一、说明

现在的App一般都会带有支付功能，而现在比较流行的支付一般有支付宝、微信、银行卡等，一般情况下，应用开发者会直接对接支付宝、微信或者第三方支付公司的Api，以完成支付，但是都需要收取不小的费率，于是，有的第三方支付平台就想到了钻空子的方法，利用一些特殊的手段获得收款二维码以及收款记录，这样就可以绕过支付平台完成支付过程了，本篇文章的目的就是分析如何完成这样一个流程，本文的意图只有一个就是通过分析app学习更多的逆向技术，如果有人利用本文知识和技术进行非法操作进行牟利，带来的任何法律责任都将由操作者本人承担，和本文作者无任何关系，最终还是希望大家能够秉着学习的心态阅读此文：想获得支付宝的个人收款二维码，和用户最近的收款记录，于是研究了一下方法，最终用xposed解决了。流程如下：

1、获得收款二维码链接流程

服务器推送金额和备注任务到xposed插件（或者xposed插件主动请求任务）–》xposed插件发送广播通知支付宝–》支付宝打开设置金额页面并自动设置金额和备注，点击确认

–》xposed hook支付宝处理收款二维码链接的回调方法–》获得收款链接–》发送广播将收款链接回传给xposed插件–》xposed插件将二维码链接发送给服务器

2、获得账单信息流程

服务器推送账单任务到xposed插件（或者xposed插件主动请求任务）–》xposed插件发送广播通知支付宝获得账单消息–》支付宝打开账单页面获得账单信息–》xposed hook支付宝处理账单信息的回调方法–>获得账单信息–》发送广播将账单信息回传给xposed插件–》xposed插件将账单信息发送给服务器

3、自动登录流程

服务器推送登录任务到xposed插件，信息包括支付宝账号和密码（或者xposed插件主动请求任务）–》xposed插件发送广播通知支付宝自动登录–》支付宝打开登录页面自动设置账号和密码，点击登录–》xposed hook支付宝登录的回调方法–>获得登录状态（是否登录成功）–》发送广播将登录状态回传给xposed插件–》xposed插件将登录状态发送给服务器

4、自动退出登录流程

服务器推送退出登录任务到xposed插件（或者xposed插件主动请求任务）–》xposed插件发送广播通知支付宝退出登录–》xposed调用支付宝退出登录的代码完成退出任务–》发送广播通知xposed插件退出任务已经完成

5、获得当前登录用户信息流程

服务器推送获得当前登录用户信息任务到xposed插件（或者xposed插件主动请求任务）–》xposed插件发送广播通知支付宝广播需要获得用户信息–》支付宝广播调用获得当前登录用户信息代码获得用户信息–》xposed发送广播通知插件获得了用户信息–>xposed插件广播接收用户信息–》xposed插件将用户信息发送给服务器

备注：网络通信的过程可以采用推送（websocket长连接）或者轮询（客户端主动发起http请求）的方式，只要能够正常让插件程序和服务端通信就行。

二、问题分析

1、支付宝的个人收钱界面

我用的支付宝版本是10.1.20

获得个人收钱二维码的流程如下：

打开支付宝主界面–》点击收钱—》进入到个人收钱界面–》点击设置金额–》进入设置金额界面–》设置金额和理由–》点击确定–》返回个人收钱界面并刷新收钱二维码

个人收钱界面如下：

设置金额界面如下：

点击个人收钱界面下面的收款记录，我们可以看到用户当天的收款情况，如下：

三、反编译支付宝并分析

反编译应用的方法可以参考：https://blog.csdn.net/xiao_nian/article/details/79391417，这篇文章反编译的是微信的apk，方法是一样的。

1、收款二维码

首先我们用hierarchy view查看设置金额页面，如下：

在反编译代码中找到PayeeQRSetMoneyActivity类，发现下面有一个方法定义如下：

1. protected final void a(ConsultSetAmountRes paramConsultSetAmountRes)
2. {
3. runOnUiThread(new di(this, paramConsultSetAmountRes));
4. }

而di的定义如下：

1. package com.alipay.mobile.payee.ui;
3. import android.content.Intent;
4. import com.alipay.android.hackbyte.ClassVerifier;
5. import com.alipay.mobile.commonui.widget.APInputBox;
6. import com.alipay.mobile.payee.R.string;
7. import com.alipay.mobile.payee.util.Logger;
8. import com.alipay.transferprod.rpc.result.ConsultSetAmountRes;
10. final class di
11. implements Runnable
12. {
13. di(PayeeQRSetMoneyActivity paramPayeeQRSetMoneyActivity, ConsultSetAmountRes paramConsultSetAmountRes)
14. {
15. if (Boolean.FALSE.booleanValue()) {
16. ClassVerifier.class.toString();
17. }
18. }
20. public final void run()
21. {
22. PayeeQRSetMoneyActivity.a.b(“call processConsultSetAmountRes(), ConsultSetAmountRes = “ + this.a);
23. if (this.a != null)
24. {
25. if (!this.a.success) {
26. break label140;
27. }
28. Intent localIntent = new Intent();
29. localIntent.putExtra(“codeId”, this.a.codeId);
30. localIntent.putExtra(“qr_money”, this.b.g);
31. localIntent.putExtra(“beiZhu”, this.b.c.getInputedText());
32. localIntent.putExtra(“qrCodeUrl”, this.a.qrCodeUrl);
33. localIntent.putExtra(“qrCodeUrlOffline”, this.a.printQrCodeUrl);
34. this.b.setResult(-1, localIntent);
35. this.b.finish();
36. }
37. for (;;)
38. {
39. return;
40. label140:
41. this.b.alert(“”, this.a.message, this.b.getString(R.string.payee_confirm), null, null, null);
42. }
43. }
44. }

di的run方法里面主要是设置用户设置的金额，备注，服务端返回的二维码链接（qrCodeUrl）到intent中，然后再传递给个人收款（PayeeQRActivity）页面，可以看一下个人收款页面的onActivityResult方法

1. public void onActivityResult(int paramInt1, int paramInt2, Intent paramIntent)
2. {
3. super.onActivityResult(paramInt1, paramInt2, paramIntent);
4. if ((paramInt1 == 10) && (paramInt2 == –1) && (paramIntent != null)) {}
5. try
6. {
7. this.c = paramIntent.getStringExtra(“qr_money”);
8. this.d = paramIntent.getStringExtra(“beiZhu”);
9. this.i = paramIntent.getStringExtra(“qrCodeUrl”);
10. this.j = paramIntent.getStringExtra(“qrCodeUrlOffline”);
11. e();
12. return;
13. }
14. catch (Exception paramIntent)
15. {
16. for (;;)
17. {
18. LoggerFactory.getTraceLogger().warn(a, paramIntent);
19. }
20. }
21. }

这里主要是根据设置金额页面传过来的qrCodeUrl刷新收款二维码。

经过上面分析，可以有这样一种思路，当手机接收要生成收款二维码的请求后，可以启动支付宝的设置金额页面，然后在自动将金额和备注设置到页面上，最后在模拟点击确定按钮，这个时候支付宝就会将备注和金额发送给服务端，请求二维码链接，请求回来后，会调用PayeeQRSetMoneyActivity的

protected final void a(ConsultSetAmountRes paramConsultSetAmountRes)

方法，ConsultSetAmountRes paramConsultSetAmountRes里面有服务端返回的二维码链接信息，ConsultSetAmountRes类定义如下：

1. package com.alipay.transferprod.rpc.result;
3. import com.alipay.android.hackbyte.ClassVerifier;
5. public class ConsultSetAmountRes
6. extends RPCResponse
7. {
8. public String codeId;
9. public String printQrCodeUrl;
10. public String qrCodeUrl;
12. public ConsultSetAmountRes()
13. {
14. if (Boolean.FALSE.booleanValue()) {
15. ClassVerifier.class.toString();
16. }
17. }
19. public String toString()
20. {
21. return “ConsultSetAmountRes{codeId='” + this.codeId + ‘\” + “, qrCodeUrl='” + this.qrCodeUrl + ‘\” + “, printQrCodeUrl='” + this.printQrCodeUrl + ‘\” + “} “ + super.toString();
22. }
23. }

其中qrCodeUrl即服务端返回的收款二维码链接，我们只需要hook设置金额界面（PayeeQRSetMoneyActivity）的

protected final void a(ConsultSetAmountRes paramConsultSetAmountRes)

方法，即可得到收款二维码链接

1. // hook获得二维码url的回调方法
2. findAndHookMethod(“com.alipay.mobile.payee.ui.PayeeQRSetMoneyActivity”, lpparam.classLoader, “a”,
3. findClass(“com.alipay.transferprod.rpc.result.ConsultSetAmountRes”, lpparam.classLoader), new XC_MethodHook() {
4. @Override
5. protected void afterHookedMethod(MethodHookParam param) throws Throwable {
6. log(“com.alipay.mobile.payee.ui.PayeeQRSetMoneyActivity a” + “\n”);
8. Object consultSetAmountRes = param.args[0];
9. String consultSetAmountResString = “”;
10. if (consultSetAmountRes != null) {
11. consultSetAmountResString = (String) callMethod(consultSetAmountRes, “toString”);
12. }
13. log(“consultSetAmountResString:” + consultSetAmountResString + “\n”);
14. }
15. });

安装插件并重启手机后，打开支付宝界面，弹出非法操作弹框，并且不让操作支付宝界面，我擦，支付宝看来是有反hook机制的

那么如何解决呢？支付宝肯定也是通过代码去检查应用是否被hook了，我们只需要用xposed hook住支付宝的检测方法，并且修改返回值，这样就可以骗过支付宝了。代码如下：

1. XposedHelpers.findAndHookMethod(Application.class,
2. “attach”,
3. Context.class, new XC_MethodHook() {
4. @Override
5. protected void afterHookedMethod(XC_MethodHook.MethodHookParam param) throws Throwable {
6. super.afterHookedMethod(param);
7. Context context = (Context) param.args[0];
8. ClassLoader appClassLoader = context.getClassLoader();
9. securityCheckHook(appClassLoader);
10. }
11. });
13. // 解决支付宝的反hook
14. private void securityCheckHook(ClassLoader classLoader) {
15. try {
16. Class securityCheckClazz = XposedHelpers.findClass(“com.alipay.mobile.base.security.CI”, classLoader);
17. XposedHelpers.findAndHookMethod(securityCheckClazz, “a”, String.class, String.class, String.class, new XC_MethodHook() {
18. @Override
19. protected void afterHookedMethod(MethodHookParam param) throws Throwable {
20. Object object = param.getResult();
21. XposedHelpers.setBooleanField(object, “a”, false);
22. param.setResult(object);
23. super.afterHookedMethod(param);
24. }
25. });
27. XposedHelpers.findAndHookMethod(securityCheckClazz, “a”, Class.class, String.class, String.class, new XC_MethodReplacement() {
28. @Override
29. protected Object replaceHookedMethod(XC_MethodHook.MethodHookParam param) throws Throwable {
30. return (byte) 1;
31. }
32. });
33. XposedHelpers.findAndHookMethod(securityCheckClazz, “a”, ClassLoader.class, String.class, new XC_MethodReplacement() {
34. @Override
35. protected Object replaceHookedMethod(MethodHookParam param) throws Throwable {
36. return (byte) 1;
37. }
38. });
39. XposedHelpers.findAndHookMethod(securityCheckClazz, “a”, new XC_MethodReplacement() {
40. @Override
41. protected Object replaceHookedMethod(MethodHookParam param) throws Throwable {
42. return false;
43. }
44. });
46. } catch (Error | Exception e) {
47. e.printStackTrace();
48. }
49. }

在应用加载完成后hook住支付宝的检测是否被hook的方法，修改返回值。重新运行并重启手机，发现没有弹出非法操作弹框。

或者将securityCheckHook代码修改为如下代码也可以：

1. // 解决支付宝的反hook
2. private void securityCheckHook(ClassLoader classLoader) {
4. try {
5. Class securityCheckClazz = XposedHelpers.findClass(“com.alipay.mobile.base.security.CI”, classLoader);
7. XposedHelpers.findAndHookMethod(securityCheckClazz, “a”, securityCheckClazz, Activity.class, new XC_MethodReplacement() {
8. @Override
9. protected Object replaceHookedMethod(MethodHookParam param) throws Throwable {
10. return null;
11. }
12. });
13. } catch (Error | Exception e) {
14. }
15. }

第一种方式是通过修改支付宝检查是否被hook的方法的返回值来骗过支付宝，第二种方式是通过替换支付宝弹出非法操作弹框方法执行逻辑的方式来屏蔽非法操作弹框弹出。

下面我们来分析一下怎样找到支付宝反hook的代码的，首先用hierarchy view查看非法操作弹框布局，如下：

反编译代码中全局搜索”非法操作，当前手机不安全!”，没有找到对应的信息，全局搜索”R.id.message”，发现有好几个地方有用到这个id，经过加入log测试都不是非法操作弹框使用的，换一种思路，既然是弹框，肯定会继承”android.app.Dialog”类，弹框显示的时候肯定会调用其”show”方法，我们只需要hook住”android.app.Dialog”类的”show”方法，然后打印出方法调用的堆栈来跟踪代码调用逻辑，不就可以知道支付宝弹框非法操作弹框的代码了吗？代码如下：

1. findAndHookMethod(Dialog.class, “show”, new XC_MethodHook() {
2. @Override
3. protected void afterHookedMethod(MethodHookParam param) throws Throwable {
4. super.afterHookedMethod(param);
5. try {
6. throw new NullPointerException(); // 故意抛出一个异常以便打印堆栈信息
7. } catch (Exception e) {
8. XposedLogUtils.log(“securityCheckHook:” + Log.getStackTraceString(e)); // 打印堆栈信息分析代码的调用逻辑
9. }
10. }
11. });

打开支付宝，弹出非法操作弹框后，可以看到以下日志：

1. 06-02 15:26:23.449 I/Xposed ( 5792): securityCheckHook:java.lang.NullPointerException
2. 06-02 15:26:23.449 I/Xposed ( 5792): at com.hhly.pay.alipay.Main$6.afterHookedMethod(Main.java:266)
3. 06-02 15:26:23.449 I/Xposed ( 5792): at de.robv.android.xposed.XposedBridge.handleHookedMethod(XposedBridge.java:374)
4. 06-02 15:26:23.449 I/Xposed ( 5792): at android.app.Dialog.show(<Xposed>)
5. 06-02 15:26:23.449 I/Xposed ( 5792): at android.app.AlertDialog.show(AlertDialog.java:1246)
6. 06-02 15:26:23.449 I/Xposed ( 5792): at android.app.AlertDialog$Builder.show(AlertDialog.java:1126)
7. 06-02 15:26:23.449 I/Xposed ( 5792): at com.alipay.mobile.base.security.CI.a(CI.java:2463)
8. 06-02 15:26:23.449 I/Xposed ( 5792): at com.alipay.mobile.base.security.CI$1.run(CI.java:114)
9. 06-02 15:26:23.449 I/Xposed ( 5792): at android.os.Handler.handleCallback(Handler.java:739)
10. 06-02 15:26:23.449 I/Xposed ( 5792): at android.os.Handler.dispatchMessage(Handler.java:95)
11. 06-02 15:26:23.449 I/Xposed ( 5792): at android.os.Looper.loop(Looper.java:148)
12. 06-02 15:26:23.449 I/Xposed ( 5792): at android.app.ActivityThread.main(ActivityThread.java:5666)
13. 06-02 15:26:23.449 I/Xposed ( 5792): at java.lang.reflect.Method.invoke(Native Method)
14. 06-02 15:26:23.449 I/Xposed ( 5792): at com.android.internal.os.ZygoteInit$MethodAndArgsCaller.run(ZygoteInit.java:775)
15. 06-02 15:26:23.449 I/Xposed ( 5792): at com.android.internal.os.ZygoteInit.main(ZygoteInit.java:665)
16. 06-02 15:26:23.449 I/Xposed ( 5792): at de.robv.android.xposed.XposedBridge.main(XposedBridge.java:107)

在日志中，我们可以看到，弹出非法操作的弹框的代码在”com.alipay.mobile.base.security.CI”的”a”方法中，打开lipay.mobile.base.security.CI”类，发现其中有如下方法定义：

1.     static /* synthetic */ void a(CI ci, Activity activity) {
2.         try {
3.             // 显示非法操作弹框
4.             Builder builder = new Builder(activity);
5.             builder.setMessage(new String(Base64.decode(“6Z2e5rOV5pON5L2c77yM5b2T5YmN5omL5py65LiN5a6J5YWo77yB”, 0), SymbolExpUtil.CHARSET_UTF8)); // 弹框提示内容，这里支付宝对提示文字进行了加密
6.             builder.setPositiveButton(new String(Base64.decode(“56Gu5a6a”, 0), SymbolExpUtil.CHARSET_UTF8), new c(ci, activity)); // 确认按钮
7.             builder.setNegativeButton(R.string.detail, new d(ci, activity)); // 查看详情按钮
8.             builder.setCancelable(false);
9.             builder.show();
10.         } catch (Exception e) {
11.         }
12.     }

其中确认按钮和查看详情按钮的点击事件最终都会调用到”com.alipay.mobile.base.security.CI”的下面方法：

1. static /* synthetic */ void a(Activity activity) {
2. try {
3. AlipayApplication.getInstance().getMicroApplicationContext().exit(); // 退出应用
4. } catch (Throwable th) {
5. activity.finish(); // 退出应用
6. System.exit(-1);
7. }
8. }

在”com.alipay.mobile.base.security.CI”类中，还有一些检查是否被hook的方法，这里不具体分析了。

打开支付宝设置金额界面，设置金额和备注并点击确认，在xposed的log中可以看到以下日志：

04-10 17:11:09.647 I/Xposed  ( 7116): consultSetAmountResString:ConsultSetAmountRes{codeId='1804106465231431', qrCodeUrl='HTTPS://QR.ALIPAY.COM/FKX007021VPOLKNEMJRV5C', printQrCodeUrl='HTTPS://QR.ALIPAY.COM/FKX024385RNIN3NEYG3MDD'} RPCResponse{success=true, code='null', message='null'}

其中qrCodeUrl即收款二维码的支付链接，可以通过支付链接生成一个二维码，然后用支付宝客户端扫码即可向用户付款。

2、用户的收款记录

点击收款记录进入收款记录页面，发现是一个h5的页面，用Charles抓包工具抓包，发现收款记录的请求信息如下：

1. url
2. https://mbillexprod.alipay.com/enterprise/simpleTradeOrderQuery.json?beginTime=1523289600000&limitTime=1523376000000&pageSize=20&pageNum=1&channelType=ALL&ctoken=Sf6-M33mBqAxZZKNtUxr8BfA
4. Referer
5. https://render.alipay.com/p/z/merchant-mgnt/simple-order.html?beginTime=2018-04-10&endTime=2018-04-10&fromBill=true&channelType=ALL
7. Cookie
8. JSESSIONID=RZ13WJ3MUC3KkSLP9Hl0p50jfGkM8464mobilegwRZ13; session.cookieNameId=ALIPAYJSESSIONID; JSESSIONID=DB2789AEA01160BC04A582168D1E5F56; devKeySet={“apdidToken”:”2TvE1a0uTmOgw66ehO7iVGekSrqGuHzgMYEaoqbZS\/mgr+jE6sCfYgEB”}; ALIPAYJSESSIONID=RZ13xrqd7gCXa98nzw9FjaXQj5XCC564mobilegwRZ13GZ00; ctoken=Sf6-M33mBqAxZZKNtUxr8BfA; zone=RZ13B; rtk=z02vdaECH12mfnbsHEjoVSXRlX+5t9MESl8UVjAWb0Pkt9vKHEK; ssl_upgrade=0; spanner=B6pqxJF5iOiQ90i4CSoZsIIs1GQtygX7
10. Method
11. GET
13. User-Agent
14. Mozilla/5.0 (Linux; U; Android 6.0.1; zh-CN; PRO 6 Plus Build/MMB29T) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/40.0.2214.89 UCBrowser/11.6.4.950 UWS/2.11.1.49 Mobile Safari/537.36 UCBS/2.11.1.49_180322095406 NebulaSDK/1.8.100112 Nebula AlipayDefined(nt:WIFI,ws:360|0|4.0) AliApp(AP/10.1.20.556) AlipayClient/10.1.20.556 Language/zh-Hans useStatusBar/true

其中beginTime表示查询的开始时间，limitTime表示查询的截止时间，将上面的信息用浏览器请求，发现能够返回数据，注意编辑请求设置上面的信息，如下：

经过尝试发现url中的ctoken可以去除，并且Referer可以简化成Referer: https://render.alipay.com/p/z/merchant-mgnt/simple-order.html，后面的参数全部去除，然后Cookie中只需要设置ALIPAYJSESSIONID就可以了，User-Agent可以不修改，最终请求信息如下：

1. url: https://mbillexprod.alipay.com/enterprise/simpleTradeOrderQuery.json?beginTime=1522425600000&limitTime=1523289600000&pageSize=20&pageNum=1&channelType=ALL
2. Cookie: ALIPAYJSESSIONID=RZ115A3WmakZXV6KlujBgYoG0I9HoS31mobilegwRZ11GZ00;
3. Referer: https://render.alipay.com/p/z/merchant-mgnt/simple-order.html
4. user-agent：Mozilla/5.0 (iPhone; CPU iPhone OS 11_0 like Mac OS X) AppleWebKit/604.1.38 (KHTML, like Gecko) Version/11.0 Mobile/15A372 Safari/604.1

也就是说，我们只需要ALIPAYJSESSIONID就可以获得到用户的收款记录了，查询时间可以自己设置，这个查询时间间隔好像不能超过1个月，超过了就会返回{“exception_marking”:”搜索条件的范围过大”}。

我们再postman中模拟发送数据：

可以看到，我们拿到了支付宝的账单数据，但是账单数据里面没有备注，要想获得备注信息，我们还需要查询单个账单的详情，接口如下：

1. https://tradeeportlet.alipay.com/wireless/tradeDetail.htm?tradeNo=2018040421001004450524815080
2. Cookie:ALIPAYJSESSIONID=RZ13ik0FHP2IeX6b6LsZrDBFM1yHW464mobilegwRZ13;

其中tradeNo表示订单号，这个在账单列表中有返回，其他的只需要设置Cookie就可以了，用Postman模拟请求：

返回的是一个html页面，我们再页面中可以找到订单的备注信息，上面的订单对应的备注信息是“收款”。

接下来我们只需要想办法获得ALIPAYJSESSIONID就可以了，在反编译代码中全局搜索“ALIPAYJSESSIONID”，发现AmnetUserInfo类中有相关的信息，ALIPAYJSESSIONID类中有如下代码：

1. private static String getSessionid()
2. {
3. for (;;)
4. {
5. try
6. {
7. if (MiscUtils.isInAlipayClient(ExtTransportEnv.getAppContext())) {
8. continue;
9. }
10. str1 = “”;
11. }
12. catch (Throwable localThrowable)
13. {
14. String str1;
15. LogCatUtil.error(“ext_AmnetUserInfo”, “getSessionid ex:” + localThrowable.toString());
16. LogCatUtil.debug(“ext_AmnetUserInfo”, “getSessionid return null”);
17. String str2 = “”;
18. continue;
19. str2 = getSessionidFromCookiestr(CookieAccessHelper.getCookie((String)localObject, ExtTransportEnv.getAppContext()));
20. if (TextUtils.isEmpty(str2)) {
21. continue;
22. }
23. Object localObject = new java/lang/StringBuilder;
24. ((StringBuilder)localObject).<init>(“sessionidFromCookieStore:”);
25. LogCatUtil.debug(“ext_AmnetUserInfo”, str2);
26. continue;
27. }
28. return str1;
29. localObject = ReadSettingServerUrl.getInstance().getGWFURL(ExtTransportEnv.getAppContext());
30. str1 = getSessionidFromCookiestr(GwCookieCacheHelper.getCookie((String)localObject));
31. if (TextUtils.isEmpty(str1)) {
32. continue;
33. }
34. localObject = new java/lang/StringBuilder;
35. ((StringBuilder)localObject).<init>(“sessionidFromCache:”);
36. LogCatUtil.debug(“ext_AmnetUserInfo”, str1);
37. }
38. }
40. private static String getSessionidFromCookiestr(String paramString)
41. {
42. try
43. {
44. if (!TextUtils.isEmpty(paramString)) {
45. break label12;
46. }
47. paramString = “”;
48. }
49. catch (Throwable paramString)
50. {
51. for (;;)
52. {
53. label12:
54. int j;
55. int i;
56. LogCatUtil.error(“ext_AmnetUserInfo”, “getAlipayJsessionidFromCookiestr ex:” + paramString.toString());
57. label96:
58. paramString = “”;
59. }
60. }
61. return paramString;
62. paramString = paramString.split(“; “);
63. j = paramString.length;
64. for (i = 0;; i++)
65. {
66. if (i >= j) {
67. break label96;
68. }
69. CharSequence localCharSequence = paramString[i];
70. if ((!TextUtils.isEmpty(localCharSequence)) && (localCharSequence.contains(“ALIPAYJSESSIONID”)))
71. {
72. paramString = localCharSequence.substring(localCharSequence.indexOf(“=”) + 1);
73. break;
74. }
75. }
76. }

其中getSessionid方法感觉就是获得ALIPAYJSESSIONID的方法，在xposed中调用该静态方法并打印返回值，发现返回的是字符串“ALIPAYJSESSIONID”，在hook getSessionidFromCookiestr方法，打印传入的参数，结果就是我们抓包获得的cookie，而cookie中是包含ALIPAYJSESSIONID的信息的，通过

1. localObject = ReadSettingServerUrl.getInstance().getGWFURL(ExtTransportEnv.getAppContext());
2. str1 = getSessionidFromCookiestr(GwCookieCacheHelper.getCookie((String)localObject));

这两行代码，我们知道可以通过如下代码获得cookie

      cookieStr = getSessionidFromCookiestr(GwCookieCacheHelper.getCookie((String)ReadSettingServerUrl.getInstance().getGWFURL(ExtTransportEnv.getAppContext())));

在xposed中对应的代码如下：

1. String cookieStr = “”;
2. // 获得cookieStr
3. Context context = (Context) callStaticMethod(findClass(“com.alipay.mobile.common.transportext.biz.shared.ExtTransportEnv”, lpparam.classLoader), “getAppContext”);
4. if (context != null) {
5. Object readSettingServerUrl = callStaticMethod(findClass(“com.alipay.mobile.common.helper.ReadSettingServerUrl”, lpparam.classLoader), “getInstance”);
6. if (readSettingServerUrl != null) {
7. String gWFURL = (String) callMethod(readSettingServerUrl, “getGWFURL”, context);
8. cookieStr = (String) callStaticMethod(findClass(“com.alipay.mobile.common.transport.http.GwCookieCacheHelper”, lpparam.classLoader), “getCookie”, gWFURL);
9. }
10. }

打印日志如下：

04-10 17:11:09.647 I/Xposed  ( 7116): cookieStr:session.cookieNameId=ALIPAYJSESSIONID; ssl_upgrade=0; spanner=PWDKfHD/i7Rh9gQCMkMP+DTzT8PATh824EJoL7C0n0A=; ctoken=Sf6-M33mBqAxZZKNtUxr8BfA; rtk=vokrGCgjMQ9UdSJNIgY0Tnw6Os8MF2zV3TThTYLGJohQF2zBIgB; ALIPAYJSESSIONID=RZ13nkgR2GBxkRKbRrX11rVYzOI6Vi64mobilegwRZ13; devKeySet={"apdidToken":"oBdC1a0uTmOgw66ehO7iVGekSnlK3Y00XLuw5BGCZ6yVyRla+q2qYgEB"}; zone=RZ13A

可以看到其中包含了ALIPAYJSESSIONID的信息。

备注：上面获得的账单信息有一个明显的缺点，就是接口返回的账单数据中没有备注信息，而一般我们是需要根据备注信息来确认账单的唯一性，从而判断是否收款成功，之后会进行优化。

四、xposed插件和支付宝应用通信

我们写的插件是单独一个进程，而支付宝也是单独一个进程，两个进程之间的通信有很多方法，比如Binder，Socket，BroadcastReceiver等，这里选择最简单的BroadcastReceiver。

xposed插件的主界面如下：

添加收钱按钮的点击事件：

1. mShouQianButton.setOnClickListener(new View.OnClickListener() {
2. @Override
3. public void onClick(View v) {
4. Intent intent = getPackageManager().getLaunchIntentForPackage(ALIPAY_PACKAGE_NAME);
5. intent.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
6. startActivity(intent);
8. Intent broadCastIntent = new Intent();
9. Random random = new Random();
10. broadCastIntent.putExtra(“qr_money”, String.valueOf(random.nextInt(100) + 1));
11. broadCastIntent.putExtra(“beiZhu”, “测试”);
12. broadCastIntent.setAction(AlipayBroadcast.INTENT_FILTER_ACTION);
13. sendBroadcast(broadCastIntent);
14. }
15. });

点击收钱按钮后，会切换到支付宝应用，并且随机生成一个1-100的金额，设置备注，然后将信息通过广播的形式发送出去，支付宝要收到对应的广播，必须先要注册广播，我们可以在支付宝的主界面注册广播，hook支付宝主界面的onCreate方法，注册广播，hook支付宝主界面的onDestory方法，销毁广播，代码如下：

1. // hook 支付宝主界面的onCreate方法，获得主界面对象并注册广播
2. findAndHookMethod(“com.alipay.mobile.quinox.LauncherActivity”, lpparam.classLoader, “onCreate”, Bundle.class, new XC_MethodHook() {
3. @Override
4. protected void afterHookedMethod(MethodHookParam param) throws Throwable {
5. log(“com.alipay.mobile.quinox.LauncherActivity onCreated” + “\n”);
6. launcherActivity = (Activity) param.thisObject;
7. alipayBroadcast = new AlipayBroadcast();
8. IntentFilter intentFilter = new IntentFilter();
9. intentFilter.addAction(AlipayBroadcast.INTENT_FILTER_ACTION);
10. launcherActivity.registerReceiver(alipayBroadcast, intentFilter);
11. }
12. });
14. // hook 支付宝的主界面的onDestory方法，销毁广播
15. findAndHookMethod(“com.alipay.mobile.quinox.LauncherActivity”, lpparam.classLoader, “onDestroy”, new XC_MethodHook() {
16. @Override
17. protected void afterHookedMethod(MethodHookParam param) throws Throwable {
18. log(“com.alipay.mobile.quinox.LauncherActivity onDestroy” + “\n”);
19. if (alipayBroadcast != null) {
20. ((Activity) param.thisObject).unregisterReceiver(alipayBroadcast);
21. }
22. launcherActivity = null;
23. }
24. });

广播类定义如下：

1. package com.hhly.pay.alipay.boradcast;
3. import android.content.BroadcastReceiver;
4. import android.content.Context;
5. import android.content.Intent;
7. import com.hhly.pay.alipay.Main;
9. import de.robv.android.xposed.XposedHelpers;
11. import static de.robv.android.xposed.XposedBridge.log;
13. /**
14. * Created by dell on 2018/4/4.
15. */
17. public class AlipayBroadcast extends BroadcastReceiver{
18. public static String INTENT_FILTER_ACTION = “com.hhly.pay.alipay.info”;
19. @Override
20. public void onReceive(Context context, Intent intent) {
21. if (intent.getAction().contentEquals(INTENT_FILTER_ACTION)) {
22. String qr_money = intent.getStringExtra(“qr_money”);
23. String beiZhu = intent.getStringExtra(“beiZhu”);
24. log(“AlipayBroadcast onReceive “ + qr_money + ” “ + beiZhu + “\n”);
25. if (!qr_money.contentEquals(“”)) {
26. Intent launcherIntent = new Intent(context, XposedHelpers.findClass(“com.alipay.mobile.payee.ui.PayeeQRSetMoneyActivity”, Main.launcherActivity.getApplicationContext().getClassLoader()));
27. launcherIntent.putExtra(“qr_money”, qr_money);
28. launcherIntent.putExtra(“beiZhu”, beiZhu);
29. Main.launcherActivity.startActivity(launcherIntent);
30. }
31. }
32. }
33. }

可以看到，支付宝在接受到广播后会打开设置金额页面，并且将金额和备注传过去，接下来我们需要hook住设置金额页面的onCreate方法，取得金额和备注，设置到界面上并且模拟点击确认按钮，这样我们只需要hook住设置金额的”a”方法，

protected final void a(ConsultSetAmountRes paramConsultSetAmountRes)

就获得到付款链接了，可以在这里顺便获得cookie，然后通过广播的形式发送给xposed插件，代码如下：

1. findAndHookMethod(“com.alipay.mobile.payee.ui.PayeeQRSetMoneyActivity”, lpparam.classLoader, “a”,
2. findClass(“com.alipay.transferprod.rpc.result.ConsultSetAmountRes”, lpparam.classLoader), new XC_MethodHook() {
3. @Override
4. protected void afterHookedMethod(MethodHookParam param) throws Throwable {
5. log(“com.alipay.mobile.payee.ui.PayeeQRSetMoneyActivity a” + “\n”);
6. String cookieStr = “”;
7. // 获得cookieStr
8. Context context = (Context) callStaticMethod(findClass(“com.alipay.mobile.common.transportext.biz.shared.ExtTransportEnv”, lpparam.classLoader), “getAppContext”);
9. if (context != null) {
10. Object readSettingServerUrl = callStaticMethod(findClass(“com.alipay.mobile.common.helper.ReadSettingServerUrl”, lpparam.classLoader), “getInstance”);
11. if (readSettingServerUrl != null) {
12. String gWFURL = (String) callMethod(readSettingServerUrl, “getGWFURL”, context);
13. cookieStr = (String) callStaticMethod(findClass(“com.alipay.mobile.common.transport.http.GwCookieCacheHelper”, lpparam.classLoader), “getCookie”, gWFURL);
14. }
15. }
16. Object consultSetAmountRes = param.args[0];
17. String consultSetAmountResString = “”;
18. if (consultSetAmountRes != null) {
19. consultSetAmountResString = (String) callMethod(consultSetAmountRes, “toString”);
20. }
21. Intent broadCastIntent = new Intent();
22. broadCastIntent.putExtra(“consultSetAmountResString”, consultSetAmountResString);
23. broadCastIntent.putExtra(“cookieStr”, cookieStr);
24. broadCastIntent.setAction(PluginBroadcast.INTENT_FILTER_ACTION);
25. Activity activity = (Activity) param.thisObject;
26. activity.sendBroadcast(broadCastIntent);
27. log(“consultSetAmountResString:” + consultSetAmountResString + “\n”);
28. log(“cookieStr:” + cookieStr + “\n”);
29. }
30. });

同样，在xposed插件中需要注册广播：

在xposed插件的MainActivity的onCreate方法中注册广播，并在其onDestory中销毁广播，如下：

1.     @Override
2.     protected void onCreate(Bundle savedInstanceState) {
3.         super.onCreate(savedInstanceState);
4.         setContentView(R.layout.activity_main);
7.         pluginReceiver = new PluginBroadcast();
8.         IntentFilter intentFilter = new IntentFilter();
9.         intentFilter.addAction(PluginBroadcast.com.eg.android.AlipayGphone.info);
10.         registerReceiver(pluginReceiver, intentFilter);
11.     }
16.     @Override
17.     protected void onDestroy() {
18.         super.onDestroy();
19.         unregisterReceiver(pluginReceiver);
20.     }

PluginBroadcast的定义如下：

1. package com.hhly.pay.alipay.boradcast;
3. import android.content.BroadcastReceiver;
4. import android.content.Context;
5. import android.content.Intent;
6. import com.hhly.pay.alipay.App;
8. /**
9. * Created by dell on 2018/4/4.
10. */
12. public class PluginBroadcast extends BroadcastReceiver{
13. public static String INTENT_FILTER_ACTION = “com.eg.android.AlipayGphone.info”;
14. @Override
15. public void onReceive(Context context, Intent intent) {
16. if (intent.getAction().contentEquals(INTENT_FILTER_ACTION)) {
17. App.dealAlipayInfo(context, intent);
18. }
19. }
20. }

dealAlipayInfo方法的定义：

1. public static void dealAlipayInfo(Context context, Intent intent) {
2. String consultSetAmountResString = intent.getStringExtra(“consultSetAmountResString”);
3. String cookieStr = intent.getStringExtra(“cookieStr”);
4. String toastString = consultSetAmountResString + ” “ + cookieStr;
5. Log.i(“liunianprint:”, toastString);
6. Toast.makeText(context, toastString, Toast.LENGTH_SHORT).show();
7. }

这里只是打印了consultSetAmountResString和cookieStr，正常流程是应该将信息上传给服务端，打印的日志如下：

04-10 18:47:03.288 7097-7097/? I/liunianprint:: ConsultSetAmountRes{codeId='1804106465250342', qrCodeUrl='HTTPS://QR.ALIPAY.COM/FKX03573WKXOYREEFL2686', printQrCodeUrl='HTTPS://QR.ALIPAY.COM/FKX01907CEYS5GOWTI9PB1'} RPCResponse{success=true, code='null', message='null'} session.cookieNameId=ALIPAYJSESSIONID; ssl_upgrade=0; spanner=PWDKfHD/i7Rh9gQCMkMP+DTzT8PATh824EJoL7C0n0A=; ctoken=Sf6-M33mBqAxZZKNtUxr8BfA; rtk=vokrGCgjMQ9UdSJNIgY0Tnw6Os8MF2zV3TThTYLGJohQF2zBIgB; ALIPAYJSESSIONID=RZ13nkgR2GBxkRKbRrX11rVYzOI6Vi64mobilegwRZ13; devKeySet={"apdidToken":"oBdC1a0uTmOgw66ehO7iVGekSnlK3Y00XLuw5BGCZ6yVyRla+q2qYgEB"}; zone=RZ13A

到此为止，我们已经可以在插件中获得收款链接和ALIPAYJSESSIONID，只需要将其发送给服务端就可以了，服务端可以根据收款链接生成收款二维码，根据ALIPAYJSESSIONID请求到收款记录。

顺便说一句，支付宝请求收款二维码链接是通过rpc协议进行的，在PayeeQRSetMoneyActivity如下方法：

1. final void a()
2. {
3. ConsultSetAmountReq localConsultSetAmountReq = new ConsultSetAmountReq();
4. localConsultSetAmountReq.amount = this.g;
5. localConsultSetAmountReq.desc = this.c.getUbbStr();
6. localConsultSetAmountReq.sessionId = this.h;
7. new RpcRunner(new dk(this), new dj(this)).start(new Object[] { localConsultSetAmountReq });
8. }

点击确认按钮后会调用该方法去向支付宝的服务器请求支付链接，用Charles抓取不到rpc的请求，后面可以考虑直接模拟rpc请求直接向支付宝的服务器请求付款链接。

五、优化账单

通过上面的接口获得的账单信息中是没有备注的，估计支付宝为了安全没有将这块信息加入到接口中，但是在服务端判断收款是否到账就是根据收款记录中的备注信息确认的，只需要将设置金额页面的备注信息设置为每个账单唯一，就可以根据备注信息确认收款是否到账，在支付宝的账单页面，我们可以看到账单的备注信息，如下：

那下面就从账单页面入手，找到带备注信息的账单数据，用hierarchy view看一下账单界面，如下：

可以看到账单页面对应的activity为”com.alipay.mobile.bill.list.ui.BillListActivity_”，在反编译代码中搜索”BillListActivity_”类，发现找不到这个类，通过xposed hook这个类，也提示无法找到该类。代码如下：

1. findAndHookMethod(“com.alipay.mobile.bill.list.ui.BillListActivity_”, mClassLoader, “onCreate”, Bundle.class, new XC_MethodHook() {
2. @Override
3. protected void afterHookedMethod(MethodHookParam param) throws Throwable {
4. XposedLogUtils.log(“com.alipay.mobile.bill.list.ui.BillListActivity_” + “:onCreated”);
5. mBillActivity = (Activity) param.thisObject;
6. }
7. });

报错信息如下：

1. 05-24 17:07:14.977 E/Xposed ( 6047): de.robv.android.xposed.XposedHelpers$ClassNotFoundError: java.lang.ClassNotFoundException: com.alipay.mobile.bill.list.ui.BillListActivity_
2. 05-24 17:07:14.977 E/Xposed ( 6047): at de.robv.android.xposed.XposedHelpers.findClass(XposedHelpers.java:71)
3. 05-24 17:07:14.977 E/Xposed ( 6047): at de.robv.android.xposed.XposedHelpers.findAndHookMethod(XposedHelpers.java:260)
4. 05-24 17:07:14.977 E/Xposed ( 6047): at com.sunny.aliplugin.hook.AliHook.o(AliHook.java:497)
5. 05-24 17:07:14.977 E/Xposed ( 6047): at com.sunny.aliplugin.hook.AliHook.b(AliHook.java:58)
6. 05-24 17:07:14.977 E/Xposed ( 6047): at com.sunny.aliplugin.hook.AliHook$6.afterHookedMethod(AliHook.java:245)
7. 05-24 17:07:14.977 E/Xposed ( 6047): at de.robv.android.xposed.XposedBridge.handleHookedMethod(XposedBridge.java:374)
8. 05-24 17:07:14.977 E/Xposed ( 6047): at com.alipay.mobile.quinox.classloader.BundleClassLoader.<init>(<Xposed>)
9. 05-24 17:07:14.977 E/Xposed ( 6047): at com.alipay.mobile.quinox.classloader.c.run(BundleClassLoaderFactory.java:213)
10. 05-24 17:07:14.977 E/Xposed ( 6047): at com.alipay.mobile.quinox.asynctask.PipelineRunnable.run(PipelineRunnable.java:124)
11. 05-24 17:07:14.977 E/Xposed ( 6047): at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1113)
12. 05-24 17:07:14.977 E/Xposed ( 6047): at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:588)
13. 05-24 17:07:14.977 E/Xposed ( 6047): at java.lang.Thread.run(Thread.java:818)
14. 05-24 17:07:14.977 E/Xposed ( 6047): Caused by: java.lang.ClassNotFoundException: com.alipay.mobile.bill.list.ui.BillListActivity_
15. 05-24 17:07:14.977 E/Xposed ( 6047): at java.lang.Class.classForName(Native Method)
16. 05-24 17:07:14.977 E/Xposed ( 6047): at java.lang.Class.forName(Class.java:324)
17. 05-24 17:07:14.977 E/Xposed ( 6047): at external.org.apache.commons.lang3.ClassUtils.getClass(ClassUtils.java:823)
18. 05-24 17:07:14.977 E/Xposed ( 6047): at de.robv.android.xposed.XposedHelpers.findClass(XposedHelpers.java:69)
19. 05-24 17:07:14.977 E/Xposed ( 6047): … 11 more
20. 05-24 17:07:14.977 E/Xposed ( 6047): Caused by: java.lang.ClassNotFoundException: Didn’t find class “com.alipay.mobile.bill.list.ui.BillListActivity_” on path: DexPathList[[zip file “/system/framework/org.simalliance.openmobileapi.jar”, zip file “/data/app/com.eg.android.AlipayGphone-1/base.apk”],nativeLibraryDirectories=[/data/user/0/com.eg.android.AlipayGphone/app_plugins_lib, /data/app/com.eg.android.AlipayGphone-1/lib/arm, /data/app/com.eg.android.AlipayGphone-1/base.apk!/lib/armeabi, /vendor/lib, /system/lib]]
21. 05-24 17:07:14.977 E/Xposed ( 6047): at dalvik.system.BaseDexClassLoader.findClass(BaseDexClassLoader.java:56)
22. 05-24 17:07:14.977 E/Xposed ( 6047): at java.lang.ClassLoader.loadClass(ClassLoader.java:511)
23. 05-24 17:07:14.977 E/Xposed ( 6047): at java.lang.ClassLoader.loadClass(ClassLoader.java:469)
24. 05-24 17:07:14.977 E/Xposed ( 6047): … 15 more
25. 05-24 17:07:14.977 E/Xposed ( 6047): Suppressed: java.lang.ClassNotFoundException: HostClassLoader

那这样就奇怪了，既然支付宝能够显示账单页面，那么对应的代码肯定是存在的，考虑一下，是不是支付宝用了分包技术，账单页面在其他的jar包中呢？在需要显示账单页面时才去加载对应的jar包，如果是这样，那么我们在当前apk的主ClassLoader就无法找到账单页面。现在需要想办法验证一下我们的想法，首先如果我们能够知道账单页面对应的ClassLoader，就可以打印出ClassLoader的名称，就能知道账单页面对应的代码所在位置。那么如何获得账单页面对应的ClassLoader呢？我们知道，Class类有一个getClassLoader()方法，如果能够获得账单页面对应的对象，然后通过getClass()方法获得其对应的Class，再调用Class的getClassLoader()方法，就可以知道账单页面对应的ClassLoader了。那么如何获得账单页面Activity对象呢？我们现在是不知道账单页面对应的ClassLoader的，也就找不到其对应的Class，无法在Xposed中注册Hook它的方法，额，感觉有点麻烦了，换个角度思考一下，BillListActivity_是一个Activity，那么它肯定是要继承Activity类的，BillListActivity_在创建时肯定会调用到Activity的onCreate方法，我们可以Hook Activity类的onCreate方法，获得当前Activity对象，然后获得当前Activity对象对应的类名，再来比较类名是不是账单页面对应的类名，如果是，那么当前Activity对象就是BillListActivty_对象，那么就可以打印出其对应的ClassLoader了。代码如下：

1. findAndHookMethod(Activity.class, “onCreate”, Bundle.class, new XC_MethodHook() {
2. @Override
3. protected void afterHookedMethod(MethodHookParam param) throws Throwable {
4. if (param.thisObject != null && param.thisObject.getClass().getName().contentEquals(“com.alipay.mobile.bill.list.ui.BillListActivity_”)) {
5. XposedLogUtils.log(param.thisObject.getClass().getClassLoader().toString());
6. }
7. }
8. });

打印结果如下：

05-24 17:43:17.051 I/Xposed  ( 6055): BundleClassLoader[/data/user/0/com.eg.android.AlipayGphone/lib/libandroid-phone-wallet-billlist.so]

可以看到账单页面的代码在lib目录的”libandroid-phone-wallet-billlist.so”这个库中，打开apk的lib目录下，发现可以找到这个库：

并且ClassLoader对应的类名为”BundleClassLoader”，我擦，居然是一个so库，我们知道，so库是不能直接看到代码的，如果是so库就难搞了，尝试将”libandroid-phone-wallet-billlist.so”重命名为”libandroid-phone-wallet-billlist.zip”并且解压，对应目录如下：

呃呃呃，原来是一个假的so库，其实和apk包是一样的，反编译一下classes.dex，获得账单页面对应的jar包，如下：

获得账单页面对应的jar包并且用jd-gui打开，搜索BillListActivity_，可以看到BillListActivity_的代码：

ok，现在我们获得账单页面的代码了，接下来就是Hook账单页面对应的方法然后获得账单数据，搞到这里又会发现一个问题，想要hook账单页面的方法首先需要获得账单页面对应的class，而class是需要从ClassLoader中找的，账单页面的ClassLoader是动态加载的，只有当启动支付宝后首次打开账单页面时，才会去加载账单页面对应的库，从而生成对应的ClassLoader，我们上面获得账单页面对应的ClassLoader的步骤如下：

1、hook Activity的onCreate方法

2、通过类名判断当前Activity是否是账单页面

3、如果是账单页面，则可以通过getClass().getClassLoader()获得账单页面对应的ClassLoader

4、记录账单页面的ClassLoader当静态变量中

5、之后要使用账单页面的ClassLoader就可以直接使用静态变量中的ClassLoader了

上面方法有一个问题是我们必须要在支付宝启动后手动打开一次账单页面，这样支付宝才会去加载账单页面对应的库，然后才能找到其对应的ClassLoader，有没有什么办法可以不用手动打开账单页面呢？通过查看点击进入账单页面的方法，最终我们发现可以通过下面的代码打开账单页面：

    LauncherAppUtils.a("20000003");

LauncherAppUtils应该是支付宝为了启动动态库中的Activity而写的一个辅助类，”20000003″应该代表账单页面，这个在支付宝AppId类中有配置：

我们可以在支付宝的首页启动时调用该方法，从而实现在支付宝启动后自动打开支付宝的账单页面，这样就可以获得账单页面对应的ClassLoader了。代码如下：

1. // hook 支付宝主界面的onCreate方法，获得主界面对象并注册广播
2. findAndHookMethod(AliParamUtils.mLauncherActivityClassfullName, classLoader, “onCreate”, Bundle.class, new XC_MethodHook() {
3. @Override
4. protected void afterHookedMethod(MethodHookParam param) throws Throwable {
5. XposedLogUtils.log(AliParamUtils.mLauncherActivityClassfullName + “:onCreated方法”);
6. mLauncherActivity = (Activity) param.thisObject;
8. if (AliParamUtils.mBillListActivityIsFromSoLib) {
9. // 打开账单页面，并加载其对应的库
10. callStaticMethod(findClass(“com.alipay.android.phone.home.manager.LauncherAppUtils”, classLoader), “a”, “20000003”, null);
11. }
12. }
13. });

另外一个问题是，我们不想通过hook Activity的onCreate方法，然后判断类名的方式获得账单页面对应的ClassLoader，那么有没有其他的办法呢？通过上面的对应账单页面ClassLoader的打印，我们知道，账单页面的ClassLoader对应的类名为”BundleClassLoader”，在反编译代码中搜索”BundleClassLoader”，可以看到如下代码：

观察”BundleClassLoader”所有的构造方法，发现其最终都会调用下面的这个构造方法：

1. @SuppressLint({“DefaultLocale”})
2. public BundleClassLoader(ClassLoader paramClassLoader, Bundle paramBundle, BundleManager paramBundleManager, HostClassLoader paramHostClassLoader)

并且在该构造方法中可以看到如下代码：

 if ((Build.HARDWARE.toLowerCase().contains("mt6592")) && (paramBundle.getLocation().endsWith(".so")))

猜想paramBundle.getLocation()应该是获得动态库的路径，我们可以打印paramBundle.getLocation()的值，在首次打开账单页面时可以看到如下日志：

05-12 10:55:28.861 I/Xposed  ( 6891): ------------so库    /data/user/0/com.eg.android.AlipayGphone/lib/libandroid-phone-wallet-billlist.so

说明paramBundle.getLocation()就是获得动态库的路径，既然这样，我们就可以通过动态库的名称来判断当前的ClassLoader是否是账单页面的ClassLoader，代码如下：

1. // hook BundleClassLoader构造方法，获得so库对应的classloader并hook来自so库中的类
2. findAndHookConstructor(“com.alipay.mobile.quinox.classloader.BundleClassLoader”, classLoader,
3. ClassLoader.class,
4. findClass(“com.alipay.mobile.quinox.bundle.Bundle”, classLoader),
5. findClass(“com.alipay.mobile.quinox.bundle.BundleManager”, classLoader),
6. findClass(“com.alipay.mobile.quinox.classloader.HostClassLoader”, classLoader),
7. new XC_MethodHook() {
8. @Override
9. protected void afterHookedMethod(MethodHookParam param) throws Throwable {
10. try {
11. if (param.args[1] != null) {
12. String soLibName = (String) XposedHelpers.callMethod(param.args[1], AliParamUtils.mBundleGetLocationMethodName); // 获得so库名称
13. if (soLibName != null) {
14. if (soLibName.contains(“wallet-billlist”)) {
15. mBillListActivityClassLoader = (ClassLoader) param.thisObject;
16. XposedLogUtils.log(“账单页面classloader: “ + mBillListActivityClassLoader.toString());
17. hookBillListActivityMethod();
18. }
19. }
20. }
21. } catch (Exception e) {
22. }
23. }
24. });

首次打开账单页面，可以看到如下日志：

05-12 10:55:28.861 I/Xposed  ( 6891): 账单页面classloader: BundleClassLoader[/data/user/0/com.eg.android.AlipayGphone/lib/libandroid-phone-wallet-billlist.so]

到现在为止，我们已经可以在支付宝应用启动后自动获得账单页面的ClassLoader并将其保存在静态变量mBillListActivityClassLoader中，终于能够正常hook账单页面的方法了，接下来我们就通过hook账单页面来获得账单数据。

用hierarchy view查看账单界面，如下：

发现其账单信息是在一个APListView控件中，并且ApListView外面又套了一个APPullRefreshView，这个应该是可以猜到的，账单页面是一个列表，并且支持下拉刷新和上拉加载更多，一般的套路就是下拉刷新控件套上一个ListView或者RecyclerView，既然这样，那么如果我们找到ListView对应的Adpater，账单的数据应该就存在Adpater中的某个类型为List的对象中，直接在反编译代码中查看BillListActivity_的代码，如下：

并没有找到对应的APPullRefreshView或者ApListView之类的信息，打开其父类BillListActivity，如下：

1. @EActivity(resName=”activity_bill_list”)
2. public class BillListActivity
3. extends BillListBaseActivity
4. {
5. private BroadcastReceiver A;
6. private BroadcastReceiver B;
7. private boolean C = false;
8. private boolean D = false;
9. private boolean E = false;
10. private boolean F = false;
11. private long G = 0L;
12. private String H;
13. private boolean I = false;
14. private RpcRunner J;
15. private String K;
16. private String L;
17. private String M;
18. private boolean N;
19. private String O;
20. private boolean P;
21. private String Q;
22. private RpcRunner R;
23. private RpcRunner S;
24. private List<EntrancePBModel> T;
25. private SelectDateWindow U;
26. private CategoryListRes V;
27. private boolean W;
28. private String X;
29. private AUFloatMenu Y;
30. private BillCacheManager Z;
31. private BillCacheManager aa;
32. private BillListNewCategoryManager ab;
33. private boolean ac = false;
34. private FilterPopUpWindow ad;
35. private NewCategoryFilterPopUpWindow ae;
36. private boolean af;
37. private String ag;
38. private String ah;
39. private boolean ai = true;
40. private boolean aj = false;
41. private boolean ak = false;
42. private String al;
43. private boolean am = false;
44. private boolean an = true;
45. @ViewById(resName=”bill_list_title_bar”)
46. protected AUTitleBar c;
47. @ViewById(resName=”bill_list_view”)
48. protected APListView d;
49. @ViewById(resName=”bill_list_container”)
50. protected View e;
51. @ViewById(resName=”bill_list_month_header”)
52. protected ViewGroup f;
53. @ViewById(resName=”bill_list_pull_refresh”)
54. protected APPullRefreshView g;
55. @ViewById(resName=”bill_list_loading”)
56. protected View h;
57. protected BillListFilterBar i;
58. protected BillListFilterBar j;
59. protected TextView k;
60. private ViewGroup l;
61. private ViewGroup m;
62. private TextView n;
63. private View o;
64. private BadgeView p;
65. private String q;
66. private APOverView r;
67. private AuthService s;
68. private String t = “NO”;
69. private QueryListReq u;
70. private boolean v = false;
71. private boolean w = true;
72. private boolean x = false;
73. private BillListViewFooterView y;
74. private BillListAdapter z;

可以看到其中有如下字段的定义：

1. @ViewById(resName=”bill_list_pull_refresh”)
2. protected APPullRefreshView g;
3. @ViewById(resName=”bill_list_view”)
4. protected APListView d;
5. private BillListAdapter z;

可以看到账单页面对应的Adapter为BillListAdater，字段名称为”z”，打开BillListAdater类，可以看到如下代码：

1. public List<SingleListItem> a = new ArrayList();
3. public final void a(List<SingleListItem> paramList)
4. {
5. this.a.addAll(paramList);
6. notifyDataSetChanged();
7. }

其中字段”a”应该就是账单列表的数据，而方法”a”应该是用来添加账单数据到列表中的方法，在这个类中搜索”this.a.add”，发现只有这个方法中有添加账单数据到列表中，由此，我们可以判断，只要账单数据有增加，肯定会调用该方法。我们可以通过hook 该方法，一旦账单数据有添加，我们就可以监控到，代码如下：

1. findAndHookMethod(“com.alipay.mobile.bill.list.ui.adapter.BillListAdapter”, mBillListActivityClassLoader, “a”, List.class, new XC_MethodHook() {
2. @Override
3. protected void afterHookedMethod(MethodHookParam param) throws Throwable {
4. XposedLogUtils.log(“com.alipay.mobile.bill.list.ui.adapter.BillListAdapter” + “a called” + “\n”);
5. if (param.args[0] != null) {
6. Field billListFiled = XposedHelpers.findField(param.thisObject.getClass(), “a”); // 通过反射找到账单数据列表对应的字段
7. final Object billList = billListFiled.get(param.thisObject); // 获得账单数据列表
8. List<Object> bList_obj = (List) billList;
9. if (bList_obj != null) {
10. sendBillListBroadCast(bList_obj); // 将账单数据列表通过广播发送回给插件程序
11. }
12. }
13. }
14. });

其中sendBillListBroadCast(bList_obj)的作用是将账单数据列表通过广播发送回给插件程序，通过上面的分析我们知道账单数据的类型为SingleListItem，打开SingleListItem类，可以看到如下字段的定义：

1. @ProtoField(tag=15)
2. public ActionParam actionParam;
3. @ProtoField(tag=1, type=Message.Datatype.STRING)
4. public String bizInNo;
5. @ProtoField(tag=6, type=Message.Datatype.STRING)
6. public String bizStateDesc;
7. @ProtoField(tag=10, type=Message.Datatype.STRING)
8. public String bizSubType;
9. @ProtoField(tag=9, type=Message.Datatype.STRING)
10. public String bizType;
11. @ProtoField(tag=11, type=Message.Datatype.BOOL)
12. public Boolean canDelete;
13. @ProtoField(tag=23, type=Message.Datatype.STRING)
14. public String categoryName;
15. @ProtoField(tag=3, type=Message.Datatype.STRING)
16. public String consumeFee;
17. @ProtoField(tag=4, type=Message.Datatype.STRING)
18. public String consumeStatus;
19. @ProtoField(tag=2, type=Message.Datatype.STRING)
20. public String consumeTitle;
21. @ProtoField(tag=26, type=Message.Datatype.INT32)
22. public Integer contentRender;
23. @ProtoField(tag=8, type=Message.Datatype.STRING)
24. public String createDesc;
25. @ProtoField(tag=16, type=Message.Datatype.STRING)
26. public String createTime;
27. @ProtoField(tag=14, type=Message.Datatype.STRING)
28. public String destinationUrl;
29. @ProtoField(tag=7, type=Message.Datatype.INT64)
30. public Long gmtCreate;
31. @ProtoField(tag=18, type=Message.Datatype.BOOL)
32. public Boolean isAggregatedRec;
33. @ProtoField(tag=17, type=Message.Datatype.STRING)
34. public String memo;
35. @ProtoField(tag=13, type=Message.Datatype.STRING)
36. public String month;
37. @ProtoField(tag=5, type=Message.Datatype.STRING)
38. public String oppositeLogo;
39. @ProtoField(tag=20, type=Message.Datatype.STRING)
40. public String oppositeMemGrade;
41. @ProtoField(tag=12, type=Message.Datatype.ENUM)
42. public RecordType recordType;
43. @ProtoField(tag=19, type=Message.Datatype.STRING)
44. public String sceneId;
45. @ProtoField(tag=25, type=Message.Datatype.STRING)
46. public String statistics;
47. @ProtoField(tag=24, type=Message.Datatype.STRING)
48. public String subCategoryName;
49. @ProtoField(label=Message.Label.REPEATED, tag=21, type=Message.Datatype.STRING)
50. public List<String> tagNameList;
51. @ProtoField(tag=22, type=Message.Datatype.INT32)
52. public Integer tagStatus;

根据名称，我们大致可以猜测出每一个字段代表的意思，比如consumeFee应该代表进账或者消费的金额，我们在插件程序中创建一个BillObject类，并且实现Parcelable接口，以便其能够被序列化，如下：

1. /**
2. * 账单信息对象
3. */
4. public static class BillObject implements Parcelable {
5. public String bizInNo;
6. public String bizStateDesc;
7. public String bizSubType;
8. public String canDelete;
9. public String bizType;
10. public String consumeFee;
11. public String consumeStatus;
12. public String consumeTitle;
13. public String createDesc;
14. public String createTime;
15. public String destinationUrl;
16. public String gmtCreate;
17. public String isAggregatedRec;
18. public String memo;
19. public String month;
20. public String oppositeLogo;
21. public String oppositeMemGrade;
22. public String sceneId;
24. public BillObject() {
26. }
28. protected BillObject(Parcel in) {
29. bizInNo = in.readString();
30. bizStateDesc = in.readString();
31. bizSubType = in.readString();
32. canDelete = in.readString();
33. bizType = in.readString();
34. consumeFee = in.readString();
35. consumeStatus = in.readString();
36. consumeTitle = in.readString();
37. createDesc = in.readString();
38. createTime = in.readString();
39. destinationUrl = in.readString();
40. gmtCreate = in.readString();
41. isAggregatedRec = in.readString();
42. memo = in.readString();
43. month = in.readString();
44. oppositeLogo = in.readString();
45. oppositeMemGrade = in.readString();
46. sceneId = in.readString();
47. }
49. public static final Creator<BillObject> CREATOR = new Creator<BillObject>() {
50. @Override
51. public BillObject createFromParcel(Parcel in) {
52. return new BillObject(in);
53. }
55. @Override
56. public BillObject[] newArray(int size) {
57. return new BillObject[size];
58. }
59. };
61. @Override
62. public String toString() {
63. return “bizInNo:” + bizInNo + “，” +
64. “bizStateDesc:” + bizStateDesc + “，” +
65. “bizSubType:” + bizSubType + “，” +
66. “canDelete:” + canDelete + “，” +
67. “bizType:” + bizType + “，” +
68. “consumeFee:” + consumeFee + “，” +
69. “consumeStatus:” + consumeStatus + “，” +
70. “consumeTitle:” + consumeTitle + “，” +
71. “createDesc:” + createDesc + “，” +
72. “createTime:” + createTime + “，” +
73. “destinationUrl:” + destinationUrl + “，” +
74. “gmtCreate:” + gmtCreate + “，” +
75. “isAggregatedRec:” + isAggregatedRec + “，” +
76. “memo:” + memo + “，” +
77. “month:” + month + “，” +
78. “oppositeLogo:” + oppositeLogo + “，” +
79. “oppositeMemGrade:” + oppositeMemGrade + “，” +
80. “sceneId:” + sceneId + “\n”;
81. }
83. @Override
84. public int describeContents() {
85. return 0;
86. }
88. @Override
89. public void writeToParcel(Parcel dest, int flags) {
90. dest.writeString(bizInNo);
91. dest.writeString(bizStateDesc);
92. dest.writeString(bizSubType);
93. dest.writeString(canDelete);
94. dest.writeString(bizType);
95. dest.writeString(consumeFee);
96. dest.writeString(consumeStatus);
97. dest.writeString(consumeTitle);
98. dest.writeString(createDesc);
99. dest.writeString(createTime);
100. dest.writeString(destinationUrl);
101. dest.writeString(gmtCreate);
102. dest.writeString(isAggregatedRec);
103. dest.writeString(memo);
104. dest.writeString(month);
105. dest.writeString(oppositeLogo);
106. dest.writeString(oppositeMemGrade);
107. dest.writeString(sceneId);
108. }
109. }

然后将账单数据存到我们自己的Object对象中，并且发送广播给插件：

1. /**
2. * 发送账单数据广播
3. *
4. * @param objectList
5. * @throws IllegalAccessException
6. */
7. private void sendBillListBroadCast(List<Object> objectList) throws IllegalAccessException {
8. boolean isFound = false; // 是否查到相应位置
9. boolean isLast = false; // 已是最新数据
10. int invalidCount = 0; //
11. ArrayList<BillObject> billObjectList = new ArrayList<>();
13. XposedLogUtils.log(“objectList size:” + objectList.size());
15. for (int i = 0; i < objectList.size(); i++) {
16. Object obj = objectList.get(i);
17. BillObject billObject = new BillObject();
18. billObject.bizInNo = getStringField(obj, “bizInNo”);
19. billObject.bizStateDesc = getStringField(obj, “bizStateDesc”);
20. billObject.bizSubType = getStringField(obj, “bizSubType”);
21. billObject.canDelete = getStringField(obj, “canDelete”);
22. billObject.bizType = getStringField(obj, “bizType”);
23. billObject.consumeFee = getStringField(obj, “consumeFee”);
24. billObject.consumeStatus = getStringField(obj, “consumeStatus”);
25. billObject.consumeTitle = getStringField(obj, “consumeTitle”);
26. billObject.createDesc = getStringField(obj, “createDesc”);
27. billObject.createTime = getStringField(obj, “createTime”);
28. billObject.destinationUrl = getStringField(obj, “destinationUrl”);
29. billObject.gmtCreate = getStringField(obj, “gmtCreate”);
30. billObject.isAggregatedRec = getStringField(obj, “isAggregatedRec”);
31. billObject.memo = getStringField(obj, “memo”);
32. billObject.month = getStringField(obj, “month”);
33. billObject.oppositeLogo = getStringField(obj, “oppositeLogo”);
34. billObject.oppositeMemGrade = getStringField(obj, “oppositeMemGrade”);
35. billObject.sceneId = getStringField(obj, “sceneId”);
37. XposedLogUtils.log(“bizInNo：” + billObject.bizInNo + “, consumeFee:” + billObject.consumeFee + “, gmtCreate:” + billObject.gmtCreate);
38. billObjectList.add(billObject);
39. }
42. Intent broadCastIntent = new Intent();
43. broadCastIntent.putParcelableArrayListExtra(AliParamUtils.mBillListParcelString, billObjectList);
44. broadCastIntent.setAction(PluginReceiver.BILL_LIST_INTENT_FILTER_ACTION);
45. mBillActivity.sendBroadcast(broadCastIntent);
46. }
48. private String getStringField(final Object obj, final String fieldName) throws IllegalAccessException {
49. Field sField = XposedHelpers.findField(obj.getClass(), fieldName);
50. if (sField == null) {
51. return null;
52. }
53. return String.valueOf(sField.get(obj));
54. }

我们在插件的广播接收类中取出账单数据并打印出来：

1. @Override
2. public void onReceive(Context context, Intent intent) {
3. if (intent.getAction().contentEquals(BILL_LIST_INTENT_FILTER_ACTION)) {
4. List<AliHook.BillObject> billObjectList = intent.getParcelableArrayListExtra(AliParamUtils.mBillListParcelString);
5. LogUtils.e(“billObjectListISNull “, billObjectList == null ? “true” : “false” + billObjectList.size());
7. if (billObjectList != null && billObjectList.size() > 0) {
8. for (AliHook.BillObject billObject : billObjectList) {
9. LogUtils.e(“billObject:”, billObject.toString());
10. }
11. }
12. }
13. }

可以看到如下日志：

1. bizInNo:2018050521001004450538532688，bizStateDesc:null，bizSubType:1041，canDelete:true，bizType:TRADE，consumeFee:+0.01，consumeStatus:2，consumeTitle:信息，createDesc:周六，createTime:05–05，destinationUrl:null，gmtCreate:1525488487000，isAggregatedRec:false，memo:null，month:null，oppositeLogo:http://tfs.alipayobjects.com/images/partner/TB1GZtrXXmb81Jjme7TXXc6FpXa_160X160，oppositeMemGrade:golden，sceneId:null
2. bizInNo:2018050521001004640504157182，bizStateDesc:null，bizSubType:1041，canDelete:true，bizType:TRADE，consumeFee:-0.01，consumeStatus:2，consumeTitle:小鸡蛋，createDesc:周六，createTime:05–05，destinationUrl:null，gmtCreate:1525488253000，isAggregatedRec:false，memo:null，month:null，oppositeLogo:https://gw.alipayobjects.com/zos/mwalletmng/mukPPhtdXrnqECpCXXDq.png，oppositeMemGrade:null，sceneId:null
3. bizInNo:2018050521001004640504337006，bizStateDesc:null，bizSubType:1041，canDelete:true，bizType:TRADE，consumeFee:-0.01，consumeStatus:2，consumeTitle:收款，createDesc:周六，createTime:05–05，destinationUrl:null，gmtCreate:1525488220000，isAggregatedRec:false，memo:null，month:null，oppositeLogo:https://gw.alipayobjects.com/zos/mwalletmng/mukPPhtdXrnqECpCXXDq.png，oppositeMemGrade:null，sceneId:null
4. bizInNo:2018050421001004640500816650，bizStateDesc:null，bizSubType:73，canDelete:true，bizType:TRADE，consumeFee:-31.40，consumeStatus:2，consumeTitle:家家乐生活超市，createDesc:周五，createTime:05–04，destinationUrl:null，gmtCreate:1525432915000，isAggregatedRec:false，memo:null，month:null，oppositeLogo:1lhro7mDT_S35zjkEc5I9AAAACMAAQQD，oppositeMemGrade:null，sceneId:null

这不就是账单信息吗，其中”consumeFee”对应的是收账或者消费的金额，”consumeTitle”对应的是备注，”bizInNo”对应的是订单编号，”gmtCreate”对应的账单的时间戳，如果我们只想要收款信息，可以判断”consumeTitle”字段的值是否以”+”开头，

到此，我们已经可以获得账单数据了，但是还有问题，账单数据时分页加载的，每次大概加载20条数据，要想获得全部的账单数据，我们必须要模拟下拉获得更多数据，通过查看账单页面的代码，我们最终找到下拉加载更多是通过调用下面的方法来请求更多账单数据的：

1. public final void e()
2. {
3. this.w = false;
4. if (this.v) { // 判断是否加载到底了
5. d(); // 生成请求获取账单数据
6. }
7. }

其中d()方法是真正的请求数据的方法：

1.   protected final void d()
2. {
3. Object localObject;
4. if (this.w)
5. {
6. this.u.pageType = “WaitPayConsumeQuery”;
7. localObject = new PagingCondition();
8. this.u.paging = ((PagingCondition)localObject);
9. }
10. if ((this.u.startTime != null) && (this.u.startTime.longValue() != 0L) && (this.u.endTime != null) && (this.u.endTime.longValue() != 0L))
11. {
12. this.u.needMonthSeparator = Boolean.valueOf(false);
13. boolean bool = s();
14. if (this.w)
15. {
16. if (this.J != null)
17. {
18. this.J.getRpcSubscriber().cancelRpc();
19. this.J.getRpcSubscriber().getRpcUiProcessor().hideFlowTipViewIfShow();
20. if (this.R != null) {
21. this.R.getRpcSubscriber().cancelRpc();
22. }
23. }
24. localObject = new GetBillListDataRunnable();
25. o localo = new o(this, this, bool);
26. RpcRunConfig localRpcRunConfig = new RpcRunConfig();
27. localRpcRunConfig.showFlowTipOnEmpty = true;
28. localRpcRunConfig.showNetError = true;
29. localRpcRunConfig.exceptionMode = “exception_all”;
30. localRpcRunConfig.loadingMode = LoadingMode.SILENT;
31. localRpcRunConfig.cacheKey = this.K;
32. localRpcRunConfig.flowTipHolderViewId = R.id.bill_list_flow_tip;
33. localRpcRunConfig.cacheType = new p(this);
34. this.J = new RpcRunner(localRpcRunConfig, (RpcRunnable)localObject, localo, new QueryListResProcessor()); // 生成一个RpcRunner对象
35. }
36. if ((!bool) || (!this.w)) {
37. break label380;
38. }
39. if (this.aj) {
40. break label364;
41. }
42. this.J.getRpcRunConfig().cacheMode = CacheMode.CACHE_AND_RPC;
43. label292:
44. if (!bool) {
45. break label410;
46. }
47. if ((!this.w) || (this.z == null) || (this.z.getCount() != 0)) {
48. break label396;
49. }
50. this.J.getRpcRunConfig().showFlowTipOnEmpty = true;
51. }
52. for (;;)
53. {
54. this.J.start(new Object[] { this.u }); // 发起rpc请求，其中this.u是请求参数
55. return;
56. this.u.needMonthSeparator = Boolean.valueOf(true);
57. break;
58. label364:
59. this.J.getRpcRunConfig().cacheMode = CacheMode.RPC_AND_SAVE_CACHE;
60. break label292;
61. label380:
62. this.J.getRpcRunConfig().cacheMode = CacheMode.NONE;
63. break label292;
64. label396:
65. this.J.getRpcRunConfig().showFlowTipOnEmpty = false;
66. continue;
67. label410:
68. if (this.w) {
69. this.J.getRpcRunConfig().showFlowTipOnEmpty = true;
70. } else {
71. this.J.getRpcRunConfig().showFlowTipOnEmpty = false;
72. }
73. }
74. }

我们在需要加载更多账单数据时只需要调用e()方法，即可加载更多账单数据

callMethod(mBillActivity, "e");

其中mBillActivity是账单页面对象，我们hook BillListActivity_的onCreate方法，然后记录账单Activity对象，并且在onDestory是将mBillActivity设置为null，代码如下：

1. findAndHookMethod(“com.alipay.mobile.bill.list.ui.BillListActivity_”, mBillListActivityClassLoader, “onCreate”, Bundle.class, new XC_MethodHook() {
2. @Override
3. protected void afterHookedMethod(MethodHookParam param) throws Throwable {
4. XposedLogUtils.log(“com.alipay.mobile.bill.list.ui.BillListActivity_” + “:onCreated”);
5. mBillActivity = (Activity) param.thisObject;
6. }
7. });
9. // hook BaseActivity onDestroy方法，BaseActivity是支付宝Activity共有的父类，通过类名判断是否是账单页面被销毁，因为BillListActivity_并没有重写onDestory方法，所有是不能直接hook它的onDestory方法的
10. findAndHookMethod(“com.alipay.mobile.framework.app.ui.BaseActivity”, classLoader, “onDestroy”, new XC_MethodHook() {
11. @Override
12. protected void afterHookedMethod(MethodHookParam param) throws Throwable {
14. if (param.thisObject.getClass().getName().equals(“com.alipay.mobile.bill.list.ui.BillListActivity_”)) {
15. XposedLogUtils.log(“com.alipay.mobile.bill.list.ui.BillListActivity_” + “:onDestroy方法”);
16. mBillActivity = null;
17. }
18. }
19. });

ok，加载更多账单数据的问题解决，在考虑一下，我们是否能够在每次获得最新的账单数据时不需要重新打开账单页面，而是模拟账单页面的下拉刷新呢？我们知道账单页面是通过APListView外面套了一个APPullRefreshView来实现下拉刷新的，打开APPullRefreshView的代码：

1. public class APPullRefreshView
2. extends APFrameLayout
3. implements GestureDetector.OnGestureListener
4. {
5. private APPullRefreshView.RefreshListener d;
6.   // 应该是这下拉刷新的监听类    
7. public void setRefreshListener(APPullRefreshView.RefreshListener paramRefreshListener)
8. {
9. if (this.mOverView != null) {
10. removeView(this.mOverView);
11. }
12. this.d = paramRefreshListener;
13. this.mOverView = this.d.getOverView();
14. paramRefreshListener = new FrameLayout.LayoutParams(-1, –2);
15. addView(this.mOverView, 0, paramRefreshListener);
16. getViewTreeObserver().addOnGlobalLayoutListener(new APPullRefreshView.1(this));
17. }
18. }

在看一下APPullRefreshView.RefreshListener的代码：

1. package com.alipay.mobile.commonui.widget;
3. public abstract interface APPullRefreshView$RefreshListener
4. {
5. public abstract boolean canRefresh();
7. public abstract APOverView getOverView();
9. public abstract void onRefresh();
10. }

可以看到APPullRefreshView.RefreshListener中有一个onRefresh()方法，猜想这个应该是控件下拉刷新的回调方法，在具体的下拉刷新监听类中肯定要去实现该方法，完成下拉刷新的回调。现在我们可以获得账单页面的APPullRefreshView对象，然后又可以通过反射获得其APPullRefreshView.RefreshListener对象，那么我们直接调用其onRefresh方法，不就可以模拟下拉刷新了吗？代码如下：

1. Field aPPullRefreshViewFiled = XposedHelpers.findField(mBillActivity.getClass().getSuperclass(), “g”); // 获得账单页面APPullRefreshView对应的Field
2. final Object aPPullRefreshView = aPPullRefreshViewFiled.get(mBillActivity); // 获得账单页面APPullRefreshView对象
3. Field refreshListenerField = XposedHelpers.findField(findClass(AliParamUtils.mAPPullRefreshViewClassFullName, mClassLoader), “d”); // 获得账单页面APPullRefreshView.RefreshListener对应的Field
4. final Object refreshListener = refreshListenerField.get(aPPullRefreshView); // 获得账单页面APPullRefreshView.RefreshListener对象
5. callMethod(refreshListener, “onRefresh”); // 调用账单页面APPullRefreshView.RefreshListener对象的onRefresh方法，模拟下拉刷新

到这里，已经可以通过调用下拉刷新的回调方法获得最新的账单数据，通过调用上拉加载更多的回调方法获得更多的账单数据，然而，支付宝每次请求账单数据时，大概只会请求20条左右的数据，如果账单数据量比较大，那么就需要发送多次网络请求才能获得全部账单数据。我们知道支付宝是通过Rpc来进行网络传输的，而要发起网络请求，会调用RpcRunner的start方法：

1. public void start(Object… paramVarArgs)
2. {
3. if ((this.rpcTask != null) && (paramVarArgs != null)) {
4. this.rpcTask.setParams(paramVarArgs);
5. }
6. start(this.rpcTask);
7. }

其中”Object… paramVarArgs”是请求参数，例如请求账单数据调用的代码如下：

this.J.start(new Object[] { this.u });

其中this.J是一个RpcRunner对象，this.u是账单页面的请求参数，定义如下：

private QueryListReq u;

1. package com.alipay.mobilebill.common.service.model.pb;
3. import com.squareup.wire.Message;
4. import com.squareup.wire.Message.Datatype;
5. import com.squareup.wire.Message.Label;
6. import com.squareup.wire.ProtoField;
7. import java.util.Collections;
8. import java.util.List;
10. public final class QueryListReq
11. extends Message
12. {
13. @ProtoField(tag=28, type=Message.Datatype.INT64)
14. public Long asyncQueryTaskId;
15. @ProtoField(tag=27, type=Message.Datatype.STRING)
16. public String batchTagId;
17. @ProtoField(tag=24, type=Message.Datatype.STRING)
18. public String billMonthCategoryId;
19. @ProtoField(tag=25, type=Message.Datatype.STRING)
20. public String billMonthSubCategoryId;
21. @ProtoField(tag=14, type=Message.Datatype.STRING)
22. public String bizState;
23. @ProtoField(tag=8, type=Message.Datatype.STRING)
24. public String bizSubType;
25. @ProtoField(tag=7, type=Message.Datatype.STRING)
26. public String bizType;
27. @ProtoField(tag=1, type=Message.Datatype.STRING)
28. public String category;
29. @ProtoField(tag=20, type=Message.Datatype.STRING)
30. public String categoryId;
31. @ProtoField(tag=23, type=Message.Datatype.STRING)
32. public String ceilAmount;
33. @ProtoField(tag=15, type=Message.Datatype.STRING)
34. public String consumeStatus;
35. @ProtoField(tag=10, type=Message.Datatype.STRING)
36. public String date;
37. @ProtoField(tag=29, type=Message.Datatype.STRING)
38. public String dateType;
39. @ProtoField(tag=18, type=Message.Datatype.INT64)
40. public Long endTime;
41. @ProtoField(tag=16, type=Message.Datatype.STRING)
42. public String extReq;
43. @ProtoField(tag=26, type=Message.Datatype.STRING)
44. public String extraFilter;
45. @ProtoField(tag=22, type=Message.Datatype.STRING)
46. public String floorAmount;
47. @ProtoField(tag=11, type=Message.Datatype.STRING)
48. public String inout;
49. @ProtoField(tag=6, type=Message.Datatype.STRING)
50. public String month;
51. @ProtoField(tag=5, type=Message.Datatype.BOOL)
52. public Boolean needMonthSeparator;
53. @ProtoField(tag=30, type=Message.Datatype.STRING)
54. public String oldCategoryName;
55. @ProtoField(tag=13, type=Message.Datatype.STRING)
56. public String oppositeCardNo;
57. @ProtoField(tag=2, type=Message.Datatype.STRING)
58. public String pageType;
59. @ProtoField(tag=3)
60. public PagingCondition paging; // 配置当前页信息，比如页面条数，是否有下一页等
61. @ProtoField(tag=12, type=Message.Datatype.STRING)
62. public String product;
63. @ProtoField(tag=9, type=Message.Datatype.STRING)
64. public String scene;
65. @ProtoField(tag=4, type=Message.Datatype.STRING)
66. public String searchKeyWords;
67. @ProtoField(tag=17, type=Message.Datatype.INT64)
68. public Long startTime;
69. @ProtoField(tag=21, type=Message.Datatype.STRING)
70. public String subCategoryId;
71. @ProtoField(label=Message.Label.REPEATED, tag=19, type=Message.Datatype.STRING)
72. public List<String> tagIdList;
73. }
76. public final class PagingCondition
77. extends Message
78. {
79. @ProtoField(tag=7, type=Message.Datatype.STRING)
80. public String defQueryEndTime;
81. @ProtoField(tag=4, type=Message.Datatype.BOOL)
82. public Boolean hasNextPage;
83. @ProtoField(tag=5, type=Message.Datatype.INT32)
84. public Integer listQueryTime;
85. @ProtoField(tag=6, type=Message.Datatype.INT32)
86. public Integer nextPageDate;
87. @ProtoField(tag=3, type=Message.Datatype.INT32)
88. public Integer nextPageMonth;
89. @ProtoField(tag=2, type=Message.Datatype.INT32)
90. public Integer nextPageNum;
91. @ProtoField(tag=1, type=Message.Datatype.INT32)
92. public Integer pageSize; // 每页请求的数据条数
93. }

我们只关注当前页的请求数据条数，通过日志打印我们知道QueryListReq.paging.pageSize配置的就是当前页请求的数据条数，我们只需要在发起请求前修改这个参数，就可以修改每页请求的数据条数了。那么怎样修改呢？可以考虑hook RpcRunner的start方法，判断参数是否是QueryListReq类型，如果是，则表示是在请求账单数据，然后修改参数中的pageSize，最后再发起请求，即可达到修改参数的目的，代码如下：

1. // hook rpc执行请求方法，可以在这里修改请求参数
2. findAndHookMethod(AliParamUtils.mRpcRunnerFullClassName, classLoader, “start”, Object[].class, new XC_MethodHook() {
3. @Override
4. protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
5. if (param.args[0] != null) {
6. XposedLogUtils.log(param.args[0].toString());
7. XposedLogUtils.log(param.args[0].getClass().getName());
8. if (param.args[0] instanceof Object[]) {
9. Object[] objects = (Object[]) param.args[0];
10. if (objects.length > 0) {
11. Object queryListReq = objects[0];
12. if (queryListReq != null && queryListReq.getClass().getName().contentEquals(“com.alipay.mobilebill.common.service.model.pb.QueryListReq”)) {
13. Object queryListReqPaging = XposedHelpers.getObjectField(queryListReq, “paging”);
14. if (queryListReqPaging != null) {
15. XposedHelpers.setObjectField(queryListReqPaging, “pageSize”, 200); // 修改账单请求参数，自定义每次请求数据
16. }
17. }
18. }
19. }
20. }
21. super.beforeHookedMethod(param);
22. }
23. });

上面将每页的请求数据修改为200条，经过测试是没有问题的，成功一次请求到了200条账单数据，但当将其修改为1000条时，提示获得账单数据失败，估计支付宝后台有限制，毕竟1000条账单数据量还是挺大的，至于最大可以设置为多少有兴趣可以自己测试。到此，我们实现了可以动态的修改每次账单数据的请求条数。

另外一种情况是，当没有账单数据时，是不会调用BillListAdapter的”a”方法来添加数据，这个时候我们就需要hook其他的方法，来判断是否有账单数据，通过观察，我们找到了账单页面的在收到账单数据的回调方法，如下：

1. @UiThread
2. protected void a(QueryListRes paramQueryListRes, boolean paramBoolean);

也就是说，只要账单数据返回来了，一定是会调用该方法的，我们可以在这个方法中判断账单数据是否为空，并且判断账单数据是否加载完成：

1. Method method = billActivityClass.getDeclaredMethod(“a”, findClass(“com.alipay.mobilebill.common.service.model.pb.QueryListRes”, mClassLoader), boolean.class);
3. if (method != null) {
4. XposedBridge.hookMethod(method, new XC_MethodHook() {
5. @Override
6. protected void afterHookedMethod(MethodHookParam param) throws Throwable {
7. XposedLogUtils.log(AliParamUtils.mBillListActivityClassFullName + “:called a”);
8. Activity activity = (Activity) param.thisObject;
9. if (activity != null && mLastTimestamp > 0) {
10. int noRecordId = FindResourceIdUtils.getFieldId(“com.alipay.mobile.bill.list”, “id”, “bill_list_flow_tip”, mBillListActivityClassLoader);
11. View noRecordView = activity.findViewById(noRecordId);
12. if (noRecordView != null && noRecordView.getVisibility() == View.VISIBLE) {
13. XposedLogUtils.log(“——“ + “用户账单数据为空” + “———–“);
14. } else {
15. boolean isCanLoadMore = (boolean) callMethod(param.thisObject, AliParamUtils.mBillListCanLoadMoreMethodName);
16. boolean isFromCache = (boolean) param.args[1];
17. XposedLogUtils.log(“——“ + isCanLoadMore + ” “ + isFromCache + “———–“);
18. if (!(isCanLoadMore || isFromCache)) {
19. XposedLogUtils.log(“——没有更多数据了，到底了”);
20. }
21. }
23. }
24. }
25. });
26. }

通过查找账单页面是否存在账单为空的view来判断账单数据是否为空。

六、优化设置金额页面

现在每次获得二维码链接时，都必须打开和关闭一次设置金额页面，这个对速度是有影响的，那么我们是否能够只打开一次设置金额页面，获得二维码链接后不关闭页面呢？下面来分析一下设置金额页面在获得服务端返回的二维码链接数据后的回调方法：

1. public class PayeeQRSetMoneyActivity
2. extends BaseActivity
4. protected final void a(ConsultSetAmountRes paramConsultSetAmountRes)
5. {
6. runOnUiThread(new ct(this, paramConsultSetAmountRes));
7. }
8. }

1. final class ct
2. implements Runnable
3. {
4. ct(PayeeQRSetMoneyActivity paramPayeeQRSetMoneyActivity, ConsultSetAmountRes paramConsultSetAmountRes) {}
6. public final void run()
7. {
8. PayeeQRSetMoneyActivity.a.b(“call processConsultSetAmountRes(), ConsultSetAmountRes = “ + this.a);
9. if (this.a != null)
10. {
11. if (!this.a.success) {
12. break label140;
13. }
14. Intent localIntent = new Intent();
15. localIntent.putExtra(“codeId”, this.a.codeId);
16. localIntent.putExtra(“qr_money”, this.b.g);
17. localIntent.putExtra(“beiZhu”, this.b.c.getInputedText());
18. localIntent.putExtra(“qrCodeUrl”, this.a.qrCodeUrl);
19. localIntent.putExtra(“qrCodeUrlOffline”, this.a.printQrCodeUrl);
20. this.b.setResult(-1, localIntent); // 设置数据到intent，回传给收款页面生成对应的二维码
21. this.b.finish(); // 关闭设置金额页面
22. }
23. for (;;)
24. {
25. return;
26. label140:
27. this.b.alert(“”, this.a.message, this.b.getString(R.string.payee_confirm), null, null, null);
28. }
29. }
30. }

通过上面的代码我们知道，在收款二维码的回调方法中，会在UI线程关闭当前页面，并将数据传递给收款页面，我们只需要替换掉a方法，就可以不关闭设置金额页面了，代码如下：

1. // hook获得二维码url的回调方法（替换方法 ）
2. findAndHookMethod(findClass(“com.alipay.mobile.payee.ui.PayeeQRSetMoneyActivity”, classLoader), “a”, findClass(“com.alipay.transferprod.rpc.result.ConsultSetAmountRes”, classLoader), new XC_MethodReplacement() {
3. @Override
4. protected Object replaceHookedMethod(MethodHookParam methodHookParam) throws Throwable {
5. Object consultSetAmountRes = methodHookParam.args[0];
6. String consultSetAmountResString = “”;
7. if (consultSetAmountRes != null) {
8. consultSetAmountResString = (String) callMethod(consultSetAmountRes, “toString”);
9. }
10. // 获得返回数据后发送广播将数据传给支付宝插件程序
11. Activity activity = (Activity) methodHookParam.thisObject;
12. sendQrLinkBroadCast(activity, consultSetAmountResString, mJinEr, mBeiZhu);
13. return null;
14. }
15. });

七、自动登录

从服务端获得账户名密码后，我们需要调用支付宝的方法来实现自动登录，首先用hierarchy view看一下登录页面：

首先可以看到登录页面名称为”com.alipay.mobile.security.login.ui.AlipayUserLoginActivity”，在新的支付宝版本，添加了刷脸登录功能，如果之前登录过支付宝，它会让最近登录的账号选择是刷脸登录还是密码登录，选择密码登录就会显示密码登录的布局，注意，这个时候并没有跳转到另外的Activity，只是改变了界面的布局而已，看一下密码登录界面的布局：

用hierarchy view看一下布局结构：

可以看到账号和密码的输入框对应的类型是AUInputBox类，账号的id为”userAccountInput”，密码的id为”userPasswordInput”，我们可以通过findViewById找到这两个控件，再打开AUInputBox类，看一下其有没有设置内容的方法，通过查找，发现有如下方法：

1. public void setText(CharSequence paramCharSequence)
2. {
3. this.mInputEditText.setText(paramCharSequence);
4. paramCharSequence = this.mInputEditText.getSafeText();
5. if ((paramCharSequence instanceof Spannable)) {
6. Selection.setSelection((Spannable)paramCharSequence, paramCharSequence.length());
7. }
8. }

猜想这个应该就是设置输入框内容的方法。

再看一下选择登录方式页面，如果需要选择登录方式，我们首先要选择密码登录切换到密码登录布局，然后才能设置账号和密码输入框的内容，最后再找到登录，调用其performClick模拟点击登录按钮，具体代码如下：

1. // hook 支付宝登陆界面的onCreate方法，获得主界面对象并注册广播
2. findAndHookMethod(“com.alipay.mobile.security.login.ui.AlipayUserLoginActivity”, mClassLoader, “onCreate”, Bundle.class, new XC_MethodHook() {
3. @Override
4. protected void afterHookedMethod(MethodHookParam param) throws Throwable {
5. XposedLogUtils.log(“com.alipay.mobile.security.login.ui.AlipayUserLoginActivity” + “:onCreated方法”);
6. mLoginActivity = (Activity) param.thisObject;
7. Intent intent = ((Activity) param.thisObject).getIntent();
8. if (intent != null) {
9. String account = intent.getStringExtra(“account”);
10. String password = intent.getStringExtra(“password”);
11. XposedLogUtils.log(“account:” + account);
12. XposedLogUtils.log(“password:” + password);
13. executeLogin(account, password); // 执行模拟登录
14. }
15. }
16. });
18. // hook 支付宝的登陆界面的onDestory方法，将保持的登录页面对象设置为空
19. findAndHookMethod(“com.alipay.mobile.security.login.ui.AlipayUserLoginActivity”, mClassLoader, “onDestroy”, new XC_MethodHook() {
20. @Override
21. protected void afterHookedMethod(MethodHookParam param) throws Throwable {
22. XposedLogUtils.log(“com.alipay.mobile.security.login.ui.AlipayUserLoginActivity” + “:onDestroy方法”);
23. mLoginActivity = null;
24. }
25. });
28. /**
29. * 模拟登录
30. *
31. * @param account
32. * @param password
33. */
34. public static void startLogin(String account, String password) {
35. XposedLogUtils.log(“mLauncherActivity :” + mLauncherActivity);
36. if (mLauncherActivity != null) {
37. if (mLoginActivity != null) { // 如果登录界面已经启动则直接在当前登录界面模拟登录
38. executeLogin(account, password);
39. } else { // 如果登录页面没有启动则先启动登录页面
40. XposedLogUtils.log(“startLogin” + ” “ + account + ” “ + password);
41. Class alipayUserLoginActivityClass = XposedHelpers.findClass(AliParamUtils.mAlipayUserLoginActivityClassFullName, mClassLoader);
42. Intent launcherIntent;
43. launcherIntent = new Intent(mLauncherActivity, alipayUserLoginActivityClass);
44. launcherIntent.putExtra(“account”, account);
45. launcherIntent.putExtra(“password”, password);
46. mLauncherActivity.startActivity(launcherIntent);
47. }
48. }
49. }
52. /**
53. * 模拟登录
54. *
55. * @param account
56. * @param password
57. */
58. public static void executeLogin(String account, String password) {
59. if (mLoginActivity != null && !TextUtils.isEmpty(account) && !TextUtils.isEmpty(password)) {
60. XposedLogUtils.log(“executeLogin” + ” “ + account + ” “ + password);
61. mAccount = account;
62. mPassword = password;
63. View switchToPasswordLogin = mLoginActivity.findViewById(FindResourceIdUtils.getFieldId(“com.ali.user.mobile.security.ui”, “id”, “switchToPasswordLogin”, mClassLoader)); // 找到切换到密码登录按钮
64. if (switchToPasswordLogin != null) { // 要判断该按钮是否存在，存在则需要模拟点击切换到密码登录
65. switchToPasswordLogin.performClick();
66. switchToPasswordLogin.postDelayed(new Runnable() { // 这里最好做一下延时处理，因为后面的密码登录布局是动态添加到布局中的，延时一下能够确保密码登录布局已经加载
67. @Override
68. public void run() {
69. executeLogin();
70. }
71. }, 200);
72. } else {
73. executeLogin(); // 如果找不到切换到密码登录按钮则说明当前密码登录布局已经加载了
74. }
75. }
76. }
78. /**
79. * 自动登录
80. */
81. private static void executeLogin() {
82. View userAccountInput = mLoginActivity.findViewById(FindResourceIdUtils.getFieldId(“com.ali.user.mobile.security.ui”, “id”, “userAccountInput”, mClassLoader));
83. View userPasswordInput = mLoginActivity.findViewById(FindResourceIdUtils.getFieldId(“com.ali.user.mobile.security.ui”, “id”, “userPasswordInput”, mClassLoader));
84. XposedHelpers.callMethod(userAccountInput, “setText”, mAccount);
85. XposedHelpers.callMethod(userPasswordInput, “setText”, mPassword);
86. XposedHelpers.callMethod(userAccountInput, “setText”, mAccount); // 要在设置一遍，否则账号数据无法设置上去，可能是账号输入框上保留了上一次的登录账号导致的，具体原因还不知道
87. View loginButton = mLoginActivity.findViewById(FindResourceIdUtils.getFieldId(“com.ali.user.mobile.security.ui”, “id”, “loginButton”, mClassLoader));
88. loginButton.performClick();
89. }

上面就是所有的自动登录的代码，其中在查找控件id的时候用到了一个辅助类，定义如下：

1. public class FindResourceIdUtils {
2. /**
3. * 根据给定的类型名和字段名，返回R文件中的字段的值
4. */
5. public static int getFieldId(String rPackageName, String typeName, String fieldName, ClassLoader classLoader){
6. int i = –1;
7. try {
8. Class<?> clazz = XposedHelpers.findClass(rPackageName + “.R$” + typeName, classLoader);
9. i = clazz.getField(fieldName).getInt(null);
10. } catch (Exception e) {
11. log(“没有找到”+ rPackageName +“.R$” + typeName + “类型资源 “ + fieldName + “请copy相应文件到对应的目录.”);
12. return –1;
13. }
14. return i;
15. }
16. }

八、模拟退出

在收到服务器退出当前账号的消息后，需要调用支付宝的方法退出登录，一样的，首先看一下支付宝自己的退出方式，在设置界面的最底部有一个退出登录按钮，如下：

用hierarchy view看一下布局结构：

可以看到，设置页面对应的Class名称为UserSettingActivity_，退出登录控件的id为logout，打开UserSettingActivity_类，可以找到如下代码：

1. public final class UserSettingActivity_
2. extends UserSettingActivity
3. implements HasViews, OnViewChangedListener
4. {
5. private final OnViewChangedNotifier i = new OnViewChangedNotifier();
7. public final void onViewChanged(HasViews paramHasViews)
8. {
9. this.e = ((UserContainer)paramHasViews.findViewById(R.id.user_container));
10. this.f = paramHasViews.findViewById(R.id.logout); // 找到退出登录按钮
11. if (this.f != null) {
12. this.f.setOnClickListener(new h(this)); // 设置点击监听
13. }
14. …
15. }
16. }

可以看到退出登录按钮的点击监听类为”h”类，”h”类定义如下：

1. package com.alipay.android.phone.home.user.ui;
3. import android.view.View;
4. import android.view.View.OnClickListener;
6. final class h
7. implements View.OnClickListener
8. {
9. h(UserSettingActivity_ paramUserSettingActivity_) {}
11. public final void onClick(View paramView)
12. {
13. this.a.a();
14. }
15. }

点开this.a.a()方法：

1. @Click(resName={“logout”})
2. protected final void a()
3. {
4. try
5. {
6. ((LogoutService)this.mApp.getMicroApplicationContext().getExtServiceByInterface(LogoutService.class.getName())).showChangeAccountDialog(this);
7. SpmLogUtil.p();
8. return;
9. }
10. catch (Exception localException)
11. {
12. for (;;)
13. {
14. LoggerFactory.getTraceLogger().error(this.i, localException.toString());
15. }
16. }
17. }

大致的意思是调用了退出登录的服务的显示切换登录账号的弹框，注意，我们在点击退出登录的时候是不会直接退出登录的，而是会显示一个弹框，如下：

再点击退出登录才能真正的退出登录，试想一下，既然支付宝有提供退出登录的服务，那么退出登录的功能应该也是在该服务中实现的，点击showChangeAccountDialog方法，发现打开了一个抽象类，定义如下：

1. package com.alipay.mobile.framework.service.ext.security;
3. import android.app.Activity;
4. import android.content.Intent;
5. import com.alipay.mobile.framework.service.ext.ExternalService;
6. import com.alipay.mobile.framework.service.ext.security.bean.UserInfo;
8. public abstract class LogoutService
9. extends ExternalService
10. {
11. public static final String TYPE_DEVICE_LOCK = “SingleDevice”;
12. public static final String TYPE_LOGOUT = “Logout”;
13. public static final String TYPE_NO_TOKEN = “LogoutNoToken”;
15. public abstract void localLogout(String paramString);
17. public abstract void logout();
19. public abstract void showChangeAccountDialog(Activity paramActivity);
21. public abstract void syncLogout(String paramString, UserInfo paramUserInfo, Intent paramIntent);
22. }

其中有一个logout()方法，猜想真正的退出登录应该就是调用的该方法，现在我们只需获得退出登录的服务，并且调用其logout方法，即可完成退出登录，看上面的代码，是通过如下代码获得退出登录服务的：

this.mApp.getMicroApplicationContext().getExtServiceByInterface(LogoutService.class.getName()))

先要获得App对象，然后调用其getMicroApplicationContext()方法获得一个MicroApplicationContext对象，在调用MicroApplicationContext对象的getExtServiceByInterface方法，传入服务的类名即可获得对应的服务，而这里的mApp对象已经在界面中初始化好了，通过查看代码，我们有其他的方式获得App对象，通过调用AlipayApplication的getInstance方法，可以获得一个App对象的实例，然后就可以获得退出登录的服务了，最后在调用其logout方法即可实现退出登录：

1. /**
2. * 退出登录
3. */
4. public static void startLogout() {
5. XposedLogUtils.log(“startLogout”);
6. Object alipayApplication = callStaticMethod(findClass(“com.alipay.mobile.framework.AlipayApplication”, mLoadPackageParam.classLoader), “getInstance”);
7. Object microApplicationContext = callMethod(alipayApplication, “getMicroApplicationContext”);
8. Object logoutService = callMethod(microApplicationContext, “getExtServiceByInterface”, “com.alipay.mobile.framework.service.ext.security.LogoutService”);
9. callMethod(logoutService, “logout”);
10. }

九、获得用户信息

想要获得的用户信息包括当前登录用户的账号，头像，登录token等，首先我们在支付宝”我的”页面”是可以看到当前登录用户的账号，头像等信息的，如下：

用hierarchy view看一下布局结构：

发现这一块信息是在一个叫”AccountInfoView”的控件中，在反编译代码中搜索AccountInfoView类，发现有如下代码：

1. public void refreshUserData()
2. {
3. Object localObject = UserInfoCacher.a().a;
4. …
5. }

而用户的信息都是从这个localObject中获取到的，点开”UserInfoCacher.a().a”的定义，如下：

1. package com.alipay.android.widgets.asset.utils;
3. import com.alipay.mobile.common.helper.UserInfoHelper;
4. import com.alipay.mobile.framework.AlipayApplication;
5. import com.alipay.mobile.framework.MicroApplicationContext;
6. import com.alipay.mobile.framework.service.ext.security.bean.UserInfo;
8. public class UserInfoCacher
9. {
10. private static UserInfoCacher b;
11. public UserInfo a;
12. private MicroApplicationContext c = AlipayApplication.getInstance().getMicroApplicationContext();
14. public static UserInfoCacher a()
15. {
16. try
17. {
18. if (b == null)
19. {
20. localUserInfoCacher = new com/alipay/android/widgets/asset/utils/UserInfoCacher;
21. localUserInfoCacher.<init>();
22. b = localUserInfoCacher;
23. }
24. UserInfoCacher localUserInfoCacher = b;
25. return localUserInfoCacher;
26. }
27. finally {}
28. }
30. public final void b()
31. {
32. this.a = UserInfoHelper.getInstance().getUserInfo(this.c);
33. }
34. }