【Android 逆向】函数拦截原理 ( 可执行程序基本结构 | GOT 全局偏移表 | 可执行程序函数调用步骤 )

文章目录

• 一、可执行程序基本结构
• 二、GOT 全局偏移表
• 三、可执行程序函数调用步骤

一、可执行程序基本结构

程序加载到内存中之后 , 会分为以下

个部分 :

• 可执行程序
• 自定义函数库 : Linux / Android 系统中 .so 动态库 / .a 静态库 , Windows 系统中 .dll 动态库 / .lib 静态库 ;
• 系统函数库

Java 加载到内存之后 , 是 JAR 文件或 DEX 文件 ; Python 加载到内存之后 , 是 Python 脚本 ; 但是二者最终想要在 CPU 上执行 , 还是要转为以上

部分才能执行 ;

二、GOT 全局偏移表

上述 可执行程序 , 自定义库 , 系统库 , 按照

者发生作用的机制 , 又可以进一步进行如下划分 :

可执行程序 可以 调用函数 , 这个被调用的函数 可以是 自定义库 中的函数 , 也可以是 系统库 中的函数 ;

此时就会存在一个 GOT 全局偏移表 , 当 可执行程序编译 时 , 并 不知道每个函数的具体位置 ;

函数相对于其所在的函数库的相对偏移是确定的 , 但是在不同平台加载时 , 该偏移值是不同的 ;

GOT 表的作用 : 记录每个函数的位置 , 其分为

部分 ;

• 跳转信息 : 一部分在 可执行程序 中是 跳转信息 , 会 跳转到函数对应的 系统库 或 自定义库中 ;
• 位置信息 : 另一部分是 函数在函数库的 位置信息 , 跳转到对应的函数库中之后 , 然后再跳转到 函数库 中的函数位置 ;

GOT 表 是在加载动态库 时生成数据的 , 根据加载函数库时的参数 , 可以设置 加载时填充位置信息 , 还是 调用时填充位置信息 ;

GOT 表是从全局加载的符号表 , 符号表中可能有值 , 也可能没有值 , 这是由动态库加载的参数决定的 , 函数调用时 , 该函数的地址值肯定是存在的 ;

三、可执行程序函数调用步骤

可执行程序函数调用步骤 :

① 函数调用 : 可执行程序 执行时 , 先调用函数 , 此时不知道 被调用的函数 地址 ;

② 根据 GOT 表跳转函数库 : 跳转到 GOT 表 , GOT 表会横跨 可执行程序 , 自定义库 , 系统库

部分 , 在 可执行程序 内部的部分 是 函数库跳转信息 , 先跳转到对应的函数库 ;

③ 在函数库中根据 GOT 表跳转到函数位置 : 然后查找 GOT 表在函数库部分的内容 , 是函数的地址 , 根据该函数地址跳转到函数位置 ;