Android Hook框架adbi源码浅析（二）

二、libbase

其实上面加载完SO库后，hook的功能我们完全可以自己在动态库中实现。而adbi作者为了方便我们使用，编写了一个通用的hook框架工具即libbase库。
libbase依然在解决两个问题：1.获取要hook的目标函数地址；2.给函数打二进制补丁即inline hook。

关于获取hook函数地址的方法这里不再赘述。直接看inline hook部分，这部分功能在base\hook.c的hook()函数中实现，先看hook_t结构体：

struct hook_t {
    unsigned int jump[3]; //跳转指令（ARM）
    unsigned int store[3]; //原指令（ARM）
    unsigned char jumpt[20]; //跳转指令（Thumb）
    unsigned char storet[20]; //原指令（Thumb）
    unsigned int orig; //被hook函数地址
    unsigned int patch; //补丁地址
    unsigned char thumb; //补丁代码指令集，1为Thumb，2为ARM
    unsigned char name[128]; //被hook函数名
    void *data;
};

hook_t是一个标准inline hook结构体，保存了跳转指令/跳转地址/指令集/hook函数名等信息。因为ARM使用了ARM和Thumb两种指令集，所以代码中需进行区分：

if (addr % 4 == 0) {
    /* ARM指令集 */
} else { 
    /* Thumb指令集 */
}

这样进行判断的依据，是编译器在使用Thumb指令集编译一个函数时，会自动将真正映射地址的最后一位置’1’赋给符号地址，这样可以实现无缝的Thumb指令集函数与Arm指令集代码混编。
接下来看一下ARM指令集分支的处理流程，这是该问题解决的核心部分：

if (addr % 4 == 0) {
    log("ARM using 0x%lx\n", (unsigned long)hook_arm)
    h->thumb = 0;
    h->patch = (unsigned int)hook_arm;
    h->orig = addr;
    h->jump[0] = 0xe59ff000; // LDR pc, [pc, #0]
    h->jump[1] = h->patch;
    h->jump[2] = h->patch;
    for (i = 0; i < 3; i++)                                  
                h->store[i] = ((int*)h->orig)[i];
    for (i = 0; i < 3; i++)                                  
                    ((int*)h->orig)[i] = h->jump[i];
}

首先填充hook_t结构体，第一个for循环保存原地址处3条指令共12字节。第二个for循环用新的跳转指令进行覆写，关键的三条指令分别保存在jump[0]-[2]中：

jump[0]赋值0xe59ff000，翻译成ARM汇编为ldr pc,[pc,#0]，由于pc寄存器读出的值是当前指令地址加8，因此这条指令实际是将jump[2]的值加载到pc寄存器。
jump[2]保存的是hook函数地址。jump[1]仅用来4字节占位。Thumb分支原理与ARM分支一致，不再分析。

接下来我们注意到，函数最后调用了一处hook_cacheflush()函数：

hook_cacheflush((unsigned int)h->orig, (unsigned int)h->orig+sizeof(h->jumpt));

我们知道，现代处理器都有指令缓存，用来提高执行效率。前面我们修改的是内存中的指令，为防止缓存的存在，使我们修改的指令执行不到，需进行缓存的刷新：

void inline hook_cacheflush(unsigned int begin, unsigned int end)
{
    const int syscall = 0xf0002;
    __asm __volatile (
        "mov     r0, %0\n"
        "mov     r1, %1\n"
        "mov     r7, %2\n"
        "mov     r2, #0x0\n"
        "svc     0x00000000\n"
        :
        :   "r" (begin), "r" (end), "r" (syscall)
        :   "r0", "r1", "r7"
        );
}

参考资料

[1].adbi源码 https://github.com/crmulliner/adbi
[2].minghuasweblog,ARM Cache Flush on mmap’d Buffers with __clear_cache(),March 29, 2013