java源码经过编译后,得到很多个class文件, 考虑到手机的内存较小,google改进了字节码的组织形式,将一个app中的所有class文件合到了一起构成dex文件。dex文件最终会和资源文件等一起打包成为apk,签名后安装到手机上。
PackageManager在安装apk时,优化dex文件为odex,存放在/data/dalvik-cache目录下。
dex文件是遵从于dalvik虚拟机标准的文件,它具有跨dalvik虚拟机的特点,而odex是在特定dalvik虚拟机上优化得到的,通常不能跨dalvik虚拟机运行。
程序执行体现在方法的执行上,在dex文件中,方法体里面的内容最终存储在classData区域,方法体里面存储的是二进制的字节码。
dalvik虚拟机是用c/c++写的一套复杂的程序,它定义了256个的smali指令,这些字节码指令高度抽象,组合这些指令可以完成我们想要的功能。smali/baksmali工具可以分析dex文件,解析字节码为对应的smali语法(反汇编),同时也可以将smali语法的文件重新转换为字节码生成dex文件(汇编)。
dex优化过程,其实是将一些字节码替换为dalvik相关的, 优化后的等价字节码。
虚拟机是如何执行这些字节码的呢?
虚拟机对于每一个字节码,都写了一段代码来解释执行。虚拟机在加载了odex(虚拟机总是使用odex文件,第一次使用时会先生成odex), 会将整个odex文件的内容mmap到内存中,之后就和odex文件没有关系了。
虚拟机在load一个Class的时候(参见DexClassLoader源码),根据类的描述符,在内存中的odex区域,查询到对应的数据,构建出ClassObject对象,以及这个ClassObject关联的Method。
Method分为两种,dalvik虚拟机在处理的时候有区别,一种是directMethod,即Java世界里面实现的方法,一种是nativeMethod,即在c/c++里面实现的方法。
ClassObject里面有两个集合,分别存放了这个Class下定义的directMethods和nativeMethods。
Method中,有两个非常重要的指针:
const u2* insns;
DalvikBridgeFunc nativeFunc;对于directMethod,insns存放了该方法的字节码指针(还记得odex被mmap到内存中了么,这个指针就是这段内存里面指向code区域的开始处的指针)。
虚拟机在调用directMethod时,在构建好方法栈以后,pc指针指向了insns,于是可以从内存中取得字节码,然后解释执行。
虚拟机在处理native方法时,走的是另外一套逻辑。
我们在使用native方法时,首先得使用System.loadLibrary对so进行加载,其最终是使用dlopen函数加载了指定的so文件。
之后在我们调用nativeMehtod的时候,会根据方法描述符,通过特定的映射关系(是否主动进行了注册会有不同)得到一个native层的函数名,再从之前dlopen获得的句柄中使用dlsys去查找对应的函数,得到了函数指针后,将这个指针赋值给 insns。在nativeFunc这个桥接函数中,将insns解析为函数指针,然后进行调用。
Xposed hook原理
一个java方法在虚拟机里面对应的Method为directMethod,其insns指向了字节码位置。
Xposed在对java方法进行hook时,先将虚拟机里面这个方法的Method的accessFlag改为native对应的值,然后将该方法的nativeFunc指向自己实现的一个native方法,这样方法在调用时,就会调用到这个native方法,接管了控制权。
在这个native方法中,xposed直接调用了一个java方法,这个java方法里面对原方法进行了调用,并在调用前后插入了钩子,于是就hook住了这个方法。
如何将hook的代码注入到目标app的进程中?
Xposed的实现是依赖于root,重写android的zygote代码,加入自身的加载逻辑。zygote是android 系统最初运行的程序,之后的进程都是通过它fork出来的。 于是zygote中加载的代码,在所有fork出来的子进程都含有。 所以xposed是一个可以hook android系统中任意一个java方法的 hook框架。
整理自:http://www.jianshu.com/p/b29a21a162ad
4006
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
