AndroidLinker与SO加壳技术之上篇
1. 前言
Android 系统安全愈发重要,像传统pc安全的可执行文件加固一样,应用加固是Android系统安全中非常重要的一环。目前Android 应用加固可以分为dex加固和Native加固,Native 加固的保护对象为 Native 层的 SO 文件,使用加壳、反调试、混淆、VM 等手段增加SO文件的反编译难度。目前最主流的 SO 文件保护方案还是加壳技术, 在SO文件加壳和脱壳的攻防技术领域,最重要的基础的便是对于 Linker 即装载链接机制的理解。对于非安全方向开发者,深刻理解系统的装载与链接机制也是进阶的必要条件。
本文详细分析了 Linker 对 SO 文件的装载和链接过程,最后对 SO 加壳的关键技术进行了简要的介绍。
对于 Linker 的学习,还应该包括 Linker 自举、可执行文件的加载等技术,但是限于本人的技术水平,本文的讨论范围限定在 SO 文件的加载,也就是在调用dlopen("libxx.SO")
之后,Linker 的处理过程。
本文基于 Android 5.0 AOSP 源码,仅针对 ARM 平台,为了增强可读性,文中列举的源码均经过删减,去除了其他 CPU 架构的相关源码以及错误处理。
另:阅读本文的读者需要对 ELF 文件结构有一定的了解。
2. SO 的装载与链接
2.1 整体流程说明
1. do_dlopen
调用 dl_open 后,中间经过 dlopen_ext, 到达第一个主要函数 do_dlopen:
soinfo* do_dlopen(const char* name, int flags, const Android_dlextinfo* extinfo) {protect_data(PROT_READ | PROT_WRITE);soinfo* si = find_library(name, flags, extinfo); // 查找 SOif (si != NULL) {si->CallConstructors(); // 调用 SO 的 init 函数}protect_data(PROT_READ);return si;
}
do_dlopen 调用了两个重要的函数,第一个是find_library, 第二个是 soinfo 的成员函数 CallConstructors,find_library 函数是 SO 装载链接的后续函数, 完成 SO 的装载链接后, 通过 CallConstructors 调用 SO 的初始化函数。
2. find_library_internal
find_library 直接调用了 find_library_internal,下面直接看 find_library_internal函数:
static soinfo* find_library_internal(const char* name, int dlflags, const Android_dlextinfo* extinfo) {if (name == NULL) {return somain;}soinfo* si = find_loaded_library_by_name(name); // 判断 SO 是否已经加载if (si == NULL) {TRACE("[ '%s' has not been found by name. Trying harder...]", name);si = load_library(name, dlflags, extinfo); // 继续 SO 的加载流程}if (si != NULL && (si->flags & FLAG_LINKED) == 0) {DL_ERR("recursive link to \"%s\"", si->name);return NULL;}return si;
}
find_library_internal 首先通过 find_loaded_library_by_name 函数判断目标 SO 是否已经加载,如果已经加载则直接返回对应的soinfo指针,没有加载的话则调用 load_library 继续加载流程,下面看 load_library 函数。
3. load_library
static soinfo* load_library(const char* name, int dlflags, const Android_dlextinfo* extinfo) {int fd = -1;...// Open the file.fd = open_library(name); // 打开 SO 文件,获得文件描述符 fdElfReader elf_reader(name, fd); // 创建 ElfReader 对象...// Read the ELF header and load the segments.if (!elf_reader.Load(extinfo)) { // 使用 ElfReader 的 Load 方法,完成 SO 装载return NULL;}soinfo* si = soinfo_alloc(SEARCH_NAME(name), &file_stat); // 为 SO 分配新的 soinfo 结构if (si == NULL) {return NULL;}si->base = elf_reader.load_start(); // 根据装载结果,更新 soinfo 的成员变量si->size = elf_reader.load_size();si->load_bias = elf_reader.load_bias();si->phnum = elf_reader.phdr_count();si->phdr = elf_reader.loaded_phdr();...if (!soinfo_link_image(si, extinfo)) { // 调用 soinfo_link_image 完成 SO 的链接过程soinfo_free(si);return NULL;}return si;
}
load_library 函数呈现了 SO 装载链接的整个流程,主要有3步:
- 装载:创建ElfReader对象,通过 ElfReader 对象的 Load 方法将 SO 文件装载到内存
- 分配soinfo:调用 soinfo_alloc 函数为 SO 分配新的 soinfo 结构,并按照装载结果更新相应的成员变量
- 链接: 调用 soinfo_link_image 完成 SO 的链接
通过前面的分析,可以看到, load_library 函数中包含了 SO 装载链接的主要过程, 后文主要通过分析 ElfReader 类和 soinfo_link_image 函数, 来分别介绍 SO 的装载和链接过程。
2.2 装载
在 load_library 中, 首先初始化 elf_reader 对象, 第一个参数为 SO 的名字, 第二个参数为文件描述符 fd:
ElfReader elf_reader(name, fd)
之后调用 ElfReader 的 load 方法装载 SO。
...// Read the ELF header and load the segments.if (!elf_reader.Load(extinfo)) {return NULL;}...
ElfReader::Load 方法如下:
bool ElfReader::Load(const Android_dlextinfo* extinfo) {return ReadElfHeader() && // 读取 elf headerVerifyElfHeader() && // 验证 elf headerReadProgramHeader() && // 读取 program headerReserveAddressSpace(extinfo) &&// 分配空间LoadSegments() && // 按照 program header 指示装载 segmentsFindPhdr(); // 找到装载后的 phdr 地址
}
ElfReader::Load 方法首先读取 SO 的elf header,再对elf header进行验证,之后读取program header,根据program header 计算 SO 需要的内存大小并分配相应的空间,紧接着将 SO 按照以 segment 为单位装载到内存,最后在装载到内存的 SO 中找到program header,方便之后的链接过程使用。
下面深入 ElfReader 的这几个成员函数进行详细介绍。
2.2.1 read&verify elfheader
bool ElfReader::ReadElfHeader() {ssize_t rc = read(fd_, &header_, sizeof(header_));if (rc != sizeof(header_)) {return false;}return true;
}
ReadElfHeader 使用 read 直接从 SO 文件中将 elfheader 读取 header 中,header_ 为 ElfReader 的成员变量,类型为 Elf32_Ehdr,通过 header 可以方便的访问 elf header中各个字段,elf header中包含有 program header table、section header table等重要信息。
对 elf header 的验证包括:
- magic字节
- 32/64 bit 与当前平台是否一致
- 大小端
- 类型:可执行文件、SO …
- 版本:一般为 1,表示当前版本
- 平台:ARM、x86、amd64 …
有任何错误都会导致加载失败。
2.2.2 Read ProgramHeader
bool ElfReader::ReadProgramHeader() {phdr_num_ = header_.e_phnum; // program header 数量// mmap 要求页对齐ElfW(Addr) page_min = PAGE_START(header_.e_phoff);ElfW(Addr) page_max = PAGE_END(header_.e_phoff + (phdr_num_ * sizeof(ElfW(Phdr))));ElfW(Addr) page_offset = PAGE_OFFSET(header_.e_phoff);phdr_size_ = page_max - page_min;// 使用 mmap 将 program header 映射到内存void* mmap_result = mmap(NULL, phdr_size_, PROT_READ, MAP_PRIVATE, fd_, page_min);phdr_mmap_ = mmap_result;// ElfReader 的成员变量 phdr_table_ 指向program header tablephdr_table_ = reinterpret_cast<ElfW(Phdr)*>(reinterpret_cast<char*>(mmap_result) + page_offset);return true;
}
将 program header 在内存中单独映射一份,用于解析program header 时临时使用,在 SO 装载到内存后,便会释放这块内存,转而使用装载后的 SO 中的program header。
2.2.3 reserve space & 计算 load size
bool ElfReader::ReserveAddressSpace(const Android_dlextinfo* extinfo) {ElfW(Addr) min_vaddr;// 计算 加载SO 需要的空间大小load_size_ = phdr_table_get_load_size(phdr_table_, phdr_num_, &min_vaddr);// min_vaddr 一般情况为零,如果不是则表明 SO 指定了加载基址uint8_t* addr = reinterpret_cast<uint8_t*>(min_vaddr);void* start;int mmap_flags = MAP_PRIVATE | MAP_ANONYMOUS;start = mmap(addr, load_size_, PROT_NONE, mmap_flags, -1, 0);load_start_ = start;load_bias_ = reinterpret_cast<uint8_t*>(start) - addr;return true;
}
首先调用 phdr_table_get_load_size 函数获取 SO 在内存中需要的空间load_size,然后使用 mmap 匿名映射,预留出相应的空间。
关于loadbias: SO 可以指定加载基址,但是 SO 指定的加载基址可能不是页对齐的,这种情况会导致实际映射地址和指定的加载地址有一个偏差,这个偏差便是 load_bias_
,之后在针对虚拟地址进行计算时需要使用 load_bias_
修正。普通的 SO 都不会指定加载基址,这时min_vaddr = 0
,则 load_bias_ = load_start_
,即load_bias_
等于加载基址,下文会将load_bias_
直接称为基址。
下面深入phdr_table_get_load_size
分析一下 load_size 的计算:使用成员变量 phdr_table 遍历所有的program header, 找到所有类型为 PT_LOAD 的 segment 的 p_vaddr 的最小值,p_vaddr + p_memsz 的最大值,分别作为 min_vaddr 和 max_vaddr,在将两个值分别对齐到页首和页尾,最终使用对齐后的 max_vaddr - min_vaddr 得到 load_size。
size_t phdr_table_get_load_size(const ElfW(Phdr)* phdr_table, size_t phdr_count,ElfW(Addr)* out_min_vaddr,ElfW(Addr)* out_max_vaddr) {ElfW(Addr) min_vaddr = UINTPTR_MAX;ElfW(Addr) max_vaddr = 0;bool found_pt_load = false;for (size_t i = 0; i < phdr_count; ++i) {const ElfW(Phdr)* phdr = &phdr_table[i];if (phdr->p_type != PT_LOAD) {continue;}found_pt_load = true;if (phdr->p_vaddr < min_vaddr) {min_vaddr = phdr->p_vaddr; // 记录最小的虚拟地址}if (phdr->p_vaddr + phdr->p_memsz > max_vaddr) {max_vaddr = phdr->p_vaddr + phdr->p_memsz; // 记录最大的虚拟地址}}if (!found_pt_load) {min_vaddr = 0;}min_vaddr = PAGE_START(min_vaddr); // 页对齐max_vaddr = PAGE_END(max_vaddr); // 页对齐if (out_min_vaddr != NULL) {*out_min_vaddr = min_vaddr;}if (out_max_vaddr != NULL) {*out_max_vaddr = max_vaddr;}return max_vaddr - min_vaddr; // load_size = max_vaddr - min_vaddr
}
2.2.4 Load Segments
遍历 program header table,找到类型为 PT_LOAD 的 segment:
- 计算 segment 在内存空间中的起始地址 segstart 和结束地址 seg_end,seg_start 等于虚拟偏移加上基址load_bias,同时由于 mmap 的要求,都要对齐到页边界得到 seg_page_start 和 seg_page_end。
- 计算 segment 在文件中的页对齐后的起始地址 file_page_start 和长度 file_length。
- 使用 mmap 将 segment 映射到内存,指定映射地址为 seg_page_start,长度为 file_length,文件偏移为 file_page_start。
bool ElfReader::LoadSegments() {for (size_t i = 0; i < phdr_num_; ++i) {const ElfW(Phdr)* phdr = &phdr_table_[i];if (phdr->p_type != PT_LOAD) {continue;}// Segment 在内存中的地址.ElfW(Addr) seg_start = phdr->p_vaddr + load_bias_;ElfW(Addr) seg_end = seg_start + phdr->p_memsz;ElfW(Addr) seg_page_start = PAGE_START(seg_start);ElfW(Addr) seg_page_end = PAGE_END(seg_end);ElfW(Addr) seg_file_end = seg_start + phdr->p_filesz;// 文件偏移ElfW(Addr) file_start = phdr->p_offset;ElfW(Addr) file_end = file_start + phdr->p_filesz;ElfW(Addr) file_page_start = PAGE_START(file_start);ElfW(Addr) file_length = file_end - file_page_start;if (file_length != 0) {// 将文件中的 segment 映射到内存void* seg_addr = mmap(reinterpret_cast<void*>(seg_page_start),file_length,PFLAGS_TO_PROT(phdr->p_flags),MAP_FIXED|MAP_PRIVATE,fd_,file_page_start);}// 如果 segment 可写, 并且没有在页边界结束,那么就将 segemnt end 到页边界的内存清零。if ((phdr->p_flags & PF_W) != 0 && PAGE_OFFSET(seg_file_end) > 0) {memset(reinterpret_cast<void*>(seg_file_end), 0, PAGE_SIZE - PAGE_OFFSET(seg_file_end));}seg_file_end = PAGE_END(seg_file_end);// 将 (内存长度 - 文件长度) 对应的内存进行匿名映射if (seg_page_end > seg_file_end) {void* zeromap = mmap(reinterpret_cast<void*>(seg_file_end),seg_page_end - seg_file_end,PFLAGS_TO_PROT(phdr->p_flags),MAP_FIXED|MAP_ANONYMOUS|MAP_PRIVATE,-1,0);}}return true;
}
2.3 分配 soinfo
load_library 在调用 load_segments 完成装载后,接着调用 soinfo_alloc 函数为目标SO分配soinfo,soinfo_alloc 函数实现如下:
static soinfo* soinfo_alloc(const char* name, struct stat* file_stat) {soinfo* si = g_soinfo_allocator.alloc(); //分配空间,可以简单理解为 malloc// Initialize the new element.memset(si, 0, sizeof(soinfo));strlcpy(si->name, name, sizeof(si->name));si->flags = FLAG_NEW_SOINFO;sonext->next = si; // 加入到存有所有 soinfo 的链表中sonext = si;return si;
}
Linker 为 每个 SO 维护了一个soinfo结构,调用 dlopen时,返回的句柄其实就是一个指向该 SO 的 soinfo 指针。soinfo 保存了 SO 加载链接以及运行期间所需的各类信息,简单列举一下:
装载链接期间主要使用的成员:
- 装载信息
- const ElfW(Phdr)* phdr;
- size_t phnum;
- ElfW(Addr) base;
- size_t size;
- 符号信息
- const char* strtab;
- ElfW(Sym)* symtab;
- 重定位信息
- ElfW(Rel)* plt_rel;
- size_t plt_rel_count;
- ElfW(Rel)* rel;
- size_t rel_count;
- init 函数和 finit 函数
- Linker_function_t* init_array;
- size_t init_array_count;
- Linker_function_t* fini_array;
- size_t fini_array_count;
- Linker_function_t init_func;
- Linker_function_t fini_func;
运行期间主要使用的成员:
- 导出符号查找(dlsym):
- const char* strtab;
- ElfW(Sym)* symtab;
- size_t nbucket;
- size_t nchain;
- unsigned* bucket;
- unsigned* chain;
- ElfW(Addr) load_bias;
- 异常处理:
- unsigned* ARM_exidx;
- size_t ARM_exidx_count;
load_library 在为 SO 分配 soinfo 后,会将装载结果更新到 soinfo 中,后面的链接过程就可以直接使用soinfo的相关字段去访问 SO 中的信息。
...si->base = elf_reader.load_start();si->size = elf_reader.load_size();si->load_bias = elf_reader.load_bias();si->phnum = elf_reader.phdr_count();si->phdr = elf_reader.loaded_phdr();...
原文地址: http://yaq.qq.com/blog/14
AndroidLinker与SO加壳技术之上篇相关推荐
- AndroidLinker与SO加壳技术之下篇 1
主页内可搜索查看<AndroidLinker与SO加壳技术之上篇> 2.4 链接 链接过程由 soinfo_link_image 函数完成,主要可以分为四个主要步骤: 1.定位 dynam ...
- AndroidLinker与SO加壳技术之下篇
2.4 链接 链接过程由 soinfo_link_image 函数完成,主要可以分为四个主要步骤: 1. 定位 dynamic section, 由函数 phdr_table_get_dynamic_ ...
- linux so 加壳,AndroidLinker与SO加壳技术之下篇
2.4 链接 链接过程由 soinfo_link_image 函数完成,主要可以分为四个主要步骤: 1. 定位 dynamic section, 由函数 phdr_table_get_dynamic_ ...
- Android APK加壳技术方案----代码实现
本文章由Jack_Jia编写,转载请注明出处. 文章链接:http://blog.csdn.net/jiazhijun/article/details/8746917 作者:Jack_Jia 邮 ...
- 基于linker实现so加壳技术上
<基于linker实现so加壳技术基础>上篇 前言 本篇是一个追随技术的人照着网上为数不多的资料,在探索过程中发现了许多意想不到的问题,搜了好多文章发现对于这方面的记载很少,甚至连一个实现 ...
- 【Android 逆向】加壳技术简介 ( 动态加载 | 第一代加壳技术 - DEX 整体加固 | 第二代加壳技术 - 函数抽取 | 第三代加壳技术 - VMP / Dex2C | 动态库加壳技术 )
文章目录 一.动态加载 二.第一代加壳技术 ( DEX 整体加固 ) 三.第二代加壳技术 ( 函数抽取 ) 四.第三代加壳技术 ( Java 函数 -> Native 函数 ) 五.so 动态库 ...
- 【腾讯Bugly干货分享】Android Linker 与 SO 加壳技术
本文来自于腾讯bugly开发者社区,非经作者同意,请勿转载,原文地址:http://dev.qq.com/topic/57e3a3bc42eb88da6d4be143 作者:王赛 1. 前言 Andr ...
- 病毒加壳技术与脱壳杀毒方法解析
壳是什么?脱壳又是什么?这是很多经常感到迷惑和经常提出的问题,其实这个问题一点也不幼稚.当你想听说脱壳这个名词并试着去了解的时候,说明你已经在各个安全站点很有了一段日子了.下面,我们进入"壳 ...
- android apk 防止反编译技术加壳技术(转)
2019独角兽企业重金招聘Python工程师标准>>> 一.加壳技术原理 所谓apk的加壳技术和pc exe的加壳原理一样,就是在程序的外面再包裹上另外一段代码,保护里面的代码不被非 ...
最新文章
- android studio 库项目,Android Studio 发布项目到jcenter库
- 2020考研 管理类联考综合能力-写作
- Introduction to random forests
- Django 之多对多关系
- Linux基础书籍推荐
- NCspider项目总结
- Toast源码深度分析
- 域嵌套太深_pyspark如何修改嵌套结构域
- 【Python 必会技巧】判断字符串是否为字母/数字/大小写/空白字符/有效标识符/可打印字符
- python创建dataframe表格不显示_创建列pandas DataFrame数据的表绘图时出现问题?
- 位平面提取 matlab,哪位高手知道图像位平面移位在Matlab中如何实现吗?[图像图形(图象)论坛]...
- Mysql集群方案简介
- 【项目】08年度科创项目“绘图助手工具箱”项目成果发布
- 物联网应用之远程控制
- 在3dmax软件中添加样条的方法和详细步骤
- video视频快进拖动限制
- 常见数据同步工具的对比
- OpenGL之常用方法整理
- 250g硬盘linux分区,三星250G硬盘分区后的问题
- 数学建模专栏 | 第十篇:MATLAB CUMCM真题求解实例一:数据型
热门文章
- iOS 转换BGR24 为 RGB24
- sharepoint中一些gridview的使用方法
- K均值算法matlab代码实现
- Python:基础操作(2)
- 开启Linux系统路由转发功能 实现多网段电脑共享上网
- [省级大创项目]教育类APP的探索和实践——大学物理实验助手APP开发
- 科大星云诗社动态20211102
- Ubuntu 16.04 Spark单机环境搭建
- java 时分秒比较_小学三年级数学上册《时分秒》一课一练,含答案,巩固此知识点!...
- [scala-spark]4. 函数式编程