前言：Zygote 是 Android 的核心，每開啟一個 app，Zygote 就會 fork 一個虛擬機器例項來執行 app，基於Xposed我們可以使用Android hook技術對APK中的方法進行除錯、關鍵API攔截、外掛等。

這篇文章建立在Xposed模組開發的基礎之上，沒有開發過Xposed模組的請先看這篇入門教程《Xposed模組開發入門教程》

一、微信運動修改步數原理

當點選微信運動排行榜的時候微信APP會獲取手機上計數感測器的數值，然後感測器會返回我們行走的步數。此時我們使用Xposed框架來hook計數感測器的佇列函式dispatchSensorEvent()，該函式在android.hardware.SystemSensorManager$SensorEventQueue這個類中。當詢問感測器的時候我們在數值上加上相應步數返回給微信運動達到欺騙效果。

二、開發Xposed模組

1.新建一個類WeixinSport，具體程式碼如下：

package com.example.administrator.weixinsport;

import static de.robv.android.xposed.XposedHelpers.findClass;

import java.lang.reflect.Field;

import android.hardware.Sensor;
import android.util.SparseArray;

import de.robv.android.xposed.IXposedHookLoadPackage;
import de.robv.android.xposed.XC_MethodHook;
import de.robv.android.xposed.XposedBridge;
import de.robv.android.xposed.callbacks.XC_LoadPackage;

/**
 * Created by Administrator on 2016/5/11.
 */
public class WeixinSport implements IXposedHookLoadPackage {

    private static int stepCount = 1;

    @Override
    public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable {

        // filter
        if (!loadPackageParam.packageName.equals("com.tencent.mm")) {
            return;
        }

        final Class<?> sensorEL = findClass("android.hardware.SystemSensorManager$SensorEventQueue", loadPackageParam.classLoader);

        XposedBridge.hookAllMethods(sensorEL, "dispatchSensorEvent", new XC_MethodHook() {

            @Override
            protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                ((float[]) param.args[1])[0] = ((float[]) param.args[1])[0] + 1168 * stepCount;
                stepCount++;

                Field field = param.thisObject.getClass().getEnclosingClass().getDeclaredField("sHandleToSensor");
                field.setAccessible(true);

                int handle = (Integer) param.args[0];
                Sensor sensor = ((SparseArray<Sensor>) field.get(0)).get(handle);
                XposedBridge.log("sensor = " + sensor);
            }
        });
    }
}
 

這段程式碼中我們首先通過equals("com.tencent.mm")過濾出了來自微信的請求:

if (!loadPackageParam.packageName.equals("com.tencent.mm")) {
            return;
        }

然後hook了android.hardware.SystemSensorManager$SensorEventQueue這個類中的dispatchSensorEvent()函式：

final Class<?> sensorEL = findClass("android.hardware.SystemSensorManager$SensorEventQueue", loadPackageParam.classLoader);

        XposedBridge.hookAllMethods(sensorEL, "dispatchSensorEvent", new XC_MethodHook()
 

在計數感測器將步數返回微信運動之前修改步數，加上了1168步：

((float[]) param.args[1])[0] = ((float[]) param.args[1])[0] + 1168 * stepCount;
                stepCount++;

為了便於除錯，將感測器的一些資料列印了出來：

int handle = (Integer) param.args[0];
                Sensor sensor = ((SparseArray<Sensor>) field.get(0)).get(handle);
                XposedBridge.log("sensor = " + sensor);

2.修改xposed_init

com.example.administrator.weixinsport.WeixinSport

將xposed_init的入口設定為該WeixinSport類。

注：該類中的程式碼參考了烏雲上蒸米大神的文章，該文章地址：http://drops.wooyun.org/tips/8416

三、測試

將該APK安裝重啟後開啟微信運動，行走幾步後再點選排行榜，發現步數增加了1168。

完整原始碼下載請點選這裡。