本文同步自wing的地方酒馆
给大家分享一个新的Hook插件Service的方法,与Activity替换类似,可以先在AndroidManifest.xml预留一个service,然后通过intent启动,并且将真正的Service的classname传递过去。可是Service没有涉及到Instrumentation更没有Instrumentation.newService()方法,怎么办呢? 且听我细细道来。
观察Service的创建流程,发现我们只需要想办法拿到intent即可做一些手脚。大家都知道,创建Service的时候,会走到H类里:
他接收一个CreateServiceData类型的参数,恰好这个参数里面有intent参数:
那么能不能从这里下手呢,答案是否定的。因为data初始化的时候,并没有将intent传入,见下代码:
所以我们换一种思路,bind的时候,有没有intent呢?阅读源码得到以下信息:
哈哈,确实传进来了。所以我们可以在bind的时候,拿到真正要启动的classname,再bind的时候,把他给偷梁换柱! 具体怎么做呢。H类是个Handler,观察Handler内部有个callback,他可以在真正处理消息之前去做一些手脚,所以我们搞个callback给他干进去。
新建一个callback ,在里面把intent取出:
由于是基于bind的,所以要看一下之后做了什么,观察handleBindService方法,可以发现bind的时候service是已经创建好了的,并且存在一个名为mService的ArrayMap里。key为token ,IBinder:
所以要做的事情就很明了了,他不是从这里取吗,那我们就给他替换掉呀,所以把mService取出来:
此时我拥有bind的msg里面包含了intent、token等等信息,所以只要把对应key的value替换掉即可。在intent里拿到真正的service class name,用classloader加载,此时service已经创建完毕了,但是还没有初始化。
观察系统service初始化过程,发现还需要context.setOuter attch等操作:
所以我们来手动模拟这个过程:
attach方法全部参数设置为原本service自带的参数。这里只是改变了实例。初始化完毕之后,发现还需要进行binder通信
所以反射调用他,然后因为是在bind的时候做的手脚,所以service丢失了onCreate()这个生命周期,所以手动调用他:
这样就完成了Service的插件操作~~
欢迎加入我的Android酒馆:425983695 讨论技术~~