Android 插件化－Activity 篇，安卓开发面试问题

//当然在实际到开发中这里到情况会复杂的多，比如与服务器插件版本进行对比判断是否需要重新下载等 File file = new File(filePath);if (file.exists()) {Log.i(TAG, "had copy apk before,so no need copy again");} else {Log.i(TAG, "althogh save apk file path success,but file not exists");extractAssets(context, filePath, pluginName);}}}

上述方法就是判断是否需要复制插件 apk 到对应的目录下，接下来就是 copy 部分了。因为代码量不到逻辑也很简单，就直接看代码了。

public static boolean extractAssets(Context context, String filePath, String pluginName) {AssetManager assetManager = context.getAssets();

FileOutputStream fileOutputStream = null;InputStream inputStream = null;try {

Log.i(TAG, "save apk file path is " + filePath);

fileOutputStream = new FileOutputStream(filePath);//获取 assets 目录下的插件 apk 输入流 inputStream = assetManager.open(pluginName);

byte[] bytes = new byte[1024];int length = -1;//将 apk 文件复制到对应到文件目录下 while ((length = inputStream.read(bytes)) != -1) {fileOutputStream.write(bytes, 0, length);}fileOutputStream.flush();return true;} catch (Exception e) {Log.e(TAG, "copy file failed " + e.getMessage());} finally {try {if (null != inputStream) {inputStream.close();}if (null != fileOutputStream) {fileOutputStream.close();}} catch (Exception e) {Log.i(TAG, "extra

《Android学习笔记总结+最新移动架构视频+大厂安卓面试真题+项目实战源码讲义》
浏览器打开：qq.cn.hn/FTe 免费领取

ctAssets: " + e.getMessage());}}return false;}

2.2 ActivityManager 的 Hook

这一块儿的 hook，简单来说就是通过动态代理的方式将 ActivityManager.getService 所获取到的 Binder 代理对象进行替换，那么我们就能够对诸如 start Activity 等方法进行入侵了。相关代码实现如下。[RefInvoke.java](

)类可到 github 上查看。

public static void hookAMN() {try {//通过反射获取到 ActivityManager 的 class 对象 Class<?> mActivityManagerCls = RefInvoke.getClass("android.app.ActivityManager");//首先通过反射获取到 ActivityManager 类中的单例对象 IActivityManagerSingleton//然后通过反射获取到对象对象 IActivityManagerSingleton 的值 Object mIActivityManagerSingletonObj = RefInvoke.getStaticFieldValue(RefInvoke.getField(mActivityManagerCls, "IActivityManagerSingleton"), mActivityManagerCls);//获取到 ActivityManager 与 AMS 的 Binder 通信接口 IActivityManager 的 class 对象，用于后续生成对应的代理对象 Class<?> mIActivityManagerCls = RefInvoke.getClass("android.app.IActivityManager");if (null != mIActivityManagerSingletonObj) {//因为上述的单例对象是 Singleton 实现类，所以通过反射首先获取到该类中的 mInstance 属性 Field mInstanceField = RefInvoke.getField("android.util.Singleton", "mInstance");//然后通过反射获取到上述单例对象中的 mInstance 属性对应的值 Object mInstance = RefInvoke.getFieldValue(mInstanceField, mIActivityManagerSingletonObj);//根据上述提供的接口以及当前的 ClassLoader 生成代理对象 Object proxy = Proxy.newProxyInstance(Thread.currentThread().getContextClassLoader(), new Class[]{mIActivityManagerCls}, new AMSHookHelperInvocationHandler(mInstance));//将 ActivityManager.getService 获取到的单例对象替换成代理对象 RefInvoke.setFieldValue(mInstanceField, mIActivityManagerSingletonObj, proxy);} else {Log.i(TAG, "IActivityManagerSingleton not exists");}} catch (Exception e) {Log.i(TAG, "hook ATM failed " + e);}}

接下来就是实现 InvocationHandler 接口对 startActivity 方法进行入侵了，相关代码如下。

public class AMSHookHelperInvocationHandler implements InvocationHandler {private static final String TAG = Constants.TAG + "AMSHookHandler";

//被代理对象 private Object mBase;

public AMSHookHelperInvocationHandler(Object base) {mBase = base;}

@Overridepublic Object invoke(Object o, Method method, Object[] objects) throws Throwable {//劫持 startActivity 方法对上层应用真正要启动的 Activity 进行替换 if (TextUtils.equals(method.getName(), "startActivity")) {Log.i(TAG, "replace start up activity");

int index = -1;//获取上层应用传递过来的 Intent 对象 for (int i = 0; i < objects.length; i++) {if (objects[i] instanceof Intent) {index = i;break;}}if (-1 == index) {Log.i(TAG, "not found intent in params");return method.invoke(mBase, objects);}

//这就是上层应用所需要启动的插件 Activity 对应的 Intent 了 Intent realIntent = (Intent) objects[index];

//根据宿主中预先声明的 Activity 生成对应的 Intent 对象用于替换上层应用传递过来的插件 Activity 相关的 Intent 对象，以达到欺骗 AMS 的目的 Intent replacedStartUpIntent = realIntent.getParcelableExtra(Constants.REPLACED_START_UP_INTENT);if (null != replacedStartUpIntent) {Log.i(TAG, "origin intent is " + realIntent);realIntent.putExtra(Constants.REPLACED_START_UP_INTENT,"");replacedStartUpIntent.putExtra(Constants.START_UP_INTENT, realIntent);objects[index] = replacedStartUpIntent;Log.i(TAG, "replaced start up intent is " + replacedStartUpIntent);} else {Log.i(TAG, "replaced intent activity is null");}}//继续通过 Binder 的方式调用到 AMSreturn method.invoke(mBase, objects);}}

有了上述对 ActivityManager 的 hook 过程，接下来我们就可以直接在应用中启动插件 Activity 了，使用方式如下。

public void click(View view) {int id = view.getId();switch (id) {case R.id.plugin:Intent intent = new Intent();ComponentName componentName = new ComponentName(getPackageName(), "com.xx.xx.pluginActivity");intent.setComponent(componentName);intent.putExtra(Constants.REPLACED_START_UP_INTENT, createStartUpIntent());

startActivity(intent);break;}

}

//使用宿主中预先声明好的 Activity 构造 Intent 对象用于欺骗 AMS，后续统称为中转页面 private Intent createStartUpIntent() {Intent startUpIntent = new Intent();ComponentName componentName = new ComponentName(DePluginApplication.getContext(), StandardStubActivity.class.getName());startUpIntent.setComponent(componentName);startUpIntent.putExtra(Constants.DEX_PATH, DePluginSP.getInstance(DePluginApplication.getContext()).getString(Constants.COPY_FILE_PATH, ""));return startUpIntent;}

虽然我们能够在宿主中直接去启动插件中的 Activity 并且不会报出 ActivityNotFound 异常了，但是最后会发现启动的 Activity 并不是插件中的 Activity，而是我们的中转页面 StandardStubActivity。因此为了能够实现最终启动 Activity 是插件中的 Activity，我们还需要对 ActivityThread 中中的各个对象进行 hook。

2.3 ActivityThread 中的 hook

这一块儿所涉及的流程就稍微复杂一点了，因此代码量也稍微多一点。所以，建议大家有时间多可以去瞅瞅 Activity 启动流程源码分析相关的文章。

2.3.1 mH 的 hook

对于 ActivityThread 中 mH 属性，如果采用生成 Handler 对象直接通过反射的方式去替换，最终系统会无情的给你抛出一个 hook H failed java.lang.IllegalArgumentException；这是因为虽然 mH 属性对应的类继承了 Handler 对象，但是它的实际引用类型却是 H。所以此路肯定是行不通的。这个时候我们不妨去看看[Handler.java](

)类中最终 msg 分发的 dispatchMessage 函数源码实现，如下：

public void dispatchMessage(Message msg) {if (msg.callback != null) {handleCallback(msg);} else {//重点我们看这里，如果当前 Handler 中的 CallBack 实例对象为空才会走到 handleMessage 方法//因此我们可以为 mH 这个继承了 Handler 的实例对象构造一个实现了 CallBack 的接口实例对象，那说干就干 if (mCallback != null) {if (mCallback.handleMessage(msg)) {return;}}handleMessage(msg);}}

所以我们首先构造一个实现了 Handler 中 CallBack 接口的实例对象，并通过反射的方式将这个实例对象赋值给 mH 对象。代码如下：

public static void hookH() {try {//通过反射获取到 ActivityThread 实例对象 Object sCurrentActivityThread = RefInvoke.getStaticFieldValue(RefInvoke.getField("android.app.ActivityThread", "sCurrentActivityThread"), RefInvoke.getClass("android.app.ActivityThread"));//获取到 ActivityThread 中的 mH 实例对象 Field mHField = RefInvoke.getField(sCurrentActivityThread.getClass(), "mH");Handler mH = (Handler) RefInvoke.getFieldValue(mHField, sCurrentActivityThread);//首先通过反射获取到 Handler 中的 mCallBack 属性//通过反射的方式将 mH 实例对象中的 mCallBack 属性赋值为 ActivityThreadHandler 的实例对象 RefInvoke.setFieldValue(RefInvoke.getField(Handler.class, "mCallback"), mH, new ActivityThreadHandler(mH));Log.i(TAG, "hook H complete");} catch (Exception e) {Log.i(TAG, "hook H failed " + e);}}

接着就是在 CallBack 中的 handleMessage 方法中对 Activity 的启动进行拦截了，然后将需要加载的 Activity 替换成插件中的 Activity，并将加载 Activity 的 ClassLoader 对象替换成以插件 apk 生成的 ClassLoader 对象，最后在 ActivityThread 中实际所加载的 Activity 就是插件中的 Activity 了。

public boolean handleMessage(@NonNull Message message) {int what = message.what;switch (what) {//这里为什么是 159 可以到 ActivityThread 中找到答案 case 159://首先获取从 AMS 中传递过来的 ClientTransaction 对象 Object object = message.obj;try {//这里的 CallBack 对象就是实现 Activity 生命周期的各个对象了 List<Object> mActivityCallbacks = RefInvoke.on(object, "getCallbacks").invoke();//获取开始执行 Activity onCreate 方法的实例对象，并将其中的 Intent 对象中的 ComponentName 对象替换成插件 Activity 对应的 ComponentName 对象 Class<?> mLaunchActivityItemCls = RefInvoke.getClass("android.app.servertransaction.LaunchActivityItem");for (Object obj : mActivityCallbacks) {if (mLaunchActivityItemCls.isInstance(obj)) {Intent intent = getIntent(mLaunchActivityItemCls, obj);if (null == intent) {break;}//只对需要实现插件化的 Activity 进行拦截，防止出现误拦截的情况 String path = intent.getStringExtra(Constants.DEX_PATH);if (TextUtils.isEmpty(path)) {Log.i(TAG, "dex path is empty,so do need replace class loader");break;}//替换成加载插件类的 ClassLoaderreplaceClassloader(mLaunchActivityItemCls, obj, path);//将实际需要加载的 Activity 替换成插件中的 Activityreplace(intent);break;}}} catch (Exception e) {Log.e(TAG, "getActivityToken failed " + e.getMessage());}break;default:

}mBase.handleMessage(message);return true;}

2.3.2 ClassLoader 的 hook

对于加载 Activity 的 ClassLoader 替换则稍显复杂了，因此在代码实现之前我们还是简单去看一下源码，了解一下如何将加载 Activity 的 ClassLoader 替换成加载插件中 Activity 的 ClassLoader。

源码解析

ActivityThread 中对 Activity 初始化是在 performLaunchActivity 中完成，部分源码如下：

private Activity performLaunchActivity(ActivityClientRecord r, Intent customIntent) {ActivityInfo aInfo = r.activityInfo;//生成 LoadedApk 对象 if (r.packageInfo == null) {r.packageInfo = getPackageInfo(aInfo.applicationInfo, r.compatInfo,Context.CONTEXT_INCLUDE_CODE);}

ComponentName component = r.intent.getComponent();if (component == null) {component = r.intent.resolveActivity(mInitialApplication.getPackageManager());r.intent.setComponent(component);}

if (r.activityInfo.targetActivity != null) {component = new ComponentName(r.activityInfo.packageName,r.activityInfo.targetActivity);}//为当前启动的 Activity 生成对应的 Context 对象 ContextImpl appContext = createBaseContextForActivity(r);Activity activity = null;try {//获取 ClassLoader 对象以加载需要启动的 Activity 类 java.lang.ClassLoader cl = appContext.getClassLoader();activity = mInstrumentation.newActivity(cl, component.getClassName(), r.intent);.........} catch (Exception e) {if (!mInstrumentation.onException(activity, e)) {throw new RuntimeException("Unable to instantiate activity " + component

• ": " + e.toString(), e);}}............

return activity;}

在该方法中首先会根据要启动 Activity 中所携带的 ApplicationInfo 等对象生成 LoadedApk 对象，然后通过 LoadedApk 中携带的 ClassLoader 属性为当前需要启动的 Activity 生成对对应的 Context 对象，并通过该 ClassLoader 加载需要启动的 Activity 类。其中 Context 对象创建是在 ContextImpl 的 createActivityContext 方法中完成，部分源码如下：

static ContextImpl createActivityContext(ActivityThread mainThread,LoadedApk packageInfo, ActivityInfo activityInfo, IBinder activityToken, int displayId,Configuration overrideConfiguration) {if (packageInfo == null) throw new IllegalArgumentException("packageInfo");

String[] splitDirs = packageInfo.getSplitResDirs();//获取 LoadedApk 中的 ClassLoader 对象，并根据该 ClassLoader 创建对应的 Context 对象 ClassLoader classLoader = packageInfo.getClassLoader();........ContextImpl context = new ContextImpl(null, mainThread, packageInfo, activityInfo.splitName,activityToken, null, 0, classLoader);.......final ResourcesManager resourcesManager = ResourcesManager.getInstance(); context.setResources(resourcesManager.createBaseActivityResources(activityToken,packageInfo.getResDir(),splitDirs,packageInfo.getOverlayDirs(),packageInfo.getApplicationInfo().sharedLibraryFiles,displayId,overrideConfiguration,compatInfo,classLoader));context.mDisplay = resourcesManager.getAdjustedDisplay(displayId,context.getResources());return context;}

既然最终加载 Activity 类的 ClassLoader 是从 LoadedApk 对象来的，所以我们只需要将上述 getPackageInfo 方法所得来的 LoadedApk 对象中的 ClassLoader 对象替换成通过插件 apk 生成的插件就行了。但是有个问题就是这里的 getPackageInfo 方法我们并不能 hook 住，因此并不能把握住该方法的调用时机，所以通过 getPackageInfo 方法生成的 LoadedApk 我们并不能动态的去替换掉；

因此这里我们所采用的是直接通过 getPackageInfo 方法创建一个属于我们自己的 LoadedApk 对象，至于我们为什么可以这样做，还是需要去看一下源码才知道。performLaunchActivity 中调用的 getPackageInfo 方法最终会调用到该方法的重载方法中，实现如下：

private LoadedApk getPackageInfo(ApplicationInfo aInfo, CompatibilityInfo compatInfo,ClassLoader baseLoader, boolean securityViolation, boolean includeCode,boolean registerPackage) {final boolean differentUser = (UserHandle.myUserId() != UserHandle.getUserId(aInfo.uid));synchronized (mResourcesManager) {WeakReference<LoadedApk> ref;if (differentUser) {ref = null;//最终会进入到这个 if 中//可以看到的是首先会去 mPackages 这个 ArrayMap 中查找该 Activity 所属的包名是否存在 LoadedApk 的缓存，如果存在缓存则直接使用} else if (includeCode) {ref = mPackages.get(aInfo.packageName);} else {ref = mResourcePackages.get(aInfo.packageName);}//如果不存在缓存则重新生成 LoadedApk 对象，并添加到 mPackagesLoadedApk packageInfo = ref != null ? ref.get() : null;if (packageInfo == null || (packageInfo.mResources != null&& !packageInfo.mResources.getAssets().isUpToDate())) {if (localLOGV) Slog.v(TAG, (includeCode ? "Loading code package ": "Loading resource-only package ") + aInfo.packageName

• " (in " + (mBoundApplication != null? mBoundApplication.processName : null)

• ")");packageInfo =new LoadedApk(this, aInfo, compatInfo, baseLoader,securityViolation, includeCode &&(aInfo.flags&ApplicationInfo.FLAG_HAS_CODE) != 0, registerPackage);

if (mSystemThread && "android".equals(aInfo.packageName)) {packageInfo.installSystemApplicationInfo(aInfo,getSystemContext().mPackageInfo.getClassLoader());}

if (differentUser) {// Caching not supported across users} else if (includeCode) {mPackages.put(aInfo.packageName,new WeakReference<LoadedApk>(packageInfo));} else {mResourcePackages.put(aInfo.packageName,new WeakReference<LoadedApk>(packageInfo));}}return packageInfo;}}

根据上述的源码解析，如何生成对应 LoadedApk 对象以及 ClassLoader 对象我们的思路就很明确了。

（1）首先我们通过反射的方式以插件 apk 生成对应的 ApplicationInfo 对象以及 CompatibilityInfo；

（2）接着调用如下方法生成对应的 LoadedApk 对象并将 ActivityInfo 所对应的 ApplicationInfo 中的 PackageName 设置为插件的 ApplicatioInfo，这样 Activity 初始化的时候就能够直接获取缓存中的我们所生成的 LoadedApk 对象了；

（3）最后再将以插件 Apk 生成的 ClassLoader 再以反射的方式赋值给 LoadedApk 对象中的成员变量，到这里整个 Activity 的插件化也就完成了一大半了。

public final LoadedApk getPackageInfo(ApplicationInfo ai, CompatibilityInfo compatInfo,int flags) {.....