深入理解android(三):xposed详解,Xposed原理

Xposed是一个很强大的Android平台上的HOOK工具，而且作者为了方便开发者使用开发了一个APP(Xposed Installer，下文称为Installer) 来使用开发者自己开发的模块。开发者安装自己的模块后需要在Installer中勾选自己的模块然后重启手机自己的模块才会起作用。但是这样有点不利于开发者测试，每次都要点开Installer操作几下尤其是还要重启就显得有点麻烦了。

读过Xposed的源码后会发现仅通过更改XposedBridge.jar的源码就可以更简便一些：

1. 不需重启手机

2. 不需操作Installer这个App，且不用安装hook模块，只需push到手机即可

首先需要下载源码，rovo89链接里面有Xposed所有源码，我们只需要下载XposedBridge就好。原版的Xposed并不适用于三星手机，wanam改过的Xposed可以用，所以如果是三星手机的话就下载wanam的。

1. Xposed原理简介

现在安装Xposed比较方便，因为Xposed作者开发了一个Xposed Installer App，下载后按照提示傻瓜式安装(前提是root手机)。其实它的安装过程是这个样子的：首先探测手机型号，然后按照手机版本下载不同的刷机包，最后把Xposed刷机包刷入手机重启就好。刷机包下载 里面有所有版本的刷机包。

刷机包解压打开里面的问件构成是这个样子的：

META-INF/ 里面有文件配置脚本 flash-script.sh 配置各个文件安装位置。

system/bin/ 替换zygote进程等文件

system/framework/XposedBridge.jar jar包位置

system/lib system/lib64 一些so文件所在位置

xposed.prop xposed版本说明文件

所以安装Xposed的过程就上把上面这些文件放到手机里相同文件路径下。

通过查看文件安装脚本发现：

system/bin/下面的文件替换了app_process等文件，app_process就是zygote进程文件。所以Xposed通过替换zygote进程实现了控制手机上所有app进程。因为所有app进程都是由Zygote fork出来的。

Xposed的基本原理是修改了ART/Davilk虚拟机，将需要hook的函数注册为Native层函数。当执行到这一函数是虚拟机会优先执行Native层函数，然后再去执行Java层函数，这样完成函数的hook。如下图：

Xposed HOOK 原理

通过读Xposed源码发现其启动过程：

手机启动时init进程会启动zygote这个进程。由于zygote进程文件app_process已被替换，所以启动的时Xposed版的zygote进程。

Xposed_zygote进程启动后会初始化一些so文件(system/lib system/lib64)，然后进入XposedBridge.jar中的XposedBridge.main中初始化jar包完成对一些关键Android系统函数的hook。

Hook则是利用修改过的虚拟机将函数注册为native函数。

然后再返回zygote中完成原本zygote需要做的工作。

这只是在宏观层面稍微介绍了下Xposed，要想详细了解需要读它的源码了。下面两篇写的挺好，要想深入理解的可以看看。

Android Hook框架Xposed原理与源代码分析

深入理解Android之Xposed详解

2. Xposed精简化

上面稍微介绍了下它的原理，下面就介绍如何精简化Xposed。下面只修改了XposedBridge.jar包中的XposedBridge.java这个文件，修改完重新Build apk然后把apk重命名为XposedBridge.jar然后替换刷机包中的jar包，刷入手机即可。

2.1 取消重启手机

看下XposedBridge.jar的源码

代码文件de.robv.android.xposed.XposedBridge.java

protected static void main(String[] args) {

// Initialize the Xposed framework and modules

try {

if (!hadInitErrors()) {

initXResources();

SELinuxHelper.initOnce();

SELinuxHelper.initForProcess(null);

runtime = getRuntime();

XPOSED_BRIDGE_VERSION = getXposedVersion();

if (isZygote) {

XposedInit.hookResources();

XposedInit.initForZygote();

}

//修改时需注释下面这行代码

XposedInit.loadModules();//*********load hook 模块*******************

} else {

Log.e(TAG, "Not initializing Xposed because of previous errors");

}

} catch (Throwable t) {

Log.e(TAG, "Errors during Xposed initialization", t);

disableHooks = true;

}

// Call the original startup code

if (isZygote) { //****代码修改位置****

ZygoteInit.main(args);

} else {

RuntimeInit.main(args);

}

}

注意上面的XposedInit.loadModules()这个函数，这个函数的作用就是load hook模块到进程中。

因为zygote启动时先跑到java层XposeBridge.main中，在main里面有一步操作是将hook模块load进来，模块加载到zygote进程中，zygote fork所有的app进程里面也有这个hook模块，所以这个模块可以hook任意app。(编写hook模块的第一步就是判断当前的进程名字，如果是要hook的进程就hook，不是则返回)。

所以修改模块后，要将模块重新load zygote里面必须重启zygote，要想zygote重启就要重启手机了。

所以修改的逻辑是不把模块load到zygote里面，而是load到自己想要hook的进程里面，这样修改模块后只需重启该进程即可。

在上面代码的代码修改位置添加如下代码,并将上面XposedInit.loadModules()注释掉即可。

if (isZygote) {

XposedHelpers.findAndHookMethod("com.android.internal.os.ZygoteConnection", BOOTCLASSLOADER, "handleChildProc",

"com.android.internal.os.ZygoteConnection.Arguments",FileDescriptor[].class,FileDescriptor.class,

PrintStream.class,new XC_MethodHook() {

@Override

protected void afterHookedMethod(MethodHookParam param) throws Throwable {

// TODO Auto-generated method stub

super.afterHookedMethod(param);

String processName = (String) XposedHelpers.getObjectField(param.args[0], "niceName");

String coperationAppName = "指定进程名称如：com.android.settings";

if(processName != null){

if(processName.startsWith(coperationAppName)){

log("--------Begin Load Module-------");

XposedInit.loadModules()

}

}

}

});

ZygoteInit.main(args);

} else {

RuntimeInit.main(args);

}

2.2 取消操作Installer APP

通过读Install App的源码发现其实勾选hook模块其实app就是把模块的apk位置写到一个文件里，等load模块时会读取这个文件，从这个文件中的apk路径下把apk load到进程中。

看下loadmodules的源码

XposedInit.java

/**

* Try to load all modules defined in BASE_DIR/conf/modules.list

*/

/*package*/ static void loadModules() throws IOException {

final String filename = BASE_DIR + "conf/modules.list";

BaseService service = SELinuxHelper.getAppDataFileService();

if (!service.checkFileExists(filename)) {

Log.e(TAG, "Cannot load any modules because " + filename + " was not found");

return;

}

ClassLoader topClassLoader = XposedBridge.BOOTCLASSLOADER;

ClassLoader parent;

while ((parent = topClassLoader.getParent()) != null) {

topClassLoader = parent;

}

InputStream stream = service.getFileInputStream(filename);

BufferedReader apks = new BufferedReader(new InputStreamReader(stream));

String apk;

while ((apk = apks.readLine()) != null) {

loadModule(apk, topClassLoader);

}

apks.close();

}

apk配置文件就是installer app文件路径下的conf/modules.list这个文件data/data/de.robv.android.xposed.installer/conf/modules.list

或者data/user_de/0/de.robv.android.xposed.installer/conf/modules.list(不同手机版本位置不同)

所以我们改下，直接给他个确定的apk路径及名称。就定为/data/local/tmp/module.apk。

所以再把之前的代码改成如下的样子就好了

if (isZygote) {

XposedHelpers.findAndHookMethod("com.android.internal.os.ZygoteConnection", BOOTCLASSLOADER, "handleChildProc",

"com.android.internal.os.ZygoteConnection.Arguments",FileDescriptor[].class,FileDescriptor.class,

PrintStream.class,new XC_MethodHook() {

@Override

protected void afterHookedMethod(MethodHookParam param) throws Throwable {

// TODO Auto-generated method stub

super.afterHookedMethod(param);

String processName = (String) XposedHelpers.getObjectField(param.args[0], "niceName");

String coperationAppName = "指定进程名称如：com.android.settings";

if(processName != null){

if(processName.startsWith(coperationAppName)){

log("--------Begin Load Module-------");

String path = "/data/local/tmp/module.apk";

//注意由loadModules换成了loadModule，记得改

XposedInit.loadModule(path, BOOTCLASSLOADER);

}

}

}

});

ZygoteInit.main(args);

} else {

RuntimeInit.main(args);

}

链接：https://www.jianshu.com/p/6b4a80654d4e