2025-05-18 05:06:11

使用Magisk+riru实现全局改机

前言

提到全局改机，我们想到修改的不是修改Android源码就是利用Xposed改机，前者成本太高，后者只能修改Java层的数据不够彻底。magisk是Android平台上功能强大的工具，利用它可以随心所欲的修改系统。它或许帮我们在不修改系统源码的情况实现相对完美的改机。那么，riru是什么？它和magisk有什么关系？它又和我们的模块有什么关系？简而言之，riru是magisk的模块，本文写的模块也是magisk模块，但是它又依赖于riru。那riru模块提供了什么功能呢？riru模块能够感知App的启动，并且能够给App注入一些代码，依赖riru模块的模块也能拥有这个能力。我们实现改机，其实就是需要尽早的感知App启动的，这样我们才能尽早hook一些函数，使App启动的时候获取到的数据是我们修改后的数据。了解了相关知识，我们就可以开始编写模块了。

准备

riru模块的作者写了riru模块的模板，我们在这个项目的基础上改就行，首先将模块克隆下来并使用Android Studio打开：

git clone https://github.com/RikkaApps/Riru-ModuleTemplate

因为改机不仅要改Java层的数据，还要改Native层的数据，所以我们要用Native层的Hook框架，这里用的Hook框架是Dobby。作者编译了静态链接文件，我们去下载下来用即可：https://github.com/jmpews/Dobby/releases/tag/latest

下载好后解压，将android目录里的子目录全部放入Riru-ModuleTemplate项目的module模块下的libs目录下（没有则创建），然后将文件夹重命名：

arm64 -> arm64-v8a

armv7 -> armeabi-v7a

修改后的目录结构应如下：

同时在module/src/main/cpp目录下创建一个dobby目录，然后去下载dobby.h文件，来放入该目录下。下载地址：https://github.com/jmpews/Dobby/blob/master/include/dobby.h

修改cmake文件，使编译的时候，把dobby的静态链接库也链接上。修改module/src/main/cpp/CMakeLists.txt

include_directories(

dobby

)

add_library(local_dobby STATIC IMPORTED)

set_target_properties(local_dobby PROPERTIES IMPORTED_LOCATION ${CMAKE_CURRENT_SOURCE_DIR}/../../../libs/${ANDROID_ABI}/libdobby.a)

add_library(${MODULE_NAME} SHARED main.cpp ${CMAKE_CURRENT_BINARY_DIR}/config.cpp)

target_link_libraries(${MODULE_NAME} local_dobby log riru::riru)

准备工作完成，就可以开始编写代码了

编写代码

转到module/src/main/cpp/main.cpp文件，这是模块的核心代码文件，里面定义一些不太丰满的函数，等着我们去填补。

static void forkAndSpecializePost(JNIEnv *env, jclass clazz, jint res) {

// Called "after" com_android_internal_os_Zygote_nativeForkAndSpecialize in frameworks/base/core/jni/com_android_internal_os_Zygote.cpp

// "res" is the return value of com_android_internal_os_Zygote_nativeForkAndSpecialize

if (res == 0) {

// In app process

// When unload allowed is true, the module will be unloaded (dlclose) by Riru

// If this modules has hooks installed, DONOT set it to true, or there will be SIGSEGV

// This value will be automatically reset to false before the "pre" function is called

riru_set_unload_allowed(true);

} else {

// In zygote process

}

}

static void specializeAppProcessPre(

JNIEnv *env, jclass clazz, jint *uid, jint *gid, jintArray *gids, jint *runtimeFlags,

jobjectArray *rlimits, jint *mountExternal, jstring *seInfo, jstring *niceName,

jboolean *startChildZygote, jstring *instructionSet, jstring *appDataDir,

jboolean *isTopApp, jobjectArray *pkgDataInfoList, jobjectArray *whitelistedDataInfoList,

jboolean *bindMountAppDataDirs, jboolean *bindMountAppStorageDirs) {

// Called "before" com_android_internal_os_Zygote_nativeSpecializeAppProcess in frameworks/base/core/jni/com_android_internal_os_Zygote.cpp

// Parameters are pointers, you can change the value of them if you want

// Some parameters are not exist is older Android versions, in this case, they are null or 0

}

static void specializeAppProcessPost(

JNIEnv *env, jclass clazz) {

// Called "after" com_android_internal_os_Zygote_nativeSpecializeAppProcess in frameworks/base/core/jni/com_android_internal_os_Zygote.cpp

// When unload allowed is true, the module will be unloaded (dlclose) by Riru

// If this modules has hooks installed, DONOT set it to true, or there will be SIGSEGV

// This value will be automatically reset to false before the "pre" function is called

riru_set_unload_allowed(true);

}

static void forkSystemServerPre(

JNIEnv *env, jclass clazz, uid_t *uid, gid_t *gid, jintArray *gids, jint *runtimeFlags,

jobjectArray *rlimits, jlong *permittedCapabilities, jlong *effectiveCapabilities) {

// Called "before" com_android_internal_os_Zygote_forkSystemServer in frameworks/base/core/jni/com_android_internal_os_Zygote.cpp

// Parameters are pointers, you can change the value of them if you want

// Some parameters are not exist is older Android versions, in this case, they are null or 0

}

static void forkSystemServerPost(JNIEnv *env, jclass clazz, jint res) {

// Called "after" com_android_internal_os_Zygote_forkSystemServer in frameworks/base/core/jni/com_android_internal_os_Zygote.cpp

if (res == 0) {

// In system server process

} else {

// In zygote process

}

}

static void onModuleLoaded() {

// Called when this library is loaded and "hidden" by Riru (see Riru's hide.cpp)

// If you want to use threads, start them here rather than the constructors

// __attribute__((constructor)) or constructors of static variables,

// or the "hide" will cause SIGSEGV

}

函数名和注释都非常清晰，虽然函数很多，但是我们只需要在forkAndSpecializePost函数中编写hook代码就可以。因为我们要hook代码运行在App进程中

if (res == 0) {

// In app process

// When unload allowed is true, the module will be unloaded (dlclose) by Riru

// If this modules has hooks installed, DONOT set it to true, or there will be SIGSEGV

// This value will be automatically reset to false before the "pre" function is called

riru_set_unload_allowed(true);

}

当我们编写Native层代码的时候，想要获取当前手机的机型信息，最好的方式是通过调用__system_property_get来获取，那么我们可以hook这个函数。但在这之前，我们需要知道要修改哪个字段，这些字段又分别赋予什么值。那这些信息通过读取文件来得到好了，由模块使用者来定义，编写一个读取配置的函数：

void readPropFile(const char* filename,std::map &map){

FILE *fp = fopen(filename,"r");

if(fp == NULL){

return;

}

char buf[256];

while(fgets(buf,256,fp) != NULL){

char *sep = strchr(buf,'=');

*sep = '\0';

std::string key(buf);

std::string value(sep + 1);

map[key] = value;

}

fclose(fp);

}

readPropFile函数读取一个文件，然后将每一行等号前面的内容作为key,等号后面的内容作为value放入传进来的map，假设一个文件内容如下：

MODEL=Mi5

那么它读到的key是MODEL，value是Mi5

知道要修改成什么，就可以hook __system_property_get函数，下面是hook代码

static int my__system_property_get(const char* name, char* value){

if(NULL == name || NULL == value){

return origin__system_property_get(name,value);

}

auto ret = propMap.find(name);

if(ret != propMap.end()){

const char* valueChs = ret->second.c_str();

strcpy(value,valueChs);

return strlen(valueChs);

}

return origin__system_property_get(name,value);

}

void initDobby(){

void* sym = DobbySymbolResolver(NULL,"__system_property_get");

if(NULL != sym) {

DobbyHook(sym, (void *) my__system_property_get, (void **) &origin__system_property_get);

}

}

其中：

DobbySymbolResolver 是寻找函数符号地址

DobbyHook 是启用hook的函数

my__system_property_get 是跳板函数，就是原函数被调用时会调用的函数

origin__system_property_get 是原函数的地址

Hook代码编写完成后，在forkAndSpecializePost函数中调用initDobby函数开始我们的hook

static void forkAndSpecializePost(JNIEnv *env, jclass clazz, jint res) {

// Called "after" com_android_internal_os_Zygote_nativeForkAndSpecialize in frameworks/base/core/jni/com_android_internal_os_Zygote.cpp

// "res" is the return value of com_android_internal_os_Zygote_nativeForkAndSpecialize

LOGE("forkAndSpecializePost");

if (res == 0) {

// In app process

readPropFile(PROP_CONF_PATH,propMap);

initDobby();

// When unload allowed is true, the module will be unloaded (dlclose) by Riru

// If this modules has hooks installed, DONOT set it to true, or there will be SIGSEGV

// This value will be automatically reset to false before the "pre" function is called

riru_set_unload_allowed(false);

} else {

// In zygote process

}

}

注意：riru_set_unload_allowed(false);这一行，注释明确写道如果要进行hook必须设为false,不然会崩溃，事实也确实如此。

hook了native层的函数，实现修改层的机型数据，还需要修改Java层的数据，Java层的机型信息我们只要修改android.os.Build类的字段。而这些字段不用Hook，直接设置即可。

static void setBuild(JNIEnv* env){

jclass BuildClass = env->FindClass("android/os/Build");

std::map::iterator it;

for(it = buildMap.begin();it != buildMap.end();it++){

jstring key = env->NewStringUTF(it->first.c_str());

jstring value = env->NewStringUTF(it->second.c_str());

jfieldID buildField = env->GetStaticFieldID(BuildClass,it->first.c_str(),"Ljava/lang/String;");

if(env->ExceptionCheck()){

env->ExceptionClear();

continue;

}

env->SetStaticObjectField(BuildClass,buildField,value);

if(env->ExceptionCheck()){

env->ExceptionClear();

}

}

}

注意：在编写代码时要十分注意，如果代码崩溃，会导致手机无法开机。

这样我们的代码基本写完了

配置模块信息

上文我们提到过，我们编写的模块虽然是依赖riru模块，但是它本质也是Magisk模块。那么它也会有它的名字，版本，说明，作者信息等，然而这些是由我们开发者去配置的

这些配置信息可以在Riru-ModuleTemplate项目的module.gradle中配置，这个文件的模板在module.example.gradle，可以将module.example.gradle重命名为module.gradle然后进一步修改

ext {

/*

This name will be used in the name of the so file ("lib${moduleLibraryName}.so").

*/

moduleLibraryName = "template"

/* Minimal supported Riru API version, used in the version check of riru.sh */

moduleMinRiruApiVersion = 24

/* The version name of minimal supported Riru, used in the version check of riru.sh */

moduleMinRiruVersionName = "v24.0.0"

/* Maximum supported Riru API version, used in the version check of riru.sh */

moduleRiruApiVersion = 26

/*

Magisk module ID

Since Magisk use it to distinguish different modules, you should never change it.

Note, the older version of the template uses '-' instead of '_', if your are upgrading from

the older version, please pay attention.

*/

magiskModuleId = "riru_template"

moduleName = "Template"

moduleAuthor = "Template"

moduleDescription = "Riru module template. Requires Riru $moduleMinRiruVersionName or above."

moduleVersion = "v26.0.0"

moduleVersionCode = 26

}

编译

Riru-ModuleTemplate项目编译需要Jdk11以上，装好后在项目的根目录执行：

gradlew :module:assembleRelease

如果没有错误，就会在项目的out目录生成一个zip文件，这个就是我们编译好的magisk模块

刷入模块

在手机上，安装Magisk和riru模块，安装后，将编译好的模块zip文件推入手机，在MagiskManager中安装我们的模块：

效果

安装后，重启手机。打开MagiskManager看到我们的模块已正常启用：

去AIDA看看效果：

机型已经被我们修改，说明改机生效了。最后附上我写的改机模块：https://github.com/luoyesiqiu/Riru-gaiji