别看标题这么厉害... 其实就是通过 hook 的方式实现在运行时替换 Unity 游戏中的 Assembly-CSharp.dll 来实现代码注入的功能。

为什么要做到这个运行时替换呢？原因如下：

• 目标游戏安装包有一个多G，每次重新打包和安装耗时将十分巨大。
• 目标游戏是付费游戏，所以应该在底层对签名做了校验。即使没有也要以防万一（迷惑行为

步入正题。

使用 Xposed 使目标游戏执行我们的代码

Xposed 就不用说了... 很常见的一个工具。为了实现标题的功能，我们只需要简单地 hook 掉 ContextWrapper 的 attachBaseContext 方法，在目标游戏启动时根据拿到的 Context 去得到我们自己的插件的 apk 路径，然后再用 System.load 去加载我们自己的库

需要注意的是，System.load 的源码如下：

@CallerSensitive
public static void load(String filename) {
    Runtime.getRuntime().load0(Reflection.getCallerClass(), filename);
}

也就是说 System.load 是根据调用者的 Class 来获取用于搜索动态库的 ClassLoader 的，而 Xposed 在加载我们的插件类时并没有根据 Context.getPackageContext 之类来创建 ClassLoader ，而是！直接！用 PathClassLoader！！因此我们插件类的 ClassLoader 里面并不会有 nativeLibraries 的搜索路径（一般是在 /data/data/包名/lib）。因此！不能用 System.loadLibrary！！！

也正因为如此，我们如果直接加载我们的动态库，系统将无法自动找到 libsubstrate.so，所以我们也需要把 libsubstrate.so 的加载放在 Java 层上来，并且要放在加载我们自己的动态库之前

下面是可爱的加载部分的代码w：

val nativeLibDir = context.packageManager.getApplicationInfo(CYMOE_PACKAGE_NAME, 0).nativeLibraryDir
File(nativeLibDir, "libsubstrate.so").absolutePath.run {
    Log.v(T, "Loading Substrate library, path: $this")
    System.load(this)
}
File(nativeLibDir, "libxxx.so").absolutePath.run {
    Log.v(T, "Loading 我的 library, path: $this")
    System.load(this)
}

完毕！接下来就来看看我们的 native 部分吧～

替换对方mono库的加载函数

众所周知，Unity 加载游戏代码是通过 mono 库（以前是 libmono.so，现在我这个游戏里面是 libmonobdwgc-2.0.so）来加载游戏中的 assets/bin/Data/Managed/Assembly-CSharp.dll 的。所以我们只需要 hook 掉 mono 库的对应方法就好啦～

问题来了：我们怎么获取到 mono 库的句柄？

我这边的方法是直接 hook 掉 dlopen 方法，在加载 mono 库时 hook，因为不知道为什么自己加载 mono 库和游戏真正加载的句柄不同... 按理来说一个进程打开的同一个动态库句柄应该是不变的。如果有知道的可以在下面的评论区给其他读者和我答疑解惑。

如何在 Android 高版本 hook dlopen 方法可以看 这篇文章。

问题又来了，mono 库加载 dll 的函数是谁呢？我最初尝试 hook fopen 并打印堆栈，看读取 apk 安装包的有哪些调用栈，不过实在是有太多了... 很难分析。没办法，最后偷了个懒，在 这里 找到了 mono 加载库的函数，也就是 mono_image_open_from_data_with_name ，我们只需要对传入这个函数的参数进行修改再调用原函数就好了。

注：由于我是把更改后的 Assembly-CSharp.dll 放在我自己软件的安装包里，所以还需要 Java 层额外向本地传一个 AAssetManager 来读取我自己软件的 Asset，大家也可以用其他方法，这里就不赘述。

上代码：

char assmbly_replacement[PATH_MAX];
AAsset *asset;

void* (*mono_image_open_from_data_with_name_old)(char *data, guint32 data_len, gboolean need_copy, void* status, gboolean refonly, const char *name);
void* (*__loader_dlopen_old)(const char* filename, int flags, const void* caller_addr);

void* mono_image_open_from_data_with_name_fake(char *data, guint32 data_len, gboolean need_copy, void* status, gboolean refonly, const char *name) {
    LOGI("image open: %s", name);
    if (endsWith(name, "Assembly-CSharp.dll")) {
        LOGI("Got Assembly-CSharp, replacing it");
        do {
            if (asset==nullptr) {
                LOGE("Asset is null");
                break;
            }
            off_t len = AAsset_getLength(asset);
            if (len<0) {
                LOGE("Length < 0");
                break;
            }
            LOGI("File length: %lu\n", len);
            char *file_data = new char[len];
            if (AAsset_read(asset, file_data, len)<0) {
                LOGE("Failed to read");
                delete[] file_data;
                break;
            }
            name = assmbly_replacement;
            data = file_data;
            data_len = len;
            LOGI("Replaced successfully");
        } while (false);
    }
    return mono_image_open_from_data_with_name_old(data, data_len, need_copy, status, refonly, name);
}

void* __loader_dlopen_fake(const char* filename, int flags, const void* caller_addr) {
    void *handle = __loader_dlopen_old(filename, flags, caller_addr);
    LOGI("dlopen: %s %d %p", filename, flags, handle);
    if (endsWith(filename, "libmonobdwgc-2.0.so")) {
        LOGI("Got you! libmono!");
        void *mono_image_open_from_data_with_name = dlsym(handle, "mono_image_open_from_data_with_name");
        HOOK_FUNCTION_DYNAMIC(mono_image_open_from_data_with_name);
    }
    return handle;
}

extern "C" JNIEXPORT JNICALL void Java_你_的_包名_类名_nativeSetReplacement(ARG_STATIC, jobject assetManagerObj, jstring path) {
    if (path==nullptr) return;
    AAssetManager *asset_manager = AAssetManager_fromJava(env, assetManagerObj);
    asset = AAssetManager_open(AAssetManager_fromJava(env, assetManagerObj), "Assembly-CSharp.dll", AASSET_MODE_STREAMING);
    const char* chars  = env->GetStringUTFChars(path, NULL);
    strncpy(assmbly_replacement, chars, PATH_MAX);
    env->ReleaseStringUTFChars(path, chars);
}

顺带一提，上面代码的 assembly_replacement 也是需要 Java 层传过来。通过日志可以发现 mono_image_open_from_data_with_name 的 name 参数是 安装包路径/assets/bin/Data/..... 的形式，所以我们也需要（不一定？）把 name 改成我们自己的路径。最后再把 data 参数和 data_len 参数改一下就好。（p.s. 最初我忘了改 data_len 导致出了一堆问题...）

Java 层设置的函数如下：（说是 Java 实则是 Kotlin）

// attachBaseContext时
nativeSetReplacement(
    context.createPackageContext(你自己的包名, 0).assets,
    context.packageManager.getApplicationInfo(你自己的包名, 0).sourceDir
            + "/assets/Assembly-CSharp.dll"
)
.....
// native函数定义
@JvmStatic
external fun nativeSetReplacement(assetManager: AssetManager, path: String)

这样就整好了w。

结语

没有结语。总之是项目还没做完，就先不放在 GitHub 上面啦w

有兴趣或问题的可以联系我，Q：250851048