給大家分享一個新的Hook外掛Service的方法，與Activity替換類似，可以先在AndroidManifest.xml預留一個service，然後通過intent啟動，並且將真正的Service的classname傳遞過去。可是Service沒有涉及到Instrumentation更沒有Instrumentation.newService()方法，怎麼辦呢？ 且聽我細細道來。

觀察Service的建立流程，發現我們只需要想辦法拿到intent即可做一些手腳。大家都知道，建立Service的時候，會走到H類裡:

他接收一個CreateServiceData型別的引數，恰好這個引數裡面有intent引數：

那麼能不能從這裡下手呢，答案是否定的。因為data初始化的時候，並沒有將intent傳入，見下程式碼:

所以我們換一種思路，bind的時候，有沒有intent呢？閱讀原始碼得到以下資訊:

哈哈，確實傳進來了。所以我們可以在bind的時候，拿到真正要啟動的classname，再bind的時候，把他給偷樑換柱！ 具體怎麼做呢。H類是個Handler,觀察Handler內部有個callback，他可以在真正處理訊息之前去做一些手腳，所以我們搞個callback給他幹進去。

新建一個callback ，在裡面把intent取出：

由於是基於bind的，所以要看一下之後做了什麼，觀察handleBindService方法，可以發現bind的時候service是已經建立好了的，並且存在一個名為mService的ArrayMap裡。key為token ,IBinder:

所以要做的事情就很明瞭了，他不是從這裡取嗎，那我們就給他替換掉呀，所以把mService取出來:

此時我擁有bind的msg裡面包含了intent、token等等資訊,所以只要把對應key的value替換掉即可。在intent裡拿到真正的service class name，用classloader載入，此時service已經建立完畢了，但是還沒有初始化。

觀察系統service初始化過程，發現還需要context.setOuter attch等操作:

所以我們來手動模擬這個過程:

attach方法全部引數設定為原本service自帶的引數。這裡只是改變了例項。初始化完畢之後，發現還需要進行binder通訊

所以反射呼叫他，然後因為是在bind的時候做的手腳，所以service丟失了onCreate()這個生命週期，所以手動呼叫他:

這樣就完成了Service的外掛操作~~

歡迎加入我的Android酒館:425983695 討論技術~~