插件
如果您down了我的Demo,那么观察一下,就会发现,无论是宿主的代码, 还是插件的代码,都非常简单,唯一阅读价值的,就是 宿主的Hook核心代码。
在讲解Hook核心代码之前,先回顾一下我的上篇文章所实现的效果:
能够绕过系统的manifest检测机制,让没有在manifest中注册的Activity也能够正常启动
一定有读者在看完上篇文章之后,会想,**能够不去注册就可以启动Activity,是很神奇,但是又有什么利用价值呢?**仅仅是为了不去注册就去干涉系统逻辑,太华而不实了.
这个问题的答案:
用 hook实现插件化启动 Activity,插件中的 manifest并不会和宿主的 manifest发生融合,也就是说,即使我们完成了 对 ClassLoader和 Resource的融合,实现了宿主对插件 class和资源的访问,如果不能绕过系统的 manifest检测,依然不能启动插件的 Activity.
所以,用hook技术实现插件化启动Activity,完整思路是:
以下是关键代码 :
宿主的 MyApplication.java 主要用于调用Hook核心代码 :
public class MyApplication extends Application {
private Resources newResource;
public static String pluginPath = null;
@Override
public void onCreate() {
super.onCreate();
pluginPath = AssetUtil.copyAssetToCache(this, Const.PLUGIN_FILE_NAME);
//Hook第一次,绕过manifest检测
GlobalActivityHookHelper.hook(this);
//Hook第二次把插件的源文件class导入到系统的ClassLoader中
HookInjectHelper.injectPluginClass(this);
//Hook第三次,加载插件资源包,让系统的Resources能够读取插件的资源
newResource = HookInjectHelper.injectPluginResources(this);
}
//重写资源管理器,资源管理器是每个Activity自带的,
// 而Application的getResources则是所有Activity共有的
//重写了它,就不必一个一个Activity去重写了
@Override
public Resources getResources() {
return newResource == null ? super.getResources() : newResource;
}
}
绕过manifest检测的hook核心代码 GlobalActivityHookHelper.java
public class GlobalActivityHookHelper {
public static void hook(Context context) {
hookAMS(context);//使用假的Activity,骗过AMS的检测
if (ifSdkOverIncluding28())
hookActivityThread_mH_AfterIncluding28();//将真实的Intent还原回去,让系统可以跳到原本该跳的地方.
else {
hookActivityThread_mH_before28(context);
}
hookPM(context);//由于AppCompatActivity存在PMS检测,如果这里不hook的话,就会包PackageNameNotFoundException
}
//设备系统版本是不是大于等于26
private static boolean ifSdkOverIncluding26() {
int SDK_INT = Build.VERSION.SDK_INT;
if (SDK_INT > 26 || SDK_INT == 26) {
return true;
} else {
return false;
}
}
//设备系统版本是不是大于等于26
private static boolean ifSdkOverIncluding28() {
int SDK_INT = Build.VERSION.SDK_INT;
if (SDK_INT > 28 || SDK_INT == 28) {
return true;
} else {
return false;
}
}
…太长了就不都贴出来了,可以到demo里面去看
}
将宿主和插件的ClassLoader/Resource融合的 HookInjectHelper.java
public class HookInjectHelper {
/**
*
- 此方法的作用是:插件内的class融合到宿主的classLoader中,让宿主可以直接读取插件内的class
- @param context
*/
public static void injectPluginClass(Context context) {
String cachePath = context.getCacheDir().getAbsolutePath();
String apkPath = MyApplication.pluginPath;
//还记不记得dexClassLoader?它是专门用于加载外部apk的classes.dex文件的
//(String dexPath, String optimizedDirectory, String librarySearchPath, ClassLoader parent)
// 4个参数分别是,外部dex的path,优化之后的目录,lib库文件查找目录,我们这没有用到lib里面的so,所以可以设置为null,最后一个是父ClassLoader
DexClassLoader dexClassLoader = new DexClassLoader(apkPath, cachePath, null, context.getClassLoader());
//先构造一个能够读取外部apk的classLoader对象
// 第一步 找到 插件的Elements数组 dexPathlist ----?dexElement
try {
Class myDexClazzLoader = Class.forName(“dalvik.system.BaseDexClassLoader”);
Field myPathListFiled = myDexClazzLoader.getDeclaredField(“pathList”);
myPathListFiled.setAccessible(true);
Object myPathListObject = myPathListFiled.get(dexClassLoader);
Class myPathClazz = myPathListObject.getClass();
Field myElementsField = myPathClazz.getDeclaredField(“dexElements”);
myElementsField.setAccessible(true);
// 自己插件的 dexElements[]
Object myElements = myElementsField.get(myPathListObject);
// 第二步 找到 系统的Elements数组 dexElements
PathClassLoader pathClassLoader = (PathClassLoader) context.getClassLoader();
Class baseDexClazzLoader = Class.forName(“dalvik.system.BaseDexClassLoader”);
Field pathListFiled = baseDexClazzLoader.getDeclaredField(“pathList”);
pathListFiled.setAccessible(true);
Object pathListObject = pathListFiled.get(pathClassLoader);
Class systemPathClazz = pathListObject.getClass();
Field systemElementsField = systemPathClazz.getDeclaredField(“dexElements”);
systemElementsField.setAccessible(true);
//系统的 dexElements[]
Object systemElements = systemElementsField.get(pathListObject);
// 第三步 上面的dexElements 数组 合并成新的 dexElements 然后通过反射重新注入系统的Field (dexElements )变量中
// 新的 Element[] 对象
// dalvik.system.Element
int systemLength = Array.getLength(systemElements);
int myLength = Array.getLength(myElements);
// 找到 Element 的Class类型 数组 每一个成员的类型
Class<?> sigleElementClazz = systemElements.getClass().getComponentType();
int newSysteLength = myLength + systemLength;
Object newElementsArray = Array.newInstance(sigleElementClazz, newSysteLength);
//融合
for (int i = 0; i < newSysteLength; i++) {
// 先融合 插件的Elements
if (i < myLength) {
Array.set(newElementsArray, i, Array.get(myElements, i));
} else {
Array.set(newElementsArray, i, Array.get(systemElements, i - myLength));
}
}
Field elementsField = pathListObject.getClass().getDeclaredField(“dexElements”);
;
elementsField.setAccessible(true);
// 将新生成的EleMents数组对象重新放到系统中去
elementsField.set(pathListObject, newElementsArray);
} catch (Exception e) {
e.printStackTrace();
}
}
public static Resources injectPluginResources(Context context) {
AssetManager assetManager;
Resources newResource = null;
String apkPath = MyApplication.pluginPath;
try {
assetManager = AssetManager.class.newInstance();
Method addAssetPathMethod = assetManager.getClass().getDeclaredMethod(“addAssetPath”, String.class);
addAssetPathMethod.setAccessible(true);
addAssetPathMethod.invoke(assetManager, apkPath);
Resources supResource = context.getResources();
newResource = new Resources(assetManager, supResource.getDisplayMetrics(), supResource.getConfiguration());
} catch (Exception e) {
e.printStackTrace();
}
return newResource;
}
}
关于Resource的融合,我的文章:手把手讲解 Android hook技术实现一键换肤 里面有提及。
绕过manifest检测,在另一篇文章 手把手讲解 Android Hook-实现无清单启动Activity有详解,我就不再赘述了。
详细讲讲 ClassLoader如何融合.
推荐一下 安卓源码的查看网址:https://www.androidos.net.cn/sourcecode,可以很方便帮助我们阅读系统源码,而不必去花大时间去下载整个安卓源码。
老规矩,先上图,下图是
相关类的关系图:
我们用context.getClassLoader拿到的是PathClassLoader,而我们构建能够访问插件中class的classLoader是DexClassLoader,他们有共同的父类BaseDexClassLoader,而且,这个BaseDexClassLoader类的本身就拥有能够装载多个dex路径的能力。
插件DexClassLoader读取的是插件apk中的classes.dex,宿主PathClassLoader读取的是data/app/包名/base.apk的classes.dex. 他们分别将读取到的路径,存到了上图中的Element[] dexElements数组中.
那么如果我们可以将插件DexClassLoader中的dexElements融合到 宿主PathClassLoader的dexElements中去,就可以实现宿主读取插件apk的class.dex.
demo代码中 HookInjectHelper类中的 injectPluginClass 方法,就是以上面的思路为依据进行的hook。
具体步骤为:
1.构建插件DexClassLoader对象
2.获得系统的PathClassLoader对象
3.分别获得插件DexClassLoader和系统PathClassLoader的DexPathList中的dexElements数组
4.将上述两个dexElements数组进行融合
5.将融合之后的的dexElements设置到系统PathClassLoader中
至此,系统也能够访问插件apk中的class了.
就讲到这里,具体可以看源码。
那么接下来,如何启动插件中的Activity呢?
我的Demo中,由于我们在写宿主代码的时候,并不能直接引用插件的类,所以我们只能通过如下方式:
那么又如何启动宿主自身的Activity其他呢?可以按照上面的方式。
或者也可以用普通的方式:
而宿主的
manifest里,依然只有一个Activity,其他的都可以不经注册直接启动,剩下的这一个是为了作为launch Activity:
OK,全部讲完。
##四.坑坑更健康
前方高能,惊天巨坑
细心的读者一定发现了,我在宿主里面用的是android.app.Activity,而不是 AppCompatActivity。
包括宿主内的第二个Main2Activity,依然是android.app.Activity。
因为我发现,如果换成AppCompatActivity,我启动宿主的时候,就会报莫名其妙的异常。
03-09 18:39:19.069 16437-16437/study.hank.com.myhookplugindevdemo E/AndroidRuntime: FATAL EXCEPTION: main
Process: study.hank.com.myhookplugindevdemo, PID: 16437
java.lang.RuntimeException: Unable to start activity ComponentInfo{study.hank.com.myhookplugindevdemo/study.hank.com.myhookplugindevdemo.ui.MainActivity}: java.lang.NullPointerException: Attempt to invoke interface method 'void android.support.v7.widget.DecorContentParent.setWindowCallback(android.view.Window
C
a
l
l
b
a
c
k
)
′
o
n
a
n
u
l
l
o
b
j
e
c
t
r
e
f
e
r
e
n
c
e
a
t
a
n
d
r
o
i
d
.
a
p
p
.
A
c
t
i
v
i
t
y
T
h
r
e
a
d
.
p
e
r
f
o
r
m
L
a
u
n
c
h
A
c
t
i
v
i
t
y
(
A
c
t
i
v
i
t
y
T
h
r
e
a
d
.
j
a
v
a
:
2443
)
a
t
a
n
d
r
o
i
d
.
a
p
p
.
A
c
t
i
v
i
t
y
T
h
r
e
a
d
.
h
a
n
d
l
e
L
a
u
n
c
h
A
c
t
i
v
i
t
y
(
A
c
t
i
v
i
t
y
T
h
r
e
a
d
.
j
a
v
a
:
2503
)
a
t
a
n
d
r
o
i
d
.
a
p
p
.
A
c
t
i
v
i
t
y
T
h
r
e
a
d
.
−
w
r
a
p
11
(
A
c
t
i
v
i
t
y
T
h
r
e
a
d
.
j
a
v
a
)
a
t
a
n
d
r
o
i
d
.
a
p
p
.
A
c
t
i
v
i
t
y
T
h
r
e
a
d
Callback)' on a null object reference at android.app.ActivityThread.performLaunchActivity(ActivityThread.java:2443) at android.app.ActivityThread.handleLaunchActivity(ActivityThread.java:2503) at android.app.ActivityThread.-wrap11(ActivityThread.java) at android.app.ActivityThread
Callback)′onanullobjectreferenceatandroid.app.ActivityThread.performLaunchActivity(ActivityThread.java:2443)atandroid.app.ActivityThread.handleLaunchActivity(ActivityThread.java:2503)atandroid.app.ActivityThread.−wrap11(ActivityThread.java)atandroid.app.ActivityThreadH.handleMessage(ActivityThread.java:1353)
at android.os.Handler.dispatchMessage(Handler.java:102)
at android.os.Looper.loop(Looper.java:148)
总结
【Android 详细知识点思维脑图(技能树)】
其实Android开发的知识点就那么多,面试问来问去还是那么点东西。所以面试没有其他的诀窍,只看你对这些知识点准备的充分程度。so,出去面试时先看看自己复习到了哪个阶段就好。
虽然 Android 没有前几年火热了,已经过去了会四大组件就能找到高薪职位的时代了。这只能说明 Android 中级以下的岗位饱和了,现在高级工程师还是比较缺少的,很多高级职位给的薪资真的特别高(钱多也不一定能找到合适的),所以努力让自己成为高级工程师才是最重要的。
这里附上上述的面试题相关的几十套字节跳动,京东,小米,腾讯、头条、阿里、美团等公司19年的面试题。把技术点整理成了视频和PDF(实际上比预期多花了不少精力),包含知识脉络 + 诸多细节。
由于篇幅有限,这里以图片的形式给大家展示一小部分。
网上学习 Android的资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。希望这份系统化的技术体系对大家有一个方向参考。
《Android学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》,点击传送门,即可获取!
于篇幅有限,这里以图片的形式给大家展示一小部分。
[外链图片转存中…(img-oKZAQ2QU-1715709006702)]
网上学习 Android的资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。希望这份系统化的技术体系对大家有一个方向参考。
《Android学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》,点击传送门,即可获取!
扫一扫
1558
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
