riru-core模塊是專為安卓系統(tǒng)打造的手機(jī)root模塊，原理是通過替換會被Zygote加載的libmemtrack.so從而實現(xiàn)Zygote注入，而安卓應(yīng)用進(jìn)程都是從Zygote fork的，注入了Zygote也就等同于注入了接下來會啟動的游戲，也就可以輕松實現(xiàn)修改了。然后hook掉Zygote.nativeForkAndSpecialize函數(shù)監(jiān)聽app啟動。

軟件特色

構(gòu)建

在 Android Studio 或命令行執(zhí)行 gradle task :riru-core:assembleMagiskRelease，zip 會被存到 release。

檔案結(jié)構(gòu)

riru模塊是magisk模塊(magisk模塊文檔)。

另外，當(dāng)前唯一需要的文件(文件夾)是/data/adb/riru/modules/。riru將檢查它是否存在并加載/system/lib(64)/libriru_.so。

關(guān)于預(yù)制

該模板將prefab功能用于本地依賴項。預(yù)制支持是從agp4.0添加的，但只能在更高版本上正常使用。如果您不能或不愿意使用apg4.1，則可以注釋掉與預(yù)制件有關(guān)的零件build.gradle并riru.h從rikkaapps/riru中復(fù)制。

常見問題

為什么要做出 Riru 呢？

因為 libmemtrack.so 只有一個，如果有人想用替換 libmemtrack 的套路來做點什么別人就做不了。所以就制造了 Riru 來占下 libmemtrack 但是提供了模塊這樣的東西。

如何注入合子過程?

在v22.0之前，我們使用替換將由zygote加載的系統(tǒng)庫(libmemtrack)的方法。但是，這似乎會引起一些奇怪的問題?？赡苁且驗閘ibmemtrack被其他東西使用了。

然后，我們找到了一種超級簡單的方法，即“本地橋梁”(ro.dalvik.vm.native.bridge)。特定的“so”文件將由系統(tǒng)自動“dlopen-ed”和“dlclose-ed”。這是從這里來的。

她怎么工作呢？

簡而言之，替換一個會被 zygote 進(jìn)程加載的共享庫。

首先要找到那個共享庫，而且那個共享庫要越簡單越好，所以就盯上了只有 10 個導(dǎo)出函數(shù)的 libmemtrack。 然后就可以自己提供一個叫 libmemtrack 并且也提供了原來的函數(shù)們的庫，這樣就可以進(jìn)去 zygote 進(jìn)程也不會發(fā)生爆炸。（然而現(xiàn)在看來選 libmemtrack 也不是很好）

接著如何知道自己已經(jīng)在應(yīng)用進(jìn)程或者系統(tǒng)服務(wù)進(jìn)程里面。 JNI 函數(shù) (com.android.internal.os.Zygote#nativeForkAndSpecialize & com.android.internal.os.Zygote#nativeForkSystemServer) 會在應(yīng)用進(jìn)程或者系統(tǒng)服務(wù)進(jìn)程被 fork 出來的時候被調(diào)用。 所以只要把這兩個函數(shù)換成自己的。這部分很簡單，只要 hook jniRegisterNativeMethods 因為所有 libandroid_runtime 里面的 JNI 方法都是通過這個注冊，然后就可以再調(diào)用 RegisterNatives 來替換它們。