项目中需要对一个第三方的so动态库进行静态、动态分析,用静态分析的方式扫描so动态库,判断其有没有直接进行网络接口的调用或者存在其它不被允许的系统调用,动态分析采用系统调用插桩的方式对系统调用增加一段hook代码,禁止其进行不被允许的网络接口调用。下面对linux下动态库的静态分析方法进行介绍。
ldd命令
ldd命令可以查看so动态库或可执行文件依赖的外部动态库列表,如下所示:
$ ldd libtest.so
linux-vdso.so.1 => (0x00007fff1cb3b000)
/$LIB/libonion.so => /lib64/libonion.so (0x00007f40a8cec000)
libstdc++.so.6 => /usr/lib64/libstdc++.so.6 (0x00007f40a86cd000)
libm.so.6 => /lib64/libm.so.6 (0x00007f40a8449000)
libgcc_s.so.1 => /lib64/libgcc_s.so.1 (0x00007f40a8233000)
libc.so.6 => /lib64/libc.so.6 (0x00007f40a7e9f000)
libdl.so.2 => /lib64/libdl.so.2 (0x00007f40a7c9b000)
/lib64/ld-linux-x86-64.so.2 (0x00007f40a8bd5000)
nm命令
nm命令可以显示ELF文件(包含对象文件、可执行文件、动态库文件)的符号信息,对于每个符号,nm列出其值、类型和名字:
$ nm -C libtest.so
00000000002012c0 d DW.ref.__gxx_personality_v0
0000000000201038 a _DYNAMIC
0000000000201218 a _GLOBAL_OFFSET_TABLE_
0000000000000e07 t global constructors keyed to tcp_client.cpp
w _Jv_RegisterClasses
0000000000000dbf t __static_initialization_and_destruction_0(int, int)
0000000000000bcc T tcp_client::tcp_client(char*, char*)
0000000000000bcc T tcp_client::tcp_client(char*, char*)
U std::ios_base::Init::Init()@@GLIBCXX_3.4
U std::ios_base::Init::~Init()@@GLIBCXX_3.4
00000000002012d8 b std::__ioinit
0000000000201010 d __CTOR_END__
0000000000201000 d __CTOR_LIST__
0000000000201020 d __DTOR_END__
0000000000201018 d __DTOR_LIST__
0000000000000f98 r __FRAME_END__
0000000000201028 d __JCR_END__
0000000000201028 d __JCR_LIST__
00000000002012c8 A __bss_start
U __cxa_atexit@@GLIBC_2.2.5
w __cxa_finalize@@GLIBC_2.2.5
0000000000000e20 t __do_global_ctors_aux
0000000000000b20 t __do_global_dtors_aux
0000000000201030 d __dso_handle
U __errno_location@@GLIBC_2.2.5
w __gmon_start__
U __gxx_personality_v0@@CXXABI_1.3
00000000002012c8 A _edata
00000000002012e0 A _end
0000000000000e58 T _fini
00000000000009b0 T _init
U atoi@@GLIBC_2.2.5
0000000000000b00 t call_gmon_start
U close@@GLIBC_2.2.5
00000000002012c8 b completed.6349
U connect@@GLIBC_2.2.5
00000000002012d0 b dtor_idx.6351
U exit@@GLIBC_2.2.5
U fgets@@GLIBC_2.2.5
0000000000000ba0 t frame_dummy
U htons@@GLIBC_2.2.5
U inet_pton@@GLIBC_2.2.5
U memset@@GLIBC_2.2.5
U printf@@GLIBC_2.2.5
U puts@@GLIBC_2.2.5
U send@@GLIBC_2.2.5
U socket@@GLIBC_2.2.5
U stdin@@GLIBC_2.2.5
U strerror@@GLIBC_2.2.5
U strlen@@GLIBC_2.2.5
上述结果中的第二列代表符号类型,大写的类型表示该符号是external的,小写表示该符号是local的, 各个符号类型的说明如下:
A: 表明符号的值是绝对的,链接过程不允许改变
B: 表明符号的值存在于非初始化数据段bss中
C: 表明符号只有在链接过程中才会被分配
D: 表明符号位于初始化数据段中
G: 表明符号位于初始化数据段中,用于small object
I: 表明该符号是对另一个符号的间接引用
N: debugging符号
R: 表明该符号位于只读数据段
S: 表明符号位于非初始化数据段,用于small object
T: 表明该符号位于代码区text section
U: 外部符号
V: weak object
W: 弱符号,但是还没被特别指明是一个弱对象符号
关于nm命令的使用,更多详解见: https://sourceware.org/binutils/docs/binutils/nm.html
关于ELF文件的格式说明,更多详解见: http://www.cnblogs.com/xmphoenix/archive/2011/10/23/2221879.html
其它命令
objdump命令用于显示二进制文件的信息, 包含文件头信息与各个section的信息,与其类似的是readelf命令,相比之下readelf命令提供的信息更为具体。