- 概述
利用preload方式对动态库中C语言函数调用进行拦截,有时候会达到剑走偏锋的效果。例如,在DVB+Dongle的产品中,我们就采用了这种方案,在不需要修改甚至重新编译原中间件及SDK的前提下,截获了SDK库中的部分接口调用,从而轻松抓取到OSD图层数据及解扰后的视频流。
preload原理如下图,
图1 注入libhack.so前后的接口调用路径
如图,利用ld_preload向应用的进程空间高地址处插入libhack.so之后,如果应用程序调用的某接口(如图中malloc)也在libhack.so中实现了,那么会被转调用至libhack中。如果要避免影响应用程序的原运行结果,libhack中还可以通过dlsym函数查找到位于进程空间低地址处的libc.so中的相关函数地址,从而可再将调用转至原libc。
- 动态库中的C++成员函数
C与C++动态库之间能够相互链接,说明两者基本上遵循同样的ABI标准(特殊情况不考虑)。实际上,无论什么类型的C++成员函数(inline除外),最终在动态库中的呈现形式都是一样的,都是T类型,都存在于动态符号表中(被指定隐藏的符号除外),这包括了static函数,nonstatic函数,private函数,virtual函数,构造析构函数等。也就是说,非内联函数理论上都是可以被拦截的。
- 符号的名称修饰
和C语言不同,C++为了实现多态,编译后的符号都是经过命名修饰的,不同的编译器有不同的修饰规则,但就GNU CC来说,经验证,x86、mips、arm下的编译工具链,对相同函数的修饰结果是完全一致的。
例如,如下函数在GCC工具链下,修饰后的名称分别是:
函数原型
|
修饰后名称
|
Person::Person(void)
|
_ZN6PersonC1Ev
|
Person::Person(string, int, string)
|
_ZN6PersonC1ESsiSs
|
void Person::hello(void)
|
_ZN6Person5helloEv
|
static int Person::Attributes(int)
|
_ZN6Person10AttributesEi
|
表1 函数名称修饰举例
可以通过 nm及c++filt命令来查看某动态库内的C++函数原型。
- 显式调用已修饰函数
众所周知,C++的静态成员函数和非静态成员函数,最大的区别就是,前者不通过对象来访问,后者必须通过对象来访问,换句话说就是是否需要this指针。
举例:
静态函数 int Person::Attributes(int) 不需要this指针,已修饰函数的调用方法如下:
int ret = _ZN6Person10AttributesEi(val);
非静态函数Person::Person(string, int, string) 需要传递对象指针(this), 修饰后函数的第一个形参就是对象指针,调用方法如下:
_ZN6PersonC1ESsiSs(this, str1, val, str2);
- 拦截库的编程方法
思路很简单,首先要重新实现被拦截函数,其次在被拦截函数内部,获取原生动态库中的该函数指针并调用。
既然C++函数在编译后经过了名称修饰,那么拦截库在编程时,可以考虑用C++实现(
原型函数编程法),也就是在拦截库中定义相关的C++类成员函数原型;或者可以考虑用C语言实现(
已修饰函数编程法),也就是直接用C语言重新实现已修饰函数。
以如下Person类为例分别讲述两种编程方法。
class Person
{
public:
Person(string name, int age, string sex);
};
- 原型函数编程法
typedef void (*_PersonCtor)(void*obj, string name, int age, string sex);
_PersonCtor _native_call = NULL; //声明一个指向原生接口的指针
Person::Person(string name, int age, string sex)
{
/* 做你想做的事 */
/* 获取原生函数指针 */
_native_call = dlsym(RTLD_NEXT, “_ZN6PersonC1ESsiSs”);
/* 调用原生函数 */
_native_call((void*)this, name, age, sex);
}
- 已修饰函数编程法
本方法需要注意两点:
1,为防止已修饰函数被二次修饰,应声明为C函数,即使用 extern “C”。
2,C函数传递的C++类参数,如this指针、string类等,需改用void*来表示。
typedef void (*_PersonCtor)(void*obj, void* name, int age, void* sex);
_PersonCtor _native_call = NULL; //声明一个指向原生接口的指针
extern “C” void _ZN6PersonC1ESsiSs(void*obj, void* name, int age, void* sex)
{
/* 做你想做的事 */
/* 获取原生函数指针 */
_native_call = dlsym(RTLD_NEXT, “_ZN6PersonC1ESsiSs”);
/* 调用原生函数 */
_native_call((void*)this, name, age, sex);
}
测试代码: