• 一、概述
  • 二、Activity的支持
    • (1)替换Activity
    • (2) 还原Activity
  • 三、Service的支持
    • (1) hook IActivityManager
    • (2)代理分发
  • 四、BroadcastReceiver的支持
  • 五、ContentProvider的支持
    • (1)hook IContentProvider
    • (2)代理分发
  • 六、总结

    一、概述

    之前一直没有写过插件化相关的博客,刚好最近滴滴和360分别开源了自家的插件化方案,赶紧学习下,写两篇博客,第一篇是滴滴的方案:

    • https://github.com/didi/VirtualAPK

    那么其中的难点很明显是对四大组件支持,因为大家都清楚,四大组件都是需要在AndroidManifest中注册的,而插件apk中的组件是不可能预先知晓名字,提前注册中宿主apk中的,所以现在基本都采用一些hack方案类解决,VirtualAPK大体方案如下:

    • Activity:在宿主apk中提前占几个坑,然后通过“欺上瞒下”(这个词好像是360之前的ppt中提到)的方式,启动插件apk的Activity;因为要支持不同的launchMode以及一些特殊的属性,需要占多个坑。
    • Service:通过代理Service的方式去分发;主进程和其他进程,VirtualAPK使用了两个代理Service。
    • BroadcastReceiver:静态转动态
    • ContentProvider:通过一个代理Provider进行分发。

    这些占坑的数量并不是固定的,比如Activity想支持某个属性,该属性不能动态设置,只能在Manifest中设置,那就需要去占坑支持。所以占坑数量这些,可以根据自己的需求进行调整。

    下面就逐一去分析代码啦~

    注:本篇博客涉及到的framework逻辑,为API 22.
    分期版本为 com.didi.virtualapk:core:0.9.0

    二、Activity的支持

    这里就不按照某个流程一行行代码往下读了,针对性的讲一些关键流程,可能更好阅读一些。

    首先看一段启动插件Activity的代码:

    1. final String pkg = "com.didi.virtualapk.demo";
    2. if (PluginManager.getInstance(this).getLoadedPlugin(pkg) == null) {
    3. Toast.makeText(this, "plugin [com.didi.virtualapk.demo] not loaded", Toast.LENGTH_SHORT).show();
    4. return;
    5. }
    6. // test Activity and Service
    7. Intent intent = new Intent();
    8. intent.setClassName(pkg, "com.didi.virtualapk.demo.aidl.BookManagerActivity");
    9. startActivity(intent);

    可以看到优先根据包名判断该插件是否已经加载,所以在插件使用前其实还需要调用

    1. pluginManager.loadPlugin(apk);

    加载插件。

    这里就不赘述源码了,大致为调用PackageParser.parsePackage解析apk,获得该apk对应的PackageInfo,资源相关(AssetManager,Resources),DexClassLoader(加载类),四大组件相关集合(mActivityInfos,mServiceInfos,mReceiverInfos,mProviderInfos),针对Plugin的PluginContext等一堆信息,封装为LoadedPlugin对象。

    详细可以参考com.didi.virtualapk.internal.LoadedPlugin类。

    ok,如果该插件以及加载过,则直接通过startActivity去启动插件中目标Activity。

    (1)替换Activity

    这里大家肯定会有疑惑,该Activity必然没有在Manifest中注册,这么启动不会报错吗?

    正常肯定会报错呀,所以我们看看它是怎么做的吧。

    跟进startActivity的调用流程,会发现其最终会进入Instrumentation的execStartActivity方法,然后再通过ActivityManagerProxy与AMS进行交互。

    而Activity是否存在的校验是发生在AMS端,所以我们在于AMS交互前,提前将Activity的ComponentName进行替换为占坑的名字不就好了么?

    这里可以选择hook Instrumentation,或者ActivityManagerProxy都可以达到目标,VirtualAPK选择了hook Instrumentation.

    打开PluginManager可以看到如下方法:

    1. private void hookInstrumentationAndHandler() {
    2. try {
    3. Instrumentation baseInstrumentation = ReflectUtil.getInstrumentation(this.mContext);
    4. if (baseInstrumentation.getClass().getName().contains("lbe")) {
    5. // reject executing in paralell space, for example, lbe.
    6. System.exit(0);
    7. }
    8. final VAInstrumentation instrumentation = new VAInstrumentation(this, baseInstrumentation);
    9. Object activityThread = ReflectUtil.getActivityThread(this.mContext);
    10. ReflectUtil.setInstrumentation(activityThread, instrumentation);
    11. ReflectUtil.setHandlerCallback(this.mContext, instrumentation);
    12. this.mInstrumentation = instrumentation;
    13. } catch (Exception e) {
    14. e.printStackTrace();
    15. }
    16. }

    可以看到首先通过反射拿到了原本的Instrumentation对象,拿的过程是首先拿到ActivityThread,由于ActivityThread可以通过静态变量sCurrentActivityThread或者静态方法currentActivityThread()获取,所以拿到其对象相当轻松。拿到ActivityThread对象后,调用其getInstrumentation()方法,即可获取当前的Instrumentation对象。

    然后自己创建了一个VAInstrumentation对象,接下来就直接反射将VAInstrumentation对象设置给ActivityThread对象即可。

    这样就完成了hook Instrumentation,之后调用Instrumentation的任何方法,都可以在VAInstrumentation进行拦截并做一些修改。

    这里还hook了ActivityThread的mH类的Callback,暂不赘述。

    刚才说了,可以通过Instrumentation的execStartActivity方法进行偷梁换柱,所以我们直接看对应的方法:

    1. public ActivityResult execStartActivity(
    2. Context who, IBinder contextThread, IBinder token, Activity target,
    3. Intent intent, int requestCode, Bundle options) {
    4. mPluginManager.getComponentsHandler().transformIntentToExplicitAsNeeded(intent);
    5. // null component is an implicitly intent
    6. if (intent.getComponent() != null) {
    7. Log.i(TAG, String.format("execStartActivity[%s : %s]", intent.getComponent().getPackageName(),
    8. intent.getComponent().getClassName()));
    9. // resolve intent with Stub Activity if needed
    10. this.mPluginManager.getComponentsHandler().markIntentIfNeeded(intent);
    11. }
    12. ActivityResult result = realExecStartActivity(who, contextThread, token, target,
    13. intent, requestCode, options);
    14. return result;
    15. }

    首先调用transformIntentToExplicitAsNeeded,这个主要是当component为null时,根据启动Activity时,配置的action,data,category等去已加载的plugin中匹配到确定的Activity的。

    本例我们的写法ComponentName肯定不为null,所以直接看markIntentIfNeeded()方法:

    1. public void markIntentIfNeeded(Intent intent) {
    2. if (intent.getComponent() == null) {
    3. return;
    4. }
    5. String targetPackageName = intent.getComponent().getPackageName();
    6. String targetClassName = intent.getComponent().getClassName();
    7. // search map and return specific launchmode stub activity
    8. if (!targetPackageName.equals(mContext.getPackageName())
    9. && mPluginManager.getLoadedPlugin(targetPackageName) != null) {
    10. intent.putExtra(Constants.KEY_IS_PLUGIN, true);
    11. intent.putExtra(Constants.KEY_TARGET_PACKAGE, targetPackageName);
    12. intent.putExtra(Constants.KEY_TARGET_ACTIVITY, targetClassName);
    13. dispatchStubActivity(intent);
    14. }
    15. }

    在该方法中判断如果启动的是插件中类,则将启动的包名和Activity类名存到了intent中,可以看到这里存储明显是为了后面恢复用的。

    然后调用了dispatchStubActivity(intent)

    1. private void dispatchStubActivity(Intent intent) {
    2. ComponentName component = intent.getComponent();
    3. String targetClassName = intent.getComponent().getClassName();
    4. LoadedPlugin loadedPlugin = mPluginManager.getLoadedPlugin(intent);
    5. ActivityInfo info = loadedPlugin.getActivityInfo(component);
    6. if (info == null) {
    7. throw new RuntimeException("can not find " + component);
    8. }
    9. int launchMode = info.launchMode;
    10. Resources.Theme themeObj = loadedPlugin.getResources().newTheme();
    11. themeObj.applyStyle(info.theme, true);
    12. String stubActivity = mStubActivityInfo.getStubActivity(targetClassName, launchMode, themeObj);
    13. Log.i(TAG, String.format("dispatchStubActivity,[%s -> %s]", targetClassName, stubActivity));
    14. intent.setClassName(mContext, stubActivity);
    15. }

    可以直接看最后一行,intent通过setClassName替换启动的目标Activity了!这个stubActivity是由mStubActivityInfo.getStubActivity(targetClassName, launchMode, themeObj)返回。

    很明显,传入的参数launchMode、themeObj都是决定选择哪一个占坑类用的。

    1. public String getStubActivity(String className, int launchMode, Theme theme) {
    2. String stubActivity= mCachedStubActivity.get(className);
    3. if (stubActivity != null) {
    4. return stubActivity;
    5. }
    6. TypedArray array = theme.obtainStyledAttributes(new int[]{
    7. android.R.attr.windowIsTranslucent,
    8. android.R.attr.windowBackground
    9. });
    10. boolean windowIsTranslucent = array.getBoolean(0, false);
    11. array.recycle();
    12. if (Constants.DEBUG) {
    13. Log.d("StubActivityInfo", "getStubActivity, is transparent theme ? " + windowIsTranslucent);
    14. }
    15. stubActivity = String.format(STUB_ACTIVITY_STANDARD, corePackage, usedStandardStubActivity);
    16. switch (launchMode) {
    17. case ActivityInfo.LAUNCH_MULTIPLE: {
    18. stubActivity = String.format(STUB_ACTIVITY_STANDARD, corePackage, usedStandardStubActivity);
    19. if (windowIsTranslucent) {
    20. stubActivity = String.format(STUB_ACTIVITY_STANDARD, corePackage, 2);
    21. }
    22. break;
    23. }
    24. case ActivityInfo.LAUNCH_SINGLE_TOP: {
    25. usedSingleTopStubActivity = usedSingleTopStubActivity % MAX_COUNT_SINGLETOP + 1;
    26. stubActivity = String.format(STUB_ACTIVITY_SINGLETOP, corePackage, usedSingleTopStubActivity);
    27. break;
    28. }
    29. // 省略LAUNCH_SINGLE_TASK,LAUNCH_SINGLE_INSTANCE
    30. }
    31. mCachedStubActivity.put(className, stubActivity);
    32. return stubActivity;
    33. }

    可以看到主要就是根据launchMode去选择不同的占坑类。
    例如:

    1. stubActivity = String.format(STUB_ACTIVITY_STANDARD, corePackage, usedStandardStubActivity);

    STUB_ACTIVITY_STANDARD值为:"%s.A$%d", corePackage值为com.didi.virtualapk.core,usedStandardStubActivity为数字值。

    所以最终类名格式为:com.didi.virtualapk.core.A$1

    再看一眼,CoreLibrary下的AndroidManifest中:

    1. <activity android:name=".A$1" android:launchMode="standard"/>
    2. <activity android:name=".A$2" android:launchMode="standard"
    3. android:theme="@android:style/Theme.Translucent" />
    4. <!-- Stub Activities -->
    5. <activity android:name=".B$1" android:launchMode="singleTop"/>
    6. <activity android:name=".B$2" android:launchMode="singleTop"/>
    7. <activity android:name=".B$3" android:launchMode="singleTop"/>
    8. // 省略很多... 123456789123456789

    就完全明白了。

    到这里就可以看到,替换我们启动的Activity为占坑Activity,将我们原本启动的包名,类名存储到了Intent中。

    这样做只完成了一半,为什么这么说呢?

    (2) 还原Activity

    因为欺骗过了AMS,AMS执行完成后,最终要启动的不可能是占坑Activity,还应该是我们的启动的目标Activity呀。

    这里需要知道Activity的启动流程:

    AMS在处理完启动Activity后,会调用:app.thread.scheduleLaunchActivity,这里的thread对应的server端未我们ActivityThread中的ApplicationThread对象(binder可以理解有一个client端和一个server端),所以会调用ApplicationThread.scheduleLaunchActivity方法,在其内部会调用mH类的sendMessage方法,传递的标识为H.LAUNCH_ACTIVITY,进入调用到ActivityThread的handleLaunchActivity方法->ActivityThread#handleLaunchActivity->mInstrumentation.newActivity()。

    ps:这里流程不清楚没关系,暂时理解为最终会回调到Instrumentation的newActivity方法即可,细节可以自己去查看结合老罗的blog理解。

    关键的来了,最终又到了Instrumentation的newActivity方法,还记得这个类我们已经改为VAInstrumentation啦:

    直接看其newActivity方法:

    1. @Override
    2. public Activity newActivity(ClassLoader cl, String className, Intent intent) throws InstantiationException, IllegalAccessException, ClassNotFoundException {
    3. try {
    4. cl.loadClass(className);
    5. } catch (ClassNotFoundException e) {
    6. LoadedPlugin plugin = this.mPluginManager.getLoadedPlugin(intent);
    7. String targetClassName = PluginUtil.getTargetActivity(intent);
    8. if (targetClassName != null) {
    9. Activity activity = mBase.newActivity(plugin.getClassLoader(), targetClassName, intent);
    10. activity.setIntent(intent);
    11. // 省略兼容性处理代码
    12. return activity;
    13. }
    14. }
    15. return mBase.newActivity(cl, className, intent);
    16. }

    核心就是首先从intent中取出我们的目标Activity,然后通过plugin的ClassLoader去加载(还记得在加载插件时,会生成一个LoadedPlugin对象,其中会对应其初始化一个DexClassLoader)。

    这样就完成了Activity的“偷梁换柱”。

    还没完,接下来在callActivityOnCreate方法中:

    1. @Override
    2. public void callActivityOnCreate(Activity activity, Bundle icicle) {
    3. final Intent intent = activity.getIntent();
    4. if (PluginUtil.isIntentFromPlugin(intent)) {
    5. Context base = activity.getBaseContext();
    6. try {
    7. LoadedPlugin plugin = this.mPluginManager.getLoadedPlugin(intent);
    8. ReflectUtil.setField(base.getClass(), base, "mResources", plugin.getResources());
    9. ReflectUtil.setField(ContextWrapper.class, activity, "mBase", plugin.getPluginContext());
    10. ReflectUtil.setField(Activity.class, activity, "mApplication", plugin.getApplication());
    11. ReflectUtil.setFieldNoException(ContextThemeWrapper.class, activity, "mBase", plugin.getPluginContext());
    12. // set screenOrientation
    13. ActivityInfo activityInfo = plugin.getActivityInfo(PluginUtil.getComponent(intent));
    14. if (activityInfo.screenOrientation != ActivityInfo.SCREEN_ORIENTATION_UNSPECIFIED) {
    15. activity.setRequestedOrientation(activityInfo.screenOrientation);
    16. }
    17. } catch (Exception e) {
    18. e.printStackTrace();
    19. }
    20. }
    21. mBase.callActivityOnCreate(activity, icicle);
    22. }

    设置了修改了mResources、mBase(Context)、mApplication对象。以及设置一些可动态设置的属性,这里仅设置了屏幕方向。

    这里提一下,将mBase替换为PluginContext,可以修改Resources、AssetManager以及拦截相当多的操作。

    看一眼代码就清楚了:

    原本Activity的部分get操作

    1. # ContextWrapper
    2. @Override
    3. public AssetManager getAssets() {
    4. return mBase.getAssets();
    5. }
    6. @Override
    7. public Resources getResources()
    8. {
    9. return mBase.getResources();
    10. }
    11. @Override
    12. public PackageManager getPackageManager() {
    13. return mBase.getPackageManager();
    14. }
    15. @Override
    16. public ContentResolver getContentResolver() {
    17. return mBase.getContentResolver();
    18. }

    直接替换为:

    1. # PluginContext
    2. @Override
    3. public Resources getResources() {
    4. return this.mPlugin.getResources();
    5. }
    6. @Override
    7. public AssetManager getAssets() {
    8. return this.mPlugin.getAssets();
    9. }
    10. @Override
    11. public ContentResolver getContentResolver() {
    12. return new PluginContentResolver(getHostContext());
    13. }

    看得出来还是非常巧妙的。可以做的事情也非常多,后面对ContentProvider的描述也会提现出来。

    好了,到此Activity就可以正常启动了。

    下面看Service。

    三、Service的支持

    Service和Activity有点不同,显而易见的首先我们也会将要启动的Service类替换为占坑的Service类,但是有一点不同,在Standard模式下多次启动同一个占坑Activity会创建多个对象来对象我们的目标类。而Service多次启动只会调用onStartCommond方法,甚至常规多次调用bindService,seviceConn对象不变,甚至都不会多次回调bindService方法(多次调用可以通过给Intent设置不同Action解决)。

    还有一点,最明显的差异是,Activity的生命周期是由用户交互决定的,而Service的声明周期是我们主动通过代码调用的。

    也就是说,start、stop、bind、unbind都是我们显示调用的,所以我们可以拦截这几个方法,做一些事情。

    Virtual Apk的做法,即将所有的操作进行拦截,都改为startService,然后统一在onStartCommond中分发。

    下面看详细代码:

    (1) hook IActivityManager

    再次来到PluginManager,发下如下方法:

    1. private void hookSystemServices() {
    2. try {
    3. Singleton<IActivityManager> defaultSingleton = (Singleton<IActivityManager>) ReflectUtil.getField(ActivityManagerNative.class, null, "gDefault");
    4. IActivityManager activityManagerProxy = ActivityManagerProxy.newInstance(this, defaultSingleton.get());
    5. // Hook IActivityManager from ActivityManagerNative
    6. ReflectUtil.setField(defaultSingleton.getClass().getSuperclass(), defaultSingleton, "mInstance", activityManagerProxy);
    7. if (defaultSingleton.get() == activityManagerProxy) {
    8. this.mActivityManager = activityManagerProxy;
    9. }
    10. } catch (Exception e) {
    11. e.printStackTrace();
    12. }
    13. }

    首先拿到ActivityManagerNative中的gDefault对象,该对象返回的是一个Singleton<IActivityManager>,然后拿到其mInstance对象,即IActivityManager对象(可以理解为和AMS交互的binder的client对象)对象。

    然后通过动态代理的方式,替换为了一个代理对象。

    那么重点看对应的InvocationHandler对象即可,该代理对象调用的方法都会辗转到其invoke方法:

    1. @Override
    2. public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
    3. if ("startService".equals(method.getName())) {
    4. try {
    5. return startService(proxy, method, args);
    6. } catch (Throwable e) {
    7. Log.e(TAG, "Start service error", e);
    8. }
    9. } else if ("stopService".equals(method.getName())) {
    10. try {
    11. return stopService(proxy, method, args);
    12. } catch (Throwable e) {
    13. Log.e(TAG, "Stop Service error", e);
    14. }
    15. } else if ("stopServiceToken".equals(method.getName())) {
    16. try {
    17. return stopServiceToken(proxy, method, args);
    18. } catch (Throwable e) {
    19. Log.e(TAG, "Stop service token error", e);
    20. }
    21. }
    22. // 省略bindService,unbindService等方法
    23. }

    当我们调用startService时,跟进代码,可以发现调用流程为:

    1. startService->startServiceCommon->ActivityManagerNative.getDefault().startService

    这个getDefault刚被我们hook,所以会被上述方法拦截,然后调用:startService(proxy, method, args)

    1. private Object startService(Object proxy, Method method, Object[] args) throws Throwable {
    2. IApplicationThread appThread = (IApplicationThread) args[0];
    3. Intent target = (Intent) args[1];
    4. ResolveInfo resolveInfo = this.mPluginManager.resolveService(target, 0);
    5. if (null == resolveInfo || null == resolveInfo.serviceInfo) {
    6. // is host service
    7. return method.invoke(this.mActivityManager, args);
    8. }
    9. return startDelegateServiceForTarget(target, resolveInfo.serviceInfo, null, RemoteService.EXTRA_COMMAND_START_SERVICE);
    10. }

    先不看代码,考虑下我们这里唯一要做的就是通过Intent保存关键数据,替换启动的Service类为占坑类。

    所以直接看最后的方法:

    1. private ComponentName startDelegateServiceForTarget(Intent target,
    2. ServiceInfo serviceInfo,
    3. Bundle extras, int command) {
    4. Intent wrapperIntent = wrapperTargetIntent(target, serviceInfo, extras, command);
    5. return mPluginManager.getHostContext().startService(wrapperIntent);
    6. }

    最后一行就是启动了,那么替换的操作应该在wrapperTargetIntent中完成:

    1. private Intent wrapperTargetIntent(Intent target, ServiceInfo serviceInfo, Bundle extras, int command) {
    2. // fill in service with ComponentName
    3. target.setComponent(new ComponentName(serviceInfo.packageName, serviceInfo.name));
    4. String pluginLocation = mPluginManager.getLoadedPlugin(target.getComponent()).getLocation();
    5. // start delegate service to run plugin service inside
    6. boolean local = PluginUtil.isLocalService(serviceInfo);
    7. Class<? extends Service> delegate = local ? LocalService.class : RemoteService.class;
    8. Intent intent = new Intent();
    9. intent.setClass(mPluginManager.getHostContext(), delegate);
    10. intent.putExtra(RemoteService.EXTRA_TARGET, target);
    11. intent.putExtra(RemoteService.EXTRA_COMMAND, command);
    12. intent.putExtra(RemoteService.EXTRA_PLUGIN_LOCATION, pluginLocation);
    13. if (extras != null) {
    14. intent.putExtras(extras);
    15. }
    16. return intent;
    17. }

    果不其然,重新初始化了Intent,设置了目标类为LocalService(多进程时设置为RemoteService),然后将原本的Intent存储到EXTRA_TARGET,携带command为EXTRA_COMMAND_START_SERVICE,以及插件apk路径。

    (2)代理分发

    那么接下来代码就到了LocalService的onStartCommond中啦:

    1. @Override
    2. public int onStartCommand(Intent intent, int flags, int startId) {
    3. // 省略一些代码...
    4. Intent target = intent.getParcelableExtra(EXTRA_TARGET);
    5. int command = intent.getIntExtra(EXTRA_COMMAND, 0);
    6. if (null == target || command <= 0) {
    7. return START_STICKY;
    8. }
    9. ComponentName component = target.getComponent();
    10. LoadedPlugin plugin = mPluginManager.getLoadedPlugin(component);
    11. switch (command) {
    12. case EXTRA_COMMAND_START_SERVICE: {
    13. ActivityThread mainThread = (ActivityThread)ReflectUtil.getActivityThread(getBaseContext());
    14. IApplicationThread appThread = mainThread.getApplicationThread();
    15. Service service;
    16. if (this.mPluginManager.getComponentsHandler().isServiceAvailable(component)) {
    17. service = this.mPluginManager.getComponentsHandler().getService(component);
    18. } else {
    19. try {
    20. service = (Service) plugin.getClassLoader().loadClass(component.getClassName()).newInstance();
    21. Application app = plugin.getApplication();
    22. IBinder token = appThread.asBinder();
    23. Method attach = service.getClass().getMethod("attach", Context.class, ActivityThread.class, String.class, IBinder.class, Application.class, Object.class);
    24. IActivityManager am = mPluginManager.getActivityManager();
    25. attach.invoke(service, plugin.getPluginContext(), mainThread, component.getClassName(), token, app, am);
    26. service.onCreate();
    27. this.mPluginManager.getComponentsHandler().rememberService(component, service);
    28. } catch (Throwable t) {
    29. return START_STICKY;
    30. }
    31. }
    32. service.onStartCommand(target, 0, this.mPluginManager.getComponentsHandler().getServiceCounter(service).getAndIncrement());
    33. break;
    34. }
    35. // 省略下面的代码
    36. case EXTRA_COMMAND_BIND_SERVICE:break;
    37. case EXTRA_COMMAND_STOP_SERVICE:break;
    38. case EXTRA_COMMAND_UNBIND_SERVICE:break;
    39. }

    这里代码很简单了,根据command类型,比如EXTRA_COMMAND_START_SERVICE,直接通过plugin的ClassLoader去load目标Service的class,然后反射创建实例。比较重要的是,Service创建好后,需要调用它的attach方法,这里凑够参数,然后反射调用即可,最后调用onCreate、onStartCommand收工。然后将其保存起来,stop的时候取出来调用其onDestroy即可。

    bind、unbind以及stop的代码与上述基本一致,不在赘述。

    唯一提醒的就是,刚才看到还hook了一个方法叫做:stopServiceToken,该方法是什么时候用的呢?

    主要有一些特殊的Service,比如IntentService,其stopSelf是由自身调用的,最终会调用mActivityManager.stopServiceToken方法,同样的中转为STOP操作即可。

    四、BroadcastReceiver的支持

    这个比较简单,直接解析Manifest后,静态转动态即可。

    相关代码在LoadedPlugin的构造方法中:

    1. for (PackageParser.Activity receiver : this.mPackage.receivers) {
    2. receivers.put(receiver.getComponentName(), receiver.info);
    3. try {
    4. BroadcastReceiver br = BroadcastReceiver.class.cast(getClassLoader().loadClass(receiver.getComponentName().getClassName()).newInstance());
    5. for (PackageParser.ActivityIntentInfo aii : receiver.intents) {
    6. this.mHostContext.registerReceiver(br, aii);
    7. }
    8. } catch (Exception e) {
    9. e.printStackTrace();
    10. }
    11. }

    可以看到解析到receiver信息后,直接通过pluginClassloader去loadClass拿到receiver对象,然后调用this.mHostContext.registerReceiver即可。

    开心,最后一个了~

    五、ContentProvider的支持

    (1)hook IContentProvider

    ContentProvider的支持依然是通过代理分发。

    看一段CP使用的代码:

    1. Cursor bookCursor = getContentResolver().query(bookUri, new String[]{"_id", "name"}, null, null, null);

    这里用到了PluginContext,在生成Activity、Service的时候,为其设置的Context都为PluginContext对象。

    所以当你调用getContentResolver时,调用的为PluginContext的getContentResolver。

    1. @Override
    2. public ContentResolver getContentResolver() {
    3. return new PluginContentResolver(getHostContext());
    4. }

    返回的是一个PluginContentResolver对象,当我们调用query方法时,会辗转调用到
    ContentResolver.acquireUnstableProvider方法。该方法被PluginContentResolver中复写:

    1. protected IContentProvider acquireUnstableProvider(Context context, String auth) {
    2. try {
    3. if (mPluginManager.resolveContentProvider(auth, 0) != null) {
    4. return mPluginManager.getIContentProvider();
    5. }
    6. return (IContentProvider) sAcquireUnstableProvider.invoke(mBase, context, auth);
    7. } catch (Exception e) {
    8. e.printStackTrace();
    9. }
    10. return null;
    11. }

    如果调用的auth为插件apk中的provider,则直接返回mPluginManager.getIContentProvider()

    1. public synchronized IContentProvider getIContentProvider() {
    2. if (mIContentProvider == null) {
    3. hookIContentProviderAsNeeded();
    4. }
    5. return mIContentProvider;
    6. }

    咦,又看到一个hook方法:

    1. private void hookIContentProviderAsNeeded() {
    2. Uri uri = Uri.parse(PluginContentResolver.getUri(mContext));
    3. mContext.getContentResolver().call(uri, "wakeup", null, null);
    4. try {
    5. Field authority = null;
    6. Field mProvider = null;
    7. ActivityThread activityThread = (ActivityThread) ReflectUtil.getActivityThread(mContext);
    8. Map mProviderMap = (Map) ReflectUtil.getField(activityThread.getClass(), activityThread, "mProviderMap");
    9. Iterator iter = mProviderMap.entrySet().iterator();
    10. while (iter.hasNext()) {
    11. Map.Entry entry = (Map.Entry) iter.next();
    12. Object key = entry.getKey();
    13. Object val = entry.getValue();
    14. String auth;
    15. if (key instanceof String) {
    16. auth = (String) key;
    17. } else {
    18. if (authority == null) {
    19. authority = key.getClass().getDeclaredField("authority");
    20. authority.setAccessible(true);
    21. }
    22. auth = (String) authority.get(key);
    23. }
    24. if (auth.equals(PluginContentResolver.getAuthority(mContext))) {
    25. if (mProvider == null) {
    26. mProvider = val.getClass().getDeclaredField("mProvider");
    27. mProvider.setAccessible(true);
    28. }
    29. IContentProvider rawProvider = (IContentProvider) mProvider.get(val);
    30. IContentProvider proxy = IContentProviderProxy.newInstance(mContext, rawProvider);
    31. mIContentProvider = proxy;
    32. Log.d(TAG, "hookIContentProvider succeed : " + mIContentProvider);
    33. break;
    34. }
    35. }
    36. } catch (Exception e) {
    37. e.printStackTrace();
    38. }
    39. }

    前两行比较重要,第一行是拿到了占坑的provider的uri,然后主动调用了其call方法。
    如果你跟进去,会发现,其会调用acquireProvider->mMainThread.acquireProvider->ActivityManagerNative.getDefault().getContentProvider->installProvider。简单来说,其首先调用已经注册provider,得到返回的IContentProvider对象。

    这个IContentProvider对象是在ActivityThread.installProvider方法中加入到mProviderMap中。

    而ActivityThread对象又容易获取,mProviderMap又是它成员变量,那么也容易获取,所以上面的一大坨(除了前两行)代码,就为了拿到占坑的provider对应的IContentProvider对象。

    然后通过动态代理的方式,进行了hook,关注InvocationHandler的实例IContentProviderProxy。

    IContentProvider能干吗呢?其实就能拦截我们正常的query、insert、update、delete等操作。

    拦截这些方法干嘛?

    当然是修改uri啦,把用户调用的uri,替换为占坑provider的uri,再把原本的uri作为参数拼接在占坑provider的uri后面即可。

    好了,直接看invoke方法:

    1. @Override
    2. public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
    3. Log.v(TAG, method.toGenericString() + " : " + Arrays.toString(args));
    4. wrapperUri(method, args);
    5. try {
    6. return method.invoke(mBase, args);
    7. } catch (InvocationTargetException e) {
    8. throw e.getTargetException();
    9. }
    10. }

    直接看wrapperUri

    1. private void wrapperUri(Method method, Object[] args) {
    2. Uri uri = null;
    3. int index = 0;
    4. if (args != null) {
    5. for (int i = 0; i < args.length; i++) {
    6. if (args[i] instanceof Uri) {
    7. uri = (Uri) args[i];
    8. index = i;
    9. break;
    10. }
    11. }
    12. }
    13. // 省略部分代码
    14. PluginManager pluginManager = PluginManager.getInstance(mContext);
    15. ProviderInfo info = pluginManager.resolveContentProvider(uri.getAuthority(), 0);
    16. if (info != null) {
    17. String pkg = info.packageName;
    18. LoadedPlugin plugin = pluginManager.getLoadedPlugin(pkg);
    19. String pluginUri = Uri.encode(uri.toString());
    20. StringBuilder builder = new StringBuilder(PluginContentResolver.getUri(mContext));
    21. builder.append("/?plugin=" + plugin.getLocation());
    22. builder.append("&pkg=" + pkg);
    23. builder.append("&uri=" + pluginUri);
    24. Uri wrapperUri = Uri.parse(builder.toString());
    25. if (method.getName().equals("call")) {
    26. bundleInCallMethod.putString(KEY_WRAPPER_URI, wrapperUri.toString());
    27. } else {
    28. args[index] = wrapperUri;
    29. }
    30. }
    31. }

    从参数中找到uri,往下看,搞了个StringBuilder首先加入占坑provider的uri,然后将目标uri,pkg,plugin等参数等拼接上去,替换到args中的uri,然后继续走原本的流程。

    假设是query方法,应该就到达我们占坑provider的query方法啦。

    (2)代理分发

    占坑如下:

    1. <provider
    2. android:name="com.didi.virtualapk.delegate.RemoteContentProvider"
    3. android:authorities="${applicationId}.VirtualAPK.Provider"
    4. android:process=":daemon" />

    打开RemoteContentProvider,直接看query方法:

    1. @Override
    2. public Cursor query(Uri uri, String[] projection, String selection,
    3. String[] selectionArgs, String sortOrder) {
    4. ContentProvider provider = getContentProvider(uri);
    5. Uri pluginUri = Uri.parse(uri.getQueryParameter(KEY_URI));
    6. if (provider != null) {
    7. return provider.query(pluginUri, projection, selection, selectionArgs, sortOrder);
    8. }
    9. return null;
    10. }

    可以看到通过传入的生成了一个新的provider,然后拿到目标uri,在直接调用provider.query传入目标uri即可。

    那么这个provider实际上是这个代理类帮我们生成的:

    1. private ContentProvider getContentProvider(final Uri uri) {
    2. final PluginManager pluginManager = PluginManager.getInstance(getContext());
    3. Uri pluginUri = Uri.parse(uri.getQueryParameter(KEY_URI));
    4. final String auth = pluginUri.getAuthority();
    5. // 省略了缓存管理
    6. LoadedPlugin plugin = pluginManager.getLoadedPlugin(uri.getQueryParameter(KEY_PKG));
    7. if (plugin == null) {
    8. try {
    9. pluginManager.loadPlugin(new File(uri.getQueryParameter(KEY_PLUGIN)));
    10. } catch (Exception e) {
    11. e.printStackTrace();
    12. }
    13. }
    14. final ProviderInfo providerInfo = pluginManager.resolveContentProvider(auth, 0);
    15. if (providerInfo != null) {
    16. RunUtil.runOnUiThread(new Runnable() {
    17. @Override
    18. public void run() {
    19. try {
    20. LoadedPlugin loadedPlugin = pluginManager.getLoadedPlugin(uri.getQueryParameter(KEY_PKG));
    21. ContentProvider contentProvider = (ContentProvider) Class.forName(providerInfo.name).newInstance();
    22. contentProvider.attachInfo(loadedPlugin.getPluginContext(), providerInfo);
    23. sCachedProviders.put(auth, contentProvider);
    24. } catch (Exception e) {
    25. e.printStackTrace();
    26. }
    27. }
    28. }, true);
    29. return sCachedProviders.get(auth);
    30. }
    31. return null;
    32. }

    很简单,取出原本的uri,拿到auth,在通过加载plugin得到providerInfo,反射生成provider对象,在调用其attachInfo方法即可。

    其他的几个方法:insert、update、delete、call逻辑基本相同,就不赘述了。

    感觉这里其实通过hook AMS的getContentProvider方法也能完成上述流程,感觉好像可以更彻底,不需要依赖PluginContext了。

    六、总结

    总结下,其实就是文初的内容,可以看到VritualApk大体方案如下:

    • Activity:在宿主apk中提前占几个坑,然后通过“欺上瞒下”(这个词好像是360之前的ppt中提到)的方式,启动插件apk的Activity;因为要支持不同的launchMode以及一些特殊的属性,需要占多个坑。
    • Service:通过代理Service的方式去分发;主进程和其他进程,VirtualAPK使用了两个代理Service。
    • BroadcastReceiver:静态转动态。
    • ContentProvider:通过一个代理Provider进行分发。