2. 程式人生 > >Android外掛化系列第(四)篇---外掛載入機制兩種方案

Android外掛化系列第(四)篇---外掛載入機制兩種方案

阿新 發佈:2019-02-16

一、相關概念

1.1、為什麼需要動態載入

這個問題,前面已經介紹過,如下

Android系統使用了ClassLoader機制來進行Activity等元件的載入;apk被安裝之後,APK檔案的程式碼以及資源會被系統存放在固定的目錄(比如/data/app/package_name/1.apk)系統在進行類載入的時候,會自動去這一個或者幾個特定的路徑來尋找這個類;但是系統並不知道存在於外掛中的Activity元件的資訊,外掛可以是任意位置,甚至是網路,系統無法提前預知,因此正常情況下系統無法載入我們外掛中的類;因此也沒有辦法建立Activity的物件,更不用談啟動元件了。這個時候就需要使用動態載入技術了。

1.2、類的載入機制

對於android中的classloader是按照以下的流程,loadClass方法在載入一個類的例項的時候,會先查詢當前ClassLoader例項是否載入過此類,有就返回;如果沒有。查詢Parent是否已經載入過此類,如果已經載入過,就直接返回Parent載入的類;如果繼承路線上的ClassLoader都沒有載入,才由Child執行類的載入工作;這樣做的好處:首先是共享功能,一些Framework層級的類一旦被頂層的ClassLoader載入過就快取在記憶體裡面,以後任何地方用到都不需要重新載入。除此之外還有隔離功能,不同繼承路線上的ClassLoader載入的類肯定不是同一個類,這樣的限制避免了使用者自己的程式碼冒充核心類庫的類訪問核心類庫包可見成員的情況。這也好理解,一些系統層級的類會在系統初始化的時候被載入,比如java.lang.String,如果在一個應用裡面能夠簡單地用自定義的String類把這個系統的String類給替換掉,那將會有嚴重的安全問題

結論:
DexClassLoader可以載入jar/apk/dex,可以從SD卡中載入未安裝的apk;
PathClassLoader只能載入系統中已經安裝過的apk;

現在介紹兩種外掛在宿主中載入的兩種方案。

二、動態載入方案

2.1、合併dexElements陣列

這裡的合併是指,將PathClassLoader和DexClassLoader中的dexElements進行合併,這種思路從何而來呢?通常在Android中我們用上述兩個ClassLoader載入類,他們的父類是BaseDexClassLoader。在父類的建構函式中建立了一個DexPathList物件,從名字看上去,估計這個類表示的是把很多個Dex

檔案的路徑放到一個List集合中。

BaseDexClassLoader.java

來看DexPathList的程式碼

DexPathList.java


類在build之後就會變成一個dex檔案,而這個檔案的路徑就存放在dexElements。所以自然就會想到,我們把宿主和外掛的dex都放到這裡面,這樣系統就會幫我們載入了。 

 /**
     * 建立DexClassLoader,不能用DexClassLoader,因為DexClassLoader只能載入安裝過的
     */
    public DexClassLoader createDexClassLoader(Activity pActivity) {
        String cachePath = pActivity.getCacheDir().getAbsolutePath();
        String apkPath = Environment.getExternalStorageDirectory().getAbsolutePath() + "/chajian_demo.apk";
        return new DexClassLoader(apkPath, cachePath, cachePath, getClassLoader());
    }
  */
    public static void injectClassLoader(DexClassLoader loader,Context context){
        //獲取宿主的ClassLoader
        PathClassLoader pathLoader = (PathClassLoader)context.getClassLoader();
        try {
            //獲取宿主pathList
            Object hostPathList = getPathList(pathLoader);
            //獲取外掛pathList
            Object pluginPathList = getPathList(loader);
            //獲取宿主ClassLoader中的dex陣列
            Object hostDexElements = getDexElements(hostPathList);
            //獲取外掛CassLoader中的dex陣列
            Object pluginDexElements = getDexElements(pluginPathList);
            //獲取合併後的pathList
            Object sumDexElements = combineArray(hostDexElements, pluginDexElements);
            //將合併的pathList設定到本應用的ClassLoader
            setField(hostPathList, suZhuPathList.getClass(), "dexElements", sumDexElements);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

   private static Object getPathList(Object baseDexClassLoader)
            throws IllegalArgumentException, NoSuchFieldException, IllegalAccessException, ClassNotFoundException {
            return getField(baseDexClassLoader, Class.forName("dalvik.system.BaseDexClassLoader"), "pathList");
    }
    private static Object getDexElements(Object paramObject)
            throws IllegalArgumentException, NoSuchFieldException, IllegalAccessException {
        return getField(paramObject, paramObject.getClass(), "dexElements");
    }
   private static Object getField(Object obj, Class<?> cl, String field)
            throws NoSuchFieldException, IllegalArgumentException, IllegalAccessException {
        //反射需要獲取的欄位
        Field localField = cl.getDeclaredField(field);
        localField.setAccessible(true);
        return localField.get(obj);
    }

上面的程式碼演示了怎麼合併系統預設載入器PathClassLoader和動態載入器DexClassLoader中的dexElements陣列,這種方案還是比較簡單的,現在看麻煩一些的。

2.1、替換LoadedApk中的mClassLoader

LoadedApk是什麼? LoadedApk物件是APK檔案在記憶體中的表示。 Apk檔案的相關資訊,諸如Apk檔案的程式碼和資源,甚至程式碼裡面的Activity,Service等元件的資訊我們都可以通過此物件獲取。

Paste_Image.png

為什麼想到要替換LoadedApk中的mClassLoader,這個答案也是看原始碼的,在Activity的啟動過程中,會獲取LoadedApk物件。

    public final LoadedApk getPackageInfo(String packageName, CompatibilityInfo compatInfo,
            int flags, int userId) {
        final boolean differentUser = (UserHandle.myUserId() != userId);
        synchronized (mResourcesManager) {
            WeakReference<LoadedApk> ref;
            if (differentUser) {
                ref = null;
            } else if ((flags & Context.CONTEXT_INCLUDE_CODE) != 0) {
                ref = mPackages.get(packageName);
            } else {
                ref = mResourcePackages.get(packageName);
            }

            LoadedApk packageInfo = ref != null ? ref.get() : null;

            if (packageInfo != null && (packageInfo.mResources == null
                    || packageInfo.mResources.getAssets().isUpToDate())) {
                if (packageInfo.isSecurityViolation()
                        && (flags&Context.CONTEXT_IGNORE_SECURITY) == 0) {
                    throw new SecurityException(
                            "Requesting code from " + packageName
                            + " to be run in process "
                            + mBoundApplication.processName
                            + "/" + mBoundApplication.appInfo.uid);
                }
                return packageInfo;
            }
        }

首先判斷了是不是同一個userId,如果是同一個user,嘗試獲取快取資料;如果沒有命中快取資料,才通過LoadedApk的建構函式建立了LoadedApk物件;因此當我們拿到這一份快取資料,修改裡面的ClassLoader,自己控制類載入的過程,這樣載入外掛中的Activity類的問題就解決了。

public class HookLoadedApk {

    public static Map<String, Object> sLoadedApk = new HashMap<String, Object>();

    public static void hookLoadedApkInActivityThread(File apkFile) throws Exception {

        // 1、獲取到當前的ActivityThread物件
        Class<?> activityThreadClass = Class.forName("android.app.ActivityThread");
        Method currentActivityThreadMethod = activityThreadClass.getDeclaredMethod("currentActivityThread");
        currentActivityThreadMethod.setAccessible(true);
        Object currentActivityThread = currentActivityThreadMethod.invoke(null);

        //2、 獲取 mPackages 靜態成員變數, 這裡快取了dex包的資訊
        Field mPackagesField = activityThreadClass.getDeclaredField("mPackages");
        mPackagesField.setAccessible(true);
        Map mPackages = (Map) mPackagesField.get(currentActivityThread);

        // 方法簽名:public final LoadedApk getPackageInfoNoCheck(ApplicationInfo ai,CompatibilityInfo compatInfo)
        //3、獲取getPackageInfoNoCheck方法
        Class<?> compatibilityInfoClass = Class.forName("android.content.res.CompatibilityInfo");
        Method getPackageInfoNoCheckMethod = activityThreadClass.getDeclaredMethod("getPackageInfoNoCheck",
                ApplicationInfo.class, compatibilityInfoClass);

        Field defaultCompatibilityInfoField = compatibilityInfoClass.getDeclaredField("DEFAULT_COMPATIBILITY_INFO");
        defaultCompatibilityInfoField.setAccessible(true);

        Object defaultCompatibilityInfo = defaultCompatibilityInfoField.get(null);

        //4、獲取applicationInfo資訊
        ApplicationInfo applicationInfo = generateApplicationInfo(apkFile);

        Object loadedApk = getPackageInfoNoCheckMethod.invoke(currentActivityThread, applicationInfo, defaultCompatibilityInfo);

        String odexPath = Utils.getPluginOptDexDir(applicationInfo.packageName).getPath();

        String libDir = Utils.getPluginLibDir(applicationInfo.packageName).getPath();

        //5、建立DexClassLoader
        ClassLoader classLoader = new DexClassLoader(apkFile.getPath(), odexPath, libDir, ClassLoader.getSystemClassLoader());
        Field mClassLoaderField = loadedApk.getClass().getDeclaredField("mClassLoader");
        mClassLoaderField.setAccessible(true);

        //6、替換掉loadedApk
        mClassLoaderField.set(loadedApk, classLoader);

        // 由於是弱引用, 為了防止被GC,我們必須在某個地方存一份
        sLoadedApk.put(applicationInfo.packageName, loadedApk);

        WeakReference weakReference = new WeakReference(loadedApk);

        mPackages.put(applicationInfo.packageName, weakReference);
    }


    /**
     * 反射generateApplicationInfo方法,得到ApplicationInfo物件
     *
     * generateApplicationInfo方法簽名:
     * public static ApplicationInfo generateApplicationInfo(Package p, int flags,PackageUserState state, int userId) 
     * 
     * 這個方法需要Package引數和PackageUserState引數
     * 
     * 
     */
    public static ApplicationInfo generateApplicationInfo(File apkFile) throws Exception{

        // 獲取PackageParser類
        Class<?> packageParserClass = Class.forName("android.content.pm.PackageParser");
       // 獲取PackageParser$Package類
        Class<?> packageParser$PackageClass = Class.forName("android.content.pm.PackageParser$Package");
        Class<?> packageUserStateClass = Class.forName("android.content.pm.PackageUserState");

        Method generateApplicationInfoMethod = packageParserClass.getDeclaredMethod("generateApplicationInfo",
                packageParser$PackageClass,
                int.class,
                packageUserStateClass);

        // 創建出一個PackageParser物件供使用
        Object packageParser = packageParserClass.newInstance();

        // 呼叫 PackageParser.parsePackage 解析apk的資訊
        Method parsePackageMethod = packageParserClass.getDeclaredMethod("parsePackage", File.class, int.class);

        // 得到第一個引數 :PackageParser.Package 物件
        Object packageObj = parsePackageMethod.invoke(packageParser, apkFile, 0);

        //得到第三個引數:PackageUserState物件
        Object defaultPackageUserState = packageUserStateClass.newInstance();

        // 反射generateApplicationInfo得到ApplicationInfo物件
        ApplicationInfo applicationInfo = (ApplicationInfo) generateApplicationInfoMethod.invoke(packageParser,
                packageObj, 0, defaultPackageUserState);
        String apkPath = apkFile.getPath();

        applicationInfo.sourceDir = apkPath;
        applicationInfo.publicSourceDir = apkPath;

        return applicationInfo;
    }
}

這種方法參考了weishu,比較複雜,因為ActivityThread對於LoadedApk有快取機制,我們才有機可乘,把自定義的ClassLoader的外掛資訊新增進mPackages中,從而完成了外掛的載入。關於這兩種方案,不能說哪一種更好,雖然第一種方案易理解,程式碼少,但是有一個問題,一旦外掛之間甚至外掛與宿主之間使用的類庫有衝突,就會崩潰,DroidPlugin採用的就是第二種方案,Small採用的是第一種方案,合併dexElements陣列。第二種方案也有缺點,除了Hook過程複雜外,每一個版本的apk解析都有差別,使用的PackageParser的相容性就比較差,根據不同版本來分別Hook。詳細的可以參考weishu,解釋的比我更清楚。

Please accept mybest wishes for your happiness and success !

參考部落格

相關推薦

Android外掛系列---外掛載入機制方案

一、相關概念 1.1、為什麼需要動態載入 這個問題,前面已經介紹過,如下 Android系統使用了ClassLoader機制來進行Activity等元件的載入;apk被安裝之後,APK檔案的程式碼以及資源會被系統存放在固定的目錄(比如/d

Android原始碼解析Window系列---Window的基本認識和Activity的Window建立過程

您可能聽說過View ,ViewManager,Window,PhoneWindow,WindowManager,WindowManagerService,可是你知道這幾個類是什麼關係,幹嘛用的。概括的來說,View是放在Window中的,Window是一個抽象

《SpringBoot從入門到放棄》之——開發Web應用之模板Thymeleaf、FreeMarker

  SpringBoot提供了預設配置的模板引擎主要有以下幾種:Thymeleaf、FreeMarker、Velocity、Groovy、Mustache 預設的建立SpringBoot專案時,開發工具就幫我們建立好了src/main/resources/static目錄,該位

Git學習:Clone專案到另一臺電腦,實現專案共享

經過前面三篇文章的學習和實踐,已經完成了git本地庫的建立,與GitHub的程式碼關聯、編輯器的外掛安裝等工作,接下來就可以開始寫程式碼了。 第一篇文章中,我提到過我需要兩臺電腦共享專案程式碼,進行程式碼的更新和版本控制,因此我需要GitHub幫我實現這個需求,同時也為了通過實踐來掌握git和G

Gradle系列---Groovy語法初探

一、從Java到Groovy的關係 Groovy能直接接受你的Java程式碼,也就是說在Groovy中寫java程式碼也是可以的,因為Groovy 是一門JVM 語言,也就是,Groovy 的程式碼最終也會被編譯成JVM 位元組碼,交給虛擬機器去執行,我們也可

Python爬蟲開發:動態載入頁面的解決方案與爬蟲代理

0×00 前言 如果讀者讀過我前面的關於爬蟲的文章,應該大概都清楚我們現在可以對一個靜態的web頁面”為所欲為“了,但是技術的發展總是沒有止境的,僅僅是這樣對靜態頁面處理遠遠不夠,要知道現在很多的web頁面有意無意為了防止靜態爬蟲使用ajax技術動態載入頁面,這就導致了在面對這些網站的時候,我們

Python高階爬蟲:動態載入頁面的解決方案與爬蟲代理

*原創作者:VillanCh 0×00 前言 0×01 動態頁面解決方案Selenium+PhantomJS 0×02 原理回顧對比 0×03 Quick Start 0×04 webdriver API 0×05 匿名爬蟲 0×06 匿名爬蟲解決方案 0×07 完結總結

Android開發—智慧家居系列:UDP通訊傳送指令

【Android開發—智慧家居系列】(四):UDP通訊傳送指令   思路回顧 【1】手機連線WIFI模組  【2】UDP通訊對WIFI模組傳送指令,以和WIFI模組保持連線狀態  【3】UDP通訊對WIFI模組傳送指令,讓其搜尋可用的無線網,返回WIFI列表

Android外掛——Replugin入門

一、360Replugin簡介 RePlugin是一套完整的、穩定的、適合全面使用的,佔坑類外掛化方案,由360手機衛士的RePlugin Team研發,也是業內首個提出”全面外掛化“(全面特性、全面相容、全面使用)的方案。 其主要優勢有: 極其靈活:主程式無需升級(無

Android外掛開發教程

1.什麼是外掛化開發首先我們要對外掛化的概念有一個認識:外掛化開發是將整個app拆分成很多模組,這些模組包括一個宿主和多個外掛,每個模組都是一個apk(元件化的每個模組是個lib),最終打包的時候將宿主apk和外掛apk分開或者聯合打包。外掛式開發通俗的講就是把一個很大的app分成n多個

Android外掛的相容性Android O的適配

      首先宣告,《Android外掛化開發指南》這本書所介紹的Android底層是基於Android6.0(API level 23)的,而本書介紹的各種外掛化解決方案,以及配套的70多個例子,在Android7.0(API level 24)手機上測試都是能正常工作的。      如果讀者您的手機是

Android外掛的相容性Android P的適配

     Android系統的每次版本升級,都會對原有程式碼進行重構,這就為外掛化帶來了麻煩。      Android P對外掛化的影響,主要體現在兩方面,一是它重構了H類中Activity相關的邏輯,另一個是它重構了Instrumentation。      3.1 H類的變身      3.1

JXLS 2.4.0系列教程——多sheet是怎麽做到的

while director write 教程 == 模板 phy sheet ack 註:本文代碼在第一篇文章基礎上修改而成,請務必先閱讀第一篇文章。 http://www.cnblogs.com/foxlee1024/p/7616987.html 本文也不會過多的講解模

JXLS 2.4.0系列教程——拾遺 如何做頁面小計

進行 line http spa shee shel nes 默認 閱讀   註:閱讀本文前,請先閱讀第四篇文章。   http://www.cnblogs.com/foxlee1024/p/7619845.html   前面寫了第四篇教程,發現有些東西忘了講了,這裏補

模塊編程---CMD

通用 一個 OS www seajs 解決 png 相關 書寫 CMD 即Common Module Definition通用模塊定義,CMD規範是國內發展出來的,就像AMD有個requireJS,CMD有個瀏覽器的實現SeaJS,SeaJS要解決的問題和requi

【WCF系列WCF客戶端怎麽消費服務

class fig 完全 文件 自動 客戶 回收 ins 必須 WCF客戶端怎麽消費服務 獲取服務綁定協議、綁定和地址:實現方式 SvcUtil方式:SvcUtil.exe是一個命令行工具,位於:C:\Program Files (x86)\Microsoft SDKs

openstack系列文章

cnblogs 調度器 5.5 min 代碼位置 虛機 inux latest 階段 學習 openstack 的系列文章 - Nova Nova 基本概念 Nova 架構 openstack Log Nova 組件介紹 Nova 操作介紹 1. Nova 基本概念

Android框架原始碼解析之Picasso

這次要分析的原始碼是 Picasso 2.5.2 ,四年前的版本,用eclipse寫的,但不影響這次我們對其原始碼的分析 地址:https://github.com/square/picasso/tree/picasso-parent-2.5.2 Picasso的簡單使用

瀏覽器外掛之ActiveX開發----web頁面呼叫ActiveX

轉自:http://www.cnblogs.com/qguohog/archive/2013/01/25/2876828.html https://blog.csdn.net/zengraoli/article/details/12078757?utm_source=blogxgwz3 &n

Tensorflow系列專題:神經網路之前饋神經網路綜述

目錄: 神經網路前言 神經網路 感知機模型 多層神經網路 啟用函式 Logistic函式 Tanh函式 ReLu函式 損失函式和輸出單元 損失函