由于基于探针的动态插桩，通常只能在函数边界插入代码，难以对程序的指令流进行很好的分析，所以平时用的比较少。以前使用微软研究院的detour的API觉得它很神奇，最近看了下它的原理还是很简单：基于简单动态重写函数的开始几个字节，然后跳转到特定函数。呵呵，但是要做好还是不容易的。闲来无事写了一个很粗糙的实现。

基本原理就是：（1）保存函数的入口的几个字节，并插入一天跳回函数的jmp指令（这一块代码称为trampaline）。这里的前几个字节不是个定数是有原因的，实际上我们只需要前5字节来保存一条JMP指令，但入口的5个字节可能并不是几条完整的指令，因此若只保存5个字节就会截断指令。如下面的代码所示，test函数入口的第5个字节包含于sub，保存前6个字节就可以避免截断sub指令。

080483e4 <test>:<br /> 80483e4: 55 push %ebp<br /> 80483e5: 89 e5 mov %esp,%ebp<br /> 80483e7: 83 ec 18 sub $0x18,%esp<br /> 80483ea: c7 04 24 e0 84 04 08 movl $0x80484e0,(%esp)

（2）修改函数入口的5个字节为jmp xxx指令，其中的xxx就是探针函数到当前函数的偏移量。跳往探针函数并执行它。

（3）执行trampaline代码，执行原函数。

（3）恢复原函数的入口。

基本数据结构：

/*参数类型，包含的字节数，例如INT8表示数据大小为一个字节*/<br /> typedef enum arg_type {<br /> NULL_TYPE,<br /> INT8,<br /> INT16,<br /> INT32,<br /> INT64<br /> } arg_type_t;</p> <p>/*探针函数描述符*/<br /> typedef struct probe {<br /> int id; /*探针id*/<br /> int ref; /*引用计数*/<br /> void *probe_fuc; /*函数地址*/<br /> arg_type_t arg[MAX_ARG]; /*参数类型*/<br /> char name[MAX_FUC_NAME_LEN]; /*函数名*/<br /> struct probe *next; /*下一探针*/<br /> }probe_t;</p> <p>/*trampline描述符*/<br /> typedef struct trampline {<br /> char code[MAX_CODE_CACHE]; /*保存函数入口代码*/<br /> struct trampline *next;<br /> }trampline_t;</p> <p>/*函数描述符*/<br /> typedef struct fuc_info {<br /> int id; /*id*/<br /> char fuc_name[MAX_FUC_NAME_LEN]; /*函数名*/<br /> void *fuc_addr; /*函数地址*/<br /> arg_type_t arg[MAX_ARG]; /*参数类型*/<br /> trampline_t *tp;<br /> probe_t *probe_list;<br /> }fuc_info_t;

初始化

利用Linux LD_PRELOAD的特性，初始化整个库。其实在linux下利用LD_PRELAOD可以直接拦截库函数的执行，这里使用这个简化实现。

void __attribute__((constructor)) lib_init() {<br /> probe_t *probe;<br /> fuc_info_t *fuc;</p> <p> printf(“init lib/n”);</p> <p> //分配trampaline，将其权限设为可执行等<br /> tp_table = mmap(NULL, MAX_TABLE_SIZE * sizeof(trampline_t), PROT_EXEC | PROT_READ | PROT_WRITE, MAP_ANONYMOUS | MAP_PRIVATE, -1, 0);</p> <p> if (tp_table == -1) {<br /> printf(“lib_init fail to map/n”);<br /> exit(1);<br /> }</p> <p> //可以提供一个接口，让用户来指导探针和原函数信息<br /> //这里简化这一步<br /> probe = &probe_table[0];<br /> probe->probe_fuc = (void *)hello;<br /> strcpy(probe->name,”hello”);<br /> probe->next = NULL;</p> <p> fuc = &info_table[0];<br /> strcpy(fuc->fuc_name,”test”);<br /> fuc->fuc_addr = 0x080483e4;<br /> fuc->probe_list = NULL;<br /> fuc->tp = &tp_table[0];</p> <p> //插入探针<br /> insert_probe(fuc, probe);<br /> }

插入探针

偏移量计算一般是目标地址 – jmp的下一条指令的地址。在计算跳回员函数偏移量时，多加6个字节。因为6个字节的代码已经被执行了，同时这样做也避免了在探针和原函数间跳来跳去的死循环。这里作为了简单保存的6字节，因为测试的是本文开始的test函数。

 static void insert_probe(fuc_info_t *fuc, probe_t *probe) {<br /> void *p;<br /> char *code;<br /> trampline_t *tp;<br /> fuc_info_t *info;</p> <p> info = fuc;<br /> tp = info->tp;</p> <p> p = PAGE_ALIGN(info->fuc_addr);</p> <p> //修改代码段权限为可写<br /> if (mprotect(p, PAGESIZE, PROT_EXEC | PROT_READ | PROT_WRITE) == -1)<br /> printf(“error change prot/n”);</p> <p> //复制入口代码<br /> memcpy(tp->code, info->fuc_addr, 6);<br /> //jmp info->fuc_addr + 6，跳往保存代码的下一条指令<br /> tp->code[6] = 0xE9; //jmp的机器码<br /> //偏移量，(info->fuc_addr + 6) – (&tp->code[6] + 5)(jmp的下一条指令)<br /> *((int *)(tp->code + 7)) = (char *)info->fuc_addr – tp->code – 5;</p> <p> code = (char*)info->fuc_addr;<br /> //jmp dispatch，跳到我们的分派函数<br /> code[0] = 0xE9;<br /> *((int *)(code + 1)) = (int)dispatch – (int)code – 5;</p> <p> //重置权限<br /> if (mprotect(p, PAGESIZE, PROT_EXEC | PROT_READ) == -1)<br /> printf(“error rechange prot/n”);</p> <p> probe->next = info->probe_list;<br /> info->probe_list = probe;<br /> }<br />

删除探针

为了简单，只回复函数入口代码

static void remove_probe(fuc_info_t *fuc) {<br /> trampline_t *tp;<br /> fuc_info_t *info;<br /> void *p;</p> <p> info = fuc;<br /> tp = info->tp;</p> <p> p = PAGE_ALIGN(info->fuc_addr);</p> <p> if (mprotect(p, PAGESIZE, PROT_EXEC | PROT_READ | PROT_WRITE) == -1)<br /> printf(“error change prot/n”);</p> <p> //恢复函数入口<br /> memcpy(info->fuc_addr, tp->code, 6);</p> <p> if (mprotect(p, PAGESIZE, PROT_EXEC | PROT_READ) == -1)<br /> printf(“error rechange prot/n”);</p> <p>}<br />

dispatch函数

用来管理整个跳转和探针函数的执行。原函数有参数的话，需要进一步处理，这里简化了这一步。

static void dispatch() {<br /> probe_t *probe;<br /> trampline_t *tp;<br /> //根据地址进行查找，这里简化了这一步<br /> fuc_info_t *info = &info_table[0];</p> <p> tp = info->tp;<br /> probe = info->probe_list;</p> <p> //处理参数，未实现</p> <p> //执行探针列表的探针函数<br /> while (probe) {<br /> ((enter)probe->probe_fuc)();<br /> probe = probe->next;<br /> }</p> <p> //执行原函数<br /> ((enter)tp->code)();</p> <p> //作为测试删除函数的插桩信息<br /> remove_probe(info);<br /> }

探针的代码

static void hello() {<br /> printf(“Hello world, I am a probe fuc!/n”);<br /> }  

fini函数：释放相应资源

void __attribute__ ((destructor)) lib_fini() {<br /> int retval;</p> <p> printf(“fini lib/n”);<br /> retval = -1;</p> <p> if (tp_table) {<br /> retval = munmap(tp_table, MAX_TABLE_SIZE * sizeof(trampline_t));<br /> if (retval == -1) {<br /> printf(“lib_fini fail to free map/n”);<br /> }<br /> }<br /> }

测试程序:test.c

#include <stdio.h></p> <p>void test() {<br /> printf(“test /n”);<br /> }</p> <p>int main()<br /> {<br /> int a,b;</p> <p> test();<br /> printf(“after remove probe/n”);<br /> test();<br /> return 0;<br /> }<br />

执行结果：

LD_PRELOAD=./libprobe.so ./test。可以看到hello函数在test之前执行了，删除探针后函数恢复正常执行。

init lib<br /> Hello world, I am a probe fuc!<br /> test<br /> after remove probe<br /> test<br /> fini lib