热修复Java探索之Dalvik生成odex时类校验的权限检查

最新推荐文章于 2021-05-26 13:58:09 发布
最新推荐文章于 2021-05-26 13:58:09 发布
阅读量624 收藏
点赞数
分类专栏: 热修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/momo_ibeike/article/details/80280913
版权

一个dex加载到native内存的时候,如果不存在odex文件会首先执行dexopt的入口在dalvik/dexopt/OptMain.cpp的main方法。这里主要分析在生成odex过程中的权限校验和对热修复的影响。

/dalvik/dexopt/OptMain.cpp
main(int argc, char* const argv[])
fromDex
/dalvik/vm/analysis/DexPrepare.cpp
dvmContinueOptimization
rewriteDex
verifyAndOptimizeClasses(pDvmDex->pDexFile, doVerify, doOpt)
verifyAndOptimizeClass(pDexFile, clazz, pClassDef, doVerify, doOpt);

所以我们找到了关键函数verifyAndOptimizeClassverifyAndOptimizeClass首先校验类dvmVerifyClass(clazz),如果校验成功会给我们的类打上一个CLASS_ISPREVERIFIED标志,代表该类已经被校验过了。接着,调用dvmOptimizeClass(clazz, false);对类进行优化,简单来说这个过程把部分指令优化成内部虚拟机指令,比如:比如invoke-*指令变成了invoke-*-quick指令,quick指令会直接从类的vtable获取执行,vtable可以理解为类(包括继承自父类)的所有方法的表,关于vtable后面会分析。

/*
 * Verify and/or optimize a specific class.
 */
static void verifyAndOptimizeClass(DexFile* pDexFile, ClassObject* clazz,
    const DexClassDef* pClassDef, bool doVerify, bool doOpt)
{
    const char* classDescriptor;
    bool verified = false;

    if (clazz->pDvmDex->pDexFile != pDexFile) {
        /*
         * The current DEX file defined a class that is also present in the
         * bootstrap class path.  The class loader favored the bootstrap
         * version, which means that we have a pointer to a class that is
         * (a) not the one we want to examine, and (b) mapped read-only,
         * so we will seg fault if we try to rewrite instructions inside it.
         */
        ALOGD("DexOpt: not verifying/optimizing '%s': multiple definitions",
            clazz->descriptor);
        return;
    }

    classDescriptor = dexStringByTypeIdx(pDexFile, pClassDef->classIdx);

    /*
     * First, try to verify it.
     */
    if (doVerify) {
    //校验类,实际上校验类的每个方法的每个指令
        if (dvmVerifyClass(clazz)) {
            /*
             * Set the "is preverified" flag in the DexClassDef.  We
             * do it here, rather than in the ClassObject structure,
             * because the DexClassDef is part of the odex file.
            */
            assert((clazz->accessFlags & JAVA_FLAGS_MASK) ==
                pClassDef->accessFlags);
            ((DexClassDef*)pClassDef)->accessFlags |= CLASS_ISPREVERIFIED;
            verified = true;
        } else {
            // TODO: log when in verbose mode
            ALOGV("DexOpt: '%s' failed verification", classDescriptor);
        }
    }

    if (doOpt) {
        bool needVerify = (gDvm.dexOptMode == OPTIMIZE_MODE_VERIFIED ||
                           gDvm.dexOptMode == OPTIMIZE_MODE_FULL);
        if (!verified && needVerify) {
            ALOGV("DexOpt: not optimizing '%s': not verified",
                classDescriptor);
        } else {
        //类的优化
            dvmOptimizeClass(clazz, false);

            /* set the flag whether or not we actually changed anything */
            ((DexClassDef*)pClassDef)->accessFlags |= CLASS_ISOPTIMIZED;
        }
    }
}

dvmVerifyClass

dvmVerifyClass会调用verifyMethod校验每一个方法,verifyMethod->dvmVerifyCodeFlow->doCodeVerification->verifyInstruction对每个指令进行校验

bool dvmVerifyClass(ClassObject* clazz)
{
    int i;

    if (dvmIsClassVerified(clazz)) {
        ALOGD("Ignoring duplicate verify attempt on %s", clazz->descriptor);
        return true;
    }

    for (i = 0; i < clazz->directMethodCount; i++) {
        if (!verifyMethod(&clazz->directMethods[i])) {
            LOG_VFY("Verifier rejected class %s", clazz->descriptor);
            return false;
        }
    }
    for (i = 0; i < clazz->virtualMethodCount; i++) {
        if (!verifyMethod(&clazz->virtualMethods[i])) {
            LOG_VFY("Verifier rejected class %s", clazz->descriptor);
            return false;
        }
    }

    return true;
}
verifyInstruction
/dalvik/vm/analysis/CodeVerify.cpp
static bool verifyInstruction(const Method* meth, InsnFlags* insnFlags,
   RegisterTable* regTable, int insnIdx, UninitInstanceMap* uninitMap,
    int* pStartGuess){
    ...
case OP_NEW_INSTANCE:
       resClass = dvmOptResolveClass(meth->clazz, decInsn.vB, &failure);
       ...
case OP_INVOKE_VIRTUAL:
    case OP_INVOKE_VIRTUAL_RANGE:
    case OP_INVOKE_SUPER:
    case OP_INVOKE_SUPER_RANGE:
        {
            Method* calledMethod;
            RegType returnType;
            bool isRange;
            bool isSuper;

            isRange =  (decInsn.opcode == OP_INVOKE_VIRTUAL_RANGE ||
                        decInsn.opcode == OP_INVOKE_SUPER_RANGE);
            isSuper =  (decInsn.opcode == OP_INVOKE_SUPER ||
                        decInsn.opcode == OP_INVOKE_SUPER_RANGE);

            calledMethod = verifyInvocationArgs(meth, workLine, insnRegCount,
                            &decInsn, uninitMap, METHOD_VIRTUAL, isRange,
                            isSuper, &failure);
            if (!VERIFY_OK(failure))
                break;
            returnType = getMethodReturnType(calledMethod);
            setResultRegisterType(workLine, insnRegCount, returnType);
            justSetResult = true;
        }
        break;
   ...
       if (!VERIFY_OK(failure)) {
        if (failure == VERIFY_ERROR_GENERIC || gDvm.optimizing) {
            /* immediate failure, reject class */
            LOG_VFY_METH(meth, "VFY:  rejecting opcode 0x%02x at 0x%04x",
                decInsn.opcode, insnIdx);
            goto bail;
        } else {
            /* replace opcode and continue on */
            ALOGD("VFY: replacing opcode 0x%02x at 0x%04x",
                decInsn.opcode, insnIdx);
            //指令替换
            if (!replaceFailingInstruction(meth, insnFlags, insnIdx, failure)) {
                LOG_VFY_METH(meth, "VFY:  rejecting opcode 0x%02x at 0x%04x",
                    decInsn.opcode, insnIdx);
                goto bail;
            }
            /* IMPORTANT: meth->insns may have been changed */
            insns = meth->insns + insnIdx;

            /* continue on as if we just handled a throw-verification-error */
            failure = VERIFY_ERROR_NONE;
            nextFlags = kInstrCanThrow;
        }
    }
}

OP_NEW_INSTANCE会调用dvmOptResolveClass->dvmCheckClassAccess检查引用类的访问权限。

bool dvmCheckClassAccess(const ClassObject* accessFrom,
    const ClassObject* clazz)
{
    if (dvmIsPublicClass(clazz))
        return true;
    return dvmInSamePackage(accessFrom, clazz);
}
/*
 * Returns "true" if the two classes are in the same runtime package.
 */
bool dvmInSamePackage(const ClassObject* class1, const ClassObject* class2)
{
    /* quick test for intra-class access */
    if (class1 == class2)
        return true;

    /* class loaders must match */
    if (class1->classLoader != class2->classLoader)
        return false;

    /*
     * Switch array classes to their element types.  Arrays receive the
     * class loader of the underlying element type.  The point of doing
     * this is to get the un-decorated class name, without all the
     * "[[L...;" stuff.
     */
    if (dvmIsArrayClass(class1))
        class1 = class1->elementClass;
    if (dvmIsArrayClass(class2))
        class2 = class2->elementClass;

    /* check again */
    if (class1 == class2)
        return true;

    /*
     * We have two classes with different names.  Compare them and see
     * if they match up through the final '/'.
     *
     *  Ljava/lang/Object; + Ljava/lang/Class;          --> true
     *  LFoo;              + LBar;                      --> true
     *  Ljava/lang/Object; + Ljava/io/File;             --> false
     *  Ljava/lang/Object; + Ljava/lang/reflect/Method; --> false
     */
    int commonLen;

    commonLen = strcmpCount(class1->descriptor, class2->descriptor);
    if (strchr(class1->descriptor + commonLen, '/') != NULL ||
        strchr(class2->descriptor + commonLen, '/') != NULL)
    {
        return false;
    }

    return true;
}

dvmCheckClassAccess检查时如果类是public直接返回true,否则还会验证classloader是否一致

我们再看OP_INVOKE_VIRTUAL等指令,会调用verifyInvocationArgs->dvmOptResolveMethod->dvmCheckMethodAccess

Method* dvmOptResolveMethod(ClassObject* referrer, u4 methodIdx,
    MethodType methodType, VerifyError* pFailure)
{
    DvmDex* pDvmDex = referrer->pDvmDex;
    Method* resMethod;

    assert(methodType == METHOD_DIRECT ||
           methodType == METHOD_VIRTUAL ||
           methodType == METHOD_STATIC);

    LOGVV("--- resolving method %u (referrer=%s)", methodIdx,
        referrer->descriptor);

    resMethod = dvmDexGetResolvedMethod(pDvmDex, methodIdx);
    if (resMethod == NULL) {
        const DexMethodId* pMethodId;
        ClassObject* resClass;

        pMethodId = dexGetMethodId(pDvmDex->pDexFile, methodIdx);

        resClass = dvmOptResolveClass(referrer, pMethodId->classIdx, pFailure);
    ...
    /* access allowed? */
    tweakLoader(referrer, resMethod->clazz);
    //检查方法的访问权限
    bool allowed = dvmCheckMethodAccess(referrer, resMethod);
    untweakLoader(referrer, resMethod->clazz);
    if (!allowed) {
        IF_ALOGI() {
            char* desc = dexProtoCopyMethodDescriptor(&resMethod->prototype);
            ALOGI("DexOpt: illegal method access (call %s.%s %s from %s)",
                resMethod->clazz->descriptor, resMethod->name, desc,
                referrer->descriptor);
            free(desc);
        }
        if (pFailure != NULL)
            *pFailure = VERIFY_ERROR_ACCESS_METHOD;
        return NULL;
    }
    return resMethod;
}

dvmCheckMethodAccess校验逻辑:

bool dvmCheckMethodAccess(const ClassObject* accessFrom, const Method* method)
{
    return checkAccess(accessFrom, method->clazz, method->accessFlags);
}
/*
 * Validate method/field access.
 */
static bool checkAccess(const ClassObject* accessFrom,
    const ClassObject* accessTo, u4 accessFlags)
{
    /* quick accept for public access */
    if (accessFlags & ACC_PUBLIC)
        return true;

    /* quick accept for access from same class */
    if (accessFrom == accessTo)
        return true;

    /* quick reject for private access from another class */
    if (accessFlags & ACC_PRIVATE)
        return false;

    /*
     * Semi-quick test for protected access from a sub-class, which may or
     * may not be in the same package.
     */
    if (accessFlags & ACC_PROTECTED)
        if (dvmIsSubClass(accessFrom, accessTo))
            return true;

    /*
     * Allow protected and private access from other classes in the same
     * package.
     */
    return dvmInSamePackage(accessFrom, accessTo);
}

如果该方法是public,checkAccess直接放回true,如果是protected,检查调用方法所在类和当前类是否是父子关系,如果不是调用dvmInSamePackage这个前面已经分析过。

热部署方案影响

最后,我们得出结论:如果补丁类引用了非public类(补丁类用独立的classloader),verifyInstruction的执行结果是*pFailure = VERIFY_ERROR_ACCESS_METHOD;,之后会执行replaceFailingInstruction->dvmUpdateCodeUnit更新潜在的错误码,将指令替换成了OP_THROW_VERIFICATION_ERROR,同时verifyInstruction返回为true,所以补丁加载的时候是正常的,收不到任何异常。
但是调用的时候,OP_THROW_VERIFICATION_ERROR指令会直接抛出异常。

momo_ibeike
关注
专栏目录
修复
Checkiming的博客
09-10 810
What is HotFix? HotFix是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序,通常称为修补程序Why do HotFix? 试想:当Android发布App之后,如果突然发现了一个严重bug,而这个bug需要进行紧急修复通常 这时候我们通常的处理流程是:解决bug、重新打包App、测试、向各个应用市场和渠道换包、提示用户升级、用户下载、覆盖安装。
dex与odex的比较实验
protoss_penguin的博客
07-25 5022
有关odex文件结构请看我leader的博客http://blog.csdn.net/roland_sun/article/details/47183119 非虫的白皮书也有详细的讲解。 总之odex文件从0x28开始包含一个完整的dex文件,与原来的dex略有不同。 下面具体比较一下从odex当中dump下来的dex有何不同 dey.036开头,这是一份样本中获得的odex文件,
Android系统ODEX文件格式解析
热门推荐
Roland_Sun的专栏
08-01 2万+
对于一个Android的apk应用程序,其主要的执行代码都在其中的class.dex文件中。在程序第一次被加载的时候,为了提高以后的启动速度和执行效率,Android系统会对这个class.dex文件做一定程度的优化,并生成一个ODEX文件,存放在/data/dalvik-cache目录下。以后再运行这个程序的时候,就只要直接加载这个优化过的ODEX文件就行了,省去了每次都要优化的时间。 不过,
【Android 修复修复原理 ( 修复包 Dex 文件准备 | Dex 优化为 Odex | Dex 文件拷贝 | 源码资源 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
04-12 1204
一、修复包 Dex 文件准备、 二、Odex 优化、 三、Dex 文件拷贝、 四、 源码资源、
系统源码预制APK检测是否可以进行ODEX抽取
小路塔的博客
10-26 1709
odex抽取会导致增加内存,开机时间变短,公司公司的要求是增加内存可以接受.增加开机时间不能接受. 公司每次打包系统都会遇到预制公司内部apk和第三方apk进行源码编译进行报错,导致编译失败的问题. 如果是预制纯正的第三方apk不能进行odex抽取,那只能进行在对应的Android.mk关闭odex抽取 LOCAL_DEX_PREOPT := false 要是预制的大部分是自己公司...
蘑菇街Android修复探索之路PDF版本
01-20
首先,Dexposed是业界知名的修复方案之一。它提供了一个非root版本的Xposed,可以在应用运行时进行面向切面编程(AOP),从而实现修复。不过,Dexposed仅在Dalvik虚拟机上表现良好,在ART(Android Runtime)上...
深入探索Android修复技术原理PDF
04-20
这份名为“深入探索Android修复技术原理”的PDF文档详细阐述了这一主题,涵盖了从基础概念到高级实践的多个层面。下面我们将逐章分析其中涉及的关键知识点。 **第一章:修复技术介绍** 本章主要介绍了修复的...
通过类加载机制动手实现Android修复
09-11
自定义的类加载器应当在找到匹配的类时,优先加载补丁中的类,从而实现修复。此外,可能还需要处理静态初始化器的执行,以确保补丁类的正确初始化。 5. **异常处理与回滚**: 修复过程中可能出现各种异常,...
apkpatch-1.0.3 安卓平台andfix修复补丁生成工具
09-24
它利用了Android系统的 DexClassLoader 类加载器的特性,可以在运行时替换Dalvik字节码,从而修复应用中的错误或增强功能。这种技术的核心在于,它无需重新发布整个APK,只需将修复后的.dex文件推送到服务器,然后在...
深入探索Android修复
11-20
总的来说,深入探索Android修复,需要我们理解Android的运行机制,熟悉 Dex 文件的结构,掌握类加载的原理,并能熟练运用各种修复框架。通过不断地学习和实践,开发者可以更好地利用修复技术,提升应用的稳定...
安卓文件分析-ODEX&OAT
qq_37439229的博客
01-22 470
ODEX 在android5.0之前,主要使用Dalvik,Dalvik对 apk的dex文件进行一定程度的优化,解析dex文件并生成ODEX文件 比dex多了以下内容 DexOptHeader:ODEX文件头,描述了ODEX文件的基本信息 Dependences:依赖库列表,描述了ODEX文件加载时可能使用的依赖库 classlookups:优化数据块的类索引列表信息 registerMaps:优化数据块的寄存器图信息 struct DexOptHeader { u1 magic[8];//固定为d
Android Classloader修复技术之百家齐放
区长的专栏
07-21 9277
大概在2015年10月底,QQ空间发了一篇叫《安卓App补丁动态修复技术介绍》的文章,文章中提到为了能让Class进行修复,其中一个条件就是防止类被打上CLASS_ISPREVERIFIED标记,具体的做法便是让一个Dex引用另一个Dex(hack.apk)中的空类(为了让业务无感知,需要在编译时动态注入字节码),并且在应用程序Application类起来的时候要加载这个hack.apk。也就是
Android中dex文件的加载与优化流程
D.K专栏
08-03 2万+
目录 1、dex文件分析... 1 2、odex文件... 2 2.1、odex文件结构... 2 2.2、odex文件结构分析... 3 3、dex文件的验证与优化... 3 3.1 dex文件加载流程... 3 3.2 dex文件优化加载流程图... 4   1、dex文件分析 逻辑上,可以把dex文件分成3个区,头文件、索引区和数据区。索引区的ids后缀为i
Android首次启动时间长优化之预编译提取Odex
从0到1,突破自己
07-20 1万+
提示!应用程序的安装有两种情况,第一:首次启动系统时安装;第二:系统启动完成后安装。本篇博文基于第一种安装场景。在系统首次启动的场景中,系统会对/system/app、/system/priv-app、/data/app目录下的所有APK进行dex字节码到本地机器码的翻译,同样也会对/system/framework目录下的APK或者JAR文件,以及这些APK所引用的外部JAR,进行dex字节码到
android开机优化工具箱,【谷歌Android帝】dexopt(odex)优化方法,人人都是优化大师!!!...
weixin_36330518的博客
05-26 2085
该楼层疑似违规已被系统折叠隐藏此楼查看此楼什么是ODEX?ODEX是安卓上的应用程序apk中提取出来的可运行文件,是通过apk安装包的中的dex优化过的,再把apk包里的dex文件删除。这样做可以加快软件的启动速度,预先提取,减少对RAM的占用,因为没有odex的话,系统要从apk包中提取dex再运行。什么是dalvik-cache?当Android启动时,DalvikVM监视所有的程序(APK...
交叉编译找不到头文件问题
idea的博客
06-28 8892
echo 'main(){}'|arm-xilinx-linux-gnueabi-gcc -E -v - 看到如下输出内容 Using built-in specs. COLLECT_GCC=arm-xilinx-linux-gnueabi-gcc COLLECT_LTO_WRAPPER=/home/ding/xilinx/CodeSourcery/Sourcery_CodeBen
Android---odex与oat
Toc_SunWinner的博客
01-21 3753
什么是ODEX? APK中的classes.dex文件通过dex优化过程 将优化生成一个·odex文件 ,此文件可以加快软件的启动速度,减少对RAM的占用。因此首次开机(恢复出厂设置||刷机之后) ,如果先提取classes.dex出来(dex优化过程),开机的速度会明显提升。随之,如果对于低内存的手机来说,并不适合将所有apk的odex文件提取出来。正所谓鱼和熊掌不能兼得吧。   ...
android verify error
~从无知向已知慢慢爬行~
11-21 2179
android高版本api导致低版本手机出现VerifyError android api从1.1(SDK 2) 到现在4.4(SDK 19) 变化还是很大的,最近在做一个游戏升级,遇到了VerifyError,顺手做个记录。
Android系统权限说明
一步一个脚印
09-12 2042
我只是Google的搬运工………. 有需要了解Android系统权限的,看这个就足够了。 内容来自:https://developer.android.google.cn/training/permissions/requesting.html?hl=zh-cn https://developer.android.google.cn/guide/topics/security/permissi
探索Android:Dalvik虚拟机与Xposed原理解析
"深入探讨Android系统中的Java虚拟机Dalvik,以及与之相关的Xposed框架和ART虚拟机。本文旨在通过研究Dalvik虚拟机的工作原理,理解Xposed的实现机制,并进一步探讨ART的发展和特性。" 在Android操作系统中,Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值