Code For Better 谷歌开发者之声---深入了解Android native exception框架

1. Native application
    本地应用程序是指可以直接运行在操作系统上，并且处理器直接执行机器码的程序。
        比如windows上的各种*.exe的程序，而linux上的是各种bin程序。
    在Android上，OS是linux，因此各种bin程序就是所谓natvie application了，比如/system/bin目录下的所有文件。
    这些应用程序都是由GCC(c/c++)编译生成。
    在Android软件架构里，这些应用程序组成了native layer:

2. Native Exception
    native layer里的应用程序崩溃统称为Native Exception，比如空指针，非法指针，程序跑飞，内存踩坏等，好比像windows下，程序崩溃弹出某某地址不能为read/write。

3. 总流程图
    原始的linux，对于用户进程崩溃之后，处理方式有2种：直接终止进程；输出coredump再终止进程。
    而在Android，为了方便调试，在收到崩溃信号后，会先输出tombstone，然后在根据设置是否抓取coredump，最后再终止进程。而我司在这之上还会将coredump及其他关键信息打包。
    以下是完整的NE处理流程图：

4. 例子
    我们以1个NE的例子来将流程走一遍。
    首先写test.c：

    然后编写Android.mk：
LOCAL_PATH:=$(call my-dir)
include $(CLEAR_VARS)
LOCAL_SRC_FILES:=test.c
LOCAL_MODULE:=test
include $(BUILD_EXECUTABLE)
    编译后将test推送到手机端，然后执行它，其中走过的函数步骤如下：

    当走到d()函数（也就是第6步之后）时必然产生1个NE。

用户空间布局

1. 布局
    native程序是运行在linux之上的，因此程序如何被linux加载起来，如何发生/捕获/处理异常都需要了解的清清楚楚，这样才能系统的分析NE。我们先从user space layout入手。
    对于32位ARM来说，最大能访问的空间是4G，其中kernel占用了最高1G空间，是所有进程都共享的，剩下的低3G的空间是每个应用程序独有和互不干扰，这样的布局是由MMU帮忙实现的。
    应用程序内容：
        主要可以分为3个部分：只读的代码段和数据段，可读写的数据段，bss未初始化数据段。
    程序的3个部分会被加载到用户空间，同时会分配一个栈给程序，如果程序运行过程中调用malloc()等堆内存分配函数，则会将堆映射到用户空间；如果调用mmap()，则会将文件映射到用户空间。
    一个完整的用户空间布局如下：

2. 解剖
(1). Text segment
    也就是程序里的代码段和只读数据段，在ICS及以前版本是固定加载在0x8000的位置上，JB及之后为了安全的考量，则是随机加载在0x40000000的位置上（这个地址之上属于mmap空间）
    【问题】加载的位置定义在哪里？
    【解答】在gcc连接脚本里指定，ICS及之前的版本在alps/build/core/armelf.x里有指定__executable_start = 0x8000，JB及之后的版本则取消该文件了。
(2). Data segment/BSS segment
    在Text segment之上就是data和bss了，这3段是由系统帮忙加载，系统是根据应用程序文件里的信息加载的，而应用程序格式在linux上是ELF（如同windows的PE格式）。
(3). Stack
    这个栈是系统分配的初始栈，里面存放环境变量，辅助向量，参数等信息。
    这个栈的大小是受系统限制的，参数是：RLIMIT_STACK，可以通过ulimit -s查看（单位是KB）：
        #ulimit -s
        8192
    栈底为0xC0000000随机偏移8M（random stack offset）的位置，随机的目的也是为了安全考量。对应内核代码如下：

    【问题】如果在程序里创建了其他线程，栈是如何配置的？是否可以自动增长？
    【解答】线程都是通过pthread库创建，其中pthread_create()函数就是用于创建线程的，你可以指定栈的空间大小，由该函数帮你申请（通过mmap），这个无法自动增长。
        也可以自己malloc/mmap等方法申请，再传给该函数，如果是mmap，可以设定是否自动增长。
(4). Heap
    应用程序从系统要内存只能通过系统调用：mmap/brk，这里拿到的内存都是按页对齐的（32位ARM是4K）。
    brk拿到的内存有个特性，向上增长，顶部可以自由伸缩（也就是可以扩展/释放堆）。
    c常用的malloc首先通过brk调用拿到内存（如何brk失败则通过mmap），然后在经过管理给你指定大小的内存。
    start_brk为BSS段随机偏移32M（random brk offset）的位置，随机的目的也是为了安全考量。对应内核代码如下：

(5). Memory Mapping Segment
    通过mmap系统调用映射进来的，都会落在这个区域（除非指定了其他地址）。包括动态库和文件。
    该区域存在2个增长方向：向上增长和向下增长。
    向上增长：起始地址是TASK_UNMAPPED_BASE（0x40000000）。

3. 地址随机化
    如上一章节讲到，栈/堆/共享库的位置都有一个随机量，目的是增加攻击者预测目的地址的难度，防止攻击者直接定位攻击代码位置，达到阻止溢出攻击的目的。
    该技术简称ASLR（Address space layout randomization）：一种针对缓冲区溢出的安全保护技术。
    【问题】如何关闭ASLR？
    【解答】通过设置kernel.randomize_va_space内核参数来设置内存地址随机化的行为：
        #echo 0 >/proc/sys/kernel/randomize_va_space
        目前randomize_va_space的值有三种，分别是[0,1,2]
            0: 关闭进程地址空间随机化
            1: 将mmap的基址，stack和vdso页面随机化
            2: 在1的基础上增加堆(heap)的随机化