1. Native application
本地应用程序是指可以直接运行在操作系统上,并且处理器直接执行机器码的程序。
比如windows上的各种*.exe的程序,而linux上的是各种bin程序。
在Android上,OS是linux,因此各种bin程序就是所谓natvie application了,比如/system/bin目录下的所有文件。
这些应用程序都是由GCC(c/c++)编译生成。
在Android软件架构里,这些应用程序组成了native layer:
2. Native Exception
native layer里的应用程序崩溃统称为Native Exception,比如空指针,非法指针,程序跑飞,内存踩坏等,好比像windows下,程序崩溃弹出某某地址不能为read/write。
3. 总流程图
原始的linux,对于用户进程崩溃之后,处理方式有2种:直接终止进程;输出coredump再终止进程。
而在Android,为了方便调试,在收到崩溃信号后,会先输出tombstone,然后在根据设置是否抓取coredump,最后再终止进程。而我司在这之上还会将coredump及其他关键信息打包。
以下是完整的NE处理流程图:
4. 例子
我们以1个NE的例子来将流程走一遍。
首先写test.c:
然后编写Android.mk:
LOCAL_PATH:=$(call my-dir)
include $(CLEAR_VARS)
LOCAL_SRC_FILES:=test.c
LOCAL_MODULE:=test
include $(BUILD_EXECUTABLE)
编译后将test推送到手机端,然后执行它,其中走过的函数步骤如下:
当走到d()函数(也就是第6步之后)时必然产生1个NE。
用户空间布局
1. 布局
native程序是运行在linux之上的,因此程序如何被linux加载起来,如何发生/捕获/处理异常都需要了解的清清楚楚,这样才能系统的分析NE。我们先从user space layout入手。
对于32位ARM来说,最大能访问的空间是4G,其中kernel占用了最高1G空间,是所有进程都共享的,剩下的低3G的空间是每个应用程序独有和互不干扰,这样的布局是由MMU帮忙实现的。
应用程序内容:
主要可以分为3个部分:只读的代码段和数据段,可读写的数据段,bss未初始化数据段。
程序的3个部分会被加载到用户空间,同时会分配一个栈给程序,如果程序运行过程中调用malloc()等堆内存分配函数,则会将堆映射到用户空间;如果调用mmap(),则会将文件映射到用户空间。
一个完整的用户空间布局如下:
2. 解剖
(1). Text segment
也就是程序里的代码段和只读数据段,在ICS及以前版本是固定加载在0x8000的位置上,JB及之后为了安全的考量,则是随机加载在0x40000000的位置上(这个地址之上属于mmap空间)
【问题】加载的位置定义在哪里?
【解答】在gcc连接脚本里指定,ICS及之前的版本在alps/build/core/armelf.x里有指定__executable_start = 0x8000,JB及之后的版本则取消该文件了。
(2). Data segment/BSS segment
在Text segment之上就是data和bss了,这3段是由系统帮忙加载,系统是根据应用程序文件里的信息加载的,而应用程序格式在linux上是ELF(如同windows的PE格式)。
(3). Stack
这个栈是系统分配的初始栈,里面存放环境变量,辅助向量,参数等信息。
这个栈的大小是受系统限制的,参数是:RLIMIT_STACK,可以通过ulimit -s查看(单位是KB):
#ulimit -s
8192
栈底为0xC0000000随机偏移8M(random stack offset)的位置,随机的目的也是为了安全考量。对应内核代码如下:
【问题】如果在程序里创建了其他线程,栈是如何配置的?是否可以自动增长?
【解答】线程都是通过pthread库创建,其中pthread_create()函数就是用于创建线程的,你可以指定栈的空间大小,由该函数帮你申请(通过mmap),这个无法自动增长。
也可以自己malloc/mmap等方法申请,再传给该函数,如果是mmap,可以设定是否自动增长。
(4). Heap
应用程序从系统要内存只能通过系统调用:mmap/brk,这里拿到的内存都是按页对齐的(32位ARM是4K)。
brk拿到的内存有个特性,向上增长,顶部可以自由伸缩(也就是可以扩展/释放堆)。
c常用的malloc首先通过brk调用拿到内存(如何brk失败则通过mmap),然后在经过管理给你指定大小的内存。
start_brk为BSS段随机偏移32M(random brk offset)的位置,随机的目的也是为了安全考量。对应内核代码如下:
(5). Memory Mapping Segment
通过mmap系统调用映射进来的,都会落在这个区域(除非指定了其他地址)。包括动态库和文件。
该区域存在2个增长方向:向上增长和向下增长。
向上增长:起始地址是TASK_UNMAPPED_BASE(0x40000000)。
3. 地址随机化
如上一章节讲到,栈/堆/共享库的位置都有一个随机量,目的是增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的。
该技术简称ASLR(Address space layout randomization):一种针对缓冲区溢出的安全保护技术。
【问题】如何关闭ASLR?
【解答】通过设置kernel.randomize_va_space内核参数来设置内存地址随机化的行为:
#echo 0 >/proc/sys/kernel/randomize_va_space
目前randomize_va_space的值有三种,分别是[0,1,2]
0: 关闭进程地址空间随机化
1: 将mmap的基址,stack和vdso页面随机化
2: 在1的基础上增加堆(heap)的随机化