--摘自《android插件化开发指南》

1.ActivityThread最终是通过Instrumentation启动一个Activity的。而ActivityThread启动Service并不借助于Instrumentation,而是直接把Service反射出来就启动了。Instrumentation只给Activity提供服务

2.一般预先在宿主app中创建10个StubService占位就够了

***startService的解决方案***

首先把插件和宿主的dex合并

/**

 * 由于应用程序使用的ClassLoader为PathClassLoader

 * 最终继承自 BaseDexClassLoader

 * 查看源码得知,这个BaseDexClassLoader加载代码根据一个叫做

 * dexElements的数组进行, 因此我们把包含代码的dex文件插入这个数组

 * 系统的classLoader就能帮助我们找到这个类

 *

 * 这个类用来进行对于BaseDexClassLoader的Hook

 * 类名太长, 不要吐槽.

 * @author weishu

 * @date 16/3/28

 */

public final class BaseDexClassLoaderHookHelper {

    public static void patchClassLoader(ClassLoader cl, File apkFile, File optDexFile)

            throws IllegalAccessException, NoSuchMethodException, IOException, InvocationTargetException, InstantiationException, NoSuchFieldException {

        // 获取 BaseDexClassLoader : pathList

        Object pathListObj = RefInvoke.getFieldObject(DexClassLoader.class.getSuperclass(), cl, "pathList");

        // 获取 PathList: Element[] dexElements

        Object[] dexElements = (Object[]) RefInvoke.getFieldObject(pathListObj, "dexElements");

        // Element 类型

        Class<?> elementClass = dexElements.getClass().getComponentType();

        // 创建一个数组, 用来替换原始的数组

        Object[] newElements = (Object[]) Array.newInstance(elementClass, dexElements.length + 1);

        // 构造插件Element(File file, boolean isDirectory, File zip, DexFile dexFile) 这个构造函数

        Class[] p1 = {File.class, boolean.class, File.class, DexFile.class};

        Object[] v1 = {apkFile, false, apkFile, DexFile.loadDex(apkFile.getCanonicalPath(), optDexFile.getAbsolutePath(), 0)};

        Object o = RefInvoke.createObject(elementClass, p1, v1);

        Object[] toAddElementArray = new Object[] { o };

        // 把原始的elements复制进去

        System.arraycopy(dexElements, 0, newElements, 0, dexElements.length);

        // 插件的那个element复制进去

        System.arraycopy(toAddElementArray, 0, newElements, dexElements.length, toAddElementArray.length);

        // 替换

        RefInvoke.setFieldObject(pathListObj, "dexElements", newElements);

    }

}

其次采用“欺上瞒下”的方法

public class AMSHookHelper {

    public static final String EXTRA_TARGET_INTENT = "extra_target_intent";

    public static void hookAMN() throws ClassNotFoundException,

            NoSuchMethodException, InvocationTargetException,

            IllegalAccessException, NoSuchFieldException {

        //获取AMN的gDefault单例gDefault,gDefault是final静态的

        Object gDefault = RefInvoke.getStaticFieldObject("android.app.ActivityManagerNative", "gDefault");

        // gDefault是一个 android.util.Singleton<T>对象; 我们取出这个单例里面的mInstance字段

        Object mInstance = RefInvoke.getFieldObject("android.util.Singleton", gDefault, "mInstance");

        // 创建一个这个对象的代理对象MockClass1, 然后替换这个字段, 让我们的代理对象帮忙干活

        Class<?> classB2Interface = Class.forName("android.app.IActivityManager");

        Object proxy = Proxy.newProxyInstance(

                Thread.currentThread().getContextClassLoader(),

                new Class<?>[] { classB2Interface },

                new MockClass1(mInstance));

        //把gDefault的mInstance字段,修改为proxy

        Class class1 = gDefault.getClass();

        RefInvoke.setFieldObject("android.util.Singleton", gDefault, "mInstance", proxy);

    }

    public static void hookActivityThread() throws Exception {

        // 先获取到当前的ActivityThread对象

        Object currentActivityThread = RefInvoke.getStaticFieldObject("android.app.ActivityThread", "sCurrentActivityThread");

        // 由于ActivityThread一个进程只有一个,我们获取这个对象的mH

        Handler mH = (Handler) RefInvoke.getFieldObject(currentActivityThread, "mH");

        //把Handler的mCallback字段,替换为new MockClass2(mH)

        RefInvoke.setFieldObject(Handler.class, mH, "mCallback", new MockClass2(mH));

    }

}

其中,HookService,让AMS启动StubService的实现在类MockClass1上

class MockClass1 implements InvocationHandler {

    private static final String TAG = "MockClass1";

    // 替身StubService的包名

    private static final String stubPackage = "jianqiang.com.activityhook1";

    Object mBase;

    public MockClass1(Object base) {

        mBase = base;

    }

    @Override

    public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {

        Log.e("bao", method.getName());

        if ("startService".equals(method.getName())) {

            // 只拦截这个方法

            // 替换参数, 任你所为;甚至替换原始StubService启动别的Service偷梁换柱

            // 找到参数里面的第一个Intent 对象

            int index = 0;

            for (int i = 0; i < args.length; i++) {

                if (args[i] instanceof Intent) {

                    index = i;

                    break;

                }

            }

            //get StubService form UPFApplication.pluginServices

            Intent rawIntent = (Intent) args[index];

            String rawServiceName = rawIntent.getComponent().getClassName();

            String stubServiceName = UPFApplication.pluginServices.get(rawServiceName);

            // replace Plugin Service of StubService

            ComponentName componentName = new ComponentName(stubPackage, stubServiceName);

            Intent newIntent = new Intent();

            newIntent.setComponent(componentName);

            // Replace Intent, cheat AMS

            args[index] = newIntent;

            Log.d(TAG, "hook success");

            return method.invoke(mBase, args);

        } else if ("stopService".equals(method.getName())) {

            // 只拦截这个方法

            // 替换参数, 任你所为;甚至替换原始StubService启动别的Service偷梁换柱

            // 找到参数里面的第一个Intent 对象

            int index = 0;

            for (int i = 0; i < args.length; i++) {

                if (args[i] instanceof Intent) {

                    index = i;

                    break;

                }

            }

            //get StubService form UPFApplication.pluginServices

            Intent rawIntent = (Intent) args[index];

            String rawServiceName = rawIntent.getComponent().getClassName();

            String stubServiceName = UPFApplication.pluginServices.get(rawServiceName);

            // replace Plugin Service of StubService

            ComponentName componentName = new ComponentName(stubPackage, stubServiceName);

            Intent newIntent = new Intent();

            newIntent.setComponent(componentName);

            // Replace Intent, cheat AMS

            args[index] = newIntent;

            Log.d(TAG, "hook success");

            return method.invoke(mBase, args);

        }

        return method.invoke(mBase, args);

    }

}

第2,AMS被欺骗后,它原本会通知APP启动StubService,而我们要Hook掉ActivityThread的mH对象的mCallback对象,仍然截获它的handleMessage方法(handleCreateService方法),具体实现在MockClass2中

class MockClass2 implements Handler.Callback {

    Handler mBase;

    public MockClass2(Handler base) {

        mBase = base;

    }

    @Override

    public boolean handleMessage(Message msg) {

        Log.d("baobao4321", String.valueOf(msg.what));

        switch (msg.what) {

            // ActivityThread里面 "CREATE_SERVICE" 这个字段的值是114

            // 本来使用反射的方式获取最好, 这里为了简便直接使用硬编码

            case 114:

                handleCreateService(msg);

                break;

        }

        mBase.handleMessage(msg);

        return true;

    }

    private void handleCreateService(Message msg) {

        // 这里简单起见,直接取出插件Servie

        Object obj = msg.obj;

        ServiceInfo serviceInfo = (ServiceInfo) RefInvoke.getFieldObject(obj, "info");

        String realServiceName = null;

        for (String key : UPFApplication.pluginServices.keySet()) {

            String value = UPFApplication.pluginServices.get(key);

            if(value.equals(serviceInfo.name)) {

                realServiceName = key;

                break;

            }

        }

        serviceInfo.name = realServiceName;

    }

}

在宿主中调用

Intent intent = new Intent();

intent.setComponent(

        new ComponentName("jianqiang.com.testservice1",

                "jianqiang.com.testservice1.MyService1"));

startService(intent);

Intent intent = new Intent();

intent.setComponent(

        new ComponentName("jianqiang.com.testservice1",

                "jianqiang.com.testservice1.MyService1"));

stopService(intent);

***bindService的解决方案***

只要在实现类MockClass1中增加

else if ("bindService".equals(method.getName())) {

    // 找到参数里面的第一个Intent 对象

    int index = 0;

    for (int i = 0; i < args.length; i++) {

        if (args[i] instanceof Intent) {

            index = i;

            break;

        }

    }

    Intent rawIntent = (Intent) args[index];

    String rawServiceName = rawIntent.getComponent().getClassName();

    String stubServiceName = UPFApplication.pluginServices.get(rawServiceName);

    // replace Plugin Service of StubService

    ComponentName componentName = new ComponentName(stubPackage, stubServiceName);

    Intent newIntent = new Intent();

    newIntent.setComponent(componentName);

    // Replace Intent, cheat AMS

    args[index] = newIntent;

    Log.d(TAG, "hook success");

    return method.invoke(mBase, args);

}

宿主中调用

Intent intent = new Intent();

intent.setComponent(

        new ComponentName("jianqiang.com.testservice1",

                "jianqiang.com.testservice1.MyService2"));

bindService(intent, conn, Service.BIND_AUTO_CREATE);

unbindService(conn);

问1:为什么不在unbind的时候欺骗AMS?

因为unbind语法是unbindService(conn),AMS会根据conn来找到对应的Service,所以我们不需要把MyService2替换为StubService2

问2:为什么在MockClass2中不需要吧StubService2切换回MyService2?

因为bindService是先走handleCreateService再走handleBindService方法。在handleCreateService方法中已经将StubService2切换回MyService2了,所以后面不需要切换了。

欢迎关注我的微信公众号:安卓圈

Service插件化解决方案的更多相关文章

  1. BroadcastReceiver插件化解决方案

    --摘自<android插件化开发指南> 1.静态广播和动态广播仅区别于注册方式的不同.静态广播的注册信息保存在PMS中,动态广播的注册信息保存在AMS中 2.发送广播,也就是Contex ...

  2. ContentProvider插件化解决方案

    --摘自<android插件化开发指南> 1.当要传输的数据量大小不超过1M的时候,使用Binder:数据量超过1M时,Binder就搞不定了,需要ContentProvider 2.Co ...

  3. Activity插件化解决方案

    --摘自<android插件化开发指南> 1.宿主App加载插件中的类 2.最简单的插件化方案就是在宿主的androidmanifest.xml中申明插件中的四大组件 把插件dex合并到宿 ...

  4. [置顶] 滴滴插件化VirtualAPK框架原理解析(二)之Service 管理

    在前一篇博客滴滴插件化框架VirtualAPK原理解析(一)之插件Activity管理 中VirtualAPK是如何对Activity进行管理的,本篇博客,我们继续来学习这个框架,这次我们学习的是如何 ...

  5. Android插件化的兼容性(上):Android O的适配

    首先声明,<Android插件化开发指南>这本书所介绍的Android底层是基于Android6.0(API level 23)的,而本书介绍的各种插件化解决方案,以及配套的70多个例子, ...

  6. Android插件化的兼容性(中):Android P的适配

    Android系统的每次版本升级,都会对原有代码进行重构,这就为插件化带来了麻烦. Android P对插件化的影响,主要体现在两方面,一是它重构了H类中Activity相关的逻辑,另一个是它重构了I ...

  7. 包建强的培训课程(10):Android插件化从入门到精通

    @import url(http://i.cnblogs.com/Load.ashx?type=style&file=SyntaxHighlighter.css);@import url(/c ...

  8. Android 插件化开发(四):插件化实现方案

    在经过上面铺垫后,我们可以尝试整体实现一下插件化了.这里我们先介绍一下最简单的实现插件化的方案. 一.最简单的插件化实现方案 最简单的插件化实现方案,对四大组件都是适用的,技术面涉及如下: 1). 合 ...

  9. 《Android插件化开发指南》面世

    本书在京东购买地址:https://item.jd.com/31178047689.html 本书Q群:389329264 (一)这是一本什么书 如果只把本书当作纯粹介绍Android插件化技术的书籍 ...

随机推荐

  1. Confluence 6 垃圾收集性能问题

    这个文章与 Oracle 的 Hotspot JVM 虚拟机的内存管理为参照的.这些建议是我们在对大的 Confluence 安装实例用户进行咨询服务的时候得到的最佳配置方案. 请不要在 Conflu ...

  2. SWift中 '?' must be followed by a call, member lookup, or subscript 错误解决方案

    那是因为你在使用自己写的分类时没有指定返回的数据类型  指定下返回数据类型就好了 我是用的oc写的分类在Swift中使用的 错误代码 private lazy var btn = UIButton.C ...

  3. 【python】多进程与mongo

    参考:http://api.mongodb.com/python/current/faq.html#using-pymongo-with-multiprocessing 如果使用了多进程,则必须在子进 ...

  4. SQLmap超详细文档和实例演示

    第一部分,使用文档的说明 Options(选项): -h, -–help 显示此帮助消息并退出 -hh 显示更多帮助信息并退出 –-version 显示程序的版本号并退出 -v VERBOSE 详细级 ...

  5. Yslow web性能测试插件

    YSlow可以对网站的页面进行分析,并告诉你为了提高网站性能,如何基于某些规则而进行优化. YSlow可以分析任何网站,并为每一个规则产生一个整体报告,如果页面可以进行优化,则YSlow会列出具体的修 ...

  6. 论文阅读笔记二十三:Learning to Segment Instances in Videos with Spatial Propagation Network(CVPR2017)

    论文源址:https://arxiv.org/abs/1709.04609 摘要 该文提出了基于深度学习的实例分割框架,主要分为三步,(1)训练一个基于ResNet-101的通用模型,用于分割图像中的 ...

  7. java中的相对目录问题

    在java开发过程中,常常需要使用本地文件内容文件.在调试他人代码的过程中,可能不经意间改变了源代码的根目录(顶级目录),从而导致“java io filenotfoundexception ”.解决 ...

  8. 【C++ Primer | 15】访问控制与继承、继承中的类作用域

    1. 只有D继承B的方式是public时,用户代码才能使用派生类向基类的转换:如果D继承B的方式是受保护的或者私有的,则用户代码不能使用该转换. 2. 不论D以什么方式继承B,D的成员函数和友员函数都 ...

  9. mongodb 安装时错误

    1.安装MongoDB进度条长时间不动 根据在网上搜的步骤安装mongoDB到这步,就基本上卡死不动,在网上查到的办法是死等,等了半个小时,但运气不好半个小时也不一定安装成功. 如果进行到这步,卡死在 ...

  10. Supervisor Linux程序进程管理

    Supervisor 介绍 在linux或者unix操作系统中,守护进程(Daemon)是一种运行在后台的特殊进程,它独立于控制终端并且周期性的执行某种任务或等待处理某些发生的事件.由于在linux中 ...