文档章节

Android上可执行ELF文件中的段不能有基址

i
 i不歪
发布于 2016/04/06 10:54
字数 1789
阅读 183
收藏 0
点赞 1
评论 0

Android上可执行ELF文件中的段不能有基址

@(Android研究)[android]


[TOC]


场景

我使用Android NDK的编译工具交叉编译qemu项目(编译可在Android上运行的qemu user mode),将编译出来的qemu-arm可执行文件放到Android上执行时发生了"Segmentation fault",通过分析错误日志(Android linker加载库失败时输出更详细调试信息),发现是linker加载qemu-arm时出错,简要错误日志见下:

01-30 20:36:10.376 2078-2078/? A/libc: Fatal signal 11 (SIGSEGV), code 1, fault addr 0xc0011c80 in tid 2078 (the_exe)
01-30 20:36:10.377 197-197/? I/DEBUG: property debug.db.uid not set; NOT waiting for gdb.
01-30 20:36:10.377 197-197/? I/DEBUG: HINT: adb shell setprop debug.db.uid 100000
01-30 20:36:10.377 197-197/? I/DEBUG: HINT: adb forward tcp:5039 tcp:5039
01-30 20:36:10.482 197-197/? I/DEBUG: *** *** *** *** *** *** *** *** *** *** *** *** *** *** *** ***
01-30 20:36:10.482 197-197/? I/DEBUG: Build fingerprint: 'google/hammerhead/hammerhead:5.1.1/LMY48M/2167285:user/release-keys'
01-30 20:36:10.482 197-197/? I/DEBUG: Revision: '11'
01-30 20:36:10.482 197-197/? I/DEBUG: ABI: 'arm'
01-30 20:36:10.483 197-197/? I/DEBUG: pid: 2078, tid: 2078, name: the_exe  >>> ./the_exe <<<
01-30 20:36:10.483 197-197/? I/DEBUG: signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr 0xc0011c80
01-30 20:36:10.491 26449-26682/system_process W/NativeCrashListener: Couldn't find ProcessRecord for pid 2078
01-30 20:36:10.558 197-197/? I/DEBUG:     r0 00000000  r1 b6fa83bf  r2 c0011c81  r3 b6fad714
01-30 20:36:10.558 197-197/? E/DEBUG: AM write failure (32 / Broken pipe)
01-30 20:36:10.558 197-197/? I/DEBUG:     r4 c0011c80  r5 b6fa83bf  r6 b6f9b004  r7 b6fa8486
01-30 20:36:10.558 197-197/? I/DEBUG:     r8 00000010  r9 b6fad714  sl 00000001  fp 6011fdb8
01-30 20:36:10.558 197-197/? I/DEBUG:     ip b6fa8486  sp bec6d7a8  lr b6f9f5b7  pc c0011c80  cpsr 800f0010
01-30 20:36:10.559 197-197/? I/DEBUG:     #00 pc c0011c80  <unknown>
01-30 20:36:10.559 197-197/? I/DEBUG:     #01 pc 000015b5  /system/bin/linker (__dl__ZN6soinfo12CallFunctionEPKcPFvvE+44)
01-30 20:36:10.559 197-197/? I/DEBUG:     #02 pc 00001689  /system/bin/linker (__dl__ZN6soinfo9CallArrayEPKcPPFvvEjb+140)
01-30 20:36:10.559 197-197/? I/DEBUG:     #03 pc 0000185f  /system/bin/linker (__dl__ZN6soinfo16CallConstructorsEv+142)
01-30 20:36:10.559 197-197/? I/DEBUG:     #04 pc 00003ae7  /system/bin/linker (__dl___linker_init+1594)
01-30 20:36:10.559 197-197/? I/DEBUG:     #05 pc 00000a98  /system/bin/linker (_start+4)
01-30 20:36:10.559 197-197/? I/DEBUG:     #06 pc 00000a98  /system/bin/linker (_start+4)
01-30 20:36:10.559 197-197/? I/DEBUG:     #07 pc 00000a98  /system/bin/linker (_start+4)

......

上面错误日志中有这么一行"#00 pc c0011c80 <unknown>"。依据Linux的知识,内存的低3G地址是用户空间高1G地址是内核空间,内核空间地址范围是0xc0000000~0xffffffff,也就是说此时的pc指向了内核内存范围,这肯定是有问题的。

问题详解

下面是qemu-arm的段信息:

Section Headers:
  [Nr] Name              Type            Addr     Off    Size   ES Flg Lk Inf Al
  [ 0]                   NULL            00000000 000000 000000 00      0   0  0
  [ 1] .interp           PROGBITS        60000134 000134 000013 00   A  0   0  1
  [ 2] .dynsym           DYNSYM          60000148 000148 001b50 10   A  3   1  4
  [ 3] .dynstr           STRTAB          60001c98 001c98 0012d7 00   A  0   0  1
  [ 4] .hash             HASH            60002f70 002f70 000af8 04   A  2   0  4
  [ 5] .gnu.version      VERSYM          60003a68 003a68 00036a 02   A  2   0  2
  [ 6] .gnu.version_r    VERNEED         60003dd4 003dd4 000040 00   A  3   2  4
  [ 7] .rel.dyn          REL             60003e14 003e14 000050 08   A  2   0  4
  [ 8] .rel.plt          REL             60003e64 003e64 000d40 08   A  2   0  4
  [ 9] .plt              PROGBITS        60004ba4 004ba4 0013f4 00  AX  0   0  4
  [10] .text             PROGBITS        60005f98 005f98 0d3f00 00  AX  0   0  4
  [11] .note.android.ide PROGBITS        600d9e98 0d9e98 000018 00   A  0   0  4
  [12] .rodata           PROGBITS        600d9eb0 0d9eb0 0236c4 00   A  0   0  8
  [13] .ARM.extab        PROGBITS        600fd574 0fd574 00003c 00   A  0   0  4
  [14] .ARM.exidx        ARM_EXIDX       600fd5b0 0fd5b0 0000b8 08  AL 10   0  4
  [15] .data.rel.ro.loca PROGBITS        600fe690 0fd690 00b7e8 00  WA  0   0  8
  [16] .fini_array       FINI_ARRAY      60109e78 108e78 000008 00  WA  0   0  4
  [17] .init_array       INIT_ARRAY      60109e80 108e80 000040 00  WA  0   0  4
  [18] .preinit_array    PREINIT_ARRAY   60109ec0 108ec0 000008 00  WA  0   0  4
  [19] .data.rel.ro      PROGBITS        60109ec8 108ec8 004f30 00  WA  0   0  8
  [20] .dynamic          DYNAMIC         6010edf8 10ddf8 000128 08  WA  3   0  4
  [21] .got              PROGBITS        6010ef24 10df24 0010dc 00  WA  0   0  4
  [22] .data             PROGBITS        60110000 10f000 004164 00  WA  0   0  8
  [23] .bss              NOBITS          60114170 113170 10359f8 00  WA  0   0 16
  [24] .comment          PROGBITS        00000000 113164 000026 01  MS  0   0  1
  [25] .debug_info       PROGBITS        00000000 11318a 1efbce 00      0   0  1
  [26] .debug_abbrev     PROGBITS        00000000 302d58 01a79e 00      0   0  1
  [27] .debug_loc        PROGBITS        00000000 31d4f6 15fb92 00      0   0  1
  [28] .debug_aranges    PROGBITS        00000000 47d088 0010e8 00      0   0  8
  [29] .debug_ranges     PROGBITS        00000000 47e170 02c4e8 00      0   0  1
  [30] .debug_line       PROGBITS        00000000 4aa658 05d16e 00      0   0  1
  [31] .debug_str        PROGBITS        00000000 5077c6 02d269 01  MS  0   0  1
  [32] .debug_frame      PROGBITS        00000000 534a30 019bac 00      0   0  4
  [33] .note.gnu.gold-ve NOTE            00000000 54e5dc 00001c 00      0   0  4
  [34] .ARM.attributes   ARM_ATTRIBUTES  00000000 54e5f8 00002b 00      0   0  1
  [35] .symtab           SYMTAB          00000000 54e624 021dc0 10     36 5874  4
  [36] .strtab           STRTAB          00000000 5703e4 015378 00      0   0  1
  [37] .shstrtab         STRTAB          00000000 58575c 000195 00      0   0  1

观察上面的段信息可以发现,这些段都是有基址的,基址是0x60000000。段有基址,那么存在于段中的函数和变量也都是有基址的。

通过分析Android linker的源码发现,0xc0011c80地址值是linker对qemu-arm的构造函数进行重定位后的地址,该构造函数在ELF文件中显示的虚拟地址值是0x60011c80,0xc0011c80与0x60011c80之间差0x60000000,这里的0x60000000是linker将qemu-arm加载到内存时的基址。此时就不难理解0xc0011c80的值是怎么来的了,0xc0011c80等于"0x60000000 + 0x60011c80",

下面是ndk-build编译出的可执行文件的段信息:

Section Headers:
  [Nr] Name              Type            Addr     Off    Size   ES Flg Lk Inf Al
  [ 0]                   NULL            00000000 000000 000000 00      0   0  0
  [ 1] .interp           PROGBITS        00000134 000134 000013 00   A  0   0  1
  [ 2] .dynsym           DYNSYM          00000148 000148 0000d0 10   A  3   1  4
  [ 3] .dynstr           STRTAB          00000218 000218 0000bf 00   A  0   0  1
  [ 4] .hash             HASH            000002d8 0002d8 000048 04   A  2   0  4
  [ 5] .rel.dyn          REL             00000320 000320 000060 08   A  2   0  4
  [ 6] .rel.plt          REL             00000380 000380 000040 08  AI  2   7  4
  [ 7] .plt              PROGBITS        000003c0 0003c0 000074 00  AX  0   0  4
  [ 8] .text             PROGBITS        00000434 000434 001608 00  AX  0   0  4
  [ 9] .note.android.ide PROGBITS        00001a3c 001a3c 000018 00   A  0   0  4
  [10] .ARM.exidx        ARM_EXIDX       00001a54 001a54 000110 08  AL  8   0  4
  [11] .rodata           PROGBITS        00001b64 001b64 000016 01 AMS  0   0  1
  [12] .ARM.extab        PROGBITS        00001b7c 001b7c 00003c 00   A  0   0  4
  [13] .fini_array       FINI_ARRAY      00002e84 001e84 000008 00  WA  0   0  4
  [14] .init_array       INIT_ARRAY      00002e8c 001e8c 000010 00  WA  0   0  4
  [15] .preinit_array    PREINIT_ARRAY   00002e9c 001e9c 000008 00  WA  0   0  4
  [16] .dynamic          DYNAMIC         00002ea4 001ea4 000100 08  WA  3   0  4
  [17] .got              PROGBITS        00002fa4 001fa4 00005c 00  WA  0   0  4
  [18] .bss              NOBITS          00003000 002000 000004 00  WA  0   0  4
  [19] .comment          PROGBITS        00000000 002000 000023 01  MS  0   0  1
  [20] .note.gnu.gold-ve NOTE            00000000 002024 00001c 00      0   0  4
  [21] .ARM.attributes   ARM_ATTRIBUTES  00000000 002040 00002d 00      0   0  1
  [22] .shstrtab         STRTAB          00000000 00206d 0000dd 00      0   0  1
Key to Flags:
  W (write), A (alloc), X (execute), M (merge), S (strings)
  I (info), L (link order), G (group), T (TLS), E (exclude), x (unknown)
  O (extra OS processing required) o (OS specific), p (processor specific)

观察上面的段信息可以发现,通过ndk-build编译出来的可执行文件中的段是没有基址的。

0xc0011c80地址形成的印证

下面的代码摘自Android linker源码"android/system/bionic/linker/linker.cpp"文件(源自Android5.1.1源码):

#if defined(__arm__)
      case R_ARM_RELATIVE:
#elif defined(__i386__)
      case R_386_RELATIVE:
#endif
        count_relocation(kRelocRelative);
        MARK(rel->r_offset);
        if (sym) {
          DL_ERR("odd RELATIVE form...");
          return -1;
        }
        TRACE_TYPE(RELO, "[R_ARM_RELATIVE/R_386_RELATIVE] RELO RELATIVE %p <- +%p",
                   reinterpret_cast<void*>(reloc), reinterpret_cast<void*>(base));
        *reinterpret_cast<ElfW(Addr)*>(reloc) += base;
        break;

*reinterpret_cast<ElfW(Addr)*>(reloc) += base;语句可知,被重定位函数的最终地址等于ELF文件中的虚拟地址加上内存基址。这条语句印证了上面对于0xc0011c80地址形成的分析,同时也印证了Android上可执行ELF文件中的段不能有基址,如果段中有基址那么内存基址与ELF中虚拟地址相加后通常将会产生一个很大的数值。

关于为什么编译qemu-arm可执行文件时输出ELF中的段有基址,可以阅读文章:编译可在Android上运行的qemu user mode中"添加arm的PIE支持"一节。

© 著作权归作者所有

共有 人打赏支持
i
粉丝 5
博文 70
码字总数 51263
作品 0
西城
Android so注入(inject)和Hook技术学习(三)——Got表hook之导出表hook

前文介绍了导入表hook,现在来说下导出表的hook。导出表的hook的流程如下。 1、获取动态库基值    1 void getmodulebase(pid_t pid, const char module_name){ 2 FILE* fp; 3 long addr =...

bamb00
07/15
0
0
Red/System 语言获得了OS X, ARM, Android 后端

红色/系统(Red/System),在Syllable项目使用的新式程序语言,有了下一个里程碑式的成果——其编译器的一个ARM代码生成器后端。该后端支持Android(见截图)和通用ARM Linux(Debian上的截图...

xyxzfj
2012/01/02
0
0
爱奇艺 xhook 1.1.5 发布,产品级的安卓 PLT hook 库

介绍 xhook 是一个针对 Android 平台 ELF (可执行文件和动态库) 的 PLT (Procedure Linkage Table) hook。 xhook 一直在稳定性和兼容性方面做着持续的优化。 特征 支持 Android 4.0 (含) 以上...

nomagic
05/03
0
0
编译可在Android上运行的qemu user mode

前言 本文在Ubuntu 64位系统上对qemu项目进行交叉编译,并且只编译与qemu user mode有关的代码。 下文中的”NDK”若无特殊说明均指”Android NDK”。 下文中”$NDK”表示的是NDK的根目录。 ...

阿里聚安全
2016/07/20
512
1
android linker 浅析

Android 的加载/链接器linker 主要用于实现共享库的加载与链接。它支持应用程序对库函数的隐式和显式调用。对于隐式调用,应用程序的编译与静态库大致相同,只是在静态链接的时候通过--dynam...

LiSteven
2013/07/17
0
0
针对 Android 平台 ELF 的 PLT hook 库 - xHook

概述 xhook 是一个针对 Android 平台 ELF (可执行文件和动态库) 的 PLT (Procedure Linkage Table) hook 库。 xhook 一直在稳定性和兼容性方面做着持续的优化。 特征 支持 Android 4.0 (含)...

caikelun
07/05
0
0
【转】 Android开发手记一 NDK编程实例

Android 开发手记一 ---- NDK 编程实例 在 Android 上,应用程序的开发,大部分基于 Java 语言来实现。要使用 c 或是 c++ 的程序或库,就需要使用 NDK来实现。 NDK 是 Native Development K...

尼莫
2012/07/05
0
0
Android PLT hook 概述

  获取代码和资源   原文链接   开始 新的动态库   我们有一个新的动态库:libtest.so。      头文件 test.h      源文件 test.c      的功能是在终端打印出这6个字符(...

Android群英传
05/08
0
0
AndroidLinker与SO加壳技术之上篇

前言 Android 系统安全愈发重要,像传统pc安全的可执行文件加固一样,应用加固是Android系统安全中非常重要的一环。目前Android 应用加固可以分为dex加固和Native加固,Native 加固的保护对象...

御安全
2016/10/25
202
0
热修复与插件化基础——dex与class

一、dex/class浅析 1、class与dex对比 2、生成class与dex文件的指令 生成并运行class文件对于我们而言实在太熟悉了,这里只演示dex文件的生成与运行。 以 Hello World 为例: 1)生成dex文件...

CSDN_LQR
05/13
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

SpringBoot | 第十章:Swagger2的集成和使用

前言 前一章节介绍了mybatisPlus的集成和简单使用,本章节开始接着上一章节的用户表,进行Swagger2的集成。现在都奉行前后端分离开发和微服务大行其道,分微服务及前后端分离后,前后端开发的...

oKong
今天
4
0
Python 最小二乘法 拟合 二次曲线

Python 二次拟合 随机生成数据,并且加上噪声干扰 构造需要拟合的函数形式,使用最小二乘法进行拟合 输出拟合后的参数 将拟合后的函数与原始数据绘图后进行对比 import numpy as npimport...

阿豪boy
今天
1
0
云拿 无人便利店

附近(上海市-航南路)开了家无人便利店.特意进去体验了一下.下面把自己看到的跟大家分享下. 经得现场工作人员同意后拍了几张照片.从外面看是这样.店门口的指导里强调:不要一次扫码多个人进入....

周翔
昨天
1
0
Java设计模式学习之工厂模式

在Java(或者叫做面向对象语言)的世界中,工厂模式被广泛应用于项目中,也许你并没有听说过,不过也许你已经在使用了。 简单来说,工厂模式的出现源于增加程序序的可扩展性,降低耦合度。之...

路小磊
昨天
163
1
npm profile 新功能介绍

转载地址 npm profile 新功能介绍 npm新版本新推来一个功能,npm profile,这个可以更改自己简介信息的命令,以后可以不用去登录网站来修改自己的简介了 具体的这个功能的支持大概是在6这个版...

durban
昨天
1
0
Serial2Ethernet Bi-redirection

Serial Tool Serial Tool is a utility for developing serial communications, custom protocols or device testing. You can set up bytes to send accordingly to your protocol and save......

zungyiu
昨天
1
0
python里求解物理学上的双弹簧质能系统

物理的模型如下: 在这个系统里有两个物体,它们的质量分别是m1和m2,被两个弹簧连接在一起,伸缩系统为k1和k2,左端固定。假定没有外力时,两个弹簧的长度为L1和L2。 由于两物体有重力,那么...

wangxuwei
昨天
0
0
apolloxlua 介绍

##项目介绍 apolloxlua 目前支持javascript到lua的翻译。可以在openresty和luajit里使用。这个工具分为两种模式, 一种是web模式,可以通过网页使用。另外一种是tool模式, 通常作为大规模翻...

钟元OSS
昨天
2
0
Mybatis入门

简介: 定义:Mybatis是一个支持普通SQL查询、存储过程和高级映射的持久层框架。 途径:MyBatis通过XML文件或者注解的形式配置映射,实现数据库查询。 特性:动态SQL语句。 文件结构:Mybat...

霍淇滨
昨天
2
0
开发技术瓶颈期,如何突破

前言 读书、学习的那些事情,以前我也陆续叨叨了不少,但总觉得 “学习方法” 就是一个永远在路上的话题。个人的能力、经验积累与习惯方法不尽相同,而且一篇文章甚至一本书都很难将学习方法...

_小迷糊
昨天
1
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部