前面分析的adbi框架和libinject都是使用so注入的方式,实现将指定代码装入目标进程,这种方式有几个特点:
1. 是动态的,需要目标进程已经启动
2. 无法影响全局,比如注入A进程挂钩里边libc.so的open函数,此时,B进程使用的libc.so的open函数还是老函数,linux系统通过COW机制,在你注入A进程并执行对open的挂钩的时候,拷贝了新的页面,放入新的函数。如果要影响全局,应该注入到类似 Zygote 这样的进程,且应该在zygote进程启动之后马上注入,这样后续zygote进程生成子进程时就能使用挂钩后的函数
3. 需要依赖ptrace机制,某些情况下,目标进程无法被执行ptrace,则这种方式会失效
这一篇我们分析另外一种方式,是著名的xposed框架使用的方式,不需要动态注入,而是直接替换android系统的一个可执行程序。
一,android应用层进程启动最初始的几步
linux系统装载并初始化各个子系统完毕后,执行第一个应用层程序init, android 的 init 程序是自己定制的,与其它linux发行版不一样,它同样会解析并执行 init.rc 配置文件。其中,有一步如下,调用 app_process 程序启动 zygote 进程,xposed 替换的就是这个 /system/bin/app_process 程序
system/core/rootdir/init.rc
service zygote /system/bin/app_process -Xzygote /system/bin --zygote --start-system-server
class main
socket zygote stream 660 root system
onrestart write /sys/android_power/request_state wake
onrestart write /sys/power/state on
onrestart restart media
onrestart restart netd
android\frameworks\base\cmds\app_process\app_main.cpp : main 函数
if (zygote) {
runtime.start("com.android.internal.os.ZygoteInit",
startSystemServer ? "start-system-server" : "");
} else if (className) {
// Remainder of args get passed to startup class main()
runtime.mClassName = className;
runtime.mArgC = argc - i;
runtime.mArgV = argv + i;
runtime.start("com.android.internal.os.RuntimeInit",
application ? "application" : "tool");
} else {
app_process 是native世界进入java世界的入口,它初始化了虚拟机的执行时环境,并根据不同的参数,调用 com.android.internal.os.ZygoteInit 或者 com.android.internal.os.RuntimeInit 这两个java类的main函数,如果是前者,则进入的 zygote 的世界。
Xposed\app_main.cpp : main 函数
if (zygote) {
runtime.start(keepLoadingXposed ? XPOSED_CLASS_DOTS : "com.android.internal.os.ZygoteInit",
startSystemServer ? "start-system-server" : "");
} else if (className) {
// Remainder of args get passed to startup class main()
runtime.mClassName = className;
runtime.mArgC = argc - i;
runtime.mArgV = argv + i;
runtime.start(keepLoadingXposed ? XPOSED_CLASS_DOTS : "com.android.internal.os.RuntimeInit",
application ? "application" : "tool");
} else {
#define XPOSED_CLASS_DOTS "de.robv.android.xposed.XposedBridge"
与标准流程不一样的地方,如果检测到android版本支持xposed且已经安装了Xposed,则 runtime.start 启动的是 de.robv.android.xposed.XposedBridge 的main函数,进入了 xposed 的世界
xposedbridge.java
private static void main(String[] args) {
// the class the VM has been created for or null for the Zygote process
String startClassName = getStartClassName();
// initialize the Xposed framework and modules
try {
// initialize log file
try {
logFile = new File(BASE_DIR + "log/error.log");
if (startClassName == null && logFile.length() > MAX_LOGFILE_SIZE_SOFT)
logFile.renameTo(new File(BASE_DIR + "log/error.log.old"));
logWriter = new PrintWriter(new FileWriter(logFile, true));
logFile.setReadable(true, false);
logFile.setWritable(true, false);
} catch (IOException ignored) {}
String date = DateFormat.getDateTimeInstance().format(new Date());
determineXposedVersion();
log("-----------------\n" + date + " UTC\n"
+ "Loading Xposed v" + XPOSED_BRIDGE_VERSION
+ " (for " + (startClassName == null ? "Zygote" : startClassName) + ")...");
if (startClassName == null) {
// Zygote
log("Running ROM ‘" + Build.DISPLAY + "‘ with fingerprint ‘" + Build.FINGERPRINT + "‘");
}
if (initNative()) {
if (startClassName == null) {
// Initializations for Zygote
initXbridgeZygote();
}
loadModules(startClassName);
} else {
log("Errors during native Xposed initialization");
}
} catch (Throwable t) {
log("Errors during Xposed initialization");
log(t);
disableHooks = true;
}
// call the original startup code
if (startClassName == null)
ZygoteInit.main(args);
else
RuntimeInit.main(args);
}
xposedbridge 类先初始化xposed需要的环境,然后加载注册到xposed框架里的 xposed 模块,这一步执行完后,所以 xposed 对虚拟机的挂钩已经完成,mian 函数最后,执行 ZygoteInit.main 或者 RuntimeInit.main , 进入正常的流程
从这里可以看出,xposed 对虚拟机的注入采用的是比动态注入更优雅的方式,有几个特点:
1. 由于替换了 app_process ,替换后的app_process 肯定是先启动 xposed 然后再进入 zygote ,而其他app都是 zygote 创建的,这样xposed 的挂钩一定的全局性的,所有app都会被影响
2. 只需要安装xposed时拥有root权限以替换系统的 app_process , 之后不再需要root权限,而前面采用 so动态注入的方式,每次要挂钩都需要注入,每次注入zygote 都需要root权限
3. 不需要依赖 ptrace 等机制