作者：Denny Qiao（喬喜銘），雲智慧/架構師。

雲智慧集團成立於2009年，是全棧智慧業務運維解決方案服務商。經過多年自主研發，公司形成了從IT運維、電力運維到IoT運維的產業佈局，覆蓋ITOM、ITOA、ITSM、DevOps以及IoT幾大領域，為金融、政府、運營商、能源、交通、製造等上百家行業的客戶，提供了數字化運維體系建設及全生命週期運維管理解決方案。雲智慧秉承Make Digital Online的使命，致力於通過先進的產品技術，為企業數字化轉型和提升IT運營效率持續賦能。

android java層hook機制

android dalvic虛擬機器和JVM的區別

1. Dalvik虛擬機器並不是按照Java虛擬機器的規範來實現的，與jvm並不相容
2. Java虛擬機器執行的是Java位元組碼，而Dalvik虛擬機器執行的則是其專有的檔案格式DEX（Dalvik Executable）
3. Davic讀取的是dex檔案，jvm讀取的.class和jar檔案
4. Dalvik基於暫存器，而JVM基於棧
5. 每一個Android應用都執行在一個Dalvik虛擬機器例項裡，而每一個虛擬機器例項都是一個獨立的程序空間。虛擬機器的執行緒機制，記憶體分配和管理，Mutex等等都是依賴底層作業系統而實現的。所有Android應用的執行緒都對應一個Linux執行緒，虛擬機器因而可以更多的依賴作業系統的執行緒排程和管理機制
6. 有一個特殊的虛擬機器程序Zygote，他是虛擬機器例項的孵化器。每當系統要求執行一個Android應用程式，Zygote就會FORK出一個子程序來執行該應用程式。它在系統啟動的時候就會產生，它會完成虛擬機器的初始化、庫的載入、預置類庫和初始化的操作。如果系統需要一個新的虛擬機器例項，它會迅速複製自身，以最快的速度提供給系統

android的啟動流程

android的編譯結構圖

android hook 原理

Javac流程

Java 類檔案是8位位元組的二進位制流

Android dalvik虛擬機器相比 jvm 有一個dex模組

目的是： 優化class，減小體積，加快載入執行速度，我們hook的關鍵就是修改class檔案，在原有class檔案中增加，修改方法或者變數，以便加入我們的hook程式碼到class中，自動埋點。在android中hook的入口點是dex模組。

修改class的關鍵技術： asm框架

• ASM 是一個 Java 位元組碼操控框架。它能被用來動態生成類或者增強既有類的功能。
• ASM 可以直接產生二進位制 class 檔案，也可以在類被載入入 Java 虛擬機器之前動態改變類行為。
• Java class 被儲存在嚴格格式定義的.class 檔案裡，這些類檔案擁有足夠的元資料來解析類中的所有元素：類名稱、方法、屬性以及 Java 位元組碼（指令）。
• ASM 從類檔案中讀入資訊後，能夠改變類行為，分析類資訊，甚至能夠根據使用者要求生成新類。

Android hook的實現方案

1. 直接修改android SDK中的dex模組dx.jar，用asm修改dx.jar中載入class的入口API，在函式中加入我們hook機制程式碼，對每一個載入的class進行程式碼注入。最後以安裝包的形式提供使用者。

優點：一勞永逸，適用於所有的android 開發工具，適合eclipse，android studio，各種指令碼編譯等，開發工期短。在初期，我們採用這種方法，很快完成了產品的開發，推向市場。

缺點： 安裝過程中需要替換使用者android sdk中的dx.jar檔案，屬於侵入式安裝，有一些使用者不太接受。Android sdk不斷的升級，我們也需要不斷推出新的sdk，升級維護比較麻煩。

2. 外掛機制：需要實現不同的開發環境的外掛：eclipse外掛，gradle外掛，各種自動化編譯指令碼的外掛等。

基本原理： 在各個編譯工具呼叫dx完成dex的過程中，通過編譯環境提供的介面，呼叫我們class注入程式碼。

優點： 使用者使用比較方便，不用修改使用者android SDk環境，升級維護方便。比如gradle外掛，版本放在jcenter倉庫，直接配置就可以了。

實現方案的特點

針對各個開發環境，實現外掛，在編譯過程中對class檔案進行hook。這是一種靜態hook，不影響系統執行效率，而且對android的系統相容性較好。

但是有一個缺點，不能hook android sdk，只能hook sdk之上的程式碼，那麼隨著不同模組程式碼的升級和改變，我們的hook 程式碼就不得不隨之改變，而且需要不斷適配新出現的第三發功能模組。不斷地推出新的sdk版本支援這種變化。需要升級，維護。程式碼體積以及記憶體，CPU等效能逐漸降低。

Android c/c++ hook

android的ndk簡介

NDK是Google為Android進行本地開發而放出的一個本地開發工具，包括Android的Na#ve API、公共庫以及編譯工具。

注意：NDK需要Android 1.5版本以上的支援，NDK與SDK是並列關係，DNK是SDK的有效補充。

一個android工程包括2部分：java部分和ndk擴充套件

So庫檔案結構

• ELF檔案格式提供了兩種檢視，分別是連結檢視和執行檢視
• 連結檢視是以節（secXon）為單位，執行檢視是以段（segment）為單位。連結檢視就是在連結時用到的檢視，而執行檢視則是在執行時用到的檢視。上圖左側的視角是從連結來看的，右側的視角是執行來看的。

我們比較關注的是執行檢視中，段中.rel.plt項：重定位的地方在.got.plt段內（注意也是.got內,具體區分而已）。 主要是針對外部函式符號，一般是函式。首次被呼叫時候重定位。首次呼叫時會重定位函式地址，把最終函式地址放到.got內，以後讀取該.got就直接得到最終函式地址。

so hook關注點

• 匯入表（GOT表 hook），SO引用外部函式的時候，在編譯時會將外部函式的地址以Stub 的形式存放在.GOT 表中，載入時linker 再進行重定位，即將真實的外部函式寫到此 stub 中。
• HOOK 的思路就是：替換GOT表中的外部函式地址。可以理解為hook匯入函式。

So hook基本流程：

1. 通過讀取 FILE *fd = fopen("/proc/self/maps","r") 記憶體對映表，找到so庫在程序記憶體中的基地址。
2. 通過基地址，讀取並解析 SO 的結構，找到外部函式對應在GOT 表中的存放地址。
3. 替換GOT表中的外部函式地址

NDK hook的基本流程：

• 主要原理：通過解析對映到記憶體中的elf的結構，解析出got，然後進行hook重定位替換。其中必須要基於執行檢視（ExecuXon View）進行符號解析；
• ELF檔案格式是基於連結檢視（Linking View），連結檢視是基於節（SecXon）對ELF進行解析的。然而動態連結庫在載入的過程中，linker只關注ELF中的段（Segment）資訊。

NDK hook實現關鍵方法：

1、 從給定的so中獲取基址，獲取so控制代碼ElfHandle：ElfHandle* handle = openElfBySoname(soname);

2、從segment檢視獲取elf資訊(即載入到記憶體的so)：getElfInfoBySegmentView(info, handle);

3、根據符號名尋找函式地址Sym：findSymByName(info, symbol, &sym, &symidx);

4、遍歷連結串列，進行一次替換relplt表函式地址操作，其中需要使用mprotect修改訪問記憶體，然後呼叫系統指令 清除快取：replaceFunc(addr, replace_func, old_func)

5、遍歷連結串列，進行一次替換reldyn表函式地址操作，其中需要使用mprotect修改訪問記憶體，然後呼叫系統指令 清除快取：replaceFunc(addr, replace_func, old_func))

6、釋放資源,關閉elf控制代碼 ：closeElfBySoname(handle);

c/c++層與java層hook的對比

目前的android hook方式具有以下缺點：

• 實現複雜：需要支援各種開發環境，eclipse android studio，各種自動化編譯工具，每種都比較複雜，開發和維護成本都比較高。需要支援各種使用者使用到的第三方庫。
• 整合升級和維護：使用者整合比較複雜，升級比較困難，需要不斷的適配新出現的各種第三方庫，因為我們是對使用者程式碼進行hook，而不是SDK。

下一代的android agent實現構想

以android naXve sdk 的思路實現，動態hook app。

• 優點： 針對android sdk進行hook，acXvity 事件，網路，執行緒，崩潰，anr等直接在android sdk的基礎上進行hook，而不是針對使用者app的實現程式碼進行hook，這樣就可以大大減少對第三方庫新增，升級等問題的適配。減少對系統資源的佔用。
• 整合方式： 透視寶android sdk的提供方式so庫和jar包，以普通的so和jar的方式整合，不再需要各種整合外掛的支援，支援網路動態升級和維護。
• Hook方式： 動態hook，在app啟動過程中進行hook，可以各個功能點動態控制。
• 效能： sdk的體積會大大減少，對CPU的佔用會降低
• 相容性： 現在的相容性是對各個android系統版本之間的相容性，以後只需要對新出現的android 手機系統進行適配。
• 缺點： 技術難度增加，需要進行大量相容性測試！

寫在最後

近年來，在AIOps領域快速發展的背景下，IT工具、平臺能力、解決方案、AI場景及可用資料集的迫切需求在各行業迸發。基於此，雲智慧在2021年8月釋出了AIOps社群， 旨在樹起一面開源旗幟，為各行業客戶、使用者、研究者和開發者們構建活躍的使用者及開發者社群，共同貢獻及解決行業難題、促進該領域技術發展。

社群先後 開源 了資料視覺化編排平臺-FlyFish、運維管理平臺 OMP 、雲服務管理平臺-摩爾平臺、 Hours 演算法等產品。

視覺化編排平臺-FlyFish：

專案介紹：https://www.cloudwise.ai/flyFish.html

Github地址： https://github.com/CloudWise-OpenSource/FlyFish

Gitee地址： https://gitee.com/CloudWise/fly-fish

行業案例：https://www.bilibili.com/video/BV1z44y1n77Y/

部分大屏案例：