关注微信公众号:“编码美丽”技术干货实时推荐,欢迎访问我的github:点击进入

Android中免Root实现Hook的Dexposed框架实现原理解析以及如何实现应用的热修复

Android技术篇 jiangwei212 7387℃ 0评论

一、前言

今天我们来看一下阿里的一个开源框架Dexposed,关于这个框架网上已经有很多解析了,但是都是讲解原理,而且讲的不是很清楚,这里因为工作中的需要就研究了一下,所以这里就先讲解一下这个框架的原理,然后在通过一个例子来看看他如何使用,最后在用它来实现应用的热修复问题。

二、知识点准备

首先在讲解这个框架的时候,我们先来了解几个知识点:

1、关于之前的Xposed框架

我们在很早就知道了这个框架,本来想整理一下顺便说一下这个框架的,但是这个框架网上说的很多,而且也很详细,所以就不做太多的解析了,这里就大致说一下他的中心思想和核心原理。

通过进行设备root之后,替换/system/bin/app_process程序控制zygote进程,使得app_process在启动过程中会加载XposedBridge.jar这个jar包,从而完成对Zygote进程及其创建的Dalvik虚拟机的劫持。

那么这里就引出了一个问题,为什么要替换app_process程序呢?

关于app_process程序网上也有很多讲解了,他其实是一个程序,存放在system/bin目录下的,他的作用就是启动一个程序,比如我们熟知的zygote进程,还有所有app启动,app_process只要找到需要运行程序的main函数也就是入口函数,然后执行,他不仅能执行C/C++程序,也可以执行Java程序,其实在之前我们遇到过一个情况,就是想在Android中运行一个Java程序的jar,其实那个就是用的app_process命令启动的。运行的命令也很简单:

app_process [java-options] cmd-dir start-class-name [options]

我们可以查看他的源码app_main.cpp


从app_process的main函数(在app_main.cpp里面)可以看出,app_process有两种启动方式:一种是init.rc里面的这种方式,这种方式将会以zygote模式启动com.android.internal.os.ZygoteInit,并将进程名称改为zygote;另外一种是以非zygote模拟启动com.android.internal.os.RuntimeInit,并调用它的main方法,main的最后会执行finishInit,finishInit是一个native方法,这个方法会调用app_process的onStarted方法,在onStarted里面将会调用真正要执行的class:


在这里不想介绍的太多,因为后面会说到Android的一个应用的启动过程的时候,再详细解析。这里我们知道一个点就是Android中的所有程序都是通过app_process命令启动,而且app_process命令还可以启动任何Java程序,比如我们用到的am命令,这个命令Java源码和shell源码位于:Android源码目录\frameworks\base\cmds\

我们可以查看他的java源码内部实现:


指定有一个入口函数main

然后再看看他shell源码:


看到了这里首先设置CLASSPATH变量,就是am.jar的路径,然后开始执行命令,命令中需要指定具体的类名。

这里我们也学会了如何在Android中执行一个jar文件啦。

那么从上面我们分析了app_process命令的作用,那么我们就知道了为什么Xposed框架需要替换app_process命令了:

首先在Android系统中,应用程序进程都是由Zygote进程孵化出来的,而Zygote进程是由Init进程启动的。Zygote进程在启动时会创建一个Dalvik虚拟机实例,每当它孵化一个新的应用程序进程时,都会将这个Dalvik虚拟机实例复制到新的应用程序进程里面去,从而使得每一个应用程序进程都有一个独立的Dalvik虚拟机实例。这也是Xposed选择替换app_process的原因。
Zygote进程在启动的过程中,除了会创建一个Dalvik虚拟机实例之外,还会将Java运行时库加载到进程中来,以及注册一些Android核心类的JNI方法来前面创建的Dalvik虚拟机实例中去。注意,一个应用程序进程被Zygote进程孵化出来的时候,不仅会获得Zygote进程中的Dalvik虚拟机实例拷贝,还会与Zygote一起共享Java运行时库。这也就是可以将XposedBridge这个jar包加载到每一个Android应用程序中的原因。XposedBridge有一个私有的Native(JNI)方法hookMethodNative,这个方法也在app_process中使用。这个函数提供一个方法对象利用Java的Reflection机制来对内置方法覆写。

看到了吧,这就是Xposed框架选择app_proess作为入口的一个原因,因为这个入口有两个好处:

1》、一旦修改了,就可以修改了所有的app

2》、这里的时机是最早的,可以加载所有的东西

上面就简单的分析了一下Xposed框架的实现原理,这个是我们需要了解的第一个知识点。

2、修改非native方法为native方法

第二我们需要了解的知识点是,如何将Android中一个非native方法改成native的,并且可以将这个native方法指定成特定执行的函数。

关于这个知识点,我在之前的一篇文章:Android中通过进程注入技术修改系统返回的Mac地址

这篇文章就很详细的讲解了我们如何修改系统的获取Mac地址的方法,原理很简单:

将系统的获取Mac地址的方法getMacAddress改成native的,然后指定nativeFunc为dvmResolveNativeMethod这个函数,这个函数是dvm提供的。其中dvmResolveNativeMethod调用了dvmLookupInternalNativeMethod和lookupSharedLibMethod来查找jni中注册的native函数。 dalvik最后将执行得到的java native函数.

通过上面的代码片段,我们了解到要对一个java函数进行hook需要步骤有
[1] 把修改method的属性修改成native
[2] 修改method的registersSize、insSize、nativeFunc、computeJniArgInfo
[3] RegisterNatives注册目标method的native函数

然后我们将系统获取Mac地址的方法getMacAddress和我们自己的一个函数做一次注册:

{“android/net/wifi/WifiInfo”,”getMacAddress”,”()Ljava/lang/String;”,(void*)test}

那么这里的test函数就是我们自己想要做事的函数,可以返回任意值啦~~


这个知识点很重要,也是我们今天说的核心知识点

三、原理分析

分析完了上面的两个知识点,下面我们就来正式看看Dexposed框架的原理了,首先我们通过一张图来了解一下:


看到了吧,其实不是很复杂,主要分为Java层和Native层的,

第一、首先我们来分析一下Java层的DexposedBridge.java类

1、hookMethodNative方法:


这个方法是一个native类型的。

参数说明:

1)需要hook的方法对象

2)需要hook的方法所属的类

3)方法的slot值,关于这个slot的含义就是方法中局部变量存储的最小单位,一个Slot可以存放一个32位以内的数据类型.在Java程序编译为Class文件时,在方法的Code属性的max_locals数据项中确定了该方法所需要分配局部变量表的最大容量.

4)额外附加信息,比如我们需要hook方法的回调的对象,hook方法的返回类型,参数类型等信息,下面看到hookMethodNative方法的调用地方。


2、invokeSuperNative和invokeOriginalMethodNative方法


这两个方法也是native的,而且这两个方法比较好理解,就是执行需要hook方法的父类方法和原方法,因为我们在hook住一个方法的时候,肯定需要决定是否要调用父类方法还是原来的方法。

3、handleHookedMethod方法


这个方法是整个Dexposed框架Java层最核心的一个方法,这个方法就是用来替换我们需要hook的那个方法,具体如何替换的等下面说到native层再说。然后这个方法中做了三件事:

1、执行需要hook之前的所有回调方法beforeMethod

2、执行被hook的原生方法

3、执行需要hook之后的所有回调方法afterMethod


这个方法就是我们偷龙转凤的上层核心方法,同时在这里我们可以看到Dexposed框架还有一个好处就是AOP编程,关于AOP的概念就是面向切面编程,能够在我们需要拦截或者hook的一个方法之前或者之后能做些什么,JavaWeb中的Spring框架的一个核心就是AOP编程。

第二、上面分析完了DexposedBridge.java核心类,下面来看一下native层的实现 dexposed.cpp

1、initNative函数


这个初始化函数,主要获取我们在DexposedBridge.java中的一些方法对应的Method对象,后面会用到。

这个方法在JNI_OnLoad这个函数中调用的,我们知道这个函数是当so文件加载的时候就会被调用的。所以一般在这里做初始化操作。在这个方法中还做了哪些事呢?


还有dexposedInfo函数:


这个函数主要获取设备的一些信息,其实他对应的上层Java类就是SystemProperty.java类。

还有就是一个dexposedOnVmCreated函数:


这个函数干了两件事,一件事是获取需要hook的类对象,还有就是执行注册jni函数:

register_com_taobao_android_dexposed_DexposedBridge


这里注册了DexposedBridge.java中的hookMethodNative方法

2、com_taobao_android_dexposed_DexposedBridge_hookMethodNative函数


这个函数做了两件事:

1)、构造出DexposedHookInfo信息:


DexposedHookInfo的结构体信息定义在dexposed.h头文件中。就是需要hook的方法的信息

2)、将需要hook的方法改成native的,然后指定他的nativeFunc为dexposedCallHandler函数

3、dexposedCallHandler函数


这个方法首先获取我们刚刚构造的DexposedHookInfo信息


然后执行dexposedHandleHookedMethod方法


这个方法在initNative中初始化了,就是Java层中DexposedBridge.java中国的handleHookedMethod方法。

好了到这里我们就分析完了native层的代码,下面来总结一下:

1、首先在JNI_OnLoad函数中做了三件事:

1)获取设备信息dexposedInfo

2)注册JNI方法(com_taobao_android_dexposed_DexposedBridge_hookMethodNative)

3)初始化信息(获取Java层DexposedBridge中方法的Method对象)

2、然后在com_taobao_android_dexposed_DexposedBridge_hookMethodNative函数中主要做了两件事:

1)把Java层传递的信息构造成DexposedInfo信息

2)设置hook方法为native,并且指定nativeFunc函数

3、最后在执行第二步中的nativeFunc函数dexposedCallHandler函数中主要做了两件事:

1)获取刚刚构造的DexposedInfo信息

2)调用Java层DexposedBridge.java中的handleHookedMethod方法

所以我们在整个过程中可以看到,先通过JNI注册,从Java世界转到Native世界,然后在native世界中主要修改被hook方法的一些信息,然后在通过反射调用handleHookedMethod回到Java世界。

四、案例分析

1、Hook系统的方法

上面讲解完了Dexposed框架的实现原理,下面就通过例子来看看他的功能,这里我们选择Hook系统的Log类:


这里直接调用DexposedBridge.findAndHookMethod方法来实现的,注意这里做了一个设备的判断,如果是5.0+的话就hook程序本身的showLog方法,如果不是就hook系统的Log中的d方法。

最后一个参数可以看到,是一个回调,就是让我们来操作执行hook方法之前和之后的一些操作,这里在afterHookedMethod方法中将日志消息显示在屏幕中的TextView了,我们运行看一下效果:



这里我们可以成功的hook掉系统的方法。

那么分析到这里,需要总结一下:

1》、Xposed框架是需要root的,他的功能很全,能够hook掉系统方法,同时也可以hook掉其他应用的一些方法。

2》、Dexposed框架是不需要root的,但是他只能hook掉在自己的应用进程中的一些方法,其他应用进程是没办法hook的

所以我们可以对比一下这两个框架各有好处。一般做游戏外挂啥的,Dexposed是做不到的,而Xposed是可以做到的。

2、实现热修复功能

那么分析到这里我们还没有结束,还有我们今天一个重要的知识点,就是如何使用Dexposed框架实现应用热修复,所谓热修复,就是在应用发布之后,在某个模块出现问题,可以在线修复,不需要从新发版。这个之前其实弄过这快,用动态加载技术既可以做到,可以将每个模块做成动态加载的,然后如果哪个模块有问题的话,就在线更新修复之后的模块(一般是dex或者jar的形式),那么既然我们介绍了Dexposed框架,而且知道他能hook掉自己应用进程的方法,那么有一个思路,就是我们可以在线提供一个具备一定协议的模块,然后在这个模块中我们调用DexposedBridge的一些方法,然后hook掉我们应用中出现问题的模块方法,从而达到热修复功能。具体可以看下面一张图:


下面我们来通过一个例子看看,修复应用中一个展示对话框的功能:

首先看一下热修复工程PatchExample

就一个类,修复对话框类:


这个类也够简单吧,但是需要注意的是,每个修复类必须遵从IPatch协议接口。

下面我们编译这个修复包,然后将其copy到需要修复应用的cache目录下:

adb push PatchDemo.apk /sdcard/Android/data/com.taobao.dexposed/cache/

为什么是这个目录呢,下面来分析一下宿主应用中的热修复代码:


看到了吧,这里就这么调用就可以啦,真正我们在使用的时候,应该是从网上下载apk,然后保存到本地进行load操作的。

不过这里我们先不运行,我们先来看看Patch的源码:


这里有一个核心的方法,就是loadAllCallbacks方法:


这里使用了DexFile类,得到apk中的dex文件中所有的类,然后判断哪些类实现了IPatch协议。


最后在调用协议遵从的handlePatch方法。实现热修复功能。

好了分析完了代码之后,下面我们来运行程序看看:


不过我们在修复的过程中遇到了这个错误,其实这个错误我在之前介绍过讲解动态加载那篇文章中说到过,就是我们宿主工程中有了IPatch类的定义,动态修复模块中也引用了这个IPatch类,所以导致相同类被加载了两次的错误。这里我们需要修改的就是修复模块中不要引用宿主模块中已经有的jar,那么这里就有一个问题了,怎么才能编译出一个不包含指定jar的apk包呢?这个在Eclipse中我是没找到好的办法的,最后是ant脚本进行操作的,就是只要保证工程编译通过,同时不要将指定的jar包包含到apk中。具体如何使用ant脚本打包出一个apk,不了解的同学可以参看:如何使用Ant脚本编译出apk包 这里就不在做太多的介绍了。

我们修复了之后的apk,然后运行:


看到了吧,这里就修复成功啦~~

项目下载:http://download.csdn.net/detail/jiangwei0910410003/9513513

五、技术概要

好了到这里我们就讲解完了Dexposed这个框架,已经如何使用这个框架来实现应用的热修复功能。下面来总结一下知识点:

1、Dexposed框架是免root实现hook的,但是他也有局限性就是只能hook本应用中的一些方法。

2、Dexposed框架hook方法的原理,就是首先修改需要hook的方法为native方法,然后在设置nativeFunc值为我们需要处理的函数

  然后这个函数在用反射机制调用上层的Java代码即可

3、Dexposed框架实现热修复,是基于hook技术,每个需要修复的模块都需要遵循一个协议,然后采用hook技术,去hook掉需要

修复的方法,实现替换功能。

总结Dexposed框架其实就一句话:

找到比较好的时机(JNI_OnLoad),修改hook方法,然后挂钩上层Java代码,实现偷龙转凤的功能

六、总结

这里就介绍完了Dexposed框架的一些知识,在实际项目中我们还会遇到一些问题,但是这篇文章只是讲解了这个框架的实现原理,

在实际的使用过程中还是会遇到一些问题的,到时候在进行处理即可。

 

关注微信公众号,最新Android技术实时推送

转载请注明:尼古拉斯.赵四 » Android中免Root实现Hook的Dexposed框架实现原理解析以及如何实现应用的热修复

喜欢 (4)or分享 (0)
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址