在android的官方文档中提到：
to preserve security,hierarchy viewer can only connect to devices running a developer version of the android system.
即：出于安全考虑，hierarchy viewer只能连接android开发版手机或是模拟器(准确地说，只有ro.secure参数等于0且ro.debuggable等于1的android系统)。hierarchy viewer在连接手机时，手机上必须启动一个叫view server的客户端与其进行socket通信。而在商业手机上，是无法开启view server的，故hierarchy viewer是无法连接到普通的商业手机。android源码实现这一限制的地方在:
android源码根目录\frameworks\base\services\j**a\com\android\server\wm\windowmanageservice.j**a
中的一段：
public boolean startviewserver(int port){
if(**systemsecure()){
return false;}
if!checkcallingperm**sion(manifest.perm**sion.dump,”startviewserver”)){
return false;}
检验一台手机是否开启了view server的办法为：
adb shell service call window 3
若返回值是：result:parcel(00000000 00000000‘….’)”说明view server处于关闭状态
若返回值是：result:parcel(00000000 00000001‘….’)”说明view server处于开启状态
若是一台可以打开view server的手机（android开发版手机、模拟器or 按照本帖步骤给系统打补丁的手机），我们可以使用以下命令打开view server：
adb shell service call window 1 i32 4939
使用以下命令关闭view server：
adb shell service call window 2 i32 4939
实现步骤：
经过一番调查和实践，我发现其实只要是root，并且装有busybox的手机，通过修改手机上/system/framework中的某些文件，就可以开启。本文参考了http://blog.apkudo.com/tag/viewserver/，以下是具体步骤（本人基于windows，若你是linux的操作系统，直接看原帖吧）：
前提是：你的手机已经获得root权限，且有busybox
另外：请仔细阅读本帖的评论，或许你会有新的收获。1.将商业手机通过u**连接pc，确保adb服务运行正常
2.备份手机上/system/framework/中的文件至pc。备份的时候请确保pc上保存备份文件的文件夹结构与手机中的/system/framework相同
例如：新建 android_sdk_root\system\framework文件夹(本文出现的android_sdk_root指你安装android sdk的根目录）
接着在cmd中跳转至android_sdk_root\platform-tools文件夹下，输入以下代码进行备份：
adb pull/system/framework android_sdk_root\system\framework
3.进入adb shell，输出bootclasspath：
推荐的做法：
1.在adb shell中echo$bootclasspath>/sdcard/bootclasspath.txt
2.退回到windows cmd中，输入adb pull/sdcard/bootclasspath.txt
3.bootclasspath.txt将会保存在c:\users\你的用户名 文件夹下
在第十五步中将会用到这个txt中的内容。4.下载baksmali 和smali工具。这两个工具是用来反编译和编译odex文件的。下载地址：https://dl.dropboxusercontent.com/u/5055823/baksmali-1.4.2.jarhttps://dl.dropboxusercontent.com/u/5055823/smali-1.4.2.jar
假设我将这两个jar都下载到了android sdk根目录下。5.运行baksmali反编译\system\framework下的services.odex文件：
j**a-jar android_sdk_root\baksmali-1.4.2.jar-a 17-x android_sdk_root\system\framework\services.odex-d android_sdk_root\system\framework
参数解释：https://code.google.com/p/smali/wiki/deodexinstructions
想特别说明的是“-a”后跟的数字，表示你系统的api level（与你的系统版本有关）。系统版本和api level的对照关系如下：
\
(另外，你不会连j**a-jar都不能运行吧?快去装jdk!此步成功的话,在同文件夹下(对于我,就是android_sdk_root)，会有个out文件夹生成
这里顺便解释一下odex文件和dex文件。dex文件：dex是dalvik vm executes的全称，即android dalvik执行程序，并非j**a的字节码而是dalvik字节码，16进制机器指令。odex文件：将dex文件依据具体机型而优化，形成的optimized dex文件，提高软件运行速度，减少软件运行时对ram的占用。smali文件：将dex文件变为可读易懂的代码形式，反编译出文件的一般格式。6.用eclipse打开out\com\android\server\wm\windowmanagerservice.smali文件
查找.method private **systemsecure()z这个函数
method private **systemsecure()z
reg**ters 4
prologue
line 5965
const-string v0,“1″
const-string v1,“ro.secure”
const-string v2,“1″
invoke-static {v1,v2},landroid/os/systemproperties;get(lj**a/lang/string;lj**a/lang/string;lj**a/lang/string;move-result-object v1
invoke-virtual {v0,v1},lj**a/lang/string;equals(lj**a/lang/object;z
move-result v0
if-eqz v0,:cond_22
const-string v0,“0″
const-string v1,“ro.debuggable”
const-string v2,“0″
invoke-static {v1,v2},landroid/os/systemproperties;get(lj**a/lang/string;lj**a/lang/string;lj**a/lang/string;move-result-object v1
invoke-virtual {v0,v1},lj**a/lang/string;equals(lj**a/lang/object;z
move-result v0
if-eqz v0,:cond_22
const/4 v0,0×1
goto_21
return v0
cond_22
const/4 v0,0×0
goto:goto_21
end method
在这段代码的倒数7,8行“:goto_21”和“return v0”之间加入“const/4 v0,0×0″一行.这样，就使得v0返回的值永远为0×0，即false，这样就跳过了windowmanagerservice.j**a里对**systemsecure的判断。method private **systemsecure()z函数最后变为:
method private **systemsecure()z
reg**ters 4
prologue
line 6276
const-string v0,“1″
const-string v1,“ro.secure”
const-string v2,“1″
invoke-static {v1,v2},landroid/os/systemproperties;get(lj**a/lang/string;lj**a/lang/string;lj**a/lang/string;move-result-object v1
invoke-virtual {v0,v1},lj**a/lang/string;equals(lj**a/lang/object;z
move-result v0
if-eqz v0,:cond_22
const-string v0,“0″
const-string v1,“ro.debuggable”
const-string v2,“0″
invoke-static {v1,v2},landroid/os/systemproperties;get(lj**a/lang/string;lj**a/lang/string;lj**a/lang/string;move-result-object v1
invoke-virtual {v0,v1},lj**a/lang/string;equals(lj**a/lang/object;z
move-result v0
if-eqz v0,:cond_22
const/4 v0,0×1
goto_21
const/4 v0,0×0
return v0
cond_22
const/4 v0,0×0
goto:goto_21
end method
7.现在运行smali，重新编译：
j**a-jar smali-1.4.2.jar-o classes.dex
这时候，应该在android_sdk_root文件夹中出现了classes.dex文件
8.下载windows下的zip工具：https://dl.dropboxusercontent.com/u/5055823/zip.exe
假设，我也把zip.exe放进了android_sdk_root文件夹
9.确认当前cmd命令行运行目录为android_sdk_root,运行：
zip.exe services_hacked.jar./classes.dex
这时候在android_sdk_root文件夹下，出现了打包好的services_hacked.jar
10.进入adb shell，输入su获得root权限
11.接着输入mount，查看哪个分区挂载了/system,例如我的是：
\
接着，输入以下命令重新挂载/system，并更改/system权限（请将“/dev/block/mmcblk0p25”替换成你的/system挂载分区）：
mount-o rw,remount-t yaffs2/dev/block/mmcblk0p25
chmod-r 777/system 使得/system 可以被我们任意修改
这一步的作用，主要是为了第17步能够将/system/framework里的services.odex替换掉。这一步若不成功，在第17步的时候可能出现权限不够，无法替换的错误（read-only file system）
12.下载dexopt-wrappe**件https://dl.dropboxusercontent.com/u/5055823/dexopt-wrapper
我们也将dexopt-wrappe**件放在android_sdk_root文件夹中
13.将services_hacked.jar和dexopt-wrapper复制到手机的/data/local/tmp文件夹中
adb push android_sdk_root/services_hacked.jar/data/local/tmp
adb push android_sdk_root/dexopt-wrapper/data/local/tmp
14.进入adb shell，输入su后，将dexopt-wrapper的权限改为777
chmod 777/data/local/tmp/dexopt-wrapper
15.在adb shell中cd到/data/local/tmp文件夹下，运行：
dexopt-wrapper./services_hacked.jar./services_hacked.odex<本帖第三步存的地址，但是要删除其中的”:/system/framework/services.jar”>
这一步就是将第七部生成dex文件最终优化成了odex文件。例如我的命令是：./dexopt-wrapper./services_hacked.jar./services_hacked.odex/system/framework/core.jar:/system/framework/core-junit.jar:/system/framework/bouncycastle.jar:/system/framework/ext.jar:/system/framework/
framework.jar:/system/framework/framework2.jar:/system/framework/android.policy.jar:/system/
framework/apache-xml.jar:/system/framework/htcdev.jar:/system/framework/htcextension.jar:/system/
framework/filterfw.jar:/system/framework/com.htc.android.bluetooth.jar:/system/framework/wimax.jar:
system/framework/u**net.jar:/system/framework/com.orange.authentication.simcard.jar
这样，便在/data/local/tmp文件夹中生成了我们自己的odex：services_hacked.odex
\
16.给我们自己生成的services_hacked.odex签名：
busybox dd if=system/framework/services.odex of=data/local/tmp/services_hacked.odex bs=1 count=20 skip=52 seek=52 conv=notrunc
参数解释：
if=input file
of=output file
bs=block size(1 byte)
count=number of blocks
skip=input file offset
seek=output file offset
conv=notrunc – don’t truncate the output file.
17.将/system/framework里的services.odex替换成我们自己制作的services_hacked.odex吧！dd if=data/local/tmp/services_hacked.odex of=system/framework/services.odex
这一步运行后，过一小会儿(1分钟以内)手机就自动重启了！稍等片刻吧！18.成功重启后，用以下命令打开view server：
adb shell service call window 1 i32 4939
用以下命令查看view server是否打开：
adb shell service call window 3
返回的值若是result:parcel(00000000 00000001‘….’),那么你就起了！