Android漫游记(1)---内存映射镜像(memory maps)

Android系统内核基于Linux2.6+内核，因此，其在进程内存管理方面的很多机制和Linux是很相像的。首先，让我们来看一个典型的Android进程的内存镜像（App进程和Native本地进程略有差别，但原理是一样的）：

和Linux一样，Android提供了基于/proc的“伪文件”系统来作为查看用户进程内存映像的接口(cat /proc/pid/maps)。可以说，这是Android系统内核层开放给用户层关于进程内存信息的一扇窗户。通过它，我们可以查看到当前进程空间的内存映射情况，模块加载情况以及虚拟地址和内存读写执行（rwxp）属性等。

首先我们来解读下上面的maps。

以libc.so为例：

第一列：400dd000------40142000  ，可以看出这是内存中连续的地址空间，分成了3个子空间，分为400dd000-40142000,40142000-40144000,40144000-40146000。你可能会问了，既然是加载libc.so，为什么要加载3次？好问题！

我们继续看第二列：r-xp  r--p   rw-p。其中r表示只读，w表示可写，x表示可执行，p表示私有（s表示共享）。让我们看一下libc.so的elf的程序头和段说明部分内容（ELF为类unix的可执行或共享镜像的格式，类似于windows PE格式，后续漫游系列详细讲解），我们可以通过Google提供的Android NDK Toolchains工具链的arm-linux-androideabi-readelf来读取(arm-linux-androideabi-readelf  -a libc.so).

这块我们不详细解析，重点关注上图中我标记的两块内容。LOAD表示该段需要加载到内存，Flg标志表示该段在内存镜像中的属性，至此，可以基本回答上面的问题了。内核在加载libc.so的时候，参照ELF程序头，来讲段一一映射到内存。由于libc.so包含了代码段、数据段等，因此按照不同的属性映射到不同的位置。

如上面的400dd000-40142000包含了.text  .plt等Section，而40142000-40144000,40144000-40146000则包含了.data  .bss .got等Section。

总结一下：libc.so在被映射到内存的时候，内核是根据elf程序头来一一映射“组装的”，不同类型的段被映射到不同区域。

下面，我们来看一下Linux内核提供的内存映射API（mmap）。

       #include <sys/mman.h>

       void *mmap(void *addr, size_t length, int prot, int flags,int fd, off_t offset);

参数：

addr  : 要映射的内存地址参考，内核按照这个地址来动态决定新分配的内存位置

length :大小（bytes）

prot :

       PROT_EXEC  Pages may be executed.//可执行

       PROT_READ  Pages may be read.//可读

       PROT_WRITE Pages may be written.//可写

       PROT_NONE  Pages may not be accessed.//不可访问

flags:

       MAP_SHARED Share this mapping.  Updates to the mapping are visible to
                  other processes that map this file, and are carried
                  through to the underlying file.  The file may not actually
                  be updated until msync(2) or munmap() is called.

       MAP_PRIVATE
                  Create a private copy-on-write mapping.  Updates to the
                  mapping are not visible to other processes mapping the
                  same file, and are not carried through to the underlying
                  file.  It is unspecified whether changes made to the file
                  after the mmap() call are visible in the mapped region.

fd和offset表示要映射的文件句柄和初始偏移，如为空，相当于分配一块空的内存块，mmap返回映射后的内存块基址。实际上内核就是调用mmap一步一步把elf文件搬到内存的。

写到这里，我们开个小差，详细研究下mmap的prot参数，如上面所说，该标志表示将映射内存块的读写以及执行属性，而Linux除了初始映射的时候可以设置内存属性以外，在加载到内存后，依然可以修改其属性（需root权限），这就有点意思了，这意味着我们可以在进程执行的时候，动态修改其内存属性(除了内核vsyscall区域)，具体这能干些啥，你懂的。

看API（mprotect）

       #include <sys/mman.h>

       int mprotect(void *addr, size_t len, int prot);

参数：

addr:要修改的内存基址（必须页面对齐，page size的倍数，一般为4K对齐）

len:大小(bytes)

prot:修改后的rwx属性。

看到这里，那些所谓的游戏”辅助、外挂“都笑了！

我们不妨写一段代码看看mproject和mmap能干些啥！

/*
 *  mmap & mprotect call
 *  Created on: 2014-6
 *  Author: Chris.Z
 */
#include <stdio.h>
#include <stdlib.h>
#include <sys/mman.h>
#include <errno.h>

int main()
{
    void* membase = NULL;
    printf("[+]call mmap to alloc memory,size of 4k btyes\n");
    membase = mmap(NULL,0x1000,PROT_READ,MAP_ANONYMOUS|MAP_PRIVATE,NULL,NULL);
    if(membase == MAP_FAILED)
    {
        printf("[+]mmap failed with errno:%d\n",errno);
        return 1;
    }
    printf("[+]allocated memory base:0x%x\n",membase);
    if(getchar())
    {
        printf("[+]modify the addr:0x%x prots to rwx\n",membase);
        mprotect(membase,0x1000,PROT_READ|PROT_WRITE|PROT_EXEC);
    }
    if(getchar())
        free(membase);
    return 0;
}

上面的代码段，我们让内核在当前进程内存空间分配一片大小为4K的匿名内存，初始属性为”只读“，然后我们调用mprotect将其属性改为”rwx“。看运行结果：

可以看到我们分配后的内存块的基址为：0x401da000，查看进程maps，发现确实已分配属性为"r--p"的内存块，结束地址为0x401db000，大小为0x1000，正好4K。

输入回车后，我们看到的结果：

到这里，我们知道了如何在当前进程动态的分配一块页面对齐的内存，同时修改其属性，当然这里演示的是对于当前进程的操作，如果要操作一个第三方的进程，还需要一些其他的玩意儿，比如进程附加、注入之类的操作，这个后面慢慢讲！

好了，就写到这里，Enjoy IT！

转载请注明出处：生活秀

Android漫游记(1)---内存映射镜像(memory maps)