1. 前言
Android 系統安全愈發重要,像傳統pc安全的可執行文件加固同樣,應用加固是Android系統安全中很是重要的一環。目前Android 應用加固能夠分爲dex加固和Native加固,Native 加固的保護對象爲 Native 層的 SO 文件,使用加殼、反調試、混淆、VM 等手段增長SO文件的反編譯難度。目前最主流的 SO 文件保護方案仍是加殼技術, 在SO文件加殼和脫殼的攻防技術領域,最重要的基礎的即是對於 Linker 即裝載連接機制的理解。對於非安全方向開發者,深入理解系統的裝載與連接機制也是進階的必要條件。html
本文詳細分析了 Linker 對 SO 文件的裝載和連接過程,最後對 SO 加殼的關鍵技術進行了簡要的介紹。數組
對於 Linker 的學習,還應該包括 Linker 自舉、可執行文件的加載等技術,可是限於本人的技術水平,本文的討論範圍限定在 SO 文件的加載,也就是在調用dlopen("libxx.SO")以後,Linker 的處理過程。安全
本文基於 Android 5.0 AOSP 源碼,僅針對 ARM 平臺,爲了加強可讀性,文中列舉的源碼均通過刪減,去除了其餘 CPU 架構的相關源碼以及錯誤處理。架構
P.S. :閱讀本文的讀者須要對 ELF 文件結構有必定的瞭解。函數
2. SO 的裝載與連接
2.1 總體流程說明
1. do_dlopen 調用 dl_open 後,中間通過 dlopen_ext, 到達第一個主要函數 do_dlopen:工具
do_dlopen 調用了兩個重要的函數,第一個是find_library, 第二個是 soinfo 的成員函數 CallConstructors,find_library 函數是 SO 裝載連接的後續函數, 完成 SO 的裝載連接後, 經過 CallConstructors 調用 SO 的初始化函數。學習
2. find_library_internal find_library 直接調用了 find_library_internal,下面直接看 find_library_internal函數:加密
find_library_internal 首先經過 find_loaded_library_by_name 函數判斷目標 SO 是否已經加載,若是已經加載則直接返回對應的soinfo指針,沒有加載的話則調用 load_library 繼續加載流程,下面看 load_library 函數。url
3. load_libraryspa
load_library 函數呈現了 SO 裝載連接的整個流程,主要有3步:
- 裝載:建立ElfReader對象,經過 ElfReader 對象的 Load 方法將 SO 文件裝載到內存
- 分配soinfo:調用 soinfo_alloc 函數爲 SO 分配新的 soinfo 結構,並按照裝載結果更新相應的成員變量
- 連接: 調用 soinfo_link_image 完成 SO 的連接
經過前面的分析,能夠看到, load_library 函數中包含了 SO 裝載連接的主要過程, 後文主要經過分析 ElfReader 類和 soinfo_link_image 函數, 來分別介紹 SO 的裝載和連接過程。
2.2 裝載
在 load_library 中, 首先初始化 elf_reader 對象, 第一個參數爲 SO 的名字, 第二個參數爲文件描述符 fd: ElfReader elf_reader(name, fd) 以後調用 ElfReader 的 load 方法裝載 SO。
ElfReader::Load 方法以下:
ElfReader::Load 方法首先讀取 SO 的elf header,再對elf header進行驗證,以後讀取program header,根據program header 計算 SO 須要的內存大小並分配相應的空間,緊接着將 SO 按照以 segment 爲單位裝載到內存,最後在裝載到內存的 SO 中找到program header,方便以後的連接過程使用。 下面深刻 ElfReader 的這幾個成員函數進行詳細介紹。
2.2.1 read&verify elfheader
ReadElfHeader 使用 read 直接從 SO 文件中將 elfheader 讀取 header 中,header_ 爲 ElfReader 的成員變量,類型爲 Elf32_Ehdr,經過 header 能夠方便的訪問 elf header中各個字段,elf header中包含有 program header table、section header table等重要信息。 對 elf header 的驗證包括:
- magic字節
- 32/64 bit 與當前平臺是否一致
- 大小端
- 類型:可執行文件、SO …
- 版本:通常爲 1,表示當前版本
- 平臺:ARM、x8六、amd64 …
有任何錯誤都會致使加載失敗。
2.2.2 Read ProgramHeader
將 program header 在內存中單獨映射一份,用於解析program header 時臨時使用,在 SO 裝載到內存後,便會釋放這塊內存,轉而使用裝載後的 SO 中的program header。
2.2.3 reserve space & 計算 load size
首先調用 phdr_table_get_load_size 函數獲取 SO 在內存中須要的空間load_size,而後使用 mmap 匿名映射,預留出相應的空間。
關於loadbias: SO 能夠指定加載基址,可是 SO 指定的加載基址可能不是頁對齊的,這種狀況會致使實際映射地址和指定的加載地址有一個誤差,這個誤差即是
load_bias_,以後在針對虛擬地址進行計算時須要使用load_bias_修正。普通的 SO 都不會指定加載基址,這時min_vaddr = 0,則load_bias_ = load_start_,即load_bias_等於加載基址,下文會將load_bias_直接稱爲基址。
下面深刻phdr_table_get_load_size分析一下 load_size 的計算:使用成員變量 phdr_table 遍歷全部的program header, 找到全部類型爲 PT_LOAD 的 segment 的 p_vaddr 的最小值,p_vaddr + p_memsz 的最大值,分別做爲 min_vaddr 和 max_vaddr,在將兩個值分別對齊到頁首和頁尾,最終使用對齊後的 max_vaddr - min_vaddr 獲得 load_size。
2.2.4 Load Segments
遍歷 program header table,找到類型爲 PT_LOAD 的 segment:
- 計算 segment 在內存空間中的起始地址 segstart 和結束地址 seg_end,seg_start 等於虛擬偏移加上基址load_bias,同時因爲 mmap 的要求,都要對齊到頁邊界獲得 seg_page_start 和 seg_page_end。
- 計算 segment 在文件中的頁對齊後的起始地址 file_page_start 和長度 file_length。
- 使用 mmap 將 segment 映射到內存,指定映射地址爲 seg_page_start,長度爲 file_length,文件偏移爲 file_page_start。
2.3 分配 soinfo
load_library 在調用 load_segments 完成裝載後,接着調用 soinfo_alloc 函數爲目標SO分配soinfo,soinfo_alloc 函數實現以下:
Linker 爲 每一個 SO 維護了一個soinfo結構,調用 dlopen時,返回的句柄其實就是一個指向該 SO 的 soinfo 指針。soinfo 保存了 SO 加載連接以及運行期間所需的各種信息,簡單列舉一下:
裝載連接期間主要使用的成員:
- 裝載信息
- const ElfW(Phdr)* phdr;
- size_t phnum;
- ElfW(Addr) base;
- size_t size;
- 符號信息
- const char* strtab;
- ElfW(Sym)* symtab;
- 重定位信息
- ElfW(Rel)* plt_rel;
- size_t plt_rel_count;
- ElfW(Rel)* rel;
- size_t rel_count;
- init 函數和 finit 函數
- Linker_function_t* init_array;
- size_t init_array_count;
- Linker_function_t* fini_array;
- size_t fini_array_count;
- Linker_function_t init_func;
- Linker_function_t fini_func;
運行期間主要使用的成員:
- 導出符號查找(dlsym):
- const char* strtab;
- ElfW(Sym)* symtab;
- size_t nbucket;
- size_t nchain;
- unsigned* bucket;
- unsigned* chain;
- ElfW(Addr) load_bias;
- 異常處理:
- unsigned* ARM_exidx;
- size_t ARM_exidx_count;
load_library 在爲 SO 分配 soinfo 後,會將裝載結果更新到 soinfo 中,後面的連接過程就能夠直接使用soinfo的相關字段去訪問 SO 中的信息。
2.4 連接
連接過程由 soinfo_link_image 函數完成,主要能夠分爲四個主要步驟:
1. 定位 dynamic section, 由函數 phdr_table_get_dynamic_section 完成,該函數會遍歷 program header,找到爲類型爲 PT_DYNAMIC 的 header, 從中獲取的是 dynamic section 的信息,主要就是虛擬地址和項數。
2. 解析 dynamic section dynamic section本質上是類型爲Elf32_Dyn的數組,Elf32_Dyn 結構以下
Elf32_Dyn結構的d_tag屬性表示該項的類型,類型決定了dun中信息的意義,e.g.:當d_tag = DT_SYMTAB表示該項存儲的是符號表的信息,d_un.d_ptr 表示符號表的虛擬地址的偏移,當d_tag = DT_RELSZ時,d_un.d_val 表示重定位表rel的項數。 解析的過程就是遍歷數組中的每一項,根據d_tag的不一樣,獲取到不一樣的信息。 dynamic section 中包含的信息主要包括如下 3 類:
- 符號信息 - 重定位信息 - init&finit funcs
3. 加載 needed SO 調用 find_library 獲取全部依賴的 SO 的 soinfo 指針,若是 SO 尚未加載,則會將 SO 加載到內存,分配一個soinfo*[]指針數組,用於存放 soinfo 指針。
4. 重定位 重定位SO 連接中最複雜同時也是最關鍵的一步。重定位作的工做主要是修復導入符號的引用,下面一節將對重定位過程進行詳細分析。
soinfo_link_image 的示意代碼:
2.4.1 重定位 relocate
Android ARM 下須要處理兩個重定位表,plt_rel 和 rel,plt 指的是延遲綁定,可是 Android 目前並不對延遲綁定作特殊處理,直接與普通的重定位同時處理。兩個重定位的表都由 soinfo_relocate 函數處理。 soinfo_relocate 函數須要遍歷重定位表,處理每一個重定位項,每一個重定位項的處理過程能夠分爲 3 步: 1. 解析重定位項和導入符號的信息
重定位項的結構以下
首先從重定位項獲取的信息以下:
- 重定位的類型 type
- 符號在符號表中的索引號 sym,sym 爲0表示爲本SO內部的重定位,若是不爲0,意味着該符號爲導入符號
- 重定位的目標地址 reloc,使用r_offset + si_load_bias,至關於 偏移地址+基地址
符號表表項的結構爲elf32_sym:
2. 若是 sym 不爲0,則查找導入符號的信息 若是 sym 不爲0,則繼續使用 sym 在符號表中獲取符號信息,從符號信息中進一步獲取符號的名稱。隨後調用 soinfo_do_lookup 函數在全部依賴的 SO 中根據符號名稱查找符號信息,返回值類型爲 elf32_sym,同時還會返回含有該符號的 SO 的 soinfo( lsi ),若是查找成功則該導入符號的地址爲: sym_addr = s->st_value + lsi->load_bias;
3. 修正須要重定位的地址 根據重定位類型的不一樣,修正重定位地址,具體的重定位類型定義和計算方法能夠參考 aaelf 文檔的 4.6.1.2 節。 對於導入符號,則使用根據第二步獲得 sym_addr 去修正,對於 SO 內部的相對偏移修正,則直接將reloc的地址加上 SO 的基址。
2.5 CallConstructors
在編譯 SO 時,能夠經過連接選項
-init或是給函數添加屬性__attribute__((constructor))來指定 SO 的初始化函數,這些初始化函數在 SO 裝載連接後便會被調用,再以後纔會將 SO 的 soinfo 指針返回給 dl_open 的調用者。SO 層面的保護手段,有兩個介入點, 一個是 jni_onload, 另外一個就是初始化函數,好比反調試、脫殼等,逆向分析時常常須要動態調試分析這些初始化函數。
完成 SO 的裝載連接後,返回到 do_dlopen 函數, do_open 得到 find_library 返回的剛剛加載的 SO 的 soinfo,在將 soinfo 返回給其餘模塊使用以前,最後還須要調用 soinfo 的成員函數 CallConstructors。
CallConstructors 函數會調用 SO 的首先調用全部依賴的 SO 的 soinfo 的 CallConstructors 函數,接着調用本身的 soinfo 成員變量 init 和 看 init_array 指定的函數,這兩個變量在在解析 dynamic section 時賦值。
有了以上分析基礎後,在須要動態跟蹤初始化函數時,咱們就知道能夠將斷點設在 do_dlopen 或是 CallConstructors。
3. 加殼技術
在病毒和版權保護領域,「殼」一直扮演着極爲重要的角色。經過加殼能夠對代碼進行壓縮和加密,同時再輔以虛擬化、代碼混淆和反調試等手段,達到防止靜態和動態分析。
在 Android 環境中,Native 層的加殼主要是針對動態連接庫 SO,SO 加殼的示意圖以下:
加殼工具、loader、被保護SO。
- SO: 即被保護的目標 SO。
- loader: 自身也是一個 SO,系統加載時首先加載 loader,loader 首先還原出通過加密、壓縮、變換的 SO,再將 SO 加載到內存,並完成連接過程,使 SO 能夠正常被其餘模塊使用。
- 加殼工具: 將被保護的 SO 加密、壓縮、變換,並將結果做爲數據與 loader 整合爲 packed SO。
下面對 SO 加殼的關鍵技術進行簡單介紹。
3.1 loader 執行時機
Linker 加載完 loader 後,loader 須要將被保護的 SO 加載起來,這就要求 loader 的代碼須要被執行,並且要在 被保護 SO 被使用以前,前文介紹了 SO 的初始化函數即可以知足這個要求,同時在 Android 系統下還可使用 JNI_ONLOAD 函數,所以 loader 的執行時機有兩個選擇:
- SO 的 init 或 initarray
- jni_onload
3.2 loader 完成 SO 的加載連接
loader 開始執行後,首先須要在內存中還原出 SO,SO 能夠是通過加密、壓縮、變換等手段,也可已單純的以徹底明文的數據存儲,這與 SO 加殼的技術沒有必要的關係,在此不進行討論。 在內存中還原出 SO 後,loader 還須要執行裝載和連接,這兩個過程能夠徹底模仿 Linker 來實現,下面主要介紹一下相對 Linker,loader 執行這兩個過程有哪些變化。
3.2.1 裝載
還原後的 SO 在內存中,因此裝載時的主要變化就是從文件裝載到從內存裝載。 Linker 在裝載 PT_LAOD segment時,使用 SO 文件的描述符 fd:
按照 Linker 裝載,PT_LAOD segment時,須要分爲兩步:
注意第2步複製 segment 時,目標地址須要加上 seg_page_offset,seg_page_offset 是 segment 相對與頁面起始地址的偏移。 其餘的步驟基本按照 Linker 的實現便可,只須要將一些從文件讀取修改成從內存讀取,好比讀 elfheader和program header時。
3.2.2 分配 soinfo
soinfo 保存了 SO 裝載連接和運行時須要的全部信息,爲了維護相關的信息,loader 能夠照搬 Linker 的 soinfo 結構,用於存儲中間信息,裝載連接結束後,還須要將 soinfo 的信息修復到 Linker 維護的soinfo,3.3節進行詳細說明。
3.2.3 連接
連接過程徹底是操做內存,不管是從文件裝載仍是內存裝載,連接過程都是同樣,徹底模仿 Linker 便可。 另外連接後記得順便調用 SO 初始化函數( init 和 init_array )。
3.3 soinfo 修復
SO 加殼的最關鍵技術點在於 soinfo 的修復,因爲 Linker 加載的是 loader,而實際對外使用的是被保護的 SO,因此 Linker 維護的 soinfo 能夠說是錯誤,loader 須要將本身維護的 soinfo 中的部分信息導出給 Linker 的soinfo。
修復過程以下:
- 獲取 Linker 維護的 soinfo,能夠經過 dlopen 打開本身來得到:self_soinfo = dlopen(self)。
- 將 loader soinfo 中的信息導出到 self_soinfo,最簡單粗暴的方式就是直接賦值,好比:
self_soinfo.base = soinfo.base。須要導出的主要有如下幾項:- SO地址範圍:base、size、load_bias
- 符號信息:sym_tab、str_tab、
- 符號查找信息:nbucket、nchain、bucket、chain
- 異常處理:ARM_exidx、ARM_exidx_count
參考
<<Linkers and loaders>><<ELF for the ARM Architecture>>
本文系騰訊Bugly獨家內容,轉載請在文章開頭顯眼處註明做者和出處「騰訊Bugly(http://bugly.qq.com)」