支付宝热补丁技术— AndFix原理[阿里Hao]

本文由嵌入式企鹅圈原创团队成员、阿里资深project师Hao分享。

上次我们介绍了用dexposed方案实施热补丁的原理。它本质上就是hook要改动的函数。这样一来在正式版本号公布时就不能直接拿热补丁的代码集成进去了，由于热补丁是按hook的思路，而且依照实现XC_MethodReplacement类的方式写的。正式的补丁还须要又一次包装一边。

更重要的是dexposed对art的支持并不好，大大限制了它的使用范围。

今天我们介绍的是AndFix方案：https://github.com/alibaba/AndFix。

它依照正常修bug的思路写补丁代码。正式公布时直接集成补丁代码就可以。适用范围广。在dalvik和Art上都能够使用。

它分为两部分，一是生成补丁的工具，二是client载入补丁的SDK。

支付宝钱包使用的就是这个方法。

我们基于线上的最新版本号修完bug后。会构建出一个apk，用AndFix提供的diff工具，找出已公布的线上的apk和修复后的apk中classes.dex之间的“差异”。也就是修复bug后发生变化的方法。再用工具生成一个apatch文件，跟apk一样，它也是个压缩包。里面包括CERT.RSA、CERT.SF、MANIFEST.MF、diff.dex和PATCH.MF这几个文件。client从服务端拉取该apatch文件后。解析diff.dex，找到要载入的类和要替换的方法methodReplaced，最后用hook的方式替换掉，这样就完毕了在线修复的工作。本篇我们仅仅介绍client载入补丁的SDK的主要原理。不介绍生成补丁的工具，照例还是先不管ART。仅仅介绍dalvik下是如何执行的。

一、解析补丁的配置文件PATCH.MF

1.首先PatchManager的addPatch方法能够用来加入一个补丁，并执行替换操作。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="" />

可见。用生成的补丁文件File来构造一个Patch类，然后再执行loadPatch来载入补丁。

由于补丁文件apatch是一个jar包。所以用JarFile、Manifest等类来解析META-INF/PATCH.MF配置文件。找到要替换的类名，接下来loadPatch调用AndFixManager的fix方法，传入补丁的File对象、当前Context的classLoader和从PATCH.MF解析出的要替换的补丁类名。

fix方法中用传入的classLoader构造一个自己定义的pathClassLoader。它的findClass方法用来找到要替换的类的Class对象。

这里的dexFile直接由loadDex得到，这样补丁文件里的dex文件就已经载入到应用中了。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="" />
2. 接下来依次把要修复的类载入进来，并调用fixClass方法開始替换工作。

二、找到要替换的类的方法。并把类成员的属性改为public

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" style="line-height: 25px; white-space: pre-wrap; color: rgb(62, 62, 62); font-family: 'Helvetica Neue', Helvetica, 'Hiragino Sans GB', 'Microsoft YaHei', Arial, sans-serif;font-size:14px;" alt="" />

这里巧用了java的Annotation原理帮助我们在apk中找到要修复的方法。在apatch中补丁方法写了凝视annotation，clazz和method表示要修复的类和方法。在AndFixManager的fixClass中会依据这个Annotation找出要修复的Method对象。遍历类的全部Method，假设发现有MethodReplace的凝视就開始准备替换工作。method是原apk（有bug）的方法，meth是新修复的方法，接着调用replaceMethod。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="" />

replaceMethod里先后调用了initTargetClass和addReplaceMethod，注意这里的classLoader不是上面提到的pathClassLoader而是原apk中要修复的类的classLoader。这样原来有bug的class和补丁中的class都已经被载入进来了。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="" />

initTargetClass中主要调用native的方法setFieldFlag把class中的全部成员都设为public，

addReplaceMethod相同也是调用native的方法replaceMethod。

三、替换原来的Method

替换原来方法的处理方式我们看起来会有点熟悉，一般的java hook几乎相同都是这种套路，在jni中找到要替换方法的Method对象。改动它的一些属性。让它指向新方法的Method对象。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="" />

这里dvmDecodeIndirectRef_fnPtr和dvmThreadSelf_fnPtr都是在AndFix初始化时赋好值的函数指针。用来调dvm的dvmDecodeIndirectRef和dvmThreadSelf函数。

这里apilevel > 10的意思是，在apilevel 10曾经dvm是用c语言实现的，以后是用C++实现的。

以上全部的过程是在应用MainApplication的onCreate中被调用。所以当应用重新启动后。原方法和补丁方法都被载入到内存中，并完毕了替换，在后面的执行中就会执行补丁中的方法了。

AndFix的长处是像正常修复bug那样来生成补丁包，但能够看出不管是dexposed还是AndFix，都利用了java hook的技术来替换要修复的方法，这就须要我们理解dalvik虚拟机载入、执行java方法的机制，并要掌握libdvm中一些重要的作用结构和函数的使用。

百分百原创，每周两篇，阿里、魅族、nvidia、龙芯、炬力、拓尔思等顶级企业资深project师分享----嵌入式、Linux、物联网、GPU、Android、自己主动驾驶等技术，欢迎扫码关注微信公众号：嵌入式企鹅圈，实时推送原创文章！