话说，刚开始接触xposed，就对这个频繁重启不太爽。我很少使用动态调试的方式去跟踪apk，因为处理反调试，开启调试环境（重编、或者开启系统debug开关等）特别麻烦。但是纯粹使用xposed拦截的方式去跟踪业务逻辑呢，修改一个日志打印都需要重启Android系统。所以我就想，能不能做到更新插件代码，不重启Android系统，也让系统生效呢？然后我去研究了xposed源码，和Android相关源码，算是得到了一个比较好的方案。

目前热加载在我的工具包里面使用非常频繁了，我们大量的破解工作都是基于这个热加载框架实现。https://gitee.com/virjar/xposedhooktool

下面讲述我如何找到热加载方案，以及如何实现的。

1. xposed加载插件的逻辑分析。

/**

* Load a module from an APK by calling the init(String) method for all classes defined

* in <code>assets/xposed_init</code>.摘抄自xposed源码，其中apk为插件apk路径，如 /data/app/com.virjar.xposedhooktool-1/base.apk

*/

private static void loadModule(String apk, ClassLoader topClassLoader) {

Log.i(TAG, "Loading modules from " + apk);

DexFile dexFile;

try {

dexFile = new DexFile(apk);

} catch (IOException e) {

Log.e(TAG, " Cannot load module", e);

return;

}

//....省略代码

ClassLoader mcl = new PathClassLoader(apk, XposedBridge.BOOTCLASSLOADER);

//....省略代码

if (moduleInstance instanceof IXposedHookLoadPackage)

XposedBridge.hookLoadPackage(new IXposedHookLoadPackage.Wrapper((IXposedHookLoadPackage) moduleInstance));

//....省略代码

}

xposed在系统启动的时候，就分析了各个xposed模块。然后将其注入到了受精卵进程里面，使用的是PathClassloader。PathClassLoader和我们写的xposed模块对应的apk文件关联。这样任何一个apk执行，其vm环境都存在xposed模块的代码

2. 当宿主app启动的时候发生了什么

当我们注入的宿主apk启动的时候，由于进程是重受精卵fork而来，所以vm的环境中，已经存在了模块代码，代码和我们的插件apk地址关联。但是这个关联有不确定性，由于系统启动的时候，已经创建了classLoader。系统启动后，我们刷新xposed模块的apk，宿主apk里面的classLoader，会加载最新的xposed模块的apk么？答案是不会的，他只会使用第一次关联的那个xposed模块apk。这就是为啥我们更新xposed模块代码之后，必须重启才能生效的根本原因。

3. 为啥pathclassloader不会加载最新的apk。

上图是Android源码中，关于DexFile加载的描述。当一个apk对应的dex文件被打开时，将会使用dexopt，将dex进行优化，变成odex文件，并且存放到/data/dalvik-cache中。然后真正打开的文件，永远是dalvik-cache里面的odex文件。

4. 如果一个apk被占用（其他进程打开了），这个时候重装apk。将会发生么？

/data/app/com.virjar.xposedhooktool-1/base.apk

/data/app/com.virjar.xposedhooktool-2/base.apk

/data/app/com.virjar.xposedhooktool/base.apk

覆盖安装一个apk，如果原来的apk正在使用中。那么将会使用新的apk路径存放，也就是说，安装路径将会和第一次的安装路径不一样。上面的案例是在小米note上面的实验。

5. 如何修复这个关联关系，让xposed框架加载最新的插件代码

这里我们看到，可能的方案，就是删除dalvik-cache里面的缓存，这样Android系统就会重新生成这个缓存文件。重启宿主，就会使用最新的apk代码？这个思路其实有问题。

1. xposed模块代码在受精卵的时候注入，这个时候，文件已经打开。我们知道，如果一个进程在删除文件之前打开那个文件，那么进程仍然持有被删除的文件的fd，只是删除后，其他进程再次打开文件，将会找不到删除掉的文件。

2. 覆盖安装模式，apk不是安装在第一次安装的路径。在上一点我们提到，apk安装路径可能由/data/app/com.virjar.xposedhooktool-1/base.apk变成了/data/app/com.virjar.xposedhooktool-2/base.apk，这个时候xposed变量里面存储的还是老的地址。所以也是打开不了新的apk的。

所以，如果我们能够计算出最新的apk安装地址，然后使用一个新的classLoader关联新的apk，然后通过这个classLoader里面的class去注入代码。那么是不是就可以永远使用最新的apk，避免重启Android系统了呢？

6.实现代码

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

250

251

252

253

254

255

256

257

258

259

260

261

262

263

264

265

package com.virjar.xposedhooktool.hotload;

import android.annotation.SuppressLint;

import android.app.Application;

import android.content.Context;

import android.content.pm.PackageInfo;

import android.content.pm.PackageManager;

import android.util.Log;

import com.google.common.collect.Maps;

import org.apache.commons.io.IOUtils;

import org.apache.commons.lang3.StringUtils;

import org.xmlpull.v1.XmlPullParser;

import java.io.File;

import java.io.InputStream;

import java.util.concurrent.ConcurrentMap;

import java.util.zip.ZipFile;

import brut.androlib.res.decoder.AXmlResourceParser;

import dalvik.system.PathClassLoader;

import de.robv.android.xposed.IXposedHookLoadPackage;

import de.robv.android.xposed.XC_MethodHook;

import de.robv.android.xposed.XposedBridge;

import de.robv.android.xposed.XposedHelpers;

import de.robv.android.xposed.callbacks.XC_LoadPackage;

/**

* XposedInit

* <br/>

* 请注意，该类是热加载入口，不允许直接访问工程其他代码，只要访问过的类，都不能实现热加载

*

* @author [email protected]

*/

public class XposedInit implements IXposedHookLoadPackage {

@Override

public void handleLoadPackage(final XC_LoadPackage.LoadPackageParam lpparam) {

XposedHelpers.findAndHookMethod(Application.class, "attach", Context.class, new XC_MethodHook() {

//由于集成了脱壳功能，所以必须选择before了

@Override

protected void beforeHookedMethod(MethodHookParam param) throws Throwable {

hotLoadPlugin(lpparam.classLoader, (Context) param.args[0], lpparam);

}

});

}

public static String packageName(ClassLoader classLoader) {

Object element = bindApkLocation(classLoader);

if (element == null) {

return null;

}

//原文件可能已被删除，直接打开文件无法得到句柄，所以只能去获取持有删除文件句柄对象

ZipFile zipFile = (ZipFile) XposedHelpers.getObjectField(element, "zipFile");

return findPackageName(zipFile);

}

private static ClassLoader replaceClassloader(Context context, XC_LoadPackage.LoadPackageParam lpparam) {

ClassLoader classLoader = XposedInit.class.getClassLoader();

if (!(classLoader instanceof PathClassLoader)) {

XposedBridge.log("classloader is not PathClassLoader: " + classLoader.toString());

return classLoader;

}

//find the apk location installed in android system,this file maybe a dex cache mapping(do not the real installed apk)

Object element = bindApkLocation(classLoader);

if (element == null) {

return classLoader;

}

File apkLocation = (File) XposedHelpers.getObjectField(element, "zip");

//原文件可能已被删除，直接打开文件无法得到句柄，所以只能去获取持有删除文件句柄对象

ZipFile zipFile = (ZipFile) XposedHelpers.getObjectField(element, "zipFile");

if (zipFile == null && apkLocation.exists()) {

try {

zipFile = new ZipFile(apkLocation);

} catch (Exception e) {

//ignore

}

// if (zipFile == null) {

// return classLoader;

// }

String packageName = findPackageName(zipFile);

if (StringUtils.isBlank(packageName)) {

// XposedBridge.log("can not find package name for this apk ");

// return classLoader;

//先暂时这么写，为啥有问题后面排查

packageName = "com.virjar.xposedhooktool";

}

//find real apk location by package name

PackageManager packageManager = context.getPackageManager();

if (packageManager == null) {

XposedBridge.log("can not find packageManager");

return classLoader;

}

PackageInfo packageInfo = null;

try {

packageInfo = packageManager.getPackageInfo(packageName, PackageManager.GET_META_DATA);

} catch (PackageManager.NameNotFoundException e) {

//ignore

}

if (packageInfo == null) {

XposedBridge.log("can not find plugin install location for plugin: " + packageName);

return classLoader;

}

//check if apk file has relocated,apk location maybe change if xposed plugin is reinstalled(system did not reboot)

//xposed 插件安装后不能立即生效（需要重启Android系统）的本质原因是这两个文件不equal

//hotClassLoader can load apk class && classLoader.getParent() can load xposed framework and android framework

//使用parent是为了绕过缓存，也就是不走系统启动的时候链接的插件apk，但是xposed框架在这个classloader里面持有，所以集成

return createClassLoader(classLoader.getParent(), packageInfo);

}

@SuppressLint("PrivateApi")

private void hotLoadPlugin(ClassLoader ownerClassLoader, Context context, XC_LoadPackage.LoadPackageParam lpparam) {

boolean hasInstantRun = true;

try {

XposedInit.class.getClassLoader().loadClass(INSTANT_RUN_CLASS);

} catch (ClassNotFoundException e) {

//正常情况应该报错才对

hasInstantRun = false;

}

if (hasInstantRun) {

Log.e("weijia", " Cannot load module, please disable \"Instant Run\" in Android Studio.");

return;

}

ClassLoader hotClassLoader = replaceClassloader(context, lpparam);

// if (hotClassLoader == XposedInit.class.getClassLoader()) {

// //这证明不需要实现代码替换，或者热加载框架作用失效

// //XposedBridge.log("热加载未生效");

// }

// check Instant Run, 热加载启动后，需要重新检查Instant Run

hasInstantRun = true;

try {

hotClassLoader.loadClass(INSTANT_RUN_CLASS);

} catch (ClassNotFoundException e) {

//正常情况应该报错才对

hasInstantRun = false;

}

if (hasInstantRun) {

Log.e("weijia", " Cannot load module, please disable \"Instant Run\" in Android Studio.");

return;

}

try {

Class<?> aClass = hotClassLoader.loadClass("com.virjar.xposedhooktool.hotload.HotLoadPackageEntry");

Log.i("weijia", "invoke hot load entry");

aClass

.getMethod("entry", ClassLoader.class, ClassLoader.class, Context.class, XC_LoadPackage.LoadPackageParam.class)

.invoke(null, ownerClassLoader, hotClassLoader, context, lpparam);

} catch (Exception e) {

if (e instanceof ClassNotFoundException) {

InputStream inputStream = hotClassLoader.getResourceAsStream("assets/hotload_entry.txt");

if (inputStream == null) {

XposedBridge.log("do you not disable Instant Runt for Android studio?");

} else {

IOUtils.closeQuietly(inputStream);

}

XposedBridge.log(e);

}

private static final String INSTANT_RUN_CLASS = "com.android.tools.fd.runtime.BootstrapApplication";

private static ConcurrentMap<String, PathClassLoader> classLoaderCache = Maps.newConcurrentMap();

/**

* 这样做的目的是保证classloader单例，因为宿主存在多个dex的时候，或者有壳的宿主在解密代码之后，存在多次context的创建，当然xposed本身也存在多次IXposedHookLoadPackage的回调

*

* @param parent 父classloader

* @param packageInfo 插件自己的包信息

* @return 根据插件apk创建的classloader

*/

private static PathClassLoader createClassLoader(ClassLoader parent, PackageInfo packageInfo) {

if (classLoaderCache.containsKey(packageInfo.applicationInfo.sourceDir)) {

return classLoaderCache.get(packageInfo.applicationInfo.sourceDir);

}

synchronized (XposedInit.class) {

if (classLoaderCache.containsKey(packageInfo.applicationInfo.sourceDir)) {

return classLoaderCache.get(packageInfo.applicationInfo.sourceDir);

}

XposedBridge.log("create a new classloader for plugin with new apk path: " + packageInfo.applicationInfo.sourceDir);

PathClassLoader hotClassLoader = new PathClassLoader(packageInfo.applicationInfo.sourceDir, parent);

classLoaderCache.putIfAbsent(packageInfo.applicationInfo.sourceDir, hotClassLoader);

return hotClassLoader;

}

/**

* File name in an APK for the Android manifest.

*/

private static final String ANDROID_MANIFEST_FILENAME = "AndroidManifest.xml";

private static Object bindApkLocation(ClassLoader pathClassLoader) {

// 不能使用getResourceAsStream，这是因为classloader双亲委派的影响

// InputStream stream = pathClassLoader.getResourceAsStream(ANDROID_MANIFEST_FILENAME);

// if (stream == null) {

// XposedBridge.log("can not find AndroidManifest.xml in classloader");

// return null;

// }

// we can`t call package parser in android inner api,parse logic implemented with native code

//this object is dalvik.system.DexPathList,android inner api

Object pathList = XposedHelpers.getObjectField(pathClassLoader, "pathList");

if (pathList == null) {

XposedBridge.log("can not find pathList in pathClassLoader");

return null;

}

//this object is dalvik.system.DexPathList.Element[]

Object[] dexElements = (Object[]) XposedHelpers.getObjectField(pathList, "dexElements");

if (dexElements == null || dexElements.length == 0) {

XposedBridge.log("can not find dexElements in pathList");

return null;

}

return dexElements[0];

// Object dexElement = dexElements[0];

// /data/app/com.virjar.xposedhooktool/base.apk

// /data/app/com.virjar.xposedhooktool-1/base.apk

// /data/app/com.virjar.xposedhooktool-2/base.apk

// return (File) XposedHelpers.getObjectField(dexElement, "zip");

}

private static String findPackageName(ZipFile zipFile) {

if (zipFile == null) {

return null;

}

InputStream stream = null;

try {

stream = zipFile.getInputStream(zipFile.getEntry(ANDROID_MANIFEST_FILENAME));

AXmlResourceParser xpp = new AXmlResourceParser(stream);

int eventType;

//migrated form ApkTool

while ((eventType = xpp.next()) > -1) {

if (XmlPullParser.END_DOCUMENT == eventType) {

return null;

} else if (XmlPullParser.START_TAG == eventType && "manifest".equalsIgnoreCase(xpp.getName())) {

// read <manifest> for package:

for (int i = 0; i < xpp.getAttributeCount(); i++) {

if (StringUtils.equalsIgnoreCase(xpp.getAttributeName(i), "package")) {

return xpp.getAttributeValue(i);

}

return null;

} catch (Exception e) {

XposedBridge.log(e);

return null;

} finally {

//不能关闭zipFile

IOUtils.closeQuietly(stream);

}

7.原理描述

我使用一个永远不变的class，作为加载器。这个Class的功能就是寻找最新的apk安装路径，然后构造新的classLoader，然后调用hook入口。

其中apk安装路径计算，使用PackageManager，这个也就是xposed-installer里面的逻辑。

需要注意的是，classLoader有双亲委派机制，如果我们的classLoader使用xposed创建的classLoader作为parent的话，加载的class都会以super为主。我们的新代码将不会生效（因为虚拟机里面，父classLoader能够加载的类，不允许子classLoader来加载）

而且，热加载入口，不能直接调用业务入口，因为classLoader有一个隐式加载Class的过程，会使用当然Class的classLoader加载将要访问的class。当前classLoader加载的class，依然是老的apk里面的代码。

所以通过新的classLoader显示加载业务入口，然后使用反射调用他。

8.实例代码地址：

https://gitee.com/virjar/xposedhooktool/blob/master/app/src/main/java/com/virjar/xposedhooktool/hotload/XposedInit.java

xposed实现插件代码更新同时避免重启系统方案

1. xposed加载插件的逻辑分析。

2. 当宿主app启动的时候发生了什么

3. 为啥pathclassloader不会加载最新的apk。

5. 如何修复这个关联关系，让xposed框架加载最新的插件代码

6.实现代码

7.原理描述

8.实例代码地址：

猜你喜欢