Android真正的静默安装

关于Android应用程序的静默安装,很早以前我就做过一些了解,网上大多数给出的方案都是有严苛的要求:比如要获取root权限、或者是针对特殊的rom,甚至要自己刷机,这些方法即使能够达到目的但是看起来也不那么诱人,对于黑客技术而言几乎毫无用处。最近自己也想研究一下相关技术,于是自己动手尝试了一下,总结出了一套方法,整个过程略微复杂,中间也有很多视频里没提到的各种问题,在这里做一个总结,也分享给大家。文章末尾有例程供大家参考,如有纰漏,欢迎指正。

首先大家回忆一下正常的安装过程,点击安装后系统会有一个安装界面,一路下一步直到安装完成最后设置权限。那么这个安装程序是一个系统应用——PackageInstaller.apk,底层是通过“pm”工具完成的。我们要做的就是绕过这个界面并完成安装,下面开始我们的工作……

1、研究系统安装工具

我们定位到Android源码的Pm目录:

frameworks -> base -> cmds -> pm -> src -> com -> android -> cmmands -> pm :Pm.java

这个就是PackageManager的源码,用于解析Pm脚本工具,里面有个main函数:

publicstaticvoidmain(String[]args){newPm().run(args);}

里面只有一句话,跳转到run方法,run方法比较长,我就不复制了,里面主要是对pm命令做解析,比如pm install、pm list等等,不同的命令对应不同的函数,这里我们关注install命令(对应的有uninstall,可以用来做静默卸载)。如果run方法解析到install命令,则会调用runInstall()方法,里面主要是对命令后面所带的参数做解析,在方法中有如下语句:

PackageInstallObserverobs=newPackageInstallObserver();try{mPm.installPackage(Uri.fromFile(newFile(apkFilePath)),obs,installFlags,installerPackageName);synchronized(obs){while(!obs.finished){try{obs.wait();}catch(InterruptedExceptione){}}if(obs.result==PackageManager.INSTALL_SUCCEEDED){System.out.println("Success");}else{System.err.println("Failure ["+installFailureToString(obs.result)+"]");}}}catch(RemoteExceptione){System.err.println(e.toString());System.err.println(PM_NOT_RUNNING_ERR);

关键在于第三行:

mPm.installPackage(Uri.fromFile(newFile(apkFilePath)),obs,installFlags,installerPackageName);

这就是我们苦苦寻找的东西,在框架中通过installPackage方法安装。我们只要在自己的程序中使用这个方法就可以绕过系统安装程序进行静默安装。

2、在程序中调用安装方法

首先新建一个自己的程序命名为SlienceInstall,如下图:

建立静默安装工程

为了方便演示,只在布局文件里加入一个按钮,用于启动静默安装。在按钮的触发事件里加入安装语句。

由于installPackage方法是实例方法,我们首先要知道mPm对象是什么。同样在Pm.java中可以找到mPm的定义:

IPackageManager mPm;

她是一个IPackageManager接口类型的对象,有以下语句赋值:

mPm = IPackageManager.Stub.asInterface(ServiceManager.getService("package"));

很明显这里用到了aidl,接着我们需要找到IPackageManger,这也是框架中的类,在如下路径可以找到:

frameworks -> base -> core -> java -> android -> content -> pm : IPackageManager.aidl

我们直接把这个类复制出来放到我们的工程中,注意包名要和aidl文件包名一致,如下图:

加入pm的aidl文件

我们一起看看程序报的什么错误:

aidl错误提示

显然在IPackage接口中引用了其他未导入的程序,从包名可以确定这些程序都和IPackage位于同一包下,在pm文件夹下找到报错的几个aidl文件一起复制进来,随即错误消失,编译通过。此时工程目录如下:

在gen目录下,系统自动为我们生成了aidl对应的java文件,这是aidl的一个特性,我们可以不必理会其中的内容,如果感兴趣的朋友可以打开自行研究。

现在我们可以使用IPackageManager了,这里回顾一下源码中Pm.java安装程序的语句:

mPm.installPackage(Uri.fromFile(newFile(apkFilePath)),obs,installFlags,installerPackageName);

按照frameworks中的方法,通过她来申明一个mPm,然后赋值。将上面的赋值语句直接复制到我们的程序中,发现系统提示找不到ServiceManager。这里可以有两种方法解决,第一种大家应该可以想到,我们可以通过同样的方式去frameworks里找到这个类,复制出来使用,但这可能又会在ServiceManager中涉及到其他的类,如果都这样去查找、复制工作量未免太大。这里我使用另一种方法,注意这里只是使用了ServiceManager的静态方法,而且frameworks中的类我们在编译时找不到,但是在运行时是可以找到的,所以通过反射机制来调用函数是再好不过的了。

于是回到Pm.java中,从程序头的一堆import中可以找到ServiceManager的地址:

...import android.os.RemoteException;import android.os.ServiceManager;import android.provider.Settings;...

接下来在程序中通过反射拿到ServiceManager的getService方法,代码如下:

Class<?>clazz=Class.forName("android.os.ServiceManager");Method method_getService=clazz.getMethod("getService",String.class);

调用getService方法,并接收IBinder返回值:

IBinder bind = (IBinder) method_getService.invoke(null, "package");

最后在调用安装方法之前,先来看看这个方法的几个参数:

packageURI:安装包的地址。

observer:安装完成后的回调函数。

flags:安装方式,主要有普通安装和覆盖安装。1表示普通,2表示覆盖。

installerPackageName:执行安装的应用程序名。

其中observer可以直接给null,如果想要设置回调的话,需要新建一个类实现IPackageInstallOberver类(之前已经导入过)。

最后加上目标apk的文件对象apkFile,到这里整个安装函数的调用就OK了,目前工程MainActivity代码如下:

try{//反射拿到Service Manager,然后调用getService获取IBinder对象Class<?>clazz=Class.forName("android.os.ServiceManager");Methodmethod_getService=clazz.getMethod("getService",String.class);IBinderbind=(IBinder)method_getService.invoke(null,"package");IPackageManageriPm=IPackageManager.Stub.asInterface(bind);//调用安装函数iPm.installPackage(Uri.fromFile(apkFile),null,2,apkFile.getName());}catch(Exceptione){e.printStackTrace();}

这时候可以运行一下,发现目标apk并没有如愿的静默安装,那么继续下面的步骤:

3、添加系统权限

在系统上安装程序是需要注册权限的,在Manifest文件中加入如下语句:

<uses-permissionandroid:name="android.permission.INSTALL_PACKAGES"/>

由于然后同样是manifest文件,在<manifest/>节点中加入sharedUserId属性:

<manifest xmlns:android="http://schemas.android.com/apk/res/android"package="com.example.slienceinstall"android:sharedUserId="android.uid.system"//声明为系统应用android:versionCode="1"android:versionName="1.0">......<manifest/>

这样就完成了权限的注册,此时IDE会提示我们INSTALL_PACKAGE是系统程序的权限,普通程序是无法获取到的。获取系统权限当然没有这么简单,还需要几步操作才能完成。

4、给应用打上系统签名

见招拆招,既然要求我们的应用是系统应用,那么就把我们的程序变成系统程序吧。这里也是许多关于静默安装的文章中要求刷机的原因,因为我们把应用放到rom中就可以让我们的应用变成系统应用,当然我这里讲的不需要这么做,下面将介绍这种方法。

第一步:声明为系统应用

第二步:提取系统签名程序

其实系统应用和普通应用的不同之处主要在于应用签名,所以如果希望不重新编译ROM而让应用拥有系统权限,只要能够用系统签名程序为我们的程序打上签名就可以了。

在Android源码中包含了系统签名程序,定位到系统签名文件目录:

build -> tools -> signapk:SignApk.java

新建一个Java工程,命名为SignSystemApk,然后将源码中的SignApk.java复制进来。

第三步:提取签名配置文件

完成签名还需要另外两个文件,分别叫platform.pk8和platform.x509.pem,在源码的以下路径可以找到:

build -> target -> product -> security

找到之后复制到SignSystemApk工程里,整个签名工程的目录结构如下:

那么到这里,整个签名程序就完成了。

第四步:利用签名程序给应用签名打包

只要运行这个打包程序,就可以把我们的应用作为系统应用打包发布了。首先将之前写好的SlienceInstall程序打包成apk(使用自定义的签名),复制到SingSystemApk工程里。工程结构如下:

在运行前先要对工程进行配置:右键工程名,依次选择“Run as”→“Run configurations”,然后在左侧选择“Java Application”→“New_configuration”,在右侧将Project设置为SignSystemApk,接着选择Main class。结果如下:

Main

然后将右边的页卡切换到“Arguments”,编辑“Program arguments”,加入以下命令:

platform.x509.pem platform.pk8 slience_install.apk system_install.apk

Arguments

配置好之后,Apply → Run。运行成功在工程目录上点击F5刷新,可以看到多出来一个system_install.apk文件,这个就是我们想要的文件。如图:

5、静默安装

将SignSystemApk打包出来的安装包安装在手机上,然后将目标apk放到指定位置(和程序中apk的uri地址有关),点击按钮,退出程序,可以看到我们的目标apk成功被安装到手机上,并且没有任何的提示。到此,静默安装功能完美运行,接下来可以发挥聪明才智,尽情的做“坏事”了。

代码链接:

静默安装程序安装包:SlienceInstall

Android系统签名程序:SignSystemApk

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,542评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,596评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,021评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,682评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,792评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,985评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,107评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,845评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,299评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,612评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,747评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,441评论 4 333
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,072评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,828评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,069评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,545评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,658评论 2 350