Android Hook入门

hook的定义

hook,钩子。勾住系统的程序逻辑。
在某段SDK源码逻辑执行的过程中,通过代码手段拦截执行该逻辑,加入自己的代码逻辑。

实用价值

hook是中级开发通往高级开发的必经之路。
如果把谷歌比喻成 安卓的造物主,那么安卓SDK源码里面就包含了万事万物的本源。
中级开发者,只在利用万事万物,浮于表层,而高级开发者能从本源上去改变万事万物,深入核心。

hook是安卓面向切面(AOP)编程的基础,可以让我们在不变更原有业务的前提下,插入额外的逻辑。既保护了原有业务的完整性,又能让额外的代码逻辑不与原有业务产生耦合。
(想象一下,在一个成熟的app上面给每一个按钮添加埋点接口,成百上千个控件让你埋点,写一千次埋点调用,是不是要崩溃,hook可以轻松实现)

前置技能

  • Java反射:熟练掌握类Class,方法Method,成员Field的使用方法

源码内部,很多类和方法都是@hide的,外部直接无法访问,所以只能通过反射,去创建源码中的类,方法,或者成员

  • 阅读安卓源码的能力

hook的切入点都在源码内部,不能阅读源码,不能理清源码逻辑,则不用谈hook

hook通用思路

无论多么复杂的源码,我们想要干涉其中的一些执行流程,最终的杀招只有一个: “偷梁换柱”

而 “偷梁换柱”的思路,通常都是一个套路:

  1. 根据需求确定要hook的对象
  2. 寻找要hook的对象的持有者,拿到要hook的对象

(持有:B类的成员变量里有一个是A的对象,那么B就是A的持有者,如下)

1
2
3
4
class B { 
A a;
}
class A {}
  1. 定义“要hook的对象”的代理类,并且创建该类的对象
  2. 使用上一步创建出来的对象,替换掉要hook的对象

案例实战

这是一个最简单的案例:在原来的代码里面,给一个View设置了点击事件,现在要求在不改动这个点击事件的情况下,添加额外的点击事件逻辑

1
2
3
4
5
6
7
View v = findViewById(R.id.tv);
v.setOnClickListener(new View.OnClickListener() {
@Override
public void onClick(View v) {
Toast.makeText(MainActivity.this, "支付成功", Toast.LENGTH_SHORT).show();
}
});

第一步:根据需求确定要hook的对象

我们的目的是在OnClickListener中,插入自己的逻辑。所以,确定要hook的,是v.setOnClickListener()方法的实参。

第二步:寻找要hook的对象的持有者,拿到要hook的对象

进入v.setOnClickListener源码:发现我们创建的OnClickListener对象被赋值给了getListenerInfo().mOnClickListener

1
2
3
4
5
6
public void setOnClickListener(@Nullable OnClickListener l) {
if (!isClickable()) {
setClickable(true);
}
getListenerInfo().mOnClickListener = l;
}

继续索引:getListenerInfo()是个什么玩意?继续追查:

1
2
3
4
5
6
7
ListenerInfo getListenerInfo() {
if (mListenerInfo != null) {
return mListenerInfo;
}
mListenerInfo = new ListenerInfo();
return mListenerInfo;
}

结果发现这个其实是一个伪单例,一个View对象中只存在一个ListenerInfo对象

进入ListenerInfo内部:发现OnClickListener对象被ListenerInfo所持有

1
2
3
4
5
static class ListenerInfo {
...
public OnClickListener mOnClickListener;
...
}

到这里为止,完成第二步,找到了点击事件的实际持有者:ListenerInfo

第三步:定义“要hook的对象”的代理类,并且创建该类的对象

我们要hook的是View.OnClickListener对象,所以,创建一个类实现View.OnClickListener接口

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
static class ProxyOnClickListener implements View.OnClickListener {
View.OnClickListener oriLis;

public ProxyOnClickListener(View.OnClickListener oriLis) {
this.oriLis = oriLis;
}

@Override
public void onClick(View v) {
Log.d("HookSetOnClickListener", "点击事件被hook到了");
if (oriLis != null) {
oriLis.onClick(v);
}
}
}

然后,new出它的对象待用。

1
ProxyOnClickListener proxyOnClickListener = new ProxyOnClickListener(onClickListenerInstance);

可以看到,这里传入了一个View.OnClickListener对象,它存在的目的,是让我们可以有选择地使用到原先的点击事件逻辑。一般hook,都会保留原有的源码逻辑。
另外提一句:当我们要创建的代理类,是被接口所约束时,比如现在,我们创建的ProxyOnClickListener implements View.OnClickListener,只实现了一个接口,则可以使用JDK提供的Proxy类来创建代理对象

1
2
3
4
5
6
7
8
Object proxyOnClickListener = Proxy.newProxyInstance(context.getClass().getClassLoader(), 
new Class[]>>{View.OnClickListener.class}, new InvocationHandler() {
@Override
public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
Log.d("HookSetOnClickListener", "点击事件被hook到了"); //加入自己的逻辑
return method.invoke(onClickListenerInstance, args); //执行被代理的对象的逻辑
}
});

这个代理类并不是此次的重点,所以一笔带过。到这里为止,第三步:定义“要hook的对象”的代理类,并且创建该类的对象完成。

第四步:使用上一步创建出来的对象,替换掉要hook的对象,达成偷梁换柱的最终目的

利用反射,将我们创建的代理点击事件对象,传给这个view

1
field.set(mListenerInfo, proxyOnClickListener);

这里,贴出最终代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
/**
* hook的辅助类
* hook的动作放在这里
*/
public class HookSetOnClickListenerHelper {

/**
* hook的核心代码
* 该方法的唯一目的:用自己的点击事件,替换掉 View原来的点击事件
*
* @param v hook的范围仅限于这个view
*/
public static void hook(Context context, final View v) {
try {
//1. 获取要hook的对象
//反射执行View类的getListenerInfo()方法,拿到v的mListenerInfo对象,这个对象就是点击事件的持有者
Method method = View.class.getDeclaredMethod("getListenerInfo");
method.setAccessible(true); //由于getListenerInfo()方法并不是public的,所以要加这个代码来保证访问权限
Object mListenerInfo = method.invoke(v); //这里拿到的就是mListenerInfo对象,也就是点击事件的持有者

//要从这里面拿到当前的点击事件对象
Class<?> listenerInfoClz = Class.forName("android.view.View$ListenerInfo"); //这是内部类的表示方法
Field field = listenerInfoClz.getDeclaredField("mOnClickListener");
final View.OnClickListener onClickListenerInstance = (View.OnClickListener) field.get(mListenerInfo); //取得真实的mOnClickListener对象

//2. 创建我们自己的点击事件代理类
// 方式1:自己创建代理类
// ProxyOnClickListener proxyOnClickListener = new ProxyOnClickListener(onClickListenerInstance);
// 方式2:由于View.OnClickListener是一个接口,所以可以直接用动态代理模式
// Proxy.newProxyInstance的3个参数依次分别是:
// 本地的类加载器
// 代理类的对象所继承的接口(用Class数组表示,支持多个接口)
// 代理类的实际逻辑,封装在new出来的InvocationHandler内
Object proxyOnClickListener = Proxy.newProxyInstance(context.getClass().getClassLoader(), new Class[]{View.OnClickListener.class}, new InvocationHandler() {
@Override
public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
Log.d("HookSetOnClickListener", "点击事件被hook到了"); //加入自己的逻辑
return method.invoke(onClickListenerInstance, args); //执行被代理的对象的逻辑
}
});
//3. 用我们自己的点击事件代理类,设置到"持有者"中
field.set(mListenerInfo, proxyOnClickListener);
//完成
} catch (Exception e) {
e.printStackTrace();
}
}

// 还真是这样,自定义代理类
static class ProxyOnClickListener implements View.OnClickListener {
View.OnClickListener oriLis;

public ProxyOnClickListener(View.OnClickListener oriLis) {
this.oriLis = oriLis;
}

@Override
public void onClick(View v) {
Log.d("HookSetOnClickListener", "点击事件被hook到了");
if (oriLis != null) {
oriLis.onClick(v);
}
}
}
}

同时并没有改动setOnClickListener的代码,只是在其的后面,加了一行HookSetOnClickListenerHelper.hook(this, v);

1
2
3
4
5
6
7
8
v.setOnClickListener(new View.OnClickListener() {
@Override
public void onClick(View v) {
Toast.makeText(MainActivity.this, "支付成功", Toast.LENGTH_SHORT).show();
}
});

HookSetOnClickListenerHelper.hook(this, v); //hook的作用,是用我们自己创建的点击事件代理对象,替换掉之前的点击事件

ok,目的达成v.setOnClickListener已经被hook

前方有坑,高能提示:是不是可以将上面两段代码换个顺序。结果证明,换了之后,hook失效,原因是,hook方法的作用,是将v已有的 点击事件,替换成我们代理的点击事件。所以,在v还没有点击事件的时候进行hook,是没用的

Powered by AppBlog.CN     浙ICP备14037229号

Copyright © 2012 - 2020 APP开发技术博客 All Rights Reserved.

访客数 : | 访问量 :