在加载的 ELF（.so 共享库）中挂钩并替换导出函数

我正在编写一些 C 代码来将 .so ELF （共享库）的某些函数加载到内存中。

我的 C 代码应该能够重定向另一个加载到应用程序/程序内存中的 .so 库的导出函数。

这里有一些详细说明：

Android 应用程序将加载多个 .so 文件。我的 C 代码必须查看属于另一个共享 .so 库（在本例中称为 target.so）的导出函数

这不是常规的 dlsym 方法，因为我不仅想要函数的地址，而且想用我自己的函数替换它；其中：当另一个库调用它自己的函数时，我的 hook_func 会被调用，然后我应该从我的 hook_func 调用original_func。

对于导入功能，这可以工作。但对于导出功能我不知道该怎么做。 导入函数在符号表中具有相应的条目，在重定位表中具有相应的条目，最终给出全局偏移表（GOT）中的条目地址。 但对于导出函数，符号的 st_value 元素本身具有过程的地址，而不是 GOT 地址（如果我错了，请纠正我）。

我如何执行挂钩export功能？

理论上来说，我应该得到的内存位置st_value动态符号表条目的元素（Elf32_Sym）的导出功能。如果我获得该位置，那么我应该能够用我的 hook_func 的地址替换该位置中的值。但是，到目前为止我还无法写入该位置。我必须假设动态符号表的内存是只读的。如果这是真的那么这种情况下的解决方法是什么？

非常感谢您的阅读和帮助我。

Update:LD_PRELOAD只能用我自己的函数替换原来的函数，但是我不确定是否有任何方法可以调用原来的函数。 以我为例：

应用程序通过调用初始化音频引擎Audio_System_Create并传递一个引用AUDIO_SYSTEM反对Audio_System_Create(AUDIO_SYSTEM **);AUDIO API 分配此结构/对象并返回函数。 现在如果我能访问它就好了AUDIO_SYSTEM对象，我可以轻松地将回调附加到该对象并开始接收音频数据。 因此，我的最终目标是获得参考AUIOD_SYSTEM目的;根据我的理解，只有当我拦截该对象首先通过分配的调用时，我才能得到这一点Audio_System_Create(AUIOD_SYSTEM **)。 目前，在 android 上没有直接的方法来获取输出音频。 （所有示例都讨论仅录制来自麦克风的音频）

Update2:正如 Basile 在他的回答中所建议的，我使用了 dladdr() 但奇怪的是，它给了我与我传递给它的地址相同的地址。

void *pFunc=procedure_addr;  //procedure address calculated from the st_value of symbol from symbol table in ELF file (not from loaded file)

        int  nRet;

            // Lookup the name of the function given the function pointer
            if ((nRet = dladdr(pFunc, &DlInfo)) != 0)
            {
                LOGE("Symbol Name is: %s", DlInfo.dli_sname);
                if(DlInfo.dli_saddr==NULL)
                    LOGE("Symbol Address is: NULL");
                else
                    LOGE("Symbol Address is: 0x%x", DlInfo.dli_saddr);
            }
            else
                LOGE("dladdr failed");

这是我得到的结果：

条目地址=0x75a28cfc

Entry_addr_through_dlysm =0x75a28cfc

符号名称为：AUDIO_System_Create

符号地址为：0x75a28cfc

这里通过dlysm得到的地址或者通过ELF文件计算得到的地址就是程序的地址；虽然我需要这个地址本身所在的位置；这样我就可以用我的地址替换这个地址hook_func地址。dladdr()没有做我认为会做的事情。

你应该详细阅读 Drepper 的论文：如何编写共享库 http://www.akkadia.org/drepper/dsohowto.pdf- 特别是要理解为什么使用LD_PRELOAD是不足够的。您可能想研究动态链接器的源代码（ld-linux.so）在你的里面libc。你可以尝试改变保护(2) http://man7.org/linux/man-pages/man2/mprotect.2.html and/or mmap(2) http://man7.org/linux/man-pages/man2/mmap.2.html and/or 重映射(2) http://man7.org/linux/man-pages/man2/mremap.2.html相关页面。您可以通过以下方式查询内存映射proc(5) http://man7.org/linux/man-pages/man5/proc.5.html using /proc/self/maps & /proc/self/smaps。然后你可以，在一个特定于架构的方式，替换起始字节（也许使用asmjit https://github.com/kobalicek/asmjit or GNU 闪电 http://www.gnu.org/software/lightning/）的代码original_func通过跳转到你的hook_func函数（您可能需要更改其尾声，将覆盖的指令放在原来的位置）original_func- 那里...）

事情可能会稍微容易一些，如果original_func众所周知，而且总是一样的。然后，您可以研究它的源代码和汇编代码，并编写修补函数和您的hook_func只为它。

也许使用dladdr(3) http://man7.org/linux/man-pages/man3/dladdr.3.html可能也有帮助（但可能没有）。

或者，修改您的动态链接器以根据您的需要进行更改。你可以研究一下源代码musl-libc 库 http://musl-libc.org/

请注意，您可能需要覆盖机器码在地址original_func（如给出的dlsym on "original_func"）。或者，您需要relocate http://en.wikipedia.org/wiki/Relocation_%28computing%29在所有已加载的共享对象中每次调用该函数（我相信这更难；如果你坚持看到dl_iterate_phdr(3) http://man7.org/linux/man-pages/man3/dl_iterate_phdr.3.html).

如果你想要一个通用的解决方案（对于任意original_func）您需要实现一些二进制代码分析器（或反汇编器）来修补该函数。如果你只是想破解某个特定的original_func你应该反汇编它，并修补它的机器代码，然后让你的hook_func做一部分original_func你已经覆盖了。

如此可怕且耗时的黑客（你需要几周的时间才能使其发挥作用）让我更喜欢使用自由软件 http://en.wikipedia.org/wiki/Free_software（从此以后，修补共享库的源并重新编译就简单多了）。

当然，这一切并不容易。你需要详细了解什么ELF http://en.wikipedia.org/wiki/Executable_and_Linkable_Format共享对象是，另请参见elf(5) http://man7.org/linux/man-pages/man5/elf.5.html并阅读莱文的书：链接器和加载器 http://www.iecc.com/linker/

注意：如果您正在攻击专有库（例如unity3d http://unity3d.com/），您想要实现的目标可能是非法的。询问律师。从技术上讲，您违反了共享库提供的大多数抽象。如果可能的话，请共享库的作者提供帮助，也许可以在其中实现一些插件机制。