关于Android应用程序的静默安装,很早以前我就做过一些了解,网上大多数给出的方案都是有严苛的要求:比如要获取root权限、或者是针对特殊的rom,甚至要自己刷机,这些方法即使能够达到目的但是看起来也不那么诱人,对于黑客技术而言几乎毫无用处。最近自己也想研究一下相关技术,于是自己动手尝试了一下,总结出了一套方法,整个过程略微复杂,中间也有很多视频里没提到的各种问题,在这里做一个总结,也分享给大家。文章末尾有例程供大家参考,如有纰漏,欢迎指正。
首先大家回忆一下正常的安装过程,点击安装后系统会有一个安装界面,一路下一步直到安装完成最后设置权限。那么这个安装程序是一个系统应用——PackageInstaller.apk,底层是通过“pm”工具完成的。我们要做的就是绕过这个界面并完成安装,下面开始我们的工作……
1、研究系统安装工具
我们定位到Android源码的Pm目录:
frameworks -> base -> cmds -> pm -> src -> com -> android -> cmmands -> pm :Pm.java
这个就是PackageManager的源码,用于解析Pm脚本工具,里面有个main函数:
publicstaticvoidmain(String[]args){newPm().run(args);}
里面只有一句话,跳转到run方法,run方法比较长,我就不复制了,里面主要是对pm命令做解析,比如pm install、pm list等等,不同的命令对应不同的函数,这里我们关注install命令(对应的有uninstall,可以用来做静默卸载)。如果run方法解析到install命令,则会调用runInstall()方法,里面主要是对命令后面所带的参数做解析,在方法中有如下语句:
PackageInstallObserverobs=newPackageInstallObserver();try{mPm.installPackage(Uri.fromFile(newFile(apkFilePath)),obs,installFlags,installerPackageName);synchronized(obs){while(!obs.finished){try{obs.wait();}catch(InterruptedExceptione){}}if(obs.result==PackageManager.INSTALL_SUCCEEDED){System.out.println("Success");}else{System.err.println("Failure ["+installFailureToString(obs.result)+"]");}}}catch(RemoteExceptione){System.err.println(e.toString());System.err.println(PM_NOT_RUNNING_ERR);
关键在于第三行:
mPm.installPackage(Uri.fromFile(newFile(apkFilePath)),obs,installFlags,installerPackageName);
这就是我们苦苦寻找的东西,在框架中通过installPackage方法安装。我们只要在自己的程序中使用这个方法就可以绕过系统安装程序进行静默安装。
2、在程序中调用安装方法
首先新建一个自己的程序命名为SlienceInstall,如下图:
建立静默安装工程
为了方便演示,只在布局文件里加入一个按钮,用于启动静默安装。在按钮的触发事件里加入安装语句。
由于installPackage方法是实例方法,我们首先要知道mPm对象是什么。同样在Pm.java中可以找到mPm的定义:
IPackageManager mPm;
她是一个IPackageManager接口类型的对象,有以下语句赋值:
mPm = IPackageManager.Stub.asInterface(ServiceManager.getService("package"));
很明显这里用到了aidl,接着我们需要找到IPackageManger,这也是框架中的类,在如下路径可以找到:
frameworks -> base -> core -> java -> android -> content -> pm : IPackageManager.aidl
我们直接把这个类复制出来放到我们的工程中,注意包名要和aidl文件包名一致,如下图:
加入pm的aidl文件
我们一起看看程序报的什么错误:
aidl错误提示
显然在IPackage接口中引用了其他未导入的程序,从包名可以确定这些程序都和IPackage位于同一包下,在pm文件夹下找到报错的几个aidl文件一起复制进来,随即错误消失,编译通过。此时工程目录如下:
在gen目录下,系统自动为我们生成了aidl对应的java文件,这是aidl的一个特性,我们可以不必理会其中的内容,如果感兴趣的朋友可以打开自行研究。
现在我们可以使用IPackageManager了,这里回顾一下源码中Pm.java安装程序的语句:
mPm.installPackage(Uri.fromFile(newFile(apkFilePath)),obs,installFlags,installerPackageName);
按照frameworks中的方法,通过她来申明一个mPm,然后赋值。将上面的赋值语句直接复制到我们的程序中,发现系统提示找不到ServiceManager。这里可以有两种方法解决,第一种大家应该可以想到,我们可以通过同样的方式去frameworks里找到这个类,复制出来使用,但这可能又会在ServiceManager中涉及到其他的类,如果都这样去查找、复制工作量未免太大。这里我使用另一种方法,注意这里只是使用了ServiceManager的静态方法,而且frameworks中的类我们在编译时找不到,但是在运行时是可以找到的,所以通过反射机制来调用函数是再好不过的了。
于是回到Pm.java中,从程序头的一堆import中可以找到ServiceManager的地址:
...import android.os.RemoteException;import android.os.ServiceManager;import android.provider.Settings;...
接下来在程序中通过反射拿到ServiceManager的getService方法,代码如下:
Class<?>clazz=Class.forName("android.os.ServiceManager");Method method_getService=clazz.getMethod("getService",String.class);
调用getService方法,并接收IBinder返回值:
IBinder bind = (IBinder) method_getService.invoke(null, "package");
最后在调用安装方法之前,先来看看这个方法的几个参数:
packageURI:安装包的地址。
observer:安装完成后的回调函数。
flags:安装方式,主要有普通安装和覆盖安装。1表示普通,2表示覆盖。
installerPackageName:执行安装的应用程序名。
其中observer可以直接给null,如果想要设置回调的话,需要新建一个类实现IPackageInstallOberver类(之前已经导入过)。
最后加上目标apk的文件对象apkFile,到这里整个安装函数的调用就OK了,目前工程MainActivity代码如下:
try{//反射拿到Service Manager,然后调用getService获取IBinder对象Class<?>clazz=Class.forName("android.os.ServiceManager");Methodmethod_getService=clazz.getMethod("getService",String.class);IBinderbind=(IBinder)method_getService.invoke(null,"package");IPackageManageriPm=IPackageManager.Stub.asInterface(bind);//调用安装函数iPm.installPackage(Uri.fromFile(apkFile),null,2,apkFile.getName());}catch(Exceptione){e.printStackTrace();}
这时候可以运行一下,发现目标apk并没有如愿的静默安装,那么继续下面的步骤:
3、添加系统权限
在系统上安装程序是需要注册权限的,在Manifest文件中加入如下语句:
<uses-permissionandroid:name="android.permission.INSTALL_PACKAGES"/>
由于然后同样是manifest文件,在<manifest/>节点中加入sharedUserId属性:
<manifest xmlns:android="http://schemas.android.com/apk/res/android"package="com.example.slienceinstall"android:sharedUserId="android.uid.system"//声明为系统应用android:versionCode="1"android:versionName="1.0">......<manifest/>
这样就完成了权限的注册,此时IDE会提示我们INSTALL_PACKAGE是系统程序的权限,普通程序是无法获取到的。获取系统权限当然没有这么简单,还需要几步操作才能完成。
4、给应用打上系统签名
见招拆招,既然要求我们的应用是系统应用,那么就把我们的程序变成系统程序吧。这里也是许多关于静默安装的文章中要求刷机的原因,因为我们把应用放到rom中就可以让我们的应用变成系统应用,当然我这里讲的不需要这么做,下面将介绍这种方法。
第一步:声明为系统应用
第二步:提取系统签名程序
其实系统应用和普通应用的不同之处主要在于应用签名,所以如果希望不重新编译ROM而让应用拥有系统权限,只要能够用系统签名程序为我们的程序打上签名就可以了。
在Android源码中包含了系统签名程序,定位到系统签名文件目录:
build -> tools -> signapk:SignApk.java
新建一个Java工程,命名为SignSystemApk,然后将源码中的SignApk.java复制进来。
第三步:提取签名配置文件
完成签名还需要另外两个文件,分别叫platform.pk8和platform.x509.pem,在源码的以下路径可以找到:
build -> target -> product -> security
找到之后复制到SignSystemApk工程里,整个签名工程的目录结构如下:
那么到这里,整个签名程序就完成了。
第四步:利用签名程序给应用签名打包
只要运行这个打包程序,就可以把我们的应用作为系统应用打包发布了。首先将之前写好的SlienceInstall程序打包成apk(使用自定义的签名),复制到SingSystemApk工程里。工程结构如下:
在运行前先要对工程进行配置:右键工程名,依次选择“Run as”→“Run configurations”,然后在左侧选择“Java Application”→“New_configuration”,在右侧将Project设置为SignSystemApk,接着选择Main class。结果如下:
Main
然后将右边的页卡切换到“Arguments”,编辑“Program arguments”,加入以下命令:
platform.x509.pem platform.pk8 slience_install.apk system_install.apk
Arguments
配置好之后,Apply → Run。运行成功在工程目录上点击F5刷新,可以看到多出来一个system_install.apk文件,这个就是我们想要的文件。如图:
5、静默安装
将SignSystemApk打包出来的安装包安装在手机上,然后将目标apk放到指定位置(和程序中apk的uri地址有关),点击按钮,退出程序,可以看到我们的目标apk成功被安装到手机上,并且没有任何的提示。到此,静默安装功能完美运行,接下来可以发挥聪明才智,尽情的做“坏事”了。
代码链接:
静默安装程序安装包:SlienceInstall
Android系统签名程序:SignSystemApk