Android 逆向函数拦截原理 ( 可执行程序基本结构 | GOT 全局偏移表 | 可执行程序函数调用步骤 )

Posted 韩曙亮

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Android 逆向函数拦截原理 ( 可执行程序基本结构 | GOT 全局偏移表 | 可执行程序函数调用步骤 )相关的知识,希望对你有一定的参考价值。





一、可执行程序基本结构



程序加载到内存中之后 , 会分为以下 3 3 3 个部分 :

  • 可执行程序
  • 自定义函数库 : Linux / android 系统中 .so 动态库 / .a 静态库 , Windows 系统中 .dll 动态库 / .lib 静态库 ;
  • 系统函数库


Java 加载到内存之后 , 是 JAR 文件或 DEX 文件 ; Python 加载到内存之后 , 是 Python 脚本 ; 但是二者最终想要在 CPU 上执行 , 还是要转为以上 3 3 3 部分才能执行 ;





二、GOT 全局偏移表



上述 可执行程序 , 自定义库 , 系统库 , 按照 3 3 3 者发生作用的机制 , 又可以进一步进行如下划分 :

可执行程序 可以 调用函数 , 这个被调用的函数 可以是 自定义库 中的函数 , 也可以是 系统库 中的函数 ;

此时就会存在一个 GOT 全局偏移表 , 当 可执行程序编译 时 , 并 不知道每个函数的具体位置 ;

函数相对于其所在的函数库的相对偏移是确定的 , 但是在不同平台加载时 , 该偏移值是不同的 ;


GOT 表的作用 : 记录每个函数的位置 , 其分为 2 2 2 部分 ;

  • 跳转信息 : 一部分在 可执行程序 中是 跳转信息 , 会 跳转到函数对应的 系统库 或 自定义库中 ;
  • 位置信息 : 另一部分是 函数在函数库的 位置信息 , 跳转到对应的函数库中之后 , 然后再跳转到 函数库 中的函数位置 ;

GOT 表 是在加载动态库 时生成数据的 , 根据加载函数库时的参数 , 可以设置 加载时填充位置信息 , 还是 调用时填充位置信息 ;

GOT 表是从全局加载的符号表 , 符号表中可能有值 , 也可能没有值 , 这是由动态库加载的参数决定的 , 函数调用时 , 该函数的地址值肯定是存在的 ;





三、可执行程序函数调用步骤



可执行程序函数调用步骤 :

① 函数调用 : 可执行程序 执行时 , 先调用函数 , 此时不知道 被调用的函数 地址 ;

② 根据 GOT 表跳转函数库 : 跳转到 GOT 表 , GOT 表会横跨 可执行程序 , 自定义库 , 系统库 3 3 3 部分 , 在 可执行程序 内部的部分 是 函数库跳转信息 , 先跳转到对应的函数库 ;

③ 在函数库中根据 GOT 表跳转到函数位置 : 然后查找 GOT 表在函数库部分的内容 , 是函数的地址 , 根据该函数地址跳转到函数位置 ;


以上是关于Android 逆向函数拦截原理 ( 可执行程序基本结构 | GOT 全局偏移表 | 可执行程序函数调用步骤 )的主要内容,如果未能解决你的问题,请参考以下文章

Android 逆向函数拦截 ( GOT 表数据结构分析 | 函数根据 GOT 表进行跳转的流程 )

Android 逆向函数拦截实例 ( 函数拦截流程 | 定位动态库及函数位置 )

Android 逆向Android 逆向通用工具开发 ( Android 端远程命令工具 | Android 端可执行程序的 main 函数操作 | TCP 协议服务器建立 | 接收客户端数据 )(代

Android 逆向函数拦截 ( GOT 表拦截 与 插桩拦截 | 插桩拦截简介 | 插桩拦截涉及的 ARM 和 x86 中的跳转指令 )

Android 逆向函数拦截 ( 修改内存页属性 | x86 架构插桩拦截 )

Android 逆向函数拦截实例 ( ③ 刷新 CPU 高速缓存 | ④ 处理拦截函数 | ⑤ 返回特定结果 )