淫技：Android代码调用am与pm指令

菲儿.png

今天做了一堆杂事，群里突然又有问起framework的东西，没事做就看了一眼。有位群友要反射调用一个类，但反射不到。我就试了一番，的确不行。后来发现可以直接调用bin文件完成相同的功能。记录一下

群友要反射的类是
/frameworks/base/cmds/pm/src/com/android/commands/pm/Pm.java

这个类就是我们执行adb pm指令要用到的类，例如adb pm list features可以打印出系统所有的feature。

featrues

走一下正常的反射流程

                try {
                  String[] argu ={"pm list"};
                   Class<?> threadClazz = Class.forName("com.android.commands.pm.Pm");
                  Method method = threadClazz.getMethod("main", new Class[]{String[].class});
                  method.invoke(null,new Object[]{argu});
                   Log.i("wenfeng","hehe");
                }catch (Exception e){
                    Log.i("wenfeng","error="+e.toString());
                }

运行代码，打印出class no found的异常。

为什么呢？我粗略看了下，会编译出pm.jar包，这个包正常是静静躺在那。跟其他应用的jar差不多。是反射不到的。

Paste_Image.png

jar包是躺尸在手机的system/framework目录，反射不到

jar包

但是天无绝人之路，我们其实调用pm的可执行文件可以达到同样的效果，其实。这个bin文件躺在system/bin

bin

代码就是下面这样，在android代码中调用 runShellCommand("pm list features");，函数就是调用一个bin文件，打印输出。

    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
        runShellCommand("pm list features");  //执行命令
    }


    private void runShellCommand(String command) {
        Process process = null;
        BufferedReader bufferedReader = null;
        StringBuilder mShellCommandSB =new StringBuilder();
        Log.d("wenfeng", "runShellCommand :" + command);
        mShellCommandSB.delete(0, mShellCommandSB.length());
        String[] cmd = new String[] { "/system/bin/sh", "-c", command }; //调用bin文件
        try {
            byte b[] = new byte[1024];
            process = Runtime.getRuntime().exec(cmd);
            bufferedReader = new BufferedReader(new InputStreamReader(
                    process.getInputStream()));
            String line;

            while ((line = bufferedReader.readLine()) != null) {
                mShellCommandSB.append(line);
            }
            Log.d("wenfeng", "runShellCommand result : " + mShellCommandSB.toString());
            process.waitFor();
        } catch (IOException e) {
            e.printStackTrace();
        } catch (InterruptedException e) {
            e.printStackTrace();
        } finally {
            if (bufferedReader != null) {
                try {
                    bufferedReader.close();
                } catch (IOException e) {
                    // TODO: handle exception
                }
            }

            if (process != null) {
                process.destroy();
            }
        }
    }

看看结果罗，成功了

成功了

那这一招可以助你成为流氓应用，静默安装吗？
实践下，把apk放在sdcard，然后把上面代码改下为安装指令

runShellCommand("pm install -r  /sdcard/haha.apk");//执行命令

结果很悲剧，是不能行的！被拦截了！从这里也能大概看出Android的设计思路，不觉得pm是个bin可执行文件，回调java文件很多余吗？其实回调java文件可以方便进行权限控制。

安装.png

是在PackageManagerService拦截的！

看到了吧.png