【腾讯Bugly干货分享】Android Linker 与 SO 加壳技术

最新推荐文章于 2024-01-03 13:45:15 发布
VIP文章 最新推荐文章于 2024-01-03 13:45:15 发布
阅读量5.5k 收藏 16
点赞数 4
文章标签: android 加壳 linker so 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tencent_bugly/article/details/52668772
版权

本文来自于腾讯bugly开发者社区,非经作者同意,请勿转载,原文地址:http://dev.qq.com/topic/57e3a3bc42eb88da6d4be143

作者:王赛

1. 前言

Android 系统安全愈发重要,像传统pc安全的可执行文件加固一样,应用加固是Android系统安全中非常重要的一环。目前Android 应用加固可以分为dex加固和Native加固,Native 加固的保护对象为 Native 层的 SO 文件,使用加壳、反调试、混淆、VM 等手段增加SO文件的反编译难度。目前最主流的 SO 文件保护方案还是加壳技术, 在SO文件加壳和脱壳的攻防技术领域,最重要的基础的便是对于 Linker 即装载链接机制的理解。对于非安全方向开发者,深刻理解系统的装载与链接机制也是进阶的必要条件。

本文详细分析了 Linker 对 SO 文件的装载和链接过程,最后对 SO 加壳的关键技术进行了简要的介绍。

对于 Linker 的学习,还应该包括 Linker 自举、可执行文件的加载等技术,但是限于本人的技术水平,本文的讨论范围限定在 SO 文件的加载,也就是在调用dlopen("libxx.SO")之后,Linker 的处理过程。

本文基于 Android 5.0 AOSP 源码,仅针对 ARM 平台,为了增强可读性,文中列举的源码均经过删减,去除了其他 CPU 架构的相关源码以及错误处理。

P.S. :阅读本文的读者需要对 ELF 文件结构有一定的了解。

2. SO 的装载与链接

2.1 整体流程说明

1. do_dlopen
调用 dl_open 后,中间经过 dlopen_ext, 到达第一个主要函数 do_dlopen:

soinfo* do_dlopen(const char* name, int flags, const Android_dlextinfo* extinfo) {
  protect_data(PROT_READ | PROT_WRITE);
  soinfo* si = find_library(name, flags, extinfo); // 查找 SO
  if (si != NULL) {
    si->CallConstructors(); // 调用 SO 的 init 函数
  }
  protect_data(PROT_READ);
  return si;
}

do_dlopen 调用了两个重要的函数,第一个是find_library, 第二个是 soinfo 的成员函数 CallConstructors,find_library 函数是 SO 装载链接的后续函数, 完成 SO 的装载链接后, 通过 CallConstructors 调用 SO 的初始化函数。

2. find_library_internal
find_library 直接调用了 find_library_internal,下面直接看 find_library_internal函数:

static soinfo* find_library_internal(const char* name, int dlflags, const Android_dlextinfo* extinfo) {
  if (name == NULL) {
    return somain;
  }
  soinfo* si = find_loaded_library_by_name(name);  // 判断 SO 是否已经加载
  if (si == NULL) {
    TRACE("[ '%s' has not been found by name.  Trying harder...]", name);
    si = load_library(name, dlflags, extinfo);     // 继续 SO 的加载流程
  }
  if (si != NULL && (si->flags & FLAG_LINKED) == 0) {
    DL_ERR("recursive link to \"%s\"", si->name);
    return NULL;
  }
  return si;
}

find_library_internal 首先通过 find_loaded_library_by_name 函数判断目标 SO 是否已经加载,如果已经加载则直接返回对应的soinfo指针,没有加载的话则调用 load_library 继续加载流程,下面看 load_library 函数。

3. load_library

static soinfo* load_library(const char* name, int dlflags, const Android_dlextinfo* extinfo) {
    int fd = -1;
    ...
    // Open the file.
    fd = open_library(name);                // 打开 SO 文件,获得文件描述符 fd

    ElfReader elf_reader(name, fd);         // 创建 ElfReader 对象
    ...
    // Read the ELF header and load the segments.
    if (!elf_reader.Load(extinfo)) {        // 使用 ElfReader 的 Load 方法,完成 SO 装载
        return NULL;
    }

    soinfo* si = soinfo_alloc(SEARCH_NAME(name), &file_stat);  // 为 SO 分配新的 soinfo 结构
    if (si == NULL) {
        return NULL;
    }
    si->base = elf_reader.load_start();  // 根据装载结果,更新 soinfo 的成员变量
    si->size = elf_reader.load_size();
    si->load_bias = elf_reader.load_bias();
    si->phnum = elf_reader.phdr_count();
    si->phdr = elf_reader.loaded_phdr();
    ...
    if (!soinfo_link_image(si, extinfo)) {  // 调用 soinfo_link_image 完成 SO 的链接过程
      soinfo_free(si);
      return NULL;
    }
    return si;
}

load_library 函数呈现了 SO 装载链接的整个流程,主要有3步:
1. 装载:创建ElfReader对象,通过 ElfReader 对象的 Load 方法将 SO 文件装载到内存
2. 分配soinfo:调用 soinfo_alloc 函数为 SO 分配新的 soinfo 结构,并按照装载结果更新相应的成员变量
3. 链接: 调用 soinfo_link_image 完成 SO 的链接

通过前面的分析,可以看到, load_library 函数中包含了 SO 装载链接的主要过程, 后文主要通过分析 ElfReader 类和 soinfo_link_image 函数, 来分别介绍 SO 的装载和链接过程。

2.2 装载

在 load_library 中, 首先初始化 elf_reader 对象, 第一个参数为 SO 的名字, 第二个参数为文件描述符 fd:
ElfReader elf_reader(name, fd)
之后调用 ElfReader 的 load 方法装载 SO。

    ...
    // Read the ELF header and load the segments.
    if (!elf_reader.Load(extinfo)) {
        return NULL;
    }
    ...

ElfReader::Load 方法如下:

bool ElfReader::Load(const Android_dlextinfo* extinfo) {
  return ReadElfHeader() &&             // 读取 elf header
         VerifyElfHeader() &&           // 验证 elf header
         ReadProgramHeader() &&         // 读取 program header
         ReserveAddressSpace(extinfo) &&// 分配空间
         LoadSegments() &&              // 按照 program header 指示装载 segments
         FindPhdr();                    // 找到装载后的 phdr 地址
}

ElfReader::Load 方法首先读取 SO 的elf header,再对elf header进行验证,之后读取program header,根据program header 计算 SO 需要的内存大小并分配相应的空间,紧接着将 SO 按照以 segment 为单位装载到内存,最后在装载到内存的 SO 中找到program header,方便之后的链接过程使用。
下面深入 ElfReader 的这几个成员函数进行详细介绍。

2.2.1 read&verify elfheader
bool ElfReader::ReadElfHeader() {
  ssize_t rc = read(fd_, &header_, sizeof(header_));

  if (rc != sizeof(header_)) {
    return false;
  }
  return true;
}

ReadElfHeader 使用 read 直接从 SO 文件中将 elf_header 读取 header_ 中,header_ 为 ElfReader 的成员变量,类型为 Elf32_Ehdr,通过 header 可以方便的访问 elf header中各个字段,elf header中包含有 program header table、section

最低0.47元/天 解锁文章
腾讯Bugly
关注
  • 4
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
rk3288 android 9.0 linker
06-23
适用RK3288 android 9.0 SDK, 解决加载 /system/lib/libserial_port.so 时 java.lang.UnsatisfiedLinkError: dlopen failed: library
AndroidLinker与SO加壳技术之上篇
10-25
Android 系统安全愈发重要,像传统pc安全的可执行文件加固一样,应用加固是Android系统安全中非常重要的一环。目前Android 应用加固可以分为dex加固和Native加固,Native 加固的保护对象为 Native 层的 SO 文件,使用加壳、反调试、混淆、VM 等手段增加SO文件的反编译难度。目前最主流的 SO 文件保护方案还是加壳技术, 在SO文件加壳和脱壳的攻防技术领域,最重要的基础的便是对于 Linker 即装载链接机制的理解。对于非安全方向开发者,深刻理解系统的装载与链接机制也是进阶的必要条件。 本文详细分析了 Linker 对 SO 文件的装载和链接过程,最后对 SO 加壳的关键技术进行了简要的介绍。
AndroidLinker与SO加壳技术之下篇
11-17
Android 系统安全愈发重要,像传统pc安全的可执行文件加固一样,应用加固是Android系统安全中非常重要的一环。目前Android 应用加固可以分为dex加固和Native加固,Native 加固的保护对象为 Native 层的 SO 文件,使用加壳、反调试、混淆、VM 等手段增加SO文件的反编译难度。目前最主流的 SO 文件保护方案还是加壳技术, 在SO文件加壳和脱壳的攻防技术领域,最重要的基础的便是对于 Linker 即装载链接机制的理解。对于非安全方向开发者,深刻理解系统的装载与链接机制也是进阶的必要条件。 本文详细分析了 Linker 对 SO 文件的装载和链接过程,最后对 SO 加壳的关键技术进行了简要的介绍。 对于 Linker 的学习,还应该包括 Linker 自举、可执行文件的加载等技术,但是限于本人的技术水平,本文的讨论范围限定在 SO 文件的加载,也就是在调用dlopen("libxx.SO")之后,Linker 的处理过程。 本文基于 Android 5.0 AOSP 源码,仅针对 ARM 平台,为了增强可读性,文中列举的源码均经过删减,去除了其他 CPU 架构的相关源码以及错误处理。 另:阅读本文的读者需要对 ELF 文件结构有一定的了解。
android6.0适用gdb/gdbserver以及linker
11-30
android自己安装所需要的二进制文件gdb/gdbserver以及绕过PIE机制的LinkerLinker来自看雪论坛,向原作者致敬。
Android-so加载深入分析
12-03
本文对Android 中so 的加载进行了深入分析。通过分析相关源码,了解linker 是如何将so 文件加载到内存、如何进行链接操作。本文涉及的Android 源码版 本是Android L。
漫谈兼容内核之八:ELF映像的装入(一)
周寅的专栏
03-13 2349
上一篇漫谈中介绍了Wine的二进制映像装入和启动,现在我们来看看ELF映像的装入和启动。    一般而言,应用软件的编程不可能是“一竿子到底”、所有的代码都自己写的,程序员不可避免地、也许是不自觉地、都会使用一些现成的程序库。对于C语言的编程,至少C程序库是一定会用到的。从编译/连接和运行的角度看,应用程序和库程序的连接有两种方法。一种是固定的、静态的连接,就是把需要用到的库函数的目标(二进制)代
【Linux】—elf文件的加载
王磊明的博客
06-08 1038
但是内存信息的排布,并不是唯一的,其内容地址可变。Section Header Table 描述了所有节信息表,而 Program Header Table 其实描述的是所有的 段信息表。此时,在ELF文件头中就会有一项PT_INTERP,记录了程序的解释器路径。load_elf_binary,主要负责对可执行文件中elf文件读取,并提前做好相关的内存布局。找到段信息中为栈类型的,根据其标志,来调整相关标志变量。对进行的段、堆、代码段、数据段地址进行设置。根据loc中信息,确定解释器的类型。
dlopen dlsym dlclose加载动态链接库
幽雨雨幽
12-02 1103
dlopen 在dlopen()函数以指定模式打开指定的动态链接库文件,并返回一个句柄给dlsym()的调用进程。使用dlclose()来卸载打开的库。 基本定义 功能:打开一个动态链接库,并返回动态链接库的句柄 包含头文件: #include 函数定义: void * dlopen( const char * pathname, int mode)
Android Native So加壳技术
hwuyule的专栏
05-06 1180
这是13年12月份做的一个项目,难度相对较大,花了一个月的时间,不断试错,最后终于在元旦前晚完成,整理一下写出来,部分细节出于公司技术保护所以没有细说。 目前市面上针对Apk的保护主要是基于Dex,公开的有DexGuard、梆梆、爱加密、ApkProtect等,私底下相信很多涉及到技术保密的App开发商都在做自己的保护策略。 而针对so的保护就相对滞后了一些,这里有so在app中扮演的
android 通过hook linker得到所有加载的so信息
最新发布
qq_42356008的博客
01-03 501
android逆向
linker机制详解
02-27
linker机制详解,这里使用的是android4.4 的源码,其他版本的源码可能和该源码有所出入
so加载 - Linker跟NameSpace知识 (上篇)
夏夏的博客
01-16 718
so库的加载可是我们日常开发都会用到的,因此系统也提供了非常方便的api给我们进行调用```System.loadLibrary(xxxso);``` 当然,随着版本的变化,loadLibrary也是出现了非常大的变化,最重要的是分水岭是androidN加入了**namespace**机制,可能很多人都是一头雾水噢!这是个啥?我们在动态so加载方案中,会频繁出现这个名词,同时还有一个高频的词就是**Linker**,本期不涉及复杂的技术方案,我们就来深入聊聊,Linker的概念,与namespac
基于linker实现so加壳技术
大数据安全技术学习
09-24 607
《基于linker实现so加壳技术基础》下篇 获得linker维护的本so的soinfo 但是问题又来了如何获得当前so的soinfo指针的基址呢?翻阅网上的资料说可以dlopen打开self,我看了一下那是安卓7之前的方法安卓8.1不支持了(555这不是坑人嘛咋搞),于是我阅读安卓源码发现了获得soinfo的方法,这是一套组合拳,可以先dlopen自己然后再用soinfo_from_handle函数来把handle转换成soinfo,正当我性高彩烈的打开ida查看它的symble的时候,发现没有这个函数,
Android Linker 与 SO 加壳技术
键盘的起始页
07-10 724
1. 前言 Android 系统安全愈发重要,像传统pc安全的可执行文件加固一样,应用加固是Android系统安全中非常重要的一环。目前Android 应用加固可以分为dex加固和Native加固,Native 加固的保护对象为 Native 层的 SO 文件,使用加壳、反调试、混淆、VM 等手段增加SO文件的反编译难度。目前最主流的 SO 文件保护方案还是加壳技术, 在SO文件加壳和脱壳的攻防技术领域,最重要的基础的便是对于 Linker 即装载链接机制的理解。对于非安全方向开发者,深刻理解系统的装载
基于linker实现so加壳技术
大数据安全技术学习
09-24 608
《基于linker实现so加壳技术基础》上篇 前言 本篇是一个追随技术的人照着网上为数不多的资料,在探索过程中发现了许多意想不到的问题,搜了好多文章发现对于这方面的记载很少,甚至连一个实现的蓝本都没找到,写下这篇文章希望能帮到像我一样对so壳感兴趣的伙伴在做实践的时候能有一个抓手,只有了解了加壳原理才能更好的脱壳,其实so文件在系统当中都对应了一个soinfo指针如果能找到soinfo指针那么脱掉so壳也不是不可能,如果有机会的话后面会出so脱壳相关的知识,其实最难的点在于如何找到当前so的soinfo指针
知物由学 | SO加固如何提升Android应用的安全性?
04-25 4077
传统Android App的代码保护分为DEX加固和SO加固。从反编译的成本来看汇编代码强度要比SMALI代码要高,所以DEX保护代码一般都使用C/C++实现。DEX加固在从DEX文件到指令虚拟化都已形成较为成熟的方案,而SO的加固还有很大的提升空间。 SO加固分有源码SO加固和无源码SO加固。有源码SO加固:需要特定的代码或者编译器支持,可对代码进行加密,混淆甚至虚拟化保护,开发人员可通过主动插入混淆代码到源码内或通过。无源码SO加固:通过壳对SO进行保护,保护方式以代码加密的形式居多,混淆和虚拟化还未
Android连接器(二)-elf文件的加载
woai110120130的专栏
05-06 654
VerifyElfHeader elf加载过程其实最主要的部分就是创建程序的段 ElfReader::ElfReader(const char* name, int fd, off64_t file_offset, off64_t file_size) : name_(name), fd_(fd), file_offset_(file_offset), file_size_(file_size), phdr_num_(0), phdr_mmap_(nu
Linux源码解析——可执行文件从生成到加载
qq_39150545的博客
04-13 328
首先我们拿一个很简单的程序test1.c为例 #include"test1.h" //#include<stdio.h> int del() { return 0; } int main(void) { int a = DIV; const char* p =(char*)del; // printf("del 0x%lx\n",(u_int64_t)p); while(1); return 0; } 将这么一个程序编译成可执...
android自定义linker实现安全加固
zhangmiaoping23的专栏
09-28 2288
转:https://blog.csdn.net/liumengdeqq/article/details/79247091 mmap的用户层应用 void *mmap(void *start,size_t length,int prot,int flags,int fd,off_t offsize); 具体参数含义 start :  指向欲映射的内存起始地址,通常设为 NULL,代表让系统自动选定...
androidlinker中的solist介绍下
03-13
solist是Android系统中的一个重要组件,它是动态链接器(linker)的一部分,主要用于管理共享库(shared library)。在Android系统中,应用程序和系统库都是以共享库的形式存在的,solist就是用来管理这些共享库的。它负责加载、卸载和管理共享库,以及解决共享库之间的依赖关系。solist还提供了一些接口,供应用程序和系统库调用,以便它们能够正确地使用共享库。总之,solist是Android系统中非常重要的一个组件,它保证了系统的稳定性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值