本文主要讨论 mmap 函数以及如何使用 mmap 函数来加载一个 ELF 的可加载段。

01纠错

Android 8 及以后是会读取 section header 的，但不是所有的 section 都会读取。

https://cs.android.com/android/platform/superproject/main/+/main:bionic/linker/linker_phdr.cpp;l=29?q=linker_phdr&sq=&ss=android

Android 8 应该是一个分水岭，可以看到会有很多版本检查逻辑：

mmap 函数

这个函数的参数在  man7 里面有非常详细的说明，建议看看：

https://man7.org/linux/man-pages/man2/mmap.2.html

看一个例子：

#include <stdio.h>
#include <sys/mman.h>
#include <dlfcn.h>int main()
{FILE *fp = fopen("/data/local/tmp/four.bin", "rb");void *addr = mmap((void *)0x80000000, 0x100, PROT_EXEC | PROT_WRITE | PROT_READ, MAP_PRIVATE | MAP_FIXED, fileno(fp), 0);fclose(fp);printf("%p\n", addr);printf("%08x\n", *(__uint8_t *)0x80000000);return 0;
}

需要注意的是，我们这里是脱离了Android Studio 来编写一个可执行程序，所以需要先搭建一下环境：

需要2个额外的文件来做交叉编译，试了下直接使用 aarch64-linux-gnu-gcc 编译出来的也无法执行，似乎必须得使用 ndk + cmake 来编译，不深入研究了，能跑就行。

2个额外文件的代码就不贴了，会上传到github上的 elf 文件夹里面。

https://github.com/aprz512/Android-Crack

将编译好的文件push到 /data/local/tmp/ 文件夹下，测试各个参数的作用。

第一个参数

第一个参数表示我们期望映射的地址，但是os并不一定会映射到这个地址，文档里面也说了，linux会选择一个页对齐的地址返回，如果该地址被占用了，会返回一个其他的地址。

第二个参数

第二个参数是映射的长度，这个很值得研究，需要分情况讨论。

我们以 four.bin 为例，该文件里面就只有 3 个字符串数字，大小为4个字节：

echo "123" > four.bin

当mmap传递的参数小于文件大小时，我们修改代码，将第二个参数的值改为2：

void *addr = mmap((void *)0x80000000, 0x2, PROT_EXEC | PROT_WRITE | PROT_READ, MAP_PRIVATE | MAP_FIXED, fileno(fp), 0);

尝试访问 0x80000002 处的地址，按照直觉来说，这个位置没有被分配，所以应该会出现 Segmentation fault 之类的错误。但是实际上并没有，输出结果为：

0x80000000
00000033

0x33对应的ascii就是字符“3”，这说明，它将整个文件都映射进去了，其实mmap是按照页来映射的，以 4KB 为单位。我们可以使用 IDA 验证一下，使用  getchar 卡住程序，然后调试程序：

可以看到 0x80000000 开始的位置确实是 four.bin 文件的数据。往下看直到 0x80000FFF的位置都是0值，从 0x80001000开始就不是进程空间地址了。

我们再做一个实验，将映射长度改为8KB，访问4KB+1的位置会如何呢？

0x80000000
00000033
Bus error

可以看到，访问 0x80000002 位置依然没有问题，但是访问 0x80001000 位置却出现了 Bus error。这个文档里面也说明了，出现这个错误是因为访问了超出文件映射结尾的页地址导致的。

我们看下 IDA 情况：

可以看到，后面的一页都是问号，访问这里面的虚拟地址就会出现 bus error。

第三个参数

权限标志位，没啥好说的，不如看文档。

需要注意的是，这里我们先全给 RWX，因为需要重定位，否则会报错。

第四个参数

只说一个MAP_FIXED，前面说到第一个参数的时候，我们传递了一个值给os，可是os不一定理我们。但是有些情况我们一定要os映射到指定的位置才行，比如段的加载。elf里面有 .text / .data 段，这两个段之间是有关系的，它们之间存在相互引用，如果不将这两个玩意挨着放，那么它们之间的一些相对偏移就会出问题。

所以，如何解决这个问题呢？就是传递 MAP_FIXED 标志位，它表示如果不能映射到我们指定的位置，干脆就直接失败。

加载段

好了，有了上面的基础，我们就可以自己实现 elf 的段加载了，其实就是调用 mmap 函数，将可加载段映射一下就完事。

不过需要考虑的事情有：当文件大小小于内存大小的时候，要怎么解决？

上面我们已经验证过了，如果直接映射会出 bus error。

所以，我们可以分两次映射，第二次映射一个匿名文件，是不是想到 maps 里面没名字的那一行了。

我们可以先看 linker 源码学习一下。

linker 源码

https://github.com/aosp-mirror/platform_bionic/blob/donut-release2/linker/linker.c

由于linker的核心代码变化不会太大，所以强烈建议研究老版本的源码，弄清楚了再去看新版本的。

这里有一个图：

示例代码

#include <stdio.h>
#include <sys/mman.h>
#include <dlfcn.h>
#include <stdlib.h>
#include <string.h>
#include <elf.h>#define PAGE_SIZE (4096)
#define PAGE_MASK (PAGE_SIZE - 1)
#define BASE (0x80000000)int main()
{// FILE *fp = fopen("/data/local/tmp/four.bin", "rb");// void *addr = mmap((void *)0x80000000, 0x2000, PROT_EXEC | PROT_WRITE | PROT_READ, MAP_PRIVATE | MAP_FIXED, fileno(fp), 0);// fclose(fp);// printf("%p\n", addr);// printf("%08x\n", *(__uint8_t *)0x80000002);// // printf("%08x\n", *(__uint8_t *)0x80001000);// getchar();size_t elf64_header = sizeof(Elf64_Ehdr);Elf64_Ehdr *ehdr = (Elf64_Ehdr *)malloc(elf64_header);FILE *fp = fopen("/data/local/tmp/ls", "rb");// read Elf64_Ehdr bytesfread(ehdr, elf64_header, 1, fp);printf("e_phoff: %08x\n", ehdr->e_phoff);size_t elf64_phdr = sizeof(Elf64_Phdr);int phdr_num = ehdr->e_phnum;printf("phdr_num: %d\n", phdr_num);Elf64_Phdr *phdr = (Elf64_Phdr *)malloc(elf64_phdr * phdr_num);fseek(fp, ehdr->e_phoff, SEEK_SET);fread(phdr, elf64_phdr * phdr_num, 1, fp);uint64_t len;uint64_t tmp;uint64_t pbase;uint64_t extra_len;uint64_t extra_base;for (size_t i = 0; i < phdr_num; i++){// printf("p_type: %d\n", phdr->p_type);if (phdr->p_type == PT_LOAD){// 这里计算的是 pbase 的值tmp = BASE + phdr->p_vaddr & (~PAGE_MASK);// 看图可知，这里的文件大小加上 （ base + p_vaddr - pbase），也就是 mask off 的值len = phdr->p_filesz + (phdr->p_vaddr & PAGE_MASK);pbase = mmap(tmp,len,PROT_EXEC | PROT_WRITE | PROT_READ,MAP_PRIVATE | MAP_FIXED,fileno(fp),phdr->p_offset & (~PAGE_MASK));printf("mapped addr: %08x, %08x\n", pbase, len);tmp = (unsigned char *)(((unsigned)pbase + len + PAGE_SIZE - 1) & (~PAGE_MASK));if (tmp < (BASE + phdr->p_vaddr + phdr->p_memsz)){extra_len = BASE + phdr->p_vaddr + phdr->p_memsz - tmp;extra_base = mmap((void *)tmp, extra_len,PROT_EXEC | PROT_WRITE | PROT_READ,MAP_PRIVATE | MAP_FIXED | MAP_ANONYMOUS,-1, 0);printf("mapped addr: %08x, %08x\n", extra_base, extra_len);}}phdr++;}free(ehdr);free(phdr);fclose(fp);printf("mapped ok!!!");return 0;
}

运行结果如下：

sailfish:/data/local/tmp # ./elf                                       
e_phoff: 00000040
phdr_num: 9
mapped addr: 80000000, 0005c45c
mapped addr: 8005d000, 000047a0
mapped addr: 80062000, 00003966