別看標(biāo)題這么厲害... 其實(shí)就是通過(guò) hook 的方式實(shí)現(xiàn)在運(yùn)行時(shí)替換 Unity 游戲中的 Assembly-CSharp.dll 來(lái)實(shí)現(xiàn)代碼注入的功能。

為什么要做到這個(gè)運(yùn)行時(shí)替換呢？原因如下：

• 目標(biāo)游戲安裝包有一個(gè)多G，每次重新打包和安裝耗時(shí)將十分巨大。
• 目標(biāo)游戲是付費(fèi)游戲，所以應(yīng)該在底層對(duì)簽名做了校驗(yàn)。即使沒(méi)有也要以防萬(wàn)一（迷惑行為

步入正題。

使用 Xposed 使目標(biāo)游戲執(zhí)行我們的代碼

Xposed 就不用說(shuō)了... 很常見(jiàn)的一個(gè)工具。為了實(shí)現(xiàn)標(biāo)題的功能，我們只需要簡(jiǎn)單地 hook 掉 ContextWrapper 的 attachBaseContext 方法，在目標(biāo)游戲啟動(dòng)時(shí)根據(jù)拿到的 Context 去得到我們自己的插件的 apk 路徑，然后再用 System.load 去加載我們自己的庫(kù)

需要注意的是，System.load 的源碼如下：

@CallerSensitive
public static void load(String filename) {
    Runtime.getRuntime().load0(Reflection.getCallerClass(), filename);
}

也就是說(shuō) System.load 是根據(jù)調(diào)用者的 Class 來(lái)獲取用于搜索動(dòng)態(tài)庫(kù)的 ClassLoader 的，而 Xposed 在加載我們的插件類時(shí)并沒(méi)有根據(jù) Context.getPackageContext 之類來(lái)創(chuàng)建 ClassLoader ，而是！直接！用 PathClassLoader??！因此我們插件類的 ClassLoader 里面并不會(huì)有 nativeLibraries 的搜索路徑（一般是在 /data/data/包名/lib）。因此！不能用 System.loadLibrary！??！

也正因?yàn)槿绱耍覀內(nèi)绻苯蛹虞d我們的動(dòng)態(tài)庫(kù)，系統(tǒng)將無(wú)法自動(dòng)找到 libsubstrate.so，所以我們也需要把 libsubstrate.so 的加載放在 Java 層上來(lái)，并且要放在加載我們自己的動(dòng)態(tài)庫(kù)之前

下面是可愛(ài)的加載部分的代碼w：

val nativeLibDir = context.packageManager.getApplicationInfo(CYMOE_PACKAGE_NAME, 0).nativeLibraryDir
File(nativeLibDir, "libsubstrate.so").absolutePath.run {
    Log.v(T, "Loading Substrate library, path: $this")
    System.load(this)
}
File(nativeLibDir, "libxxx.so").absolutePath.run {
    Log.v(T, "Loading 我的 library, path: $this")
    System.load(this)
}

完畢！接下來(lái)就來(lái)看看我們的 native 部分吧～

替換對(duì)方mono庫(kù)的加載函數(shù)

眾所周知，Unity 加載游戲代碼是通過(guò) mono 庫(kù)（以前是 libmono.so，現(xiàn)在我這個(gè)游戲里面是 libmonobdwgc-2.0.so）來(lái)加載游戲中的 assets/bin/Data/Managed/Assembly-CSharp.dll 的。所以我們只需要 hook 掉 mono 庫(kù)的對(duì)應(yīng)方法就好啦～

問(wèn)題來(lái)了：我們?cè)趺传@取到 mono 庫(kù)的句柄？

我這邊的方法是直接 hook 掉 dlopen 方法，在加載 mono 庫(kù)時(shí) hook，因?yàn)椴恢罏槭裁醋约杭虞d mono 庫(kù)和游戲真正加載的句柄不同... 按理來(lái)說(shuō)一個(gè)進(jìn)程打開的同一個(gè)動(dòng)態(tài)庫(kù)句柄應(yīng)該是不變的。如果有知道的可以在下面的評(píng)論區(qū)給其他讀者和我答疑解惑。

如何在 Android 高版本 hook dlopen 方法可以看 這篇文章。

問(wèn)題又來(lái)了，mono 庫(kù)加載 dll 的函數(shù)是誰(shuí)呢？我最初嘗試 hook fopen 并打印堆棧，看讀取 apk 安裝包的有哪些調(diào)用棧，不過(guò)實(shí)在是有太多了... 很難分析。沒(méi)辦法，最后偷了個(gè)懶，在 這里 找到了 mono 加載庫(kù)的函數(shù)，也就是 mono_image_open_from_data_with_name ，我們只需要對(duì)傳入這個(gè)函數(shù)的參數(shù)進(jìn)行修改再調(diào)用原函數(shù)就好了。

注：由于我是把更改后的 Assembly-CSharp.dll 放在我自己軟件的安裝包里，所以還需要 Java 層額外向本地傳一個(gè) AAssetManager 來(lái)讀取我自己軟件的 Asset，大家也可以用其他方法，這里就不贅述。

上代碼：

char assmbly_replacement[PATH_MAX];
AAsset *asset;

void* (*mono_image_open_from_data_with_name_old)(char *data, guint32 data_len, gboolean need_copy, void* status, gboolean refonly, const char *name);
void* (*__loader_dlopen_old)(const char* filename, int flags, const void* caller_addr);

void* mono_image_open_from_data_with_name_fake(char *data, guint32 data_len, gboolean need_copy, void* status, gboolean refonly, const char *name) {
    LOGI("image open: %s", name);
    if (endsWith(name, "Assembly-CSharp.dll")) {
        LOGI("Got Assembly-CSharp, replacing it");
        do {
            if (asset==nullptr) {
                LOGE("Asset is null");
                break;
            }
            off_t len = AAsset_getLength(asset);
            if (len<0) {
                LOGE("Length < 0");
                break;
            }
            LOGI("File length: %lu\n", len);
            char *file_data = new char[len];
            if (AAsset_read(asset, file_data, len)<0) {
                LOGE("Failed to read");
                delete[] file_data;
                break;
            }
            name = assmbly_replacement;
            data = file_data;
            data_len = len;
            LOGI("Replaced successfully");
        } while (false);
    }
    return mono_image_open_from_data_with_name_old(data, data_len, need_copy, status, refonly, name);
}

void* __loader_dlopen_fake(const char* filename, int flags, const void* caller_addr) {
    void *handle = __loader_dlopen_old(filename, flags, caller_addr);
    LOGI("dlopen: %s %d %p", filename, flags, handle);
    if (endsWith(filename, "libmonobdwgc-2.0.so")) {
        LOGI("Got you! libmono!");
        void *mono_image_open_from_data_with_name = dlsym(handle, "mono_image_open_from_data_with_name");
        HOOK_FUNCTION_DYNAMIC(mono_image_open_from_data_with_name);
    }
    return handle;
}

extern "C" JNIEXPORT JNICALL void Java_你_的_包名_類名_nativeSetReplacement(ARG_STATIC, jobject assetManagerObj, jstring path) {
    if (path==nullptr) return;
    AAssetManager *asset_manager = AAssetManager_fromJava(env, assetManagerObj);
    asset = AAssetManager_open(AAssetManager_fromJava(env, assetManagerObj), "Assembly-CSharp.dll", AASSET_MODE_STREAMING);
    const char* chars  = env->GetStringUTFChars(path, NULL);
    strncpy(assmbly_replacement, chars, PATH_MAX);
    env->ReleaseStringUTFChars(path, chars);
}

順帶一提，上面代碼的 assembly_replacement 也是需要 Java 層傳過(guò)來(lái)。通過(guò)日志可以發(fā)現(xiàn) mono_image_open_from_data_with_name 的 name 參數(shù)是 安裝包路徑/assets/bin/Data/..... 的形式，所以我們也需要（不一定？）把 name 改成我們自己的路徑。最后再把 data 參數(shù)和 data_len 參數(shù)改一下就好。（p.s. 最初我忘了改 data_len 導(dǎo)致出了一堆問(wèn)題...）

Java 層設(shè)置的函數(shù)如下：（說(shuō)是 Java 實(shí)則是 Kotlin）

// attachBaseContext時(shí)
nativeSetReplacement(
    context.createPackageContext(你自己的包名, 0).assets,
    context.packageManager.getApplicationInfo(你自己的包名, 0).sourceDir
            + "/assets/Assembly-CSharp.dll"
)
.....
// native函數(shù)定義
@JvmStatic
external fun nativeSetReplacement(assetManager: AssetManager, path: String)

這樣就整好了w。

結(jié)語(yǔ)

沒(méi)有結(jié)語(yǔ)。總之是項(xiàng)目還沒(méi)做完，就先不放在 GitHub 上面啦w

有興趣或問(wèn)題的可以聯(lián)系我，Q：250851048