Android 逆向函数拦截原理 ( 可执行程序基本结构 | GOT 全局偏移表 | 可执行程序函数调用步骤 )
Posted 韩曙亮
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Android 逆向函数拦截原理 ( 可执行程序基本结构 | GOT 全局偏移表 | 可执行程序函数调用步骤 )相关的知识,希望对你有一定的参考价值。
一、可执行程序基本结构
程序加载到内存中之后 , 会分为以下 3 3 3 个部分 :
- 可执行程序
- 自定义函数库 : Linux / android 系统中 .so 动态库 / .a 静态库 , Windows 系统中 .dll 动态库 / .lib 静态库 ;
- 系统函数库
Java 加载到内存之后 , 是 JAR 文件或 DEX 文件 ; Python 加载到内存之后 , 是 Python 脚本 ; 但是二者最终想要在 CPU 上执行 , 还是要转为以上 3 3 3 部分才能执行 ;
二、GOT 全局偏移表
上述 可执行程序 , 自定义库 , 系统库 , 按照 3 3 3 者发生作用的机制 , 又可以进一步进行如下划分 :
可执行程序 可以 调用函数 , 这个被调用的函数 可以是 自定义库 中的函数 , 也可以是 系统库 中的函数 ;
此时就会存在一个 GOT 全局偏移表 , 当 可执行程序编译 时 , 并 不知道每个函数的具体位置 ;
函数相对于其所在的函数库的相对偏移是确定的 , 但是在不同平台加载时 , 该偏移值是不同的 ;
GOT 表的作用 : 记录每个函数的位置 , 其分为 2 2 2 部分 ;
- 跳转信息 : 一部分在 可执行程序 中是 跳转信息 , 会 跳转到函数对应的 系统库 或 自定义库中 ;
- 位置信息 : 另一部分是 函数在函数库的 位置信息 , 跳转到对应的函数库中之后 , 然后再跳转到 函数库 中的函数位置 ;
GOT 表 是在加载动态库 时生成数据的 , 根据加载函数库时的参数 , 可以设置 加载时填充位置信息 , 还是 调用时填充位置信息 ;
GOT 表是从全局加载的符号表 , 符号表中可能有值 , 也可能没有值 , 这是由动态库加载的参数决定的 , 函数调用时 , 该函数的地址值肯定是存在的 ;
三、可执行程序函数调用步骤
可执行程序函数调用步骤 :
① 函数调用 : 可执行程序 执行时 , 先调用函数 , 此时不知道 被调用的函数 地址 ;
② 根据 GOT 表跳转函数库 : 跳转到 GOT 表 , GOT 表会横跨 可执行程序 , 自定义库 , 系统库 3 3 3 部分 , 在 可执行程序 内部的部分 是 函数库跳转信息 , 先跳转到对应的函数库 ;
③ 在函数库中根据 GOT 表跳转到函数位置 : 然后查找 GOT 表在函数库部分的内容 , 是函数的地址 , 根据该函数地址跳转到函数位置 ;
以上是关于Android 逆向函数拦截原理 ( 可执行程序基本结构 | GOT 全局偏移表 | 可执行程序函数调用步骤 )的主要内容,如果未能解决你的问题,请参考以下文章
Android 逆向函数拦截 ( GOT 表数据结构分析 | 函数根据 GOT 表进行跳转的流程 )
Android 逆向函数拦截实例 ( 函数拦截流程 | 定位动态库及函数位置 )
Android 逆向Android 逆向通用工具开发 ( Android 端远程命令工具 | Android 端可执行程序的 main 函数操作 | TCP 协议服务器建立 | 接收客户端数据 )(代
Android 逆向函数拦截 ( GOT 表拦截 与 插桩拦截 | 插桩拦截简介 | 插桩拦截涉及的 ARM 和 x86 中的跳转指令 )