Native Hook 是我們性能優化中最常見的手段之一,推薦大家用開源的方案像 xhook 和 bhook 等等,會用這肯定是最基礎的,其次我們一直都追求知道原理並且要自己能寫。今天這裏我們自己來實現一套簡單的 Native Hook ,我們只寫關鍵代碼。爲了確保大家都能看懂,我們可能需要以下基礎知識:
- 跨 so 的方法調用流程
- elf 文件格式
- 基本的 NDK 開發知識
有了以上基礎知識,我們實現起來就會變得簡單了,雖然過程中可能會遇到一些問題,但前期我們只需要確保流程和方案沒問題就行。其實主要就是兩步:首先,讀取 /proc/self/maps 文件內容,找到目標 so 文件的基地址;最後,解析 elf 找到要 hook 的函數的地址,替換成我們自己指定的函數地址。
1. 讀取 /proc/self/maps 文件內容,找到目標 so 文件的基地址
讓我們先寫代碼來看看 /proc/self/maps 的內容
// 1. 讀取 /proc/self/maps 內容,找到 so 文件路徑和基地址
FILE* maps_fp = fopen("/proc/self/maps", "r");
if (maps_fp == NULL) {
LOGE("open /proc/self/maps error");
}
char line[512];
while (fgets(line, sizeof(line), maps_fp)) {
LOGE("%s", line);
}
...... 省了很多行打印
7b86a57000-7b87a57000 rw-p 00000000 00:00 0 [anon:dalvik-region space live bitmap]
7b87a57000-7b87b57000 rw-p 00000000 00:00 0 [anon:dalvik-allocspace zygote / non moving space mark-bitmap 0]
7b87b57000-7b87c57000 rw-p 00000000 00:00 0 [anon:dalvik-allocspace zygote / non moving space live-bitmap 0]
7b87c57000-7b87cc8000 r--p 00000000 fd:05 30703605 /system/framework/hwperf.jar
7b87cc8000-7b87f92000 r--p 00000000 fd:05 30540624 /system/framework/hwframework.jar
7b87f92000-7b87ff3000 r--p 00000000 fd:05 30704758 /system/framework/hwPartDeviceVirtualization.jar
7b87ff3000-7b88150000 r--p 00000000 fd:05 30717667 /system/framework/hwPartSecurity.jar
7b88150000-7b88249000 r--p 00000000 fd:05 30699746 /system/framework/hwPartTelephonyOpt.jar
7b88249000-7b88598000 r--p 00000000 fd:05 30676807 /system/framework/hwEmui.jar
7b88598000-7b8869b000 r--p 00000000 fd:05 36412139 /system/framework/featurelayer-widget.jar
7b8869b000-7b889d3000 r--p 00000000 fd:05 32955722 /system/framework/telephony-common.jar
7b889d3000-7b88ac1000 r--p 00000000 fd:05 30419804 /system/framework/ext.jar
7b88ac1000-7b88cee000 r--p 01c80000 fd:05 38214656 /system/framework/framework.jar
7b88cee000-7b896ff000 r--p 01270000 fd:05 38214656 /system/framework/framework.jar
7b896ff000-7b8a024000 r--p 0094c000 fd:05 38214656 /system/framework/framework.jar
7b8a024000-7b8a971000 r--p 00000000 fd:05 38214656 /system/framework/framework.jar
7b8a971000-7b8aa99000 r--p 00000000 07:07 40 /apex/com.android.runtime/javalib/apache-xml.jar
7b8aa99000-7b8abef000 r--p 00000000 07:07 41 /apex/com.android.runtime/javalib/bouncycastle.jar
7b8abef000-7b8af17000 r--p 00004000 07:07 42 /apex/com.android.runtime/javalib/core-libart.jar
7b8af17000-7b8b3d0000 r--p 00000000 07:07 43 /apex/com.android.runtime/javalib/core-oj.jar
7b8b3d0000-7b8b50e000 r--p 00000000 07:07 111 /apex/com.android.runtime/lib64/libart.so
7b8b50e000-7b8b9c1000 --xp 0013e000 07:07 111 /apex/com.android.runtime/lib64/libart.so
7b8b9c1000-7b8b9c4000 rw-p 005f1000 07:07 111 /apex/com.android.runtime/lib64/libart.so
7b8b9c4000-7b8b9d5000 r--p 005f4000 07:07 111 /apex/com.android.runtime/lib64/libart.so
7b8b9d5000-7b8b9d9000 rw-p 00000000 00:00 0 [anon:.bss]
7b8b9dc000-7b8ba00000 r--s 00000000 fd:05 78402939 /system/usr/hyphen-data/hyph-nb.hyb
...... 省了很多行打印
通過上面的打印,so 的路徑地址我們一眼肯定能看出來,但是哪個是基地址呢?這就得去研究一下了,或者查查資料啥的:
起始地址 - 結束地址 屬性 偏移 設備號 inode號 映射的文件名(詳細的描述見下表)
7b8abef000-7b8af17000 r--p 00004000 07:07 42 /apex/com.android.runtime/javalib/core-libart.jar
7b8af17000-7b8b3d0000 r--p 00000000 07:07 43 /apex/com.android.runtime/javalib/core-oj.jar
7b8b3d0000-7b8b50e000 r--p 00000000 07:07 111 /apex/com.android.runtime/lib64/libart.so
7b8b50e000-7b8b9c1000 --xp 0013e000 07:07 111 /apex/com.android.runtime/lib64/libart.so
7b8b9c1000-7b8b9c4000 rw-p 005f1000 07:07 111 /apex/com.android.runtime/lib64/libart.so
7b8b9c4000-7b8b9d5000 r--p 005f4000 07:07 111 /apex/com.android.runtime/lib64/libart.so
void core_dhook(const char *pathname, uintptr_t base_addr, const char *symbol, void *new_func){
LOGE("2. 解析 elf 找到要 hook 的函數的地址,替換成我們自己指定的函數地址");
}
void dhook(const char *pathname_regex_str, const char *symbol, void *new_func)
{
// 1. 讀取 /proc/self/maps 內容,找到 so 文件路徑和基地址
FILE* maps_fp = fopen("/proc/self/maps", "r");
if (maps_fp == NULL) {
LOGE("open /proc/self/maps error");
}
char line[512];
char permission[5];
uintptr_t base_addr;
unsigned long offset;
int pathname_pos;
char *pathname;
size_t pathname_len;
regex_t path_name_regex;
regcomp(&path_name_regex, pathname_regex_str, REG_NOSUB);
while (fgets(line, sizeof(line), maps_fp)) {
if(sscanf(line, "%"PRIxPTR"-%*lx %4s %lx %*x:%*x %*d%n", &base_addr, permission, &offset, &pathname_pos) != 3) continue;
// 異常情況的判斷
if(permission[0] != 'r') continue;
if(permission[3] != 'p') continue;
if(0 != offset) continue;
// 空格去掉
while(isspace(line[pathname_pos]) && pathname_pos < (int)(sizeof(line) - 1))
pathname_pos += 1;
if(pathname_pos >= (int)(sizeof(line) - 1)) continue;
// 獲取成這樣 /system/framework/arm64/boot-core-libart.art\n
pathname = line + pathname_pos;
pathname_len = strlen(pathname);
if(0 == pathname_len) continue;
// 獲取成這樣 /system/framework/arm64/boot-core-libart.art
if(pathname[pathname_len - 1] == '\n')
{
pathname[pathname_len - 1] = '\0';
pathname_len -= 1;
}
// 異常情況判斷
if(0 == pathname_len) continue;
if('[' == pathname[0]) continue;
// 正則匹配
if(0 == regexec(&path_name_regex, pathname, 0, NULL, 0))
{
core_dhook(pathname, base_addr, symbol, new_func);
}
}
}
2. 解析 elf 找到要 hook 的函數的地址,替換成指定的函數地址
void core_dhook(uintptr_t base_addr, const char *symbol, void *new_func){
// 2.1. 獲取計算 program_header_table 的地址
ElfW(Ehdr) *elf_header = base_addr;
ElfW(Phdr) *elf_program_header_table = base_addr + elf_header->e_phoff;
// 2.2. 遍歷 elf_program_header_table
int program_header_table_length = elf_header->e_phnum;
uintptr_t dyn_address = 0;
unsigned int dyn_memory_size = 0;
for (int i = 0; i < program_header_table_length; ++i) {
if(elf_program_header_table[i].p_type == PT_DYNAMIC){
dyn_address = elf_program_header_table[i].p_vaddr + base_addr;
dyn_memory_size = elf_program_header_table[i].p_memsz;
break;
}
}
// 2.3 找出 rel.plt 表的位置
ElfW(Dyn) *elf_dynamic_table = dyn_address;
int dynamic_count = dyn_memory_size / sizeof(ElfW(Dyn));
ElfW(Dyn) *elf_dynamic_table_end = elf_dynamic_table + dynamic_count;
uintptr_t elf_rel_address;
uintptr_t sys_tab_address;
uintptr_t str_tab_address;
unsigned long elf_rel_size;
for (; elf_dynamic_table < elf_dynamic_table_end; elf_dynamic_table++) {
switch (elf_dynamic_table->d_tag) {
case DT_NULL:
elf_dynamic_table == elf_dynamic_table_end;
break;
case DT_JMPREL:
elf_rel_address = elf_dynamic_table->d_un.d_ptr;
break;
case DT_PLTRELSZ:
elf_rel_size = elf_dynamic_table->d_un.d_val / sizeof(ElfW(Rela));
break;
case DT_SYMTAB:
sys_tab_address = elf_dynamic_table->d_un.d_ptr;
break;
case DT_STRTAB:
str_tab_address = elf_dynamic_table->d_un.d_ptr;
break;
}
}
// 2.4 遍歷 rel.plt 表,匹配 symbol 只能通過 sys_table -> str_tab
ElfW(Rela) *elf_rel_table = (elf_rel_address + base_addr);
for (int i = 0; i < elf_rel_size; ++i) {
int sys_tab_index = ELF_R_SYM(elf_rel_table[i].r_info);
ElfW(Sym) *sys_table = (sys_tab_index * sizeof(ElfW(Sym)) + sys_tab_address + base_addr);
char* fun_name = (char *) (sys_table->st_name + str_tab_address + base_addr);
if (memcmp(fun_name, symbol, strlen(symbol)) == 0) {
uintptr_t mem_page_start = elf_rel_table[i].r_offset + base_addr;
// 調整目標內存區域的權限
mprotect(PAGE_START(mem_page_start), getpagesize(), PROT_READ | PROT_WRITE);
// 2.5 替換掉地址
*(void **) (elf_rel_table[i].r_offset + base_addr) = new_func;
// 清除指令緩存
__builtin___clear_cache((void *) PAGE_START(mem_page_start), (void *) PAGE_END(mem_page_start));
}
}
}
視頻鏈接:https://pan.baidu.com/s/1O5M7oumrpTVBnda8X88VlQ
視頻密碼:kdtd