前言:由于逆向需要知识的全面性,这次我们来剖析一下so的加载流程;从java->c;废话不多说,开始。
一、JAVA层(这里我的target是28为例)
1、调用方式:System.loadLibrary();
System.loadLibrary("xxxx");
2、点进去
//类加载器 和 so名字
Runtime.getRuntime().loadLibrary0(classLoader,libName);
这里发现哈,他是在runtime的时候才会获取,要理解Runtime,运行时。
3、runtime层代码:
代码不多我直接全部贴上了,注意一下里面带有中文注释的地方,为个人理解部分和重点部分。
//同步方法。加载肯定是有先后顺序,类似队列形式
synchronized void loadLibrary0(ClassLoader loader, String libname) {
if (libname.indexOf((int)File.separatorChar) != -1) {
throw new UnsatisfiedLinkError(
"Directory separator should not appear in library name: " + libname);
}
String libraryName = libname;
if (loader != null) {
//寻找这个文件是不是存在。 不存在的话返回null,直接抛异常
String filename = loader.findLibrary(libraryName);
if (filename == null) {
// It's not necessarily true that the ClassLoader used
// System.mapLibraryName, but the default setup does, and it's
// misleading to say we didn't find "libMyLibrary.so" when we
// actually searched for "liblibMyLibrary.so.so".
throw new UnsatisfiedLinkError(loader + " couldn't find \"" +
System.mapLibraryName(libraryName) + "\"");
}
//文件存在,就交给下一层处理,这里如果返回的内容不是null就说明加载失败了,且含有错误信息。
//所以这里是重点!!!! 下一步我们就看这里
String error = nativeLoad(filename, loader);
if (error != null) {
throw new UnsatisfiedLinkError(error);
}
return;
}
String filename = System.mapLibraryName(libraryName);
List<String> candidates = new ArrayList<String>();
String lastError = null;
for (String directory : getLibPaths()) {
String candidate = directory + filename;
candidates.add(candidate);
if (IoUtils.canOpenReadOnly(candidate)) {
String error = nativeLoad(candidate, loader);
if (error == null) {
return; // We successfully loaded the library. Job done.
}
lastError = error;
}
}
if (lastError != null) {
throw new UnsatisfiedLinkError(lastError);
}
throw new UnsatisfiedLinkError("Library " + libraryName + " not found; tried " + candidates);
}
4、nativeLoad();
这里就直接native层了,
private static native String nativeLoad(String filename, ClassLoader loader);
二、Native层(这里我使用的是:http://androidxref.com/)
1、sdk28对应的是 android9.0,所以这里要选择一样的版本,因为版本之间可能会有差异。
2、源码中,so层也会对应有一个Runtime,注意关键词
3、溯源1
这里注意下,动态加载。
4、溯源2
因为是native层,我们选这个
其实有人可能已经发现了,这个.h不是头文件吗?为什么要看头文件呢? 这里特别提醒一下,我们要看非头文件,因为头文件是一种约束存在。
所以我们选择:OpenjdkJvm.cc
5、溯源3
6、溯源4
这个方法比较长,这里分几块来看。(纯个人理解,有误欢迎指出)
6.1 -溯源4.1
我们的目的就是把这个so文件加载到内存中,那么肯定要围绕这个文件做事情。还是老方法,捕捉关键字。
6.2 -溯源4.2
看看下面围绕这个 library做了什么事情。
这里又围绕着他们得到了一个handle
6.3 -溯源4.3
这里我有个小疑问,就是当sym==nullptr 的时候他直接返回success,这里是因为首次加载的时候,JNI_OnLoad 函数是首次执行,所以他首次加载。如果加载过了,他就要找到加载过他的classloader,并且拿到相关信息验证,信息无误之后才返回success。
7、溯源5
这里要说的,在6部分,大致流程梳理完了。需要回头来看一个比较重要的函数,就是在 6.2里面提到的handle,handle是通过调用了一个 OpenNativeLibrary,接下来在7部分,来着重分析这个模块的流程。
搜索他,只有一个。
7.1 -溯源5.1
这里,只简单看一下两部分,一部分是classloader为空的,就是说首次加载,否则需要通过之前加载过的classLoader拿到相关信息返回。
我们还是着重分析1,dlopen() 函数
7.2 -溯源5.2
这里我们选择的是bionic目录下的 dlopen,是因为在 bionic目录下都属于android的内核源码,是比较关键的地方。
7.3 -溯源5.3
又跳到__loader_dlopen()
继续追,注意关键函数,do_dlopen()
7.4 -溯源5.4
这里要注意特征,四个参数。
继续
划重点,这里有个结构体,soinfo,这样看没有感觉,如果换成java的驼峰表示就一目了然了:soInfo,顾名思义,so的信息。
中间代码都是判断一些信息是不是null的环节,这里代码就不贴了,我们直接来看一下结尾返回的什么,然后追溯返回的东西的来历。
相同点部分,标记出来。
划重点->
1、 si是 find_library 返回的结构体,也就是这个 library的一系列信息。
2、handle = si->to_handle(); 将si的句柄返回。
什么是句柄? 它实际上是作为一个索引在一个表中查找对应的内核对象的实际地址。你可以理解为一个对象在内存中的位置。 这句话出自:https://blog.csdn.net/qq_31511955/article/details/90763661
3、si->call_constructors(); 本人英语不好,翻译一下:调用构造函数。
8、溯源6
在上面的一系列函数中,这一条调用链似乎是完成了。这里先来小小的总结一下。
1、调用java层loadLirbrary
2、然后交给so层调用 nativeLoadLibrary
3、然后给vm(虚拟机)调用加载
4、然后我们需要根据路径打开这个library,并且返回这个library的句柄。
只要下层返回的信息无误,上面一层函数都会正常执行。so加载到内存之后的地址不会变,所以只要围绕着他的地址做操作就可以了。
这里还要深究一下si->call_constructors(), 看看他的构造函数里做了什么,这一步也比较关键,这样一来整个流程就贯穿下来了。
9、溯源7
si->call_constructors()
1、代码结合注释内容翻译结果,这一段的含义是说:全局不允许频繁调用这个构造方法,也就是这个so只能被初始化一次,且它在内存中的地址是不会变的。 类似于java中的单例。
2、如果这个so没有被加载过,那就调用DT_INIT 和 DT_INIT_ARRAY, 类似于初始化方法。具体操作要看开发者是怎么写的。 可以类似理解为:Application 的 attachBaseContext() 方法,只有程序第一次进入的时候才会走。
10、溯源总结
整个流程走完之后,脑瓜里清晰不少,最后用自己的理解来总结出一张大致流程图奉上,有误欢迎指出。
