记 Scrcpy 框架使用记录


title: 记 Scrcpy 框架使用记录
date: 2019-03-03


背景

最近使用 vysor 。发现直接把手机当成模拟器操作确实是方便到不行。 但是魅族 16th plus 在 vysor 失效了。同时vysor 通知太过干扰?;谝陨狭降闱谢坏娇纯蚣?scrcpy: Display and control your Android device

原理

image.png

主要步骤如下:

  1. 通过 adb push 一个 scrcpy-server.jar 到手机上。
    注: scrcpy-server.jar 是虽然是一个 zip 文件。 但是其实是一个apk。
  2. PC 端通过 adb reverse 反向代理手机端口。用来接收手机端发送过来的数据。
  3. adb shell CLASSPATH=/data/local/tmp/scrcpy-server.jar app_process /com.genymobile.scrcpy.Server com.genymobile.scrcpy.Server 0 8000000 false - false 使用 app_process 运行 scrcpy-server.jar 的代码。
    scrcpy-server.jar 主要做三件事情:
    1,开启 LocalSocket 和PC连接。 相应 PC 端传递过来的操作。
    2,源源不断的将屏幕画面输出到PC,使用Mediacodec 编码。 PC 通过ffmpeg 解码播放。
    3,使用 adb 来提高 scrcpy-server.jar 的运行权限
    注: 模拟 input 事件使用 android.hardware.input.IInputManager.injectInputEvent 方法。

安装

mac 环境下使用 brew install scrcpy ,通过漫长的等待完成安装。同时设置adb 环境变量。这里不具体展开。运行 scrcpy 命令

scrcpy

问题

魅族16 th 出现了错误:

image.png

通过scrcpy 的issue 发现这是一个已知的问题 #365 startsWith() on null object at ScreenEncoder.java:158
image.png

同样发生在魅族 16th 的机型上。 可以确定是因为魔改 Android 源码导致。 可以相信这个 BUG 将会存在很长一段时间。 那么我们尝试自己动手一下。

分析

这是一个空指针异常, 空指针是最常见也是最简单的一个bug。 我们需要拿到系统的代码进行分析。

获取 android.media.MediaCodec 源码

获取系统的代码

adb pull /system/framework/arm/boot-framework.oat

使用 baksmali 反编译oat:

java -jar baksmali-2.2.6.jar deodex  /boot-framework.oat

得到系统代码的 smali 。 找到 MediaCodec 的 smali 的1918行
注:反编译方式 在 8.1 上 baksmali 会失败, 可以尝试 vdexExtractor 从 vdex 获取 dex 文件。在对dex 进行反解得到代码。

.method private configure(Landroid/media/MediaFormat;Landroid/view/Surface;Landroid/media/MediaCrypto;Landroid/os/IHwBinder;I)V
    .registers 19
    .param p1, "format"    # Landroid/media/MediaFormat;
    .param p2, "surface"    # Landroid/view/Surface;
    .param p3, "crypto"    # Landroid/media/MediaCrypto;
    .param p4, "descramblerBinder"    # Landroid/os/IHwBinder;
    .param p5, "flags"    # I
    ...
    .line 1918
    .local v2, "values":[Ljava/lang/Object;
    invoke-static {}, Landroid/app/ActivityThread;->currentPackageName()Ljava/lang/String;

    move-result-object v0

    const-string/jumbo v3, "com.tencent.mm"

    invoke-virtual {v0, v3}, Ljava/lang/String;->startsWith(Ljava/lang/String;)Z

    move-result v0

    if-eqz v0, :cond_23
   ...
}

这里使用 ActivityThread.currentPackageName() 获取包名与 微信的包名做比较。
通过分析可以发现 ActivityThread.currentPackageName() 返回为 null 导致的空指针异常。

问题原因

ActivityThread.currentPackageName() 为空?
正确情况 APP 启动的流程如下:AMS 调用
Process.start("android.app.ActivityThread", app.processName, uid, uid...) 通知 zygote 进程 fork 出一个新的进程同时执行 android.app.ActivityThread.main(String[] args) 方法。
main方法会初始化 ActivityThread 和初始化主线程Looper。同时调用 ActivityThread.attach()方法,会将 binder 类型 ApplicationThread 对象传递给 ActivityMangerService 。ASM 获取到 ApplicationThread 以后会查询对应的信息(包括 PackageName), 会通过 ApplicationThread 以 IPC 的方式将信息回调给 ActivityThread,bindApplication 方法. app bindApplication 方法以后才知道自己的包名。在至此 ActivityThread.currentPackageName() 不为空。
App 运行在 fork zygote 的子进程中。
而 Scrcpy 是通过 app_process 启动非 zygote 的 Runtime 进程中。

解决方案:

 public static String currentPackageName() {
        ActivityThread am = currentActivityThread();
        return (am != null && am.mBoundApplication != null)
            ? am.mBoundApplication.appInfo.packageName : null;
    }

最初方式是使用 xposed hook 该方法。 对空值进行防护。这样就不用管 ActivityThread 后续可能的魔改。
但是Xposed 默认不对非 zygote 进行进行拦截。
isXposedLoaded = xposed::initialize(zygote, startSystemServer, className, argc, argv)


/** Initialize Xposed (unless it is disabled). */
bool initialize(bool zygote, bool startSystemServer, const char* className, int argc, char* const argv[]) {
#if !defined(XPOSED_ENABLE_FOR_TOOLS)
    if (!zygote)
        return false;
#endif

    if (isMinimalFramework()) {
        ALOGI("Not loading Xposed for minimal framework (encrypted device)");
        return false;
    }

求其次使用最简单的方案: 反射

只要 currentActivityThread ,mBoundApplication ,appInfo,packageName 不为空,ActivityThread.currentPackageName() 返回不为空。

 try {
            Class<?> ActivityThreadClass = Class.forName("android.app.ActivityThread");
            Method currentPackageName = ActivityThreadClass.getMethod("currentPackageName");
            currentPackageName.setAccessible(true);
            Field sCurrentActivityThread = ActivityThreadClass.getDeclaredField("sCurrentActivityThread");
            Field mBoundApplication = ActivityThreadClass.getDeclaredField("mBoundApplication");

            sCurrentActivityThread.setAccessible(true);
            mBoundApplication.setAccessible(true);

            Constructor<?> constructor = ActivityThreadClass.getDeclaredConstructor();
            constructor.setAccessible(true);
//            sCurrentActivityThread.set(null, UnsafeAllocator.create().newInstance(ActivityThreadClass));
            sCurrentActivityThread.set(null, constructor.newInstance());
            Object sCurrentActivityThreadObject = sCurrentActivityThread.get(null);

            Class<?> AppBindDataClass = Class.forName("android.app.ActivityThread$AppBindData");
            Field appInfo = AppBindDataClass.getDeclaredField("appInfo");
            appInfo.setAccessible(true);
            Constructor<?> constructor1 = AppBindDataClass.getDeclaredConstructor();
            constructor1.setAccessible(true);
            Object AppBindDataObject = constructor1.newInstance();
            ApplicationInfo applicationInfo = new ApplicationInfo();
            applicationInfo.packageName = "com.dim";
            appInfo.set(AppBindDataObject, applicationInfo);
            mBoundApplication.setAccessible(true);
            mBoundApplication.set(sCurrentActivityThreadObject, AppBindDataObject);
        } catch (Throwable throwable) {
        }

我们需要将代码插入到 com.genymobile.scrcpy.Server
main 方法中。 将编译好的 apk 重新命令 scrcpy-server.jar 替换目录 /usr/local/Cellar/scrcpy/1.7/share/scrcpy/scrcpy-server.jar: 这是mac 下的地方。其他可能会有不同。
同时还需要做的事情是
初始化 Looper 因为 ActivityThread 中的 H 是个Handler。 Handler 的初始化需要Looper 环境。
至此对于 魅族16 th 在 Scrcpy 的改造完成。

image.png

总结

这篇主要介绍了 Scrcpy 框架的主要原理。 以及如何反编译系统的代码。

相关

改造后 scrcpy-server.jar

最后编辑于
?著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,992评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,212评论 3 388
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事?!?“怎么了?”我有些...
    开封第一讲书人阅读 159,535评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,197评论 1 287
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,310评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,383评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,409评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,191评论 0 269
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,621评论 1 306
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,910评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,084评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,763评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,403评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,083评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,318评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,946评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,967评论 2 351

推荐阅读更多精彩内容