结反弹

看到这个标题我觉得某司的程序员又要紧张一下了,怎么好不容易搞出了个冻结反弹又被人搞了。恩,要搞的就是这种流氓行为。

首先来看一下具体的现象,所谓的冻结反弹,就是当你使用pm disable使一个 APP 处于冻结状态后,重启手机,APP 自动解冻了。典型的例子就是 MIUI 内置的音乐、视频等。另外还有删除指定 APP 重启就卡 MIUI Logo 不能进系统的,这对于取了 root 想自己改改系统的人来说,简直不可忍。

那么废话不多说,直接来看解决方案,可靠的解决方案有三种,BOOT_COMPLETED消息,修改service.jar/service.odex,使用Xposed动态修改。


方法一


第一种是最简单的,维护一个列表,当有 APP 被冻结或解冻时,即修改列表内成员,在随后的重启过程中,接收BOOT_COMPLETED消息,并对列表内的 APP 再次进行冻结,具体的代码是这样的:

class BootReceiver : BroadcastReceiver() {
    companion object { var inited = false }
    override fun onReceive(context: Context?, intent: Intent?) {
        if (!inited) {
            inited = true
            val pref = context?.getSharedPreferences(XpStatus.PREF, 0)
            if (pref!!.getBoolean(XpStatus.KEY_PREVENT_FREEZE_REVERSE, false)) 
                context?.startService(Intent(context, FreezeService::class.java))
        }
    }
}

class FreezeService : Service() {
    override fun onBind(intent: Intent?): IBinder? = null
    override fun onStartCommand(intent: Intent?, flags: Int, startId: Int): Int {
        thread { NativeAPI.freezeOnLoad() }
        return super.onStartCommand(intent, flags, startId)
    }
}

同时改一下 AndroidManifest.xml 就好:

<service android:name=".FreezeService"/>
<receiver android:name=".BootReceiver">
    <intent-filter>
        <action android:name="android.intent.action.BOOT_COMPLETED"/>
    </intent-filter>
</receiver>

这个情况下,会遇到两个坑,其一就是在 MIUI 上,必须允许这个 APP 自启,同时它也不能被绿色守护,阻止运行等 APP 管理,否则会收不到BOOT_COMPLETED消息;第二个坑也是在 MIUI 上,BOOT_COMPLETED收到的时机问题,有可能是在手机启动后 1 分钟才收到该消息,于是就会出现用户以为 APP 自动解冻了,但是过了一阵子那个 APP 又消失(被冻结)了,给用户非常不好的体验。

第一个问题,无解,这是小米所设计的机制,绕不过去,可能对于部分用户来说,好不容易能把 APP 的自启都干掉了,结果对于这个 APP 又要给自启权限,非常的不爽。第二个问题在 6.0 和以下版本的 MIUI 中是可以解的,解法就是加入对AUDIO_BECOMING_NOISY消息的监听:

<receiver android:name=".receiver.BootReceiver">
    <intent-filter>
        <action android:name="android.intent.action.BOOT_COMPLETED"/>
    </intent-filter>
    <intent-filter>
        <action android:name="android.media.AUDIO_BECOMING_NOISY"/>
    </intent-filter>
</receiver>

AUDIO_BECOMING_NOISY发送的时机远比BOOT_COMPLETED更早,在桌面启动前,就可以收到这个消息,在此处进行对 APP 的重新冻结是靠谱的。但是需要注意的是,Android N以后,启动时不再发送此消息,因此这个做法在 Android N 为基础的 MIUI 上是无效的。

同时也再说一句,同样是 Android,CM 的 ROM 就不会有BOOT_COMPLETED延迟,也无需进行允许自启这样的操作。


方法二


直接修改service.jar/service.odex也是个不错的方案,反正都已经获取到 root 了,可以随意替换。最终修改的是 jar 还是 odex,取决于你从 ROM 里面拿到的文件是哪个,它们基本上没差别。

为了方便起见,我直接给出反编译后的 java 代码,可以参照着修改 smali 代码:

package com.miui.server;
... ...
public class SecurityManagerService extends Stub {
    ... ...
    private void checkSystemSelfProtection(final boolean onlyCore) {
    ... ...
        while (i$.hasNext()) {
            SecurityManagerService.this.checkEnabled(pm, (String) i$.next());
        }
        ... ...
        if (!(Build.IS_INTERNATIONAL_BUILD || Build.IS_CM_CUSTOMIZATION || Build.IS_CM_CUSTOMIZATION_TEST)) {
            SecurityManagerService.this.enforceAppSignature(platformSignature, "com.xiaomi.market", false);
        }
        ... ...
        if (!SecurityManagerService.this.checkSysAppCrack()) {
            i = 0;
        }
        ... ...
    }
    ... ...
}

代码太长,就贴这些关键的,它们完成了对已冻结 APP 的重新启用,和对于删除市场后直接卡 MIUI Logo 的处理,不得不说,这些代码实在是恶心。

在 smali 内,可以将checkSystemSelfProtection方法整个置空,或是修改checkEnabledenforceAppSignaturecheckSysAppCrack这三个函数,删除函数体,或是使其返回你要的值。完成后重新打包,并替换回系统的 framework 内即可。

使用这个方法的坑在于,如果系统更新了,你就必须重新做这一系列步骤,当然这一块代码可读性还是比较强的,过于底层的东西很难进行混淆处理,改起来比较方便。


方法三


最终,最完美的方法还是要借助 Xposed 框架,一劳永逸的解决这些问题,不多说,直接给代码了:

if (param.packageName == "android" 
    || param.packageName == "com.miui.system" 
    || param.packageName == "miui.system") {    
    val clsSMS = XpUtils.findClass(param.classLoader, "com.miui.server.SecurityManagerService")
    if (clsSMS != null) {
        XpUtils.findAndHookMethod("com.miui.server.SecurityManagerService", param.classLoader, "checkSysAppCrack", XC_MethodReplacement.returnConstant(false))
        XpUtils.findAndHookMethod("com.miui.server.SecurityManagerService", param.classLoader, "checkEnabled", PackageManager::class.java, String::class.java, XC_MethodReplacement.returnConstant(null))
        XpUtils.findAndHookMethod("com.miui.server.SecurityManagerService", param.classLoader, "enforcePlatformSignature", Array<Signature>::class.java, XC_MethodReplacement.returnConstant(null))
    }
}

现在,又可以享受冻结不会反弹的 MIUI 了。


后记:

其实在研究的过程中,踩过的坑远远不止这三种,Xposed 还有以下的大坑,开发时需注意:

  • 不能使用对应 APP 内的 JNI 库,因为不在同一进程,如果非要用的话,必须事先将对应架构的 JNI 库置入 /system/lib/vendor/lib
  • 不能在Xposed 内调用 su,因为 Xposed 执行的时候,su 所对应的上层应用还没准备好,因此 root 请求会被直接拒绝,从而产生一个 permission denied 异常
  • 不能在 Xposed 内访问 APP 所对应的 /data/data/ 内的数据,Xposed 进程并没有这样的权限,甚至简单的判断文件是否存在都只会返回 false
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,723评论 6 498
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 92,003评论 3 391
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 161,512评论 0 351
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,825评论 1 290
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,874评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,841评论 1 295
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,812评论 3 416
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,582评论 0 271
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 45,033评论 1 308
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,309评论 2 331
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,450评论 1 345
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,158评论 5 341
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,789评论 3 325
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,409评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,609评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,440评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,357评论 2 352

推荐阅读更多精彩内容

  • Spring Boot 参考指南 介绍 转载自:https://www.gitbook.com/book/qbgb...
    毛宇鹏阅读 46,801评论 6 342
  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,649评论 18 139
  • Android 自定义View的各种姿势1 Activity的显示之ViewRootImpl详解 Activity...
    passiontim阅读 172,039评论 25 707
  • 等而上是爱情,等而下是兽性,等的是婚姻。2013-9-30# 梁实秋说,男人席间谈话,三句就会说到女人身体上。据我...
    曾经而已阅读 280评论 0 1
  • web.xml applicationContext.xml dispatcher-servlet.xml myb...
    蕊er阅读 299评论 0 0