本文同步更新于旺仔的個(gè)人博客,訪問可能有點(diǎn)慢,多刷新幾次。
緣由
不知道大家有沒有用過QQ/TIM登錄的時(shí)候使用掃描二維碼登錄的功能呢?
也就是登錄界面的右下角那里有個(gè)二維碼的按鈕
點(diǎn)擊之后就會(huì)出現(xiàn)二維碼
然后用手機(jī)QQ/TIM打開掃一掃界面,掃了之后,會(huì)彈出允許登錄的界面
然后我們需要點(diǎn)擊允許登錄TIM/QQ,電腦端就登錄成功了。
但是每次登錄都要點(diǎn)擊允許登錄,我覺得好麻煩,所以就實(shí)現(xiàn)了自動(dòng)點(diǎn)擊功能,這篇文章就是來介紹如何使用Xposed來實(shí)現(xiàn)自動(dòng)點(diǎn)擊。
實(shí)踐
首先我們先整理一下思路,先要獲取確認(rèn)登錄界面的Class,然后獲取允許登錄這個(gè)控件的Field,然后通過調(diào)用performClick這個(gè)方法來實(shí)現(xiàn)點(diǎn)擊。
查找確認(rèn)登錄Activity
接下來,我們需要獲取確認(rèn)登錄界面的Activity是哪一個(gè),在這里我們先下載一個(gè)軟件當(dāng)前界面,可以獲取到當(dāng)前界面的Activity
在這里我們找到了確認(rèn)界面的Activity的類名是com.tencent.biz.qrcode.activity.QRLoginActivity,然后我們進(jìn)行下一步
反編譯classes.dex
當(dāng)前使用的apk版本是2.0.0,然后改后綴,打開壓縮包,復(fù)制里面的dex文件
然后通過dex2jar將dex轉(zhuǎn)換成jar文件,然后用jd-gui打開jar包,最后在classes6-dex2jar.jar里面找到QRLoginActivity類
使用AndroidKiller
由于我們需要獲取控件相關(guān)的內(nèi)容,就需要獲取控件的id、text之類的東西,那么僅僅靠dex2jar和jd-gui兩個(gè)東西是完成不了的,所以這里我們需要用到AndroidKiller,AndroidKiller是一款可視化的安卓應(yīng)用逆向工具,具體使用,大家自行上網(wǎng)搜索,這里不介紹。
獲取text引用
將我們的TIM的apk打開,然后搜索允許登錄內(nèi)容,找到對(duì)應(yīng)的16進(jìn)制內(nèi)容
找到之后,發(fā)現(xiàn)有兩個(gè)16進(jìn)制的值,一個(gè)是7f0a0872,一個(gè)是7f0a0ba9,既然有兩個(gè),那么就有分別去搜索這兩個(gè)值的調(diào)用,我這里有搜索過,第二個(gè)才是我們需要的,我們來看搜索結(jié)果
可以看出,這個(gè)值的引用是在hxq類上面調(diào)用的,點(diǎn)開jd-gui,找到這個(gè)類,同樣是在classes6-dex2jar.jar里面
可以看出這個(gè)類是個(gè)Handler類,那么我們就可以這樣理解,當(dāng)掃描二維碼后,會(huì)調(diào)用sendMessage之類的方法,然后在handleMessage里面進(jìn)行修改控件的Text值。
Hook方法
通過上面的說明,我們可以很明確的知道該hook的地方在哪里了:
- 首先我們需要將Hook控件初始化的方法,然后再Hook我們的
hxq類里面的handleMessage方法 - 之后進(jìn)行判斷控件的值是不是包含
允許登錄的內(nèi)容(因?yàn)槎S碼過期我們不需要進(jìn)行處理,只有登錄的時(shí)候才進(jìn)行處理),如果包含的話就調(diào)用performClick這個(gè)方法實(shí)現(xiàn)點(diǎn)擊。
找到初始化方法
如何找到初始化方法呢,通過搜索findviewbyid,找到了doOnCreate方法
然后我們Hook這個(gè)方法
// 獲取Class
final Class<?> aClass = XposedHelpers.findClassIfExists("com.tencent.biz.qrcode.activity.QRLoginActivity", lpparam.classLoader);
if (aClass == null) {
return;
}
// Hook指定方法
XposedHelpers.findAndHookMethod(aClass, "doOnCreate", Bundle.class, new XC_MethodHook() {
@Override
protected void afterHookedMethod(MethodHookParam param) throws Throwable {
// 操作
}
});
反射獲取控件
通過獲取QRLoginActivity的Class之后,我們通過反射獲取里面的所有變量,然后通過判斷變量的類型,然后判斷控件的Text值是否包含允許登錄內(nèi)容,然后實(shí)現(xiàn)點(diǎn)擊。
for (Field declaredField : declaredFields) {
// 設(shè)置true
declaredField.setAccessible(true);
// 判斷類型是否是Button
if (declaredField.getGenericType().toString().contains("android.widget.Button")) {
// 獲取值
final Button loginButton = (Button) declaredField.get(param.thisObject);
if (loginButton == null) {
return;
}
// 默認(rèn)的Button的Text為空,需要在Handler這個(gè)類里面的方法后面加上判斷
Class<?> handlerClass = XposedHelpers.findClassIfExists(resultStr, lpparam.classLoader);
if (handlerClass == null) {
return;
}
try {
// Hook方法,對(duì)handleMessage方法調(diào)用后,進(jìn)行判斷Button的Text進(jìn)行判斷,并且自動(dòng)調(diào)用點(diǎn)擊方法
XposedHelpers.findAndHookMethod(handlerClass, "handleMessage", Message.class, new XC_MethodHook() {
@Override
protected void afterHookedMethod(MethodHookParam param) throws Throwable {
// 當(dāng)Button的Text為允許登錄TIM/允許登錄QQ的時(shí)候才實(shí)現(xiàn)點(diǎn)擊
if (loginButton.getText().toString().contains("允許登錄")) {
loginButton.performClick();
}
}
});
} catch (Throwable t) {
XposedBridge.log("Hook 出錯(cuò) " + t);
}
}
}
最后打包,安裝,激活重啟
結(jié)果:
結(jié)語
文章說的簡(jiǎn)單一點(diǎn),實(shí)際上自己反編譯并且查找內(nèi)容,是一個(gè)比較繁瑣的事情,明確的方向會(huì)減輕需要操作的步驟。
微信自動(dòng)確認(rèn)登錄
同樣我們可以實(shí)現(xiàn)自動(dòng)確認(rèn)電腦端登錄,這里就不再介紹了,大家可以自己試一試:
GitHub
Github地址在此奉上:ScanLogin,歡迎star
