作者 ｜ 金劍超、楊琛，單位：中國移動智慧家庭運營中心

Labs 導讀

隨著移動互聯網技術的飛速發展，移動應用的用戶量和使用量與日俱增，用戶對移動應用的性能提出更高的要求，當前性能測試技術跟不上移動應用的發展速度，測試效率偏低，測試結果不能反饋真實用戶感受。本文利用Hook技術實現安卓應用響應速度秒級測試，旨在為移動應用性能測試提供新思路。

os：測試卒！產品卒！

Part 01  Android平臺Hook技術

Android操作系統有一套自己的事件分發機制，應用程序、應用觸發事件、后臺邏輯處理，都是根據事件流程一步步地向下執行。Hook(鉤子) 就是在事件傳送到終點前截獲并監控事件的傳輸，像個鉤子鉤上事件一樣，并且能夠在鉤上事件時處理一些自己特定的事件，其本質就是劫持函數調用。

1.1 Android Hook工作流程

Hook 的原理是改變目標函數的指向。Android是基于Linux內核的操作系統，每個Android進程都有自己獨立的進程空間，要實現Hook首先需要將代碼注入到目標進程空間，使得代碼在目標進程空間中有對應的地址，最后修改寄存器需要執行的函數地址。

在Android中常用ptrace函數附著進程，mmap函數分配臨時內存存放代碼，dlopen 函數裝載動態鏈接庫文件來實現Hook，具體流程如下：

• 使用ptrace attach附著在目標進程上；
• 調用mmap分配內存，向內存中寫入注入so文件；
• 調用dlopen打開注入so文件，通過dlsym獲取入口函數地址；
• 使用ptrace_call調用入口函數；
• 使用ptrace detach 釋放目標進程；

圖1 目標進程注入代碼過程

1.2 Android平臺常見Hook技術

Android 系統提供了兩種開發模式，基于 Android SDK 的 Java 語言開發，基于 Android NDK 的 Native C/C++ 語言開發。根據API Hook 對應API ，AndroidHook分為兩種，一種是Java層Hook，一種是Native層Hook。

Java層Hook主要是通過對 Android 平臺的虛擬機注入與 Java 反射的方式，來改變 Android 虛擬機調用函數的方式，從而達到 Java 函數重定向的目的。常見框架有Xposed、Cydia Substrate等。

Native層Hook主要是針對使用NDK開發出來的so 庫文件，包括對Android 操作系統底層的Linux 函數重定向，通過修改so 庫文件（ ELF 格式文件）中的全局偏移表GOT 表或符號表SYM 表來實現函數重定向。常見的框架有DeXposed、AndFix等。

1.3 Xposed框架

Xposed是目前使用最廣的Android平臺開源Hook框架，該框架通過替換 /system/bin/app_process 程序控制 Zygote 進程，使系統在啟動過程中加載 XposedBridge.jar文件，從而完成對 Zygote 進程及其創建的 Dalvik 虛擬機的劫持。

Xposed框架主要功能是建立了一個模塊安裝平臺，在安裝Xposed框架之后，開發者可以自定義開發各種功能模塊，添加到xposed installer中使用，實現修改目標應用程序的功能，例如修改手機序列號，GPS坐標，電話號碼，運營商等等信息，當其他應用試圖讀取這些信息的時候就返回修改值或隨機數。

Part 02  測試工具設計和實現

Android應用在運行過程中會調用系統提供的API，通過對系統API的HOOK，獲取其調用信息，再對API的調用關系和調用時間進行分析，可以實現系統API間調用耗時統計。基于該原理，本文設計了一套Android應用響應時間測試工具。

2.1 設計方案

本文實現的Android應用響應時間測試工具整體架構如圖2所示，其包括xposed模塊、分析模塊。xposed模塊負責事件獲取和信息輸出，主要功能在于Android系統運行過程中獲取點擊事件信息和繪制事件信息，輸出到logcat。分析模塊監聽logcat日志，對采集到的信息進行分析并計算響應耗時。

圖2 響應時間測試工具架構圖

2.2 點擊事件HOOK實現

Android應用采用事件驅動的形式與用戶交互，當用戶觸摸屏幕時會產生點擊事件（MotionEvent），然后通過事件分發傳遞給具體業務進行相關處理。點擊事件的分發過程主要由以下三個函數來實現：dispatchTouchEvent() 、onInterceptTouchEvent()和onTouchEvent()。

一個完整的用戶點擊屏幕操作工作流程為，用戶觸摸產生點擊事件，調用Activity.dispatchTouchEvent()傳遞到Activity中，Activity接受到事件后調用ViewGroup.dispatchTouchEvent()傳遞ViewGroup，ViewGroup接收到事件后調用ViewGroup.onInterceptTouchEvent()確認事件是否攔截，若未攔截則查找當前被點擊的子View，調用該View的dispatchTouchEvent()實現事件傳遞，View接收到事件后調用View.onTouchEvent()進行處理，最終完成點擊事件的消費。

從上述事件分發流程可知，點擊事件的分發由Activity.dispatchTouchEvent()開始，因此我們選擇該函數作為點擊的起始時間。利用Xposed框架實現對Activity.dispatchTouchEvent()的Hook，并在該函數執行前輸出對應的log信息，包含事件Tag和事件時間戳，具體實現代碼如下：

/**
 * Function: Hook dispatchTouchEvent, 獲取點擊事件時間戳
 */
findAndHookMethod("android.app.Activity
, loadPackageParam.classLoader,"dispatchTouchEvent", MotionEvent.class,new XC_MethodHook() {
    @Override
    protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
        super.beforeHookedMethod(param);
        // 日志輸出點擊事件時間戳
        Log.d("speedtest", "Touch Timestamp: " + System.currentTimeMillis() + " ms");
    }
    @Override
    protected void afterHookedMethod(MethodHookParam param) throws Throwable {
        super.afterHookedMethod(param);
    }
});

2.3 繪制事件HOOK實現

Android系統的顯示過程可以簡單概括為應用層進行測量、布局、繪制，完成后將Surface數據存放在匿名共享內存中，SurfaceFlinger將多個Surface緩存數據進行合成，提交到屏幕的后緩沖區，再通過Android的刷新機制把數據更新到屏幕，通過應用層不斷繪制和屏幕不斷刷新最終顯示出一幀幀的畫面。

Android應用程序的顯示過程包含了兩個部分應用側繪制和系統側渲染，根據Xposed框架的適用范圍和Hook的難易程度，我們選擇應用側繪制作為Hook目標。Android中的任何一個布局、任何一個控件其實都是直接或間接繼承自View實現的，所有View都遵循相同的繪制流程，通過Measure和Layout來確定當前需要繪制的View所在的大小和位置，通過繪制(Draw)到Surface。

View的繪制過程又可細分如下：

• 繪制背景：drawBackground(canvas)；
• 繪制自己：onDraw(canvas)；
• 繪制子View：onDraw(canvas)；
• 繪制前景色跟滾動條：onDrawForeground(canvas)。

依據上述分析，我們選擇View.onDrawForeground()作為目標函數，并通過Xposed框架實現Hook，在該函數執行前后輸出對應的log信息，包含事件Tag和事件時間戳，具體實現代碼如下：

/**
 * Function: Hook dispatchDraw, 獲取繪制事件時間戳
 */
findAndHookMethod("android.view.View", loadPackageParam.classLoader,"onDrawForeground", Canvas.class,new XC_MethodHook() {
    @Override
    protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
        super.beforeHookedMethod(param);
        // 日志輸出繪制開始時間戳
        Log.d("speedtest", "Draw Timestamp Start: " + System.currentTimeMillis() + " ms");
    }
    @Override
    protected void afterHookedMethod(MethodHookParam param) throws Throwable {
        super.afterHookedMethod(param);
        // 日志輸出繪制結束時間戳
        Log.d("speedtest", "Draw Timestamp End: " + System.currentTimeMillis() + " ms");
    }
});

2.4 分析模塊實現

該模塊核心功能是日志監聽和頁面耗時計算，實現監聽點擊事件和繪制事件的時間戳信息輸出，提取對應事件戳，通過分析計算頁面加載耗時。

Logcat是Android操作系統的一個命令工具，主要作用是獲取應用程序的日志信息，手機端通過USB連接ADBShell后，可以在命令行窗口中通過”adb Logcat”命令來查看。本模塊的日志監聽主要通過命令”adb logcat -s Tag”完成，實現日志采集并進行Tag過濾。

該模塊還通過python正則匹配提取日志信息中的事件時間戳信息，并計算頁面加載耗時。該模塊的執行過程如下：

• 啟動日志監聽；
• 實時采集logcat信息，并提取事件信息和時間戳信息存入本地數據庫；
• 點擊頁面耗時分析，計算頁面耗時，計算公式為：耗時=最后Draw Timestamp End時間戳 - 起始Touch Timestamp時間戳
• 停止日志監聽，測試結束；

Part 03  測試工具應用分析

為了驗證該工具的準確性，我們選擇進行activity啟動耗時、錄屏分析獲取響應時間作為對比進行了實際測試，測試手機型為Xiaomi 9，Android系統版本7.1.2，錄屏設備為羅技C920（錄制幀率20fps），測試頁面為和小區公告頁面，詳細測試記錄如下表:

表1 不同方式頁面加載耗時測試記錄表

我們對15次測試結果進行統計分析（見圖3），可以發現通過Hook方式獲取到的頁面加載耗時與錄屏分析獲取的頁面加載耗時基本一致，證明該工具可以在Android應用響應速度測試使用，并能反饋用戶真實體驗。

圖3 不同方式頁面加載耗時統計結果圖

Part 04  結束語

本文設計并實現了一種基于Hook技術的Android應用響應時間測試工具，其該工具的核心是利用Hook API技術實現關鍵事件信息的采集，實現響應時間測試，其具有測試結果精準、測試結果秒級輸出等特點。Hook技術除了在響應時間上使用外，還可用于其他性能測試，比如崩潰信息獲取、流量統計等，本文以響應時間測試工具為例描述具體實現過程，旨在為其他基于Hook技術的測試工具提供參考。