zhangmiaoping23

Android平台下hook框架adbi的研究（上）

转:http://blog.csdn.net/roland_sun/article/details/34109569

对原文进行了修改，添加。

对于Android系统来说，底层本质上来说还是一个Linux系统，所以过往在Linux上常用的技巧，在Android平台上都可以实现。

比如，可以利用ptrace()函数来attach到一个进程上，从而可以修改对应该进程的内存内容和寄存器的值。

但是，有了这些功能，要想真正做到随意hook一个进程中的指定函数，还是有很多工作要做。而adbi（The Android Dynamic Binary Instrumentation Toolkit）就是一个通用的框架，使得hook变得异常简单。可以从这里获得其源代码：https://github.com/crmulliner/adbi。

它的基本实现原理是利用ptrace()函数attach到一个进程上，然后在其调用序列中插入一个调用dlopen()函数的步骤，将一个实现预备好的.so文件加载到要hook的进程中，最终由这个加载的.so文件在初始化函数中hook指定的函数。

整个adbi工具集由两个主要模块组成，分别是用于.so文件注入的进程劫持工具（hijack tool）和一个修改函数入口的基础库。接下来，我们还是通过阅读代码来分别了解这两个模块的实现原理，本篇我们先将重点放在劫持工具的实现上。

前面的介绍中已经提到过了，这个模块的作用是将一个调动dlopen()函数的步骤插入到指定进程的调用序列中。

要做到这点，需要解决几个问题，一是如何获得目标进程中dlopen()函数的调用地址，二是如何插入一个调用dlopen()函数的步骤。

好，我们先来看看第一个问题是如何解决的。在adbi中，具体是通过以下几行代码来找到目标进程中dlopen()函数的起始地址的：

[cpp]  view plain 
     copy 
    
 
 void *ldl = dlopen("libdl.so", RTLD_LAZY);  
 if (ldl) {  
     dlopenaddr = dlsym(ldl, "dlopen");  
     dlclose(ldl);  
 }  
   
 unsigned long int lkaddr;  
 unsigned long int lkaddr2;  
 find_linker(getpid(), &lkaddr);  
 find_linker(pid, &lkaddr2);  
   
 dlopenaddr = lkaddr2 + (dlopenaddr - lkaddr);  

首先用dlopen()在当前进程中加载libdl.so动态库，接着用dlsym()函数获得dlopen()函数的调用地址。感觉有点先有鸡还是先有蛋的问题了，这里稍微说明一下，libdl.so库肯定早就已经加载到进程中了，这里再加载一次其实并不会真的把这个动态库再在内存中的另一个位置加载一次，而是返回已经加载过的地址。

但是，获得了dlopen()函数在当前进程中的地址后并没有用，因为libdl.so是动态库，每次会被动态的加载到任意的一个地址上去，并不会固定。所以，当前进程中dlopen()函数的地址，一般情况下并不等于别的进程中dlopen()函数的地址。那要如何才能获得指定进程中的dlopen()函数的地址呢？代码中调用到了find_linker()函数，我们接下来看看它的实现：

[cpp]  view plain 
     copy 
    
 
 static int find_linker(pid_t pid, unsigned long *addr)  
 {  
     struct mm mm[1000];  
     unsigned long libcaddr;  
     int nmm;  
     char libc[256];  
     symtab_t s;  
   
     if (0 > load_memmap(pid, mm, &nmm)) {  
         printf("cannot read memory map\n");  
         return -1;  
     }  
     if (0 > find_linker_mem(libc, sizeof(libc), &libcaddr, mm, nmm)) {  
         printf("cannot find libc\n");  
         return -1;  
     }  
       
     *addr = libcaddr;  
       
     return 1;  
 }  

在这个函数里，主要又调用了两个函数，一个是load_memmap()，另一个是find_linker_mem()。下面我们先来分析load_memmap()函数，这个函数主要由三个步骤组成：

[cpp]  view plain 
     copy 
    
 
 static int  
 load_memmap(pid_t pid, struct mm *mm, int *nmmp)  
 {  
     char raw[80000]; // this depends on the number of libraries an executable uses  
     char name[MAX_NAME_LEN];  
     char *p;  
     unsigned long start, end;  
     struct mm *m;  
     int nmm = 0;  
     int fd, rv;  
     int i;  
   
     sprintf(raw, "/proc/%d/maps", pid);  
     fd = open(raw, O_RDONLY);  
     if (0 > fd) {  
         printf("Can't open %s for reading\n", raw);  
         return -1;  
     }  
     ......  

首先，会打开一个内存文件，获得其句柄。该文件路径是“/proc/<进程号>/maps”，作用就是读出指定进程的内存映射信息，其格式大概如下：

[plain]  view plain 
     copy 
    
 
 40096000-40098000 r-xp 00000000 b3:16 109        /system/bin/app_process  
 40098000-40099000 r--p 00001000 b3:16 109        /system/bin/app_process  
 40099000-4009a000 rw-p 00000000 00:00 0   
 4009a000-400a9000 r-xp 00000000 b3:16 176        /system/bin/linker  
 400a9000-400aa000 r--p 0000e000 b3:16 176        /system/bin/linker  
 400aa000-400ab000 rw-p 0000f000 b3:16 176        /system/bin/linker  
 400ab000-400ae000 rw-p 00000000 00:00 0   
 400ae000-400b0000 r--p 00000000 00:00 0   
 400b0000-400b9000 r-xp 00000000 b3:16 855        /system/lib/libcutils.so  
 400b9000-400ba000 r--p 00008000 b3:16 855        /system/lib/libcutils.so  
 400ba000-400bb000 rw-p 00009000 b3:16 855        /system/lib/libcutils.so  
 400bb000-400be000 r-xp 00000000 b3:16 955        /system/lib/liblog.so  
 400be000-400bf000 r--p 00002000 b3:16 955        /system/lib/liblog.so  
 400bf000-400c0000 rw-p 00003000 b3:16 955        /system/lib/liblog.so  
 400c0000-40107000 r-xp 00000000 b3:16 832        /system/lib/libc.so  
 40107000-40108000 ---p 00000000 00:00 0   

好了，打开句柄之后，那接下来就是一行一行读取内存映射信息文件的内容：

[cpp]  view plain 
     copy 
    
 
 ......  
 /* Zero to ensure data is null terminated */  
 memset(raw, 0, sizeof(raw));  
   
 p = raw;  
 while (1) {  
     rv = read(fd, p, sizeof(raw)-(p-raw));  
     if (0 > rv) {  
         return -1;  
     }  
     if (0 == rv)  
         break;  
     p += rv;  
     if (p-raw >= sizeof(raw)) {  
         printf("Too many memory mapping\n");  
         return -1;  
     }  
 }  
 close(fd);  
 ......  

读完之后，再下来就是一行一行的解释：

[cpp]  view plain 
     copy 
    
 
     ......  
     p = strtok(raw, "\n");  
     m = mm;  
     while (p) {  
         /* parse current map line */  
         rv = sscanf(p, "%08lx-%08lx %*s %*s %*s %*s %s\n",  
             &start, &end, name);  
   
         p = strtok(NULL, "\n");  
   
         if (rv == 2) {  
             m = &mm[nmm++];  
             m->start = start;  
             m->end = end;  
             strcpy(m->name, MEMORY_ONLY);  
             continue;  
         }  
   
         if (strstr(name, "stack") != 0) {  
             stack_start = start;  
             stack_end = end;  
         }  
   
         /* search backward for other mapping with same name */  
         for (i = nmm-1; i >= 0; i--) {  
             m = &mm[i];  
             if (!strcmp(m->name, name))  
                 break;  
         }  
   
         if (i >= 0) {  
             if (start < m->start)  
                 m->start = start;  
             if (end > m->end)  
                 m->end = end;  
         } else {  
             /* new entry */  
             m = &mm[nmm++];  
             m->start = start;  
             m->end = end;  
             strcpy(m->name, name);  
     }  
     }  
   
     *nmmp = nmm;  
     return 0;  
 }  

先是按照格式解析出每行的起始地址，结束地址，和名称。如果没有解析出名称，就会用一个自定义的名称补上（“[memory]”）

[cpp]  view plain 
     copy 
    
 
 #define MEMORY_ONLY  "[memory]"  

如果名字是“stack”，表明这段内存用于栈。从前面的格式中可以看出，会有几行都叫一个名字的情况，接下来的代码会将这些连续的并且名字相同的内存段合并一下。

好了，现在就已经得到了指定进程的内存映射情况，包括起始地址、结束地址和名称。

接下来，我们继续看find_linker_mem()函数做了些什么：

[cpp]  view plain 
     copy 
    
 
 static int  
 find_linker_mem(char *name, int len, unsigned long *start,  
       struct mm *mm, int nmm)  
 {  
     int i;  
     struct mm *m;  
     char *p;  
     for (i = 0, m = mm; i < nmm; i++, m++) {  
         if (!strcmp(m->name, MEMORY_ONLY))  
             continue;  
         p = strrchr(m->name, '/');  
         if (!p)  
             continue;  
         p++;  
         if (strncmp("linker", p, 6))  
             continue;  
     break;  
     }  
     if (i >= nmm)  
     /* not found */  
         return -1;  
   
     *start = m->start;  
     strncpy(name, m->name, len);  
     if (strlen(m->name) >= len)  
         name[len-1] = '\0';  
     return 0;  
 }  

这个函数的作用是在前面读取的指定进程内存映射中，找出名字最后以“linker”结尾的那段内存的起始地址。其实，就是找到“/system/bin/linker”加载到内存中的地址。

顺便提一句，linker是Android提供的动态链接器，不同于普通的Linux。dlopen()函数就是在linker里面定义的（bionic/linker/dlfcn.cpp）：

[cpp]  view plain 
     copy 
    
 
 static Elf32_Sym gLibDlSymtab[] = {  
   // Total length of libdl_info.strtab, including trailing 0.  
   // This is actually the STH_UNDEF entry. Technically, it's  
   // supposed to have st_name == 0, but instead, it points to an index  
   // in the strtab with a \0 to make iterating through the symtab easier.  
   ELF32_SYM_INITIALIZER(sizeof(ANDROID_LIBDL_STRTAB) - 1, NULL, 0),  
   ELF32_SYM_INITIALIZER( 0, &dlopen, 1),  
   ELF32_SYM_INITIALIZER( 7, &dlclose, 1),  
   ELF32_SYM_INITIALIZER(15, &dlsym, 1),  
   ELF32_SYM_INITIALIZER(21, &dlerror, 1),  
   ELF32_SYM_INITIALIZER(29, &dladdr, 1),  
   ELF32_SYM_INITIALIZER(36, &android_update_LD_LIBRARY_PATH, 1),  
 #if defined(ANDROID_ARM_LINKER)  
   ELF32_SYM_INITIALIZER(67, &dl_unwind_find_exidx, 1),  
 #elif defined(ANDROID_X86_LINKER) || defined(ANDROID_MIPS_LINKER)  
   ELF32_SYM_INITIALIZER(67, &dl_iterate_phdr, 1),  
 #endif  
 };  
   
 // This is used by the dynamic linker. Every process gets these symbols for free.  
 soinfo libdl_info = {  
     "libdl.so",  
   
     phdr: 0, phnum: 0,  
     entry: 0, base: 0, size: 0,  
     unused1: 0, dynamic: 0, unused2: 0, unused3: 0,  
     next: 0,  
   
     flags: FLAG_LINKED,  
   
     strtab: ANDROID_LIBDL_STRTAB,  
     symtab: gLibDlSymtab,  
     ........  
 }  

关于linker目前只要知道这些就够了。所以，分析到这里可以看出，find_linker()函数的真正目的是获得“/system/bin/linker”程序加载到内存中的起始地址。

因为要注入的进程也在本机上运行，肯定用的是同一个linker，所以其内部的dlopen()函数和linker头的偏移量是固定的，这样计算其它进程内dlopen()函数的地址就非常简单了。先在本进程内，计算出dlopen()相对于linker头的偏移量，再加上要注入进程的linker头地址就好了。事实上，adbi也是这么做的，大家可以回过头去分析一下本节开头的那段代码。

好了，获得了目标进程中dlopen()函数地址后，接下来就要解决第二个问题了，即如何将调用dlopen()函数的步骤插入到目标进程的中去。要做到这步，当然肯定是要请ptrace()出马了：

[cpp]  view plain 
     copy 
    
 
 // Attach   
 if (0 > ptrace(PTRACE_ATTACH, pid, 0, 0)) {  
     printf("cannot attach to %d, error!\n", pid);  
     exit(1);  
 }  
 waitpid(pid, NULL, 0);  

调用ptrace()函数，并且第一个参数说明是通过附着的方式捕获，第二个参数是要捕获的那个目标进程。ptrace函数调用成功后，被捕获的进程将成为当前进程的子进程，并且会暂停执行。下面的 waitpid() 函数会等待被捕获的进程，当其返回时，表示目标进程已经暂停运行了，接下来就要正式下“刀子”了。正式下手之前，当然还是要知道被捕获进程的当前状态，这还是可以通过ptrace()函数来完成：

[cpp]  view plain 
     copy 
    
 
 ptrace(PTRACE_GETREGS, pid, 0, &regs);  

此时，传递的第一个参数说明此次调用是想获得目标进程的所有寄存器的值。获得这些寄存器值的目的是为了将它们保存下来，然后修改它们，使得在当前正常程序的调用序列中加入一个队dlopen()函数的调用，调用完成后再回到原来的程序处继续执行。具体的奥秘在一个叫做“sc”的int型数组中：

unsigned int sc[] = {
0xe59f0040, //        ldr     r0, [pc, #64]   ; 48 <.text+0x48>
0xe3a01000, //        mov     r1, #0  ; 0x0
0xe1a0e00f, //        mov     lr, pc
0xe59ff038, //        ldr     pc, [pc, #56]   ; 4c <.text+0x4c>
0xe59fd02c, //        ldr     sp, [pc, #44]   ; 44 <.text+0x44>
0xe59f0010, //        ldr     r0, [pc, #16]   ; 30 <.text+0x30>
0xe59f1010, //        ldr     r1, [pc, #16]   ; 34 <.text+0x34>
0xe59f2010, //        ldr     r2, [pc, #16]   ; 38 <.text+0x38>
0xe59f3010, //        ldr     r3, [pc, #16]   ; 3c <.text+0x3c>
0xe59fe010, //        ldr     lr, [pc, #16]   ; 40 <.text+0x40>
0xe59ff010, //        ldr     pc, [pc, #16]   ; 44 <.text+0x44>
0xe1a00000, //        nop                     r0
0xe1a00000, //        nop                     r1 
0xe1a00000, //        nop                     r2 
0xe1a00000, //        nop                     r3 
0xe1a00000, //        nop                     lr 
0xe1a00000, //        nop                     pc
0xe1a00000, //        nop                     sp
0xe1a00000, //        nop                     addr of libname
0xe1a00000, //        nop                     dlopenaddr
};

初始化时，数组的后面都被设置成空指令，在获得了目标进程的寄存器值后，会对它们重新赋值：

[cpp]  view plain 
     copy 
    
 
 sc[11] = regs.ARM_r0;  
 sc[12] = regs.ARM_r1;  
 sc[13] = regs.ARM_r2;  
 sc[14] = regs.ARM_r3;  
 sc[15] = regs.ARM_lr;  
 sc[16] = regs.ARM_pc;  
 sc[17] = regs.ARM_sp;  
 sc[19] = dlopenaddr;  

是不是觉得漏了一个？不急，下面会对其赋值：

[cpp]  view plain 
     copy 
    
 
 // push library name to stack  
 libaddr = regs.ARM_sp - n*4 - sizeof(sc);  
 sc[18] = libaddr;  

变量“n”的值是：

[cpp]  view plain 
     copy 
    
 
 case 'l':  
     n = strlen(optarg)+1;  
     n = n/4 + (n%4 ? 1 : 0);  
     ......  
     break;  

参数-l之后跟的是要dlopen()函数加载进来的.so动态库的路径名。由于ptrace()写入目标进程是以4字节为单位的，所以这里要除4，如果不是4的倍数，在后面还要补上一个4字节。看了上面的代码是不是觉得有点晕？没关系，下面我们画个图来重点分析一下这块。

注意:图片中 ldr r0,[pc,#20]相关计算指令应该是 ldr r0,[pc,#16].

大家知道，对于栈来说，是从高内存向低内存扩展的，但是程序的执行以及数据的读取正好相反，是从低内存到高内存的。

还有一点需要说明一下，对于ARM处理器来说，pc寄存器的值，指向的不是当前正在执行指令的地址，而是往下第二条指令的地址。

好，我们正式开始分析代码的含义，指令将从codeaddr指示的位置从低到高依次执行。

第一条指令将pc寄存器的值加上64，读出那个地方的内容（4个字节），然后放到寄存器r0中。刚才说过了，pc寄存器值指向的是当前指令位置加8个字节，也就是说这条指令实际读出的是当前指令位置向下72个字节。由于sc数组是int型的，就是数组当前元素位置向下18个元素处。数一数，刚好是libaddr的位置。所以这条指令是为了让r0寄存器指向.so共享库路径名字符串。

第二条指令很简单，是将0赋值给寄存器r1。

第三条指令用来将pc寄存器值保存到lr寄存器中，这样做的目的是为了调用dlopen()函数返回后，跳转到指令“ldr sp, [pc, #44]”处。

第四条指令是将pc加上56处的数值加载到pc中，pc+56处是哪？当前指令位置往下64字节，16个元素，刚好是dlopen()函数的调用地址。所以，这条指令其实就是调用dlopen()函数，传入的参数一个是r0寄存器指向的共享库路径名，另一个是r1寄存器中的0。

调用dlopen()返回后将继续执行下面的所有指令，我就不一一分析了，作用就是恢复目标进程原来寄存器的值。先是sp，然后是r0、r1、r2、r3和lr，最后恢复原来pc的值，继续执行被暂停之前的指令，就像什么都没发生过一样。

好了，这部分就是hijack的全部核心思路，看似很神秘，其实很简单，是吧？当然，个人觉得要达到这个目的还是有很多种其它方法的，但ptrace()是必不可少的。

接下来，顺理成章，就是要把精心构造的数据写到目标进程的栈上：

[cpp]  view plain 
     copy 
    
 
 // write library name to stack  
 if (0 > write_mem(pid, (unsigned long*)arg, n, libaddr)) {  
     printf("cannot write library name (%s) to stack, error!\n", arg);  
     exit(1);  
 }  
       
 // write code to stack  
 codeaddr = regs.ARM_sp - sizeof(sc);  
 if (0 > write_mem(pid, (unsigned long*)&sc, sizeof(sc)/sizeof(long), codeaddr)) {  
     printf("cannot write code, error!\n");  
     exit(1);  
 }  

这个相对简单，直接从刚才读到的寄存器值中找出sp寄存器的值，这个值直接指示出当前栈顶的位置，接着往下写就好了。注意，栈是从高地址到低地址拓展的，所以计算地址时是减而不是加。write_mem()函数负责用ptrace()将一段内存值写到目标进程的指定位置：

[cpp]  view plain 
     copy 
    
 
 /* Write NLONG 4 byte words from BUF into PID starting 
    at address POS.  Calling process must be attached to PID. */  
 static int  
 write_mem(pid_t pid, unsigned long *buf, int nlong, unsigned long pos)  
 {  
     unsigned long *p;  
     int i;  
   
     for (p = buf, i = 0; i < nlong; p++, i++)  
         if (0 > ptrace(PTRACE_POKETEXT, pid, pos+(i*4), *p))  
             return -1;  
     return 0;  
 }  

好了，有了可执行的代码在目标进程的栈上了，是不是就可以直接运行了呢？问题还没那么简单。我们来看看栈所在内存段的属性：

[plain]  view plain 
     copy 
    
 
 be846000-be867000 rw-p 00000000 00:00 0          [stack]  

看到没有，栈并没有执行的属性，如果直接强行将pc指向栈所在内存段的话，有可能直接导致目标进程异常退出。

那接下来怎么办呢？能不能改一下栈内存段的属性，给其加上执行属性呢？mprotect()函数可以做到这点。

这里有同样一个问题，如何得到目标进程中mprotect()函数的调用地址呢？能不能用前面使用的在linker中找dlopen()函数调用地址一样的方法呢？笔者试过，其实是可以的，但是adbi采用了另一种方法，思路是通过直接分析ELF文件libc.so来获得其中符号mprotect的值，这个值其实就是表示mprotect()函数相对于文件头的偏移，再将这个值通libc.so文件在内存中映射的起始地址相加，就是mprotect()函数真正的调用地址了，具体代码如下：

[plain]  view plain 
     copy 
    
 
 static int  
 find_name(pid_t pid, char *name, unsigned long *addr)  
 {  
     struct mm mm[1000];  
     unsigned long libcaddr;  
     int nmm;  
     char libc[256];  
     symtab_t s;  
   
     if (0 > load_memmap(pid, mm, &nmm)) {  
         printf("cannot read memory map\n");  
         return -1;  
     }  
     if (0 > find_libc(libc, sizeof(libc), &libcaddr, mm, nmm)) {  
         printf("cannot find libc\n");  
         return -1;  
     }  
     s = load_symtab(libc);  
     if (!s) {  
         printf("cannot read symbol table\n");  
         return -1;  
     }  
     if (0 > lookup_func_sym(s, name, addr)) {  
         printf("cannot find %s\n", name);  
         return -1;  
     }  
     *addr += libcaddr;  
     return 0;  
 }  

还是通过调用前面介绍的load_memmap()函数来获得目标进程的内存映射表，然后调用find_libc()函数从中找出名字末尾是“libc.so”的内存段，获得这个内存段的起始地址以及具体路径：

[cpp]  view plain 
     copy 
    
 
 /* Find libc in MM, storing no more than LEN-1 chars of 
    its name in NAME and set START to its starting 
    address.  If libc cannot be found return -1 and 
    leave NAME and START untouched.  Otherwise return 0 
    and null-terminated NAME. */  
 static int  
 find_libc(char *name, int len, unsigned long *start,  
       struct mm *mm, int nmm)  
 {  
     int i;  
     struct mm *m;  
     char *p;  
     for (i = 0, m = mm; i < nmm; i++, m++) {  
         if (!strcmp(m->name, MEMORY_ONLY))  
             continue;  
         p = strrchr(m->name, '/');  
         if (!p)  
             continue;  
         p++;  
         if (strncmp("libc", p, 4))  
             continue;  
         p += 4;  
   
         /* here comes our crude test -> 'libc.so' or 'libc-[0-9]' */  
         if (!strncmp(".so", p, 3) || (p[0] == '-' && isdigit(p[1])))  
             break;  
     }  
     if (i >= nmm)  
         /* not found */  
         return -1;  
   
     *start = m->start;  
     strncpy(name, m->name, len);  
     if (strlen(m->name) >= len)  
         name[len-1] = '\0';  
     return 0;  
 }  

再下来调用load_symtab()函数，读取包含libc.so的ELF文件，分析并加载器符号表。最后，调用lookup_func_sym()函数，在符号表中查找指定名字的符号值。这部分代码牵涉到ELF文件的格式，就不重点分析了，如果有兴趣可以自己看。为什么不采用原来的方法找目标进程中mprotect()函数的调用地址呢？难道不可行吗？笔者写了如下一段函数：

[cpp]  view plain 
     copy 
    
 
 static int  
 find_name2(pid_t pid, char *name, unsigned long *addr)  
 {  
     struct mm mm[1000];  
     unsigned long libcaddr1, libcaddr2;  
     int nmm;  
     char libc[256];  
     symtab_t s;  
   
     if (0 > load_memmap(pid, mm, &nmm)) {  
         printf("cannot read memory map\n");  
         return -1;  
     }  
       
     if (0 > find_libc(libc, sizeof(libc), &libcaddr1, mm, nmm)) {  
         printf("cannot find libc\n");  
         return -1;  
     }  
       
     if (0 > load_memmap(getpid(), mm, &nmm)) {  
         printf("cannot read memory map\n");  
         return -1;  
     }  
       
     if (0 > find_libc(libc, sizeof(libc), &libcaddr2, mm, nmm)) {  
         printf("cannot find libc\n");  
         return -1;  
     }  
       
     unsigned long mfunaddr;  
     void *ldl = dlopen("libc.so", RTLD_LAZY);  
     if (ldl) {  
         mfunaddr = dlsym(ldl, name);  
         dlclose(ldl);  
     }  
       
     *addr = mfunaddr - libcaddr2 + libcaddr1;  
     return 0;  
 }  

发现同样可以准确获得目标进程libc.so中指定函数的地址。这样也好，作者为我们展示了两种方法，给大家开开眼。

下面就简单了，修改目标进程的寄存器值，使其调用mprotect()函数，并且从mprotect()返回后直接调用栈上的代码就好了：

[cpp]  view plain 
     copy 
    
 
 // calc stack pointer  
 regs.ARM_sp = regs.ARM_sp - n*4 - sizeof(sc);  
   
 // call mprotect() to make stack executable  
 regs.ARM_r0 = stack_start; // want to make stack executable  
 regs.ARM_r1 = stack_end - stack_start; // stack size  
 regs.ARM_r2 = PROT_READ|PROT_WRITE|PROT_EXEC; // protections  
   
 regs.ARM_lr = codeaddr; // points to loading and fixing code  
 regs.ARM_pc = mprotectaddr; // execute mprotect()  

当然，栈寄存器要重新设置一下，指向库路径名的下面，免得在调用mprotect()函数的时候把前面精心写入的代码给冲掉。

r0寄存器设置为栈的起始地址，r1寄存器设置为栈的长度，r2保存要设置的属性（可读、可写且可执行）。

lr寄存器设置为栈上代码的起始地址，这样当调用mprotect()函数返回后就可以正常执行栈上代码了。

最后，将pc寄存器的值设置为前面查找到的目标进程中mprotect()函数的调用地址。

好了，万事具备，只欠东风，最后将寄存器值写到目标进程中，并且继续执行吧：

[cpp]  view plain 
     copy 
    
 
 ptrace(PTRACE_SETREGS, pid, 0, &regs);  
 ptrace(PTRACE_DETACH, pid, 0, SIGCONT);  

到目前为止，万里长征已经走完了第一步，即可以让目标集成调用dlopen()函数，自动加载一个任意指定的.so动态库。

具体如何hook，hook哪个函数，就要看.so怎么做了，下一篇我们会继续分析hook基础库的实现。

hijack.c

/* 
 * hijack.c - force a process to load a library
 *
 *  ARM / Android version by:
 *  Collin Mulliner <collin[at]mulliner.org>
 *  http://www.mulliner.org/android/
 *	(c) 2012,2013
 *
 *
 *  original x86 version by:
 *  Copyright (C) 2002 Victor Zandy <zandy[at]cs.wisc.edu>
 *
 *  License: LGPL 2.1
 *
 */
 
#define _XOPEN_SOURCE 500  /* include pread,pwrite */
#define _GNU_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <ctype.h>
#include <fcntl.h>
#include <sys/ptrace.h>
#include <sys/types.h>
#include <sys/wait.h>
#include <sys/stat.h>
#include <dlfcn.h>
#include <elf.h>
#include <unistd.h>
#include <errno.h>       
#include <sys/mman.h>

int debug = 0;
int zygote = 0;
int nomprotect = 0;
unsigned int stack_start;
unsigned int stack_end;

/* memory map for libraries */
#define MAX_NAME_LEN 256
#define MEMORY_ONLY  "[memory]"
struct mm {
	char name[MAX_NAME_LEN];
	unsigned long start, end;
};

typedef struct symtab *symtab_t;
struct symlist {
	Elf32_Sym *sym;       /* symbols */
	char *str;            /* symbol strings */
	unsigned num;         /* number of symbols */
};
struct symtab {
	struct symlist *st;    /* "static" symbols */
	struct symlist *dyn;   /* dynamic symbols */
};

static void * 
xmalloc(size_t size)
{
	void *p;
	p = malloc(size);
	if (!p) {
		printf("Out of memory\n");
		exit(1);
	}
	return p;
}

static struct symlist *
get_syms(int fd, Elf32_Shdr *symh, Elf32_Shdr *strh)
{
	struct symlist *sl, *ret;
	int rv;

	ret = NULL;
	sl = (struct symlist *) xmalloc(sizeof(struct symlist));
	sl->str = NULL;
	sl->sym = NULL;

	/* sanity */
	if (symh->sh_size % sizeof(Elf32_Sym)) { 
		printf("elf_error\n");
		goto out;
	}

	/* symbol table */
	sl->num = symh->sh_size / sizeof(Elf32_Sym);
	sl->sym = (Elf32_Sym *) xmalloc(symh->sh_size);
	rv = pread(fd, sl->sym, symh->sh_size, symh->sh_offset);
	if (0 > rv) {
		//perror("read");
		goto out;
	}
	if (rv != symh->sh_size) {
		printf("elf error\n");
		goto out;
	}

	/* string table */
	sl->str = (char *) xmalloc(strh->sh_size);
	rv = pread(fd, sl->str, strh->sh_size, strh->sh_offset);
	if (0 > rv) {
		//perror("read");
		goto out;
	}
	if (rv != strh->sh_size) {
		printf("elf error");
		goto out;
	}

	ret = sl;
out:
	return ret;
}

static int
do_load(int fd, symtab_t symtab)
{
	int rv;
	size_t size;
	Elf32_Ehdr ehdr;
	Elf32_Shdr *shdr = NULL, *p;
	Elf32_Shdr *dynsymh, *dynstrh;
	Elf32_Shdr *symh, *strh;
	char *shstrtab = NULL;
	int i;
	int ret = -1;
	
	/* elf header */
	rv = read(fd, &ehdr, sizeof(ehdr));
	if (0 > rv) {
		//perror("read");
		goto out;
	}
	if (rv != sizeof(ehdr)) {
		printf("elf error\n");
		goto out;
	}
	if (strncmp(ELFMAG, ehdr.e_ident, SELFMAG)) { /* sanity */
		printf("not an elf\n");
		goto out;
	}
	if (sizeof(Elf32_Shdr) != ehdr.e_shentsize) { /* sanity */
		printf("elf error\n");
		goto out;
	}

	/* section header table */
	size = ehdr.e_shentsize * ehdr.e_shnum;
	shdr = (Elf32_Shdr *) xmalloc(size);
	rv = pread(fd, shdr, size, ehdr.e_shoff);
	if (0 > rv) {
		//perror("read");
		goto out;
	}
	if (rv != size) {
		printf("elf error");
		goto out;
	}
	
	/* section header string table */
	size = shdr[ehdr.e_shstrndx].sh_size;
	shstrtab = (char *) xmalloc(size);
	rv = pread(fd, shstrtab, size, shdr[ehdr.e_shstrndx].sh_offset);
	if (0 > rv) {
		//perror("read");
		goto out;
	}
	if (rv != size) {
		printf("elf error\n");
		goto out;
	}

	/* symbol table headers */
	symh = dynsymh = NULL;
	strh = dynstrh = NULL;
	for (i = 0, p = shdr; i < ehdr.e_shnum; i++, p++)
		if (SHT_SYMTAB == p->sh_type) {
			if (symh) {
				printf("too many symbol tables\n");
				goto out;
			}
			symh = p;
		} else if (SHT_DYNSYM == p->sh_type) {
			if (dynsymh) {
				printf("too many symbol tables\n");
				goto out;
			}
			dynsymh = p;
		} else if (SHT_STRTAB == p->sh_type
			   && !strncmp(shstrtab+p->sh_name, ".strtab", 7)) {
			if (strh) {
				printf("too many string tables\n");
				goto out;
			}
			strh = p;
		} else if (SHT_STRTAB == p->sh_type
			   && !strncmp(shstrtab+p->sh_name, ".dynstr", 7)) {
			if (dynstrh) {
				printf("too many string tables\n");
				goto out;
			}
			dynstrh = p;
		}
	/* sanity checks */
	if ((!dynsymh && dynstrh) || (dynsymh && !dynstrh)) {
		printf("bad dynamic symbol table");
		goto out;
	}
	if ((!symh && strh) || (symh && !strh)) {
		printf("bad symbol table");
		goto out;
	}
	if (!dynsymh && !symh) {
		printf("no symbol table");
		goto out;
	}

	/* symbol tables */
	if (dynsymh)
		symtab->dyn = get_syms(fd, dynsymh, dynstrh);
	if (symh)
		symtab->st = get_syms(fd, symh, strh);
	ret = 0;
out:
	free(shstrtab);
	free(shdr);
	return ret;
}

static symtab_t
load_symtab(char *filename)
{
	int fd;
	symtab_t symtab;

	symtab = (symtab_t) xmalloc(sizeof(*symtab));
	memset(symtab, 0, sizeof(*symtab));

	fd = open(filename, O_RDONLY);
	if (0 > fd) {
		//perror("open");
		return NULL;
	}
	if (0 > do_load(fd, symtab)) {
		printf("Error ELF parsing %s\n", filename);
		free(symtab);
		symtab = NULL;
	}
	close(fd);
	return symtab;
}


static int
load_memmap(pid_t pid, struct mm *mm, int *nmmp)
{
	char raw[80000]; // this depends on the number of libraries an executable uses
	char name[MAX_NAME_LEN];
	char *p;
	unsigned long start, end;
	struct mm *m;
	int nmm = 0;
	int fd, rv;
	int i;

	sprintf(raw, "/proc/%d/maps", pid);
	fd = open(raw, O_RDONLY);
	if (0 > fd) {
		printf("Can't open %s for reading\n", raw);
		return -1;
	}

	/* Zero to ensure data is null terminated */
	memset(raw, 0, sizeof(raw));

	p = raw;
	while (1) {
		rv = read(fd, p, sizeof(raw)-(p-raw));
		if (0 > rv) {
			//perror("read");
			return -1;
		}
		if (0 == rv)
			break;
		p += rv;
		if (p-raw >= sizeof(raw)) {
			printf("Too many memory mapping\n");
			return -1;
		}
	}
	close(fd);

	p = strtok(raw, "\n");
	m = mm;
	while (p) {
		/* parse current map line */
		rv = sscanf(p, "%08lx-%08lx %*s %*s %*s %*s %s\n",
			    &start, &end, name);

		p = strtok(NULL, "\n");

		if (rv == 2) {
			m = &mm[nmm++];
			m->start = start;
			m->end = end;
			strcpy(m->name, MEMORY_ONLY);
			continue;
		}

		if (strstr(name, "stack") != 0) {
			stack_start = start;
			stack_end = end;
		}

		/* search backward for other mapping with same name */
		for (i = nmm-1; i >= 0; i--) {
			m = &mm[i];
			if (!strcmp(m->name, name))
				break;
		}

		if (i >= 0) {
			if (start < m->start)
				m->start = start;
			if (end > m->end)
				m->end = end;
		} else {
			/* new entry */
			m = &mm[nmm++];
			m->start = start;
			m->end = end;
			strcpy(m->name, name);
		}
	}

	*nmmp = nmm;
	return 0;
}

/* Find libc in MM, storing no more than LEN-1 chars of
   its name in NAME and set START to its starting
   address.  If libc cannot be found return -1 and
   leave NAME and START untouched.  Otherwise return 0
   and null-terminated NAME. */
static int
find_libc(char *name, int len, unsigned long *start,
	  struct mm *mm, int nmm)
{
	int i;
	struct mm *m;
	char *p;
	for (i = 0, m = mm; i < nmm; i++, m++) {
		if (!strcmp(m->name, MEMORY_ONLY))
			continue;
		p = strrchr(m->name, '/');
		if (!p)
			continue;
		p++;
		if (strncmp("libc", p, 4))
			continue;
		p += 4;

		/* here comes our crude test -> 'libc.so' or 'libc-[0-9]' */
		if (!strncmp(".so", p, 3) || (p[0] == '-' && isdigit(p[1])))
			break;
	}
	if (i >= nmm)
		/* not found */
		return -1;

	*start = m->start;
	strncpy(name, m->name, len);
	if (strlen(m->name) >= len)
		name[len-1] = '\0';
	return 0;
}

static int
find_linker_mem(char *name, int len, unsigned long *start,
	  struct mm *mm, int nmm)
{
	int i;
	struct mm *m;
	char *p;
	for (i = 0, m = mm; i < nmm; i++, m++) {
		//printf("name = %s\n", m->name);
		//printf("start = %x\n", m->start);
		if (!strcmp(m->name, MEMORY_ONLY))
			continue;
		p = strrchr(m->name, '/');
		if (!p)
			continue;
		p++;
		if (strncmp("linker", p, 6))
			continue;
		break; // <--- hack
		p += 4;

		/* here comes our crude test -> 'libc.so' or 'libc-[0-9]' */
		if (!strncmp(".so", p, 3) || (p[0] == '-' && isdigit(p[1])))
			break;
	}
	if (i >= nmm)
		/* not found */
		return -1;

	*start = m->start;
	strncpy(name, m->name, len);
	if (strlen(m->name) >= len)
		name[len-1] = '\0';
	return 0;
}

static int
lookup2(struct symlist *sl, unsigned char type,
	char *name, unsigned long *val)
{
	Elf32_Sym *p;
	int len;
	int i;

	len = strlen(name);
	for (i = 0, p = sl->sym; i < sl->num; i++, p++) {
		//printf("name: %s %x\n", sl->str+p->st_name, p->st_value);
		if (!strncmp(sl->str+p->st_name, name, len)
		    && ELF32_ST_TYPE(p->st_info) == type) {
			//if (p->st_value != 0) {
			*val = p->st_value;
			return 0;
			//}
		}
	}
	return -1;
}

static int
lookup_sym(symtab_t s, unsigned char type,
	   char *name, unsigned long *val)
{
	if (s->dyn && !lookup2(s->dyn, type, name, val))
		return 0;
	if (s->st && !lookup2(s->st, type, name, val))
		return 0;
	return -1;
}

static int
lookup_func_sym(symtab_t s, char *name, unsigned long *val)
{
	return lookup_sym(s, STT_FUNC, name, val);
}

static int
find_name(pid_t pid, char *name, unsigned long *addr)
{
	struct mm mm[1000];
	unsigned long libcaddr;
	int nmm;
	char libc[256];
	symtab_t s;

	if (0 > load_memmap(pid, mm, &nmm)) {
		printf("cannot read memory map\n");
		return -1;
	}
	if (0 > find_libc(libc, sizeof(libc), &libcaddr, mm, nmm)) {
		printf("cannot find libc\n");
		return -1;
	}
	s = load_symtab(libc);
	if (!s) {
		printf("cannot read symbol table\n");
		return -1;
	}
	if (0 > lookup_func_sym(s, name, addr)) {
		printf("cannot find %s\n", name);
		return -1;
	}
	*addr += libcaddr;
	return 0;
}

static int find_linker(pid_t pid, unsigned long *addr)
{
	struct mm mm[1000];
	unsigned long libcaddr;
	int nmm;
	char libc[256];
	symtab_t s;

	if (0 > load_memmap(pid, mm, &nmm)) {
		printf("cannot read memory map\n");
		return -1;
	}
	if (0 > find_linker_mem(libc, sizeof(libc), &libcaddr, mm, nmm)) {
		printf("cannot find libc\n");
		return -1;
	}
	
	*addr = libcaddr;
	
	return 1;
}

/* Write NLONG 4 byte words from BUF into PID starting
   at address POS.  Calling process must be attached to PID. */
static int
write_mem(pid_t pid, unsigned long *buf, int nlong, unsigned long pos)
{
	unsigned long *p;
	int i;

	for (p = buf, i = 0; i < nlong; p++, i++)
		if (0 > ptrace(PTRACE_POKETEXT, pid, (void *)(pos+(i*4)), (void *)*p))
			return -1;
	return 0;
}

static int
read_mem(pid_t pid, unsigned long *buf, int nlong, unsigned long pos)
{
	unsigned long *p;
	int i;

	for (p = buf, i = 0; i < nlong; p++, i++)
		if ((*p = ptrace(PTRACE_PEEKTEXT, pid, (void *)(pos+(i*4)), (void *)*p)) < 0)
			return -1;
	return 0;
}

unsigned int sc_old[] = {
// libname
0xe59f0030, // ldr     r0, [pc, #48] | addr of "libname" in r0
0xe3a01000, // mov     r1, #0        | r1 = 0 (flags=0)
0xe1a0e00f, // mov     lr, pc        | populate lr
0xe59ff028, // ldr     pc, [pc, #40] | call dlopen()
0xe59fd01c, // ldr     sp, [pc, #28] | fix sp
0xe59f0008, // ldr     r0, [pc, #12] | fix r0
0xe59f1008, // ldr     r1, [pc, #12] | fix r1
0xe59fe008, // ldr     lr, [pc, #12] | fix lr
0xe59ff008, // ldr     pc, [pc, #12] | fix pc (continue process)
0xe1a00000, // nop (mov r0,r0)       | r0
0xe1a00000, // nop (mov r0,r0)       | r1
0xe1a00000, // nop (mov r0,r0)       | lr
0xe1a00000, // nop (mov r0,r0)       | pc
0xe1a00000, // nop (mov r0,r0)       | sp
0xe1a00000, // nop (mov r0,r0)       | addr of libname
0xe1a00000  // nop (mov r0,r0)       | dlopen address
};

unsigned int sc[] = {
0xe59f0040, //        ldr     r0, [pc, #64]   ; 48 <.text+0x48>
0xe3a01000, //        mov     r1, #0  ; 0x0
0xe1a0e00f, //        mov     lr, pc
0xe59ff038, //        ldr     pc, [pc, #56]   ; 4c <.text+0x4c>
0xe59fd02c, //        ldr     sp, [pc, #44]   ; 44 <.text+0x44>
0xe59f0010, //        ldr     r0, [pc, #16]   ; 30 <.text+0x30>
0xe59f1010, //        ldr     r1, [pc, #16]   ; 34 <.text+0x34>
0xe59f2010, //        ldr     r2, [pc, #16]   ; 38 <.text+0x38>
0xe59f3010, //        ldr     r3, [pc, #16]   ; 3c <.text+0x3c>
0xe59fe010, //        ldr     lr, [pc, #16]   ; 40 <.text+0x40>
0xe59ff010, //        ldr     pc, [pc, #16]   ; 44 <.text+0x44>
0xe1a00000, //        nop                     r0
0xe1a00000, //        nop                     r1 
0xe1a00000, //        nop                     r2 
0xe1a00000, //        nop                     r3 
0xe1a00000, //        nop                     lr 
0xe1a00000, //        nop                     pc
0xe1a00000, //        nop                     sp
0xe1a00000, //        nop                     addr of libname
0xe1a00000, //        nop                     dlopenaddr
};

struct pt_regs2 {
         long uregs[18];
};

#define ARM_cpsr        uregs[16]
#define ARM_pc          uregs[15]
#define ARM_lr          uregs[14]
#define ARM_sp          uregs[13]
#define ARM_ip          uregs[12]
#define ARM_fp          uregs[11]
#define ARM_r10         uregs[10]
#define ARM_r9          uregs[9]
#define ARM_r8          uregs[8]
#define ARM_r7          uregs[7]
#define ARM_r6          uregs[6]
#define ARM_r5          uregs[5]
#define ARM_r4          uregs[4]
#define ARM_r3          uregs[3]
#define ARM_r2          uregs[2]
#define ARM_r1          uregs[1]
#define ARM_r0          uregs[0]
#define ARM_ORIG_r0     uregs[17]

#define HELPSTR "error usage: %s -p PID -l LIBNAME [-d (debug on)] [-z (zygote)] [-m (no mprotect)] [-s (appname)] [-Z (trace count)] [-D (debug level)]\n"

int main(int argc, char *argv[])
{
	pid_t pid = 0;
	struct pt_regs2 regs;
	unsigned long dlopenaddr, mprotectaddr, codeaddr, libaddr;
	unsigned long *p;
	int fd = 0;
	int n = 0;
	char buf[32];
	char *arg;
	int opt;
	char *appname = 0;
 
 	while ((opt = getopt(argc, argv, "p:l:dzms:Z:D:")) != -1) {
		switch (opt) {
			case 'p':
				pid = strtol(optarg, NULL, 0);
				break;
			case 'Z':
				zygote = strtol(optarg, NULL, 0);
			break;
			case 'D':
				debug = strtol(optarg, NULL, 0);
			break;
			case 'l':
				n = strlen(optarg)+1;
				n = n/4 + (n%4 ? 1 : 0);
				arg = malloc(n*sizeof(unsigned long));
				memcpy(arg, optarg, n*4);
				break;
			case 'm':
				nomprotect = 1;
				break;
			case 'd':
				debug = 1;
				break;
			case 'z':
				zygote = 1;
				break;
			case 's':
				zygote = 1;
				appname = strdup(optarg);
				break;
			default:
				fprintf(stderr, HELPSTR, argv[0]);

				exit(0);
				break;
		}
	}

	if (pid == 0 || n == 0) {
		fprintf(stderr, HELPSTR, argv[0]);
		exit(0);
	}

	if (!nomprotect) {
		if (0 > find_name(pid, "mprotect", &mprotectaddr)) {
			printf("can't find address of mprotect(), error!\n");
			exit(1);
		}
		if (debug)
			printf("mprotect: 0x%lx\n", mprotectaddr);
	}

	void *ldl = dlopen("libdl.so", RTLD_LAZY);
	if (ldl) {
		dlopenaddr = (unsigned long)dlsym(ldl, "dlopen");
		dlclose(ldl);
	}
	unsigned long int lkaddr;
	unsigned long int lkaddr2;
	find_linker(getpid(), &lkaddr);
	//printf("own linker: 0x%x\n", lkaddr);
	//printf("offset %x\n", dlopenaddr - lkaddr);
	find_linker(pid, &lkaddr2);
	//printf("tgt linker: %x\n", lkaddr2);
	//printf("tgt dlopen : %x\n", lkaddr2 + (dlopenaddr - lkaddr));
	dlopenaddr = lkaddr2 + (dlopenaddr - lkaddr);
	if (debug)
		printf("dlopen: 0x%lx\n", dlopenaddr);

	// Attach 
	if (0 > ptrace(PTRACE_ATTACH, pid, 0, 0)) {
		printf("cannot attach to %d, error!\n", pid);
		exit(1);
	}
	waitpid(pid, NULL, 0);
	
	if (appname) {	
		if (ptrace(PTRACE_SETOPTIONS, pid, (void*)1, (void*)(PTRACE_O_TRACEFORK))) {
			printf("FATAL ERROR: ptrace(PTRACE_SETOPTIONS, ...)");
			return -1;
		}
		ptrace(PTRACE_CONT, pid, (void*)1, 0);

		int t;
		int stat;
		int child_pid = 0;
		for (;;) {
			t = waitpid(-1, &stat, __WALL|WUNTRACED);

			if (t != 0 && t == child_pid) {
				if (debug > 1)
					printf(".");
				char fname[256];
				sprintf(fname, "/proc/%d/cmdline", child_pid);
				int fp = open(fname, O_RDONLY);
				if (fp < 0) {
					ptrace(PTRACE_SYSCALL, child_pid, 0, 0);
					continue;
				}
				read(fp, fname, sizeof(fname));
				close(fp);

				if (strcmp(fname, appname) == 0) {
					if (debug)
						printf("zygote -> %s\n", fname);

					// detach from zygote
					ptrace(PTRACE_DETACH, pid, 0, (void *)SIGCONT);

					// now perform on new process
					pid = child_pid;
					break;
				}
				else {
					ptrace(PTRACE_SYSCALL, child_pid, 0, 0);
					continue;
				}
			}

			if (WIFSTOPPED(stat) && (WSTOPSIG(stat) == SIGTRAP)) {
				if ((stat >> 16) & PTRACE_EVENT_FORK) {
					if (debug > 1)
						printf("fork\n");
					int b = t; // save parent pid
					ptrace(PTRACE_GETEVENTMSG, t, 0, &child_pid);
					if (debug)
						printf("PID=%d  child=%d\n", t, child_pid);
					t = child_pid;
					
					if (debug > 1)
						printf("continue parent (zygote) PID=%d\n", b);
					ptrace(PTRACE_CONT, b, (void*)1, 0);

					ptrace(PTRACE_SYSCALL, child_pid, 0, 0);
				}
			}
		}
	}

	if (zygote) {
		int i = 0;
		for (i = 0; i < zygote; i++) {
			// -- zygote fix ---
			// we have to wait until the syscall is completed, IMPORTANT!
			ptrace(PTRACE_SYSCALL, pid, 0, 0);
			if (debug > 1)
				printf("/");
			waitpid(pid, NULL, 0);

			ptrace(PTRACE_GETREGS, pid, 0, &regs);	
			if (regs.ARM_ip != 0) {
				if (debug > 1)
					printf("not a syscall entry, wait for entry\n");
				ptrace(PTRACE_SYSCALL, pid, 0, 0);
				waitpid(pid, NULL, 0);
			}

			//if (debug)
			//	printf("process mode: currently waiting in SYSCALL\n");
			ptrace(PTRACE_SYSCALL, pid, 0, 0);
			if (debug > 1)
				printf("\\");
			waitpid(pid, NULL, 0);
			//if (debug)
			//	printf("process mode: SYSCALL completed now inject\n");
			// ---- need to work with zygote --- end ---
		}
	}
	if (debug > 1)
		printf("\n");

	sprintf(buf, "/proc/%d/mem", pid);
	fd = open(buf, O_WRONLY);
	if (0 > fd) {
		printf("cannot open %s, error!\n", buf);
		exit(1);
	}
	ptrace(PTRACE_GETREGS, pid, 0, &regs);


	// setup variables of the loading and fixup code	
	/*
	sc[9] = regs.ARM_r0;
	sc[10] = regs.ARM_r1;
	sc[11] = regs.ARM_lr;
	sc[12] = regs.ARM_pc;
	sc[13] = regs.ARM_sp;
	sc[15] = dlopenaddr;
	*/
	
	sc[11] = regs.ARM_r0;
	sc[12] = regs.ARM_r1;
	sc[13] = regs.ARM_r2;
	sc[14] = regs.ARM_r3;
	sc[15] = regs.ARM_lr;
	sc[16] = regs.ARM_pc;
	sc[17] = regs.ARM_sp;
	sc[19] = dlopenaddr;
		
	if (debug) {
		printf("pc=%lx lr=%lx sp=%lx fp=%lx\n", regs.ARM_pc, regs.ARM_lr, regs.ARM_sp, regs.ARM_fp);
		printf("r0=%lx r1=%lx\n", regs.ARM_r0, regs.ARM_r1);
		printf("r2=%lx r3=%lx\n", regs.ARM_r2, regs.ARM_r3);
	}

	// push library name to stack
	libaddr = regs.ARM_sp - n*4 - sizeof(sc);
	sc[18] = libaddr;	
	//sc[14] = libaddr;
	//printf("libaddr: %x\n", libaddr);

	if (stack_start == 0) {
		stack_start = (unsigned long int) strtol(argv[3], NULL, 16);
		stack_start = stack_start << 12;
		stack_end = stack_start + strtol(argv[4], NULL, 0);
	}
	if (debug)
		printf("stack: 0x%x-0x%x leng = %d\n", stack_start, stack_end, stack_end-stack_start);
	
	// write library name to stack
	if (0 > write_mem(pid, (unsigned long*)arg, n, libaddr)) {
		printf("cannot write library name (%s) to stack, error!\n", arg);
		exit(1);
	}
	
	// write code to stack
	codeaddr = regs.ARM_sp - sizeof(sc);
	if (0 > write_mem(pid, (unsigned long*)&sc, sizeof(sc)/sizeof(long), codeaddr)) {
		printf("cannot write code, error!\n");
		exit(1);
	}
	
	if (debug)
		printf("executing injection code at 0x%lx\n", codeaddr);

	// calc stack pointer
	regs.ARM_sp = regs.ARM_sp - n*4 - sizeof(sc);

	// call mprotect() to make stack executable
	regs.ARM_r0 = stack_start; // want to make stack executable
	//printf("r0 %x\n", regs.ARM_r0);
	regs.ARM_r1 = stack_end - stack_start; // stack size
	//printf("mprotect(%x, %d, ALL)\n", regs.ARM_r0, regs.ARM_r1);
	regs.ARM_r2 = PROT_READ|PROT_WRITE|PROT_EXEC; // protections

	// normal mode, first call mprotect
	if (nomprotect == 0) {
		if (debug)
			printf("calling mprotect\n");
		regs.ARM_lr = codeaddr; // points to loading and fixing code
		regs.ARM_pc = mprotectaddr; // execute mprotect()
	}
	// no need to execute mprotect on old Android versions
	else {
		regs.ARM_pc = codeaddr; // just execute the 'shellcode'
	}
	
	// detach and continue
	ptrace(PTRACE_SETREGS, pid, 0, &regs);
	ptrace(PTRACE_DETACH, pid, 0, (void *)SIGCONT);

	if (debug)
		printf("library injection completed!\n");
	
	return 0;
}

Android.mk

# Copyright (C) 2009 The Android Open Source Project
#
# Licensed under the Apache License, Version 2.0 (the "License");
# you may not use this file except in compliance with the License.
# You may obtain a copy of the License at
#
#      http://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS,
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
# See the License for the specific language governing permissions and
# limitations under the License.
#
LOCAL_PATH := $(call my-dir)

include $(CLEAR_VARS)

LOCAL_MODULE    := hijack 
LOCAL_SRC_FILES := ../hijack.c 
LOCAL_ARM_MODE := arm
LOCAL_CFLAGS := -g

include $(BUILD_EXECUTABLE)

你可能感兴趣的:(Android平台下hook框架adbi的研究（上）)

简单的基于Spring Cloud和Vue的示例项目结构及部分关键代码软件职业规划 spring spring cloud vue.js spring
后端（SpringCloud部分）1.创建SpringCloud项目（以SpringCloudGateway和SpringCloudEureka为例）首先，使用SpringInitializr创建一个基础的SpringBoot项目，并添加相关的SpringCloud依赖，比如：spring-cloud-starter-gateway：用于实现API网关功能。spring-cloud-starter
图像处理算法研究的程序框架 mickey0380 系统调用图像处理算法程序框架 Windows
目录1程序框架简介2C#图像读取、显示、保存模块3C动态库图像算法模块4C#调用C动态库5演示Demo5.1开发环境5.2功能介绍5.3下载地址参考1程序框架简介一个图像处理算法研究的常用程序逻辑框架，如下图所示在该框架中，将图像处理算法产品分为上层模块和底层模块两个部分。底层模块使用C/C++实现算法API，提供给上层模块调用；上层模块执行调用API和一些界面功能的实现，最后得到不同平台的软件产
从零基础开始实现一个Spring Boot + Vue 项目的详细步骤指南软件职业规划 spring spring boot vue.js 后端
一、准备工作1.开发环境搭建安装JDK（JavaDevelopmentKit）：前往Oracle官网（https://www.oracle.com/java/technologies/javase-jdk11-downloads.html，以JDK11为例）下载适合你操作系统的JDK安装包，按照安装向导完成安装。安装完成后，配置系统环境变量，确保在命令行中能通过java-version命令查看到正
fastapi 请求体成员变量不被识别 m0_75101866 python fastapi
问题写了一个pydantic模型:classrequestPostBody(BaseModel):name1:strname2:str_name3:dict访问/docs时,不显示_name3的参数,在请求体添加_name3也出错raiseAttributeError(f'{type(self).__name__!r}objecthasnoattribute{item!r}')fromexcAtt
图像处理之颜色空间小结 AI洲抿嘴的薯片 opencv算法专题图像处理人工智能
1.介绍在图像处理中，我们会遇到各式各样的颜色空间，比如RGB、HLS、HSV、HSB、YCrCb、CIEXYZ、CIELab，那么它们的区别和应用场所又在哪里呢？1）RGB是生活中最常见的颜色空间，其中，R代表红色通道，G代表绿色通道，B代表蓝色通道，它们之间的相互搭配组合256*256*256，几乎可以包括人类视力所能感知的所有颜色。应用场所：一般的彩色图片都是用RGB三通道来表示，另外，在深
深入解析华为OD机试：开放日活动“取出尽量少的球”题解及C++、Java、JavaScript、Python详细实现 m0_57781768 华为od c++java
深入解析华为OD机试：开放日活动“取出尽量少的球”题解及C++、Java、JavaScript、Python详细实现在华为OD机试的算法考题中，字符串处理、动态规划、二分查找等算法问题都频繁出现。这不仅是为了考查面试者的算法基础，还要求能够通过高效的逻辑思维解决问题。今天我们将深度分析一道关于“取出尽量少的球”的题目，并通过C++、Java、JavaScript、Python四种编程语言详细解析和
注解Annontation 详解宸之元亨利贞 JavaSE基础 java lombok junit spring integration
什么是注解Annontation？Annontation是Java5开始引入的新特征，中文名称叫注解。它提供了一种安全的类似注释的机制，用来将任何的信息或元数据（metadata）与程序元素（类、方法、成员变量等）进行关联。为程序的元素（类、方法、成员变量）加上更直观更明了的说明，这些说明信息是与程序的业务逻辑无关，并且供指定的工具或框架使用。Annontation像一种修饰符一样，应用于包、类型
【MQ】RabbitMq的可靠性保证 lose_rose777 面试题 java 中间件网络
消息队列中的可靠性主要是分为三部分：消息不丢失：确保消息从生产者发送到消费者消息不丢失消息不重复：确保消息不被重复消费消息顺序性：确保消费的顺序性解决方案主要有以下几部分：消息不丢失生产者确认机制持久化机制消费者确认机制高可用消息不重复：消费者确认机制消息重试机制幂等性设计消息顺序性单消费者模式消息编号生产者确认机制作用确保生产者发送的消息成功到达mq，避免消息在传输过程中丢失实现原理生产者会发送
spring security解析----架构解读梦醉天下编程安全 spring security
之前写了一个关于session的，看到大家现在用springsecurity还挺多，相比当时我开始用的时候，大家都在shiro。就写几篇关于springsecurity实践以后的总结吧。先从整体的springsecurity架构设计谈谈。（后面很多内容都是借用官网最新文档）springsecurity是spring框架下的安全解决方案，从刚开始到现在，已经经历了很多版本，但是总的架构设计没有变化。
策略模式-简单工具包冥王 • 雷利技术经验设计模式策略模式策略
策略是大家开发中用的很多模式，特别在解决相同流程多场景的模式下显得尤为的重要，其标准的结构就是一个加载多钟场景的上下文context，一个标准的处理接口handler及若干个根据不同场景的实现。举一个实际中碰到的场景，我要获取用户登录态中的登录信息，因为种种原因，需要根据不同的登录端，从不同环境或是请求域中获取登录态信息，例如APP端，H5，PC，那么根据不同端获取登录态信息就可以通过策略模式实现
Java开发高频英语单词800+，熟悉后英文障碍又少了万小猿En 程序员英语学习指北 java java 英语英文单词语法
高频词就是出现频率很高的单词，它们是我用软件从JavaAPI中常用的5个包（lang,util,io,net,sql）整理的，涉及的文档有1702个。单词的意思大多不是通用的，已经选取了计算机软件开发语境下的含义。你可能也发现了，翻译过来的JavaAPI文档有些表述不好理解或信息有损耗，所以不如直接看英文版JavaAPI文档，而这些高频词可以帮到你。学习建议：熟悉的快速过，不熟悉的多记一下。序号频
spring security配置详解 anzai561156 java
1.IS_AUTHENTICATED_ANONYMOUSLY表示的是匿名用户也可以访问。转载于:https://www.cnblogs.com/Aaronqcd/p/4848517.html
Java 入门指南：集合概述 ZachOn1y Java java 开发语言后端 eclipse java-ee
Java集合概述Java集合（Collections）是Java中提供的一种容器，用于存储和管理多个对象。与数组不同，集合的长度是可变的，且只能存储对象（包括对象的引用），不能存储基本数据类型。集合是Java编程中非常重要的一部分，特别是在处理大量数据时，集合提供了丰富的操作方法和灵活的数据结构。Java集合的体系结构Java集合，也叫作容器，主要是由两大接口派生而来：一个是Collection接
Direct Preference Optimization (DPO): 一种无需强化学习的语言模型偏好优化方法 Yuleave 论文学习语言模型人工智能自然语言处理
论文地址：https://arxiv.org/pdf/2305.182901.背景与挑战近年来，大规模无监督语言模型（LM）在知识获取和推理能力方面取得了显著进展，但如何精确控制其行为仍是一个难题。现有的方法通常通过**强化学习从人类反馈（RLHF）**来引导模型行为，但RLHF存在以下问题：复杂性高：RLHF需要先训练一个奖励模型来反映人类偏好，然后使用强化学习来微调语言模型，使其在最大化奖励的
基于ARM的智能灯光控制系统（1）项目介绍国产化创客嵌入式项目 Linux应用 Linux驱动 arm html c语言 linux驱动网络编程
基于ARM的智能灯光控制系统（1）项目介绍项目实践说明：本实践项目是嵌入式开发培训（阶段2）底层系统开发视频课程的综合实践项目。项目开发使用的技术知识点包括：C语言编程，文件编程，串口编程，网络编程，多线程编程，进程间通信，嵌入式交叉开发，嵌入式Web服务器开发，HTML编程，Linux驱动程序开发。嵌入式开发培训（阶段2）底层系统开发视频地址智能灯光控制系统视频地址系统功能智能灯光系统是对灯光进
物联网网关Web服务器--CGI开发接口国产化创客物联网Web服务器嵌入式项目服务器物联网 web网关
1、CGI(公用网关接口)CGI(公用网关接口)规定了Web服务器调用其他可执行程序(CGI程序)的接口协议标准。Web服务器通过调用CGI程序实现和Web浏览器的交互,也就是CGI程序接受Web浏览器发送给Web服务器的信息,进行处理,将响应结果再回送给Web服务器及Web浏览器。CGI程序一般完成Web网页中表单(Form)数据的处理、数据库查询和实现与传统应用系统的集成等工作。CGI程序可以
JS在HTML页面内动态创建SVG元素一粒马豆 html5 JavaScript 数据可视化 SVG JS D3 WEB
最近在学习数据可视化，深入了解了如何在网页上实现数据的动态可视化。比如D3.JS主要应用JS在HTML页面内动态生成SVG元素并绑定数据。以下是我的例程：//通过createElementNS创建svg元素并设置属性varsvg=document.createElementNS('http://www.w3.org/2000/svg','svg');svg.setAttribute("style"
Ubuntu系统如何快速访问github 经纬数智 Linux ubuntu github
ubuntu系统下，常常因为国内网络原因无法访问github官网或者也无法使用使用gitclone指令，搭建梯子又过于复杂，可使用修改hosts文件，添加IP地址的方法改进。修改Hosts文件：1.打开DNS查询网站：DNS查询。2.输入github域名：http://github.com，点击检测。3.选择合适的IP地址，复制。4.将IP地址复制到Hosts文件中。#打开Hosts文件sudog
mysql直接在sql中将分组查询出来的多个属性的list，拼接成一个字符串，最后的结果只要一个大的字符串 CURRY30_1 mysql sql 数据库
如果你想要的是将所有分组的结果进一步合并成一个单独的、巨大的字符串（即整个查询结果只返回一个字符串），那么你需要借助子查询或者应用程序层面的逻辑。在纯SQL中，这通常不是直接支持的功能，因为SQL是为返回结果集而设计的，而不是单一字符串。SELECTGROUP_CONCAT(singleResSEPARATOR'\n')ASlastResFROM(selectCONCAT('field1:',yo
本类方法调用，如何使事务依然生效；调用本类方法为什么要用AopContext.currentProxy() CURRY30_1 mybatis java
springAOP中只会切入代理类，从一个类调用另外另外一个类的时候，是会生成代理对象的。但是如果是本类方法的互相调用，那么就不会生成代理对象，随之方法配置的事务也会失效。那么我们可以使用两种方法来避免这种事务失效的问题1.((Service)AopContext.currentProxy()).B()来调用B方法，用这种方式，即使是本类方法的互相调用也能生成代理对象啦((Service)AopC
直接在SQL中对日期格式进行转换yyyy/MM/dd到yyyy-MM-dd【DATE_FORMAT()】 CURRY30_1 sql 数据库
可以直接在SQL中转换日期的格式会使用到DATE_FORMAT()使用函数DATE_FORMAT()函数中需要输入两个参数：原本的日期和你期待的模式字符串例如：我们要将2022/05/09的字符串转换成2022-05-09的格式，就可以用以下两种方式①：SELECTDATE_FORMAT('2022/05/09','20%y-%m-%d')DATE；②：SELECTDATE_FORMAT('202
【华为OD-E卷 - VLAN资源池 100分（python、java、c++、js、c）】 CodeClimb 算法题华为od （A+B+C+D+E 卷）收录分享 java 华为od python c++javascript
【华为OD-E卷-VLAN资源池100分（python、java、c++、js、c）】题目VLAN是一种对局域网设备进行逻辑划分的技术，为了标识不同的VLAN，引入VLANID(1-4094之间的整数)的概念。定义一个VLANID的资源池(下称VLAN资源池)，资源池中连续的VLAN用开始VLAN-结束VLAN表示，不连续的用单个整数表示，所有的VLAN用英文逗号连接起来。现在有一个VLAN资源池
C++设计模式——Strategy策略模式程序员与背包客_CoderZ C/C++设计模式 c++设计模式策略模式 c语言开发语言
一，策略模式简介策略模式是一种行为型设计模式，策略模式在软件开发场景中定义了一系列的算法，并将每个算法单独封装在可替换的对象中，使应用程序在运行时可以根据具体的上下文来动态地选择和切换算法，同时保持原有的代码架构不被修改。策略模式的设计使得算法的实现与调用被分离，让算法可以独立于外部客户端进行开发和改动，使用独立的类来封装特定的算法，也避免了不同算法策略之间的互相影响。策略模式能适应多种应用场景，
amazon-kinesis-video-streams-webrtc-sdk-c 移植到linux开发板 CSDN369369 webrtc c语言 linux
大部分参考这位大神的资料分析依赖关系。通过分析Cmakelist.txt得出了一些依赖关系。libkvsWebrtcClient.so依赖项如下：libkvspicUtils.alibkvspicState.alibssl.solibcrypto.solibsrtp2.a.libusrsctp.solibkvsWebrtcSignalingClient.so依赖项如下：libkvsCommonLw
HSM能为区块链、IoT等新兴技术提供怎样的保护？ Anna_Tong 区块链物联网 iot hsm 数据加密
随着区块链和物联网（IoT）技术的快速发展，数据安全已成为最为关键的挑战之一。在这些技术的应用中，涉及到大量的敏感数据和交易信息，因此如何确保数据的机密性、完整性和真实性，成为了亟待解决的问题。硬件安全模块（HSM）作为一种高度安全的加密服务技术，正日益成为保障区块链和IoT技术安全的核心工具。HSM具体能为区块链和IoT做些什么？它又是如何保护这些技术免受安全威胁的呢？HSM在区块链中的应用：密
18、方法区与垃圾回收机制周某某～ JAVA基础知识 java 开发语言
目录一.方法区1.1.从哪里读class文件？1.2.类型信息有哪些？1.3.方法区中存储的类型信息与堆栈有何关系？1.3.1.类加载阶段：1.3.2.对象创建阶段：1.3.3.方法调用阶段：1.3.4.方法执行阶段：1.3.5.方法返回阶段：1.3.6.垃圾回收阶段：二.垃圾回收机制2.1.finalize方法2.2.内存中的状态2.3.强制垃圾回收一.方法区当虚拟机(JVM)装载某个类型时(第
第四节 MATLAB变量程序员老冯头 MATLAB教程 matlab 数据结构算法
每个MATLAB变量可以是数组或者矩阵。用一个简单的方法指定变量。例如：x=3%definingxandinitializingitwithavalueMATLAB执行上述语句，并返回以下结果：x=3上述的例子创建了一个1-1的矩阵名为x和的值存储在其元素中。我们可以看看另外的例子，x=sqrt(16)%definingxandinitializingitwithanexpressionMATLA
Java八股文：MQ篇皮皮虾我们跑 java 开发语言
3-MQ篇消息中间件用于分布式系统中程序之间的异步通信。它基于消息的发布/订阅或点对点机制，实现高效、可靠、可伸缩的消息传递。3.1RabbitMQ3.1.1RabbitMQ如何保证消息不丢失？消息丢失了怎么办？如何保证消息不丢失？开启生产者确认机制，确保生产者的消息ack能到达队列。开启持久化功能，确保消息未消费前在队列中不会丢失开启消费者确认机制auto，由spring确认消息处理成功后完成a
组合模式 - 组合模式的实现 w(ﾟДﾟ)w吓洗宝宝了 C++从 0 到 1 组合模式 c++
引言组合模式（CompositePattern）是一种结构型设计模式，它允许你将对象组合成树形结构来表示“部分-整体”的层次结构。组合模式使得客户端可以统一地处理单个对象和组合对象，从而简化了代码的复杂性。本文将详细介绍如何在C++中实现组合模式，并通过示例代码帮助读者理解其工作原理。组合模式的基本概念组合模式的核心思想是将对象组织成树形结构，其中每个节点可以是单个对象（叶子节点）或组合对象（容器
代理模式 - 代理模式的应用 w(ﾟДﾟ)w吓洗宝宝了 C++从 0 到 1 代理模式 c++
引言代理模式（ProxyPattern）是一种结构型设计模式，它允许你提供一个代理对象来控制对另一个对象的访问。代理对象通常会在客户端和目标对象之间起到中介的作用，从而可以在不改变目标对象的情况下，增加额外的功能或控制访问。本文将详细介绍如何在C++中实现代理模式，并通过示例代码帮助读者理解其应用场景。代理模式的基本概念代理模式的核心思想是通过引入一个代理对象来控制对目标对象的访问。代理对象通常会
关于旗正规则引擎下载页面需要弹窗保存到本地目录的问题何必如此 jsp 超链接文件下载窗口
生成下载页面是需要选择“录入提交页面”，生成之后默认的下载页面<a>标签超链接为：<a href="<%=root_stimage%>stimage/image.jsp?filename=<%=strfile234%>&attachname=<%=java.net.URLEncoder.encode(file234filesourc
【Spark九十八】Standalone Cluster Mode下的资源调度源代码分析 bit1129 cluster
在分析源代码之前，首先对Standalone Cluster Mode的资源调度有一个基本的认识：首先，运行一个Application需要Driver进程和一组Executor进程。在Standalone Cluster Mode下，Driver和Executor都是在Master的监护下给Worker发消息创建(Driver进程和Executor进程都需要分配内存和CPU，这就需要Maste
linux上独立安装部署spark daizj linux 安装 spark 1.4 部署
下面讲一下linux上安装spark，以 Standalone Mode 安装 1）首先安装JDK 下载JDK：jdk-7u79-linux-x64.tar.gz ，版本是1.7以上都行，解压 tar -zxvf jdk-7u79-linux-x64.tar.gz 然后配置 ~/.bashrc&nb
Java 字节码之解析一周凡杨 java 字节码 javap
一： Java 字节代码的组织形式类文件 { OxCAFEBABE ，小版本号，大版本号，常量池大小，常量池数组，访问控制标记，当前类信息，父类信息，实现的接口个数，实现的接口信息数组，域个数，域信息数组，方法个数，方法信息数组，属性个数，属性信息数组 } &nbs
java各种小工具代码 g21121 java
1.数组转换成List import java.util.Arrays; Arrays.asList(Object[] obj); 2.判断一个String型是否有值 import org.springframework.util.StringUtils; if (StringUtils.hasText(str)) 3.判断一个List是否有值 import org.spring
加快FineReport报表设计的几个心得体会老A不折腾 finereport
一、从远程服务器大批量取数进行表样设计时，最好按“列顺序”取一个“空的SQL语句”，这样可提高设计速度。否则每次设计时模板均要从远程读取数据，速度相当慢！！二、找一个富文本编辑软件（如NOTEPAD+）编辑SQL语句，这样会很好地检查语法。有时候带参数较多检查语法复杂时，结合FineReport中生成的日志，再找一个第三方数据库访问软件（如PL/SQL）进行数据检索，可以很快定位语法错误。
mysql linux启动与停止墙头上一根草
如何启动/停止/重启MySQL一、启动方式1、使用 service 启动：service mysqld start2、使用 mysqld 脚本启动：/etc/inint.d/mysqld start3、使用 safe_mysqld 启动：safe_mysqld&二、停止1、使用 service 启动：service mysqld stop2、使用 mysqld 脚本启动：/etc/inin
Spring中事务管理浅谈 aijuans spring 事务管理
Spring中事务管理浅谈 By Tony Jiang@2012-1-20 Spring中对事务的声明式管理拿一个XML举例 [html] view plain copy print ? <?xml version="1.0" encoding="UTF-8"?>&nb
php中隐形字符65279（utf-8的BOM头）问题 alxw4616
php中隐形字符65279（utf-8的BOM头）问题今天遇到一个问题. php输出JSON 前端在解析时发生问题:parsererror. 调试: 1.仔细对比字符串发现字符串拼写正确.怀疑是非打印字符的问题. 2.逐一将字符串还原为unicode编码. 发现在字符串头的位置出现了一个 65279的非打印字符.
调用对象是否需要传递对象(初学者一定要注意这个问题) 百合不是茶对象的传递与调用技巧
类和对象的简单的复习,在做项目的过程中有时候不知道怎样来调用类创建的对象,简单的几个类可以看清楚,一般在项目中创建十几个类往往就不知道怎么来看为了以后能够看清楚,现在来回顾一下类和对象的创建,对象的调用和传递(前面写过一篇) 类和对象的基础概念: JAVA中万事万物都是类类有字段(属性),方法,嵌套类和嵌套接
JDK1.5 AtomicLong实例 bijian1013 java thread java多线程 AtomicLong
JDK1.5 AtomicLong实例类 AtomicLong 可以用原子方式更新的 long 值。有关原子变量属性的描述，请参阅 java.util.concurrent.atomic 包规范。AtomicLong 可用在应用程序中（如以原子方式增加的序列号），并且不能用于替换 Long。但是，此类确实扩展了 Number，允许那些处理基于数字类的工具和实用工具进行统一访问。
自定义的RPC的Java实现 bijian1013 java rpc
网上看到纯java实现的RPC，很不错。 RPC的全名Remote Process Call，即远程过程调用。使用RPC，可以像使用本地的程序一样使用远程服务器上的程序。下面是一个简单的RPC 调用实例，从中可以看到RPC如何
【RPC框架Hessian一】Hessian RPC Hello World bit1129 Hello world
什么是Hessian The Hessian binary web service protocol makes web services usable without requiring a large framework, and without learning yet another alphabet soup of protocols. Because it is a binary p
【Spark九十五】Spark Shell操作Spark SQL bit1129 shell
在Spark Shell上，通过创建HiveContext可以直接进行Hive操作 1. 操作Hive中已存在的表 [hadoop@hadoop bin]$ ./spark-shell Spark assembly has been built with Hive, including Datanucleus jars on classpath Welcom
F5　往header加入客户端的ip ronin47
when HTTP_RESPONSE {if {[HTTP::is_redirect]}{ HTTP::header replace Location [string map {:port/ /} [HTTP::header value Location]]HTTP::header replace Lo
java-61-在数组中，数字减去它右边(注意是右边)的数字得到一个数对之差. 求所有数对之差的最大值。例如在数组{2, 4, 1, 16, 7, 5, bylijinnan java
思路来自： http://zhedahht.blog.163.com/blog/static/2541117420116135376632/ 写了个java版的 public class GreatestLeftRightDiff { /** * Q61.在数组中，数字减去它右边(注意是右边)的数字得到一个数对之差。 * 求所有数对之差的最大值。例如在数组
mongoDB 索引开窍的石头 mongoDB索引
在这一节中我们讲讲在mongo中如何创建索引得到当前查询的索引信息 db.user.find(_id:12).explain(); cursor: basicCoursor 指的是没有索引 &
[硬件和系统]迎峰度夏 comsci 系统
从这几天的气温来看，今年夏天的高温天气可能会维持在一个比较长的时间内所以，从现在开始准备渡过炎热的夏天。。。。每间房屋要有一个落地电风扇，一个空调(空调的功率和房间的面积有密切的关系) 坐的，躺的地方要有凉垫，床上要有凉席电脑的机箱
基于ThinkPHP开发的公司官网 cuiyadll 行业系统
后端基于ThinkPHP，前端基于jQuery和BootstrapCo.MZ 企业系统轻量级企业网站管理系统运行环境:PHP5.3+, MySQL5.0 系统预览系统下载：http://www.tecmz.com 预览地址：http://co.tecmz.com 各种设备自适应响应式的网站设计能够对用户产生友好度，并且对于
Transaction and redelivery in JMS (JMS的事务和失败消息重发机制) darrenzhu jms 事务承认 MQ acknowledge
JMS Message Delivery Reliability and Acknowledgement Patterns http://wso2.com/library/articles/2013/01/jms-message-delivery-reliability-acknowledgement-patterns/ Transaction and redelivery in
Centos添加硬盘完全教程 dcj3sjt126com linux centos hardware
Linux的硬盘识别: sda 表示第1块SCSI硬盘 hda 表示第1块IDE硬盘 scd0 表示第1个USB光驱一般使用“fdisk -l”命
yii2 restful web服务路由 dcj3sjt126com PHP yii2
路由随着资源和控制器类准备，您可以使用URL如 http://localhost/index.php?r=user/create访问资源，类似于你可以用正常的Web应用程序做法。在实践中，你通常要用美观的URL并采取有优势的HTTP动词。例如，请求POST /users意味着访问user/create动作。这可以很容易地通过配置urlManager应用程序组件来完成如下所示
MongoDB查询(4)——游标和分页[八] eksliang mongodb MongoDB游标 MongoDB深分页
转载请出自出处：http://eksliang.iteye.com/blog/2177567 一、游标数据库使用游标返回find的执行结果。客户端对游标的实现通常能够对最终结果进行有效控制，从shell中定义一个游标非常简单，就是将查询结果分配给一个变量（用var声明的变量就是局部变量），便创建了一个游标，如下所示： > var
Activity的四种启动模式和onNewIntent() gundumw100 android
Android中Activity启动模式详解　　在Android中每个界面都是一个Activity，切换界面操作其实是多个不同Activity之间的实例化操作。在Android中Activity的启动模式决定了Activity的启动运行方式。　　Android总Activity的启动模式分为四种： Activity启动模式设置： <acti
攻城狮送女友的CSS3生日蛋糕 ini html Web html5 css css3
在线预览：http://keleyi.com/keleyi/phtml/html5/29.htm 代码如下： <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>攻城狮送女友的CSS3生日蛋糕-柯乐义<
读源码学Servlet（1）GenericServlet 源码分析 jzinfo tomcat Web servlet 网络应用网络协议
Servlet API的核心就是javax.servlet.Servlet接口，所有的Servlet 类（抽象的或者自己写的）都必须实现这个接口。在Servlet接口中定义了5个方法，其中有3个方法是由Servlet 容器在Servlet的生命周期的不同阶段来调用的特定方法。先看javax.servlet.servlet接口源码： package
JAVA进阶：VO(DTO)与PO(DAO)之间的转换 snoopy7713 java VO Hibernate po
PO即 Persistence Object　　VO即 Value Object 　VO和PO的主要区别在于：　　VO是独立的Java Object。　　PO是由Hibernate纳入其实体容器（Entity Map）的对象，它代表了与数据库中某条记录对应的Hibernate实体，PO的变化在事务提交时将反应到实际数据库中。　实际上，这个VO被用作Data Transfer
mongodb group by date 聚合查询日期统计每天数据（信息量） qiaolevip 每天进步一点点学习永无止境 mongodb 纵观千象
/* 1 */ { "_id" : ObjectId("557ac1e2153c43c320393d9d"), "msgType" : "text", "sendTime" : ISODate("2015-06-12T11:26:26.000Z")
java之18天常用的类(一) Luob. Math Date System Runtime Rundom
System类 import java.util.Properties; /** * System: * out:标准输出,默认是控制台 * in:标准输入,默认是键盘 * * 描述系统的一些信息 * 获取系统的属性信息:Properties getProperties(); * * * */ public class Sy
maven wuai maven
1、安装maven：解压缩、添加M2_HOME、添加环境变量path 2、创建maven_home文件夹，创建项目mvn_ch01,在其下面建立src、pom.xml，在src下面简历main、test、main下面建立java文件夹 3、编写类，在java文件夹下面依照类的包逐层创建文件夹，将此类放入最后一级文件夹 4、进入mvn_ch01 4.1、mvn compile ,执行后会在