背景

我們在android超級優化-線程監控與線程統一可以知道，我們能夠通過asm插樁的方式，進行了線程的監控與線程的統一，通過一系列的黑科技，我們能夠將項目中的線程控制在一個非常可觀的水平，但是這個只局限在java層線程的控制，如果我們項目中存在著native庫，或者存在著很多其他so庫，那么native層的線程我們就沒辦法通過ASM或者其他字節碼手段去監控了，但是并不是就沒有辦法，還有一個黑科技，就是我們的PIL Hook，目前行業上比較出名的就是xhook，和bhook了。

native 線程創建

了解PLT Hook之前，我們先了解一下native層常用的創建線程的手段，沒錯，就是pthread

int pthread_create(pthread_t* __pthread_ptr, pthread_attr_t const* __attr, void* (*__start_routine)(void*), void*);

• __pthread_ptr：pthread_t類型的參數，成功時tidp指向的內容被設置為新創建線程的pthread_t
• __attr 線程的屬性
• __start_routine 執行函數，新創建線程從此函數開始運行
• __start_routine中 需要運行的入參，如果__start_routine不需要入參，則該值為null

接下里我們用這個例子去說明，我們在MainActivity中設定了一個名叫threadCreate的jni調用，開啟一個新線程，在新線程里面打印一些傳遞的數據。

libtest.so中的代碼
/* 聲明結構體 */
struct member {
    int num;
    char *name;
};
/* 定義線程pthread */
static void *pthread(void *arg) {
    struct member *temp;
    /* 線程pthread開始運行 */
    printf("pthread start!\n");
    /* 打印傳入參數 */
    temp = (struct member *) arg;
    printf("member->num:%d\n", temp->num);
    printf("member->name:%s\n", temp->name);
    return NULL;
}
extern "C"
JNIEXPORT void JNICALL
Java_com_example_signal_MainActivity_threadCreate(JNIEnv *env, jobject thiz) {
    pthread_t tidp;
    struct member *b;
    /* 為結構體變量b賦值 */
    b = (struct member *) malloc(sizeof(struct member));
    b->num = 10086;
    b->name = "pika";
    /* 創建線程pthread */
    if ((pthread_create(&tidp, NULL, pthread, (void *) b)) == -1) {
        printf("create error!\n");
    }
}

通過jni方式調用的pthread，我們就沒辦法用常規手段去監控了。所以我們才需要plt hook的方式

PLT

介紹plt hook之前，我們還是有必要了解一些前置的知識。在linux中，會存在很多地址無關的代碼。在我們的編寫模塊中，其實會遇到很多共享對象地址沖突的問題，如果相互依賴的對象是以絕對地址的方式存在的話，那么運行的時候就會發生地址沖突，比如進程A里面兩個方法都被定位到了同一個地址，所以才有了地址無關的代碼。

地址無關的代碼大多數采用運行時基地址+編譯時定向偏移，其中基地址可以在運行時確定，但是某個符號的運行時地址相對于基地址來說，就可以是一個確定的偏移數值。通過這種方式，函數可以在被需要的時候再進行綁定地址即可，在編譯時只需要記錄偏移就可以保證后期的運行尋址的正常。這個保存偏移地址的東西，就叫做GOT表（全局偏移表），當代碼需要引用到這個符號的時候，就可以通過GOT表間接定位到真正的地址，動態鏈接器（linker）執行重定位（relocate）操作時，這里會被填入真實的外部調用的絕對地址。

通過這一種方式，linux已經能在符號地址綁定這塊得到了較好的性能，但是GOT表的生成也是鏈接過程的一個消耗，所以linux又提供了一種叫延遲綁定的手段，只有在函數真正用到的時候，才進行函數的地址定位。我們來了解一下步驟：

當我們進行鏈接的時候，鏈接器不進行函數符號的尋址，而是通過一條push指令作為替代品（消耗非常小），push指令的入參可以是rel.plt等重定位表相關的下標，在運行時才進行真正的函數地址尋址。

但是！！在我們Android體系中，目前只有 MIPS 架構支持 lazy binding，所以目前在android，對plt表的內容定位就不在運行時進行，而是直接在鏈接時確定，未來會不會更多支持延遲綁定呢，還不確定，所以這個我們作為了解即可。

PLT Hook

我們從上面調用可以看到，plt表的調用原理，所以我們的hook點也很明確，如果我們想要fun1-> fun2 變成 fun1 -> fun 3的話（fun2 跟 fun3 必須是外部函數，如果不是外部函數就不會生成plt表進行跳轉，因為是本模塊就不需要借助plt表，直接生成地址無關代碼偏移即可）

以上面的例子出發，我們需要對libtest中的pthread_create進行hook，從而采集pthread_create的數據，因為我們實現plthook需要以下幾步。

定位出pthread_create的相對偏移（上面說過函數的真實地址是基地址+相對偏移），那么這個偏移在哪呢？我們從上面流程圖可以看到，偏移就在.rel.plt中（并不是所有偏移都在這里，重定位信息可以分布在.rel.plt,?.rela.plt,?.rel.dyn,?.rela.dyn,?.rel.android,?.rela.android等多個表中，但是一般的外部調用不需要經過全局函數跳轉都在.rel.plt表中），我們可以通過readif -r libtest.so去查看

就這樣我們找到了偏移地址 0x23f8

2.找到基地址，從前面我們可以知道，基地址是運行時決定的，我們可以在運行時檢索/proc/self/maps文件，在里面找到libtest.so的匹配項即可

格式如下

so的范圍地址 權限 基地址（重點關注） ?dev inode so名稱

3.通過基地址+偏移，我們得到了跳轉目標函數的地址，這個時候只需要把這個地址指向的函數更改為我們自定義函數即可，地址的概念，p->自定義函數

4.雖然我們實現了函數替換，但是這個被替換的函數地址可能會缺少相關的讀寫權限，導致出現讀取該地址的時候發生讀寫異常，我們可以通過

int mprotect(void* __addr, size_t __size, int __prot);

進行讀寫權限的添加，addr就是當前的地址，size就是大小，我們以當前頁大小執行即可（被修改權限的地址[addr, addr+len-1]），prot當前權限枚舉

5.由于存在緩存指令的影響，我們需要消除這部分可能已經被緩存的指令，可以通過已提供的

void __builtin___clear_cache (char *begin, char *end);

去清除指令緩存，以頁為單位。一個地址所處的頁與結束時的頁可以通過以下代碼換算

#define PAGE_START(addr) ((addr) & PAGE_MASK)
#define PAGE_END(addr)   (PAGE_START(addr) + PAGE_SIZE)

其中PAGE_SIZE 由宏定義，這里為
#define PAGE_SIZE 4096

通過以上步驟，我們就能夠實現了我們對pthread的hook，這里給出完整的實現

bool isHook = true;
int my_pthread_create(pthread_t* __pthread_ptr, pthread_attr_t const* __attr, void* (*__start_routine)(void*), void* p1)
{
    if(isHook){
        isHook = false;
        __android_log_print(ANDROID_LOG_INFO, "hello", "%s","pthread hook power by pika");
        return pthread_create(__pthread_ptr,__attr,__start_routine,p1);
    } else{
        return 0;
    }
}
#define PAGE_START(addr) ((addr) & PAGE_MASK)
#define PAGE_END(addr)   (PAGE_START(addr) + PAGE_SIZE)
void hook()
{
    char       line[512];
    FILE      *fp;
    uintptr_t  base_addr = 0;
    uintptr_t  addr;
    //尋找基地址
    if(NULL == (fp = fopen("/proc/self/maps", "r"))) return;
    while(fgets(line, sizeof(line), fp))
    {
        if(NULL != strstr(line, "libtest.so") &&
           sscanf(line, "%" PRIxPTR"-%*lx %*4s 00000000", &base_addr) == 1)
            break;
    }
    fclose(fp);
    __android_log_print(ANDROID_LOG_INFO, "hello", "%u", base_addr);
    if(0 == base_addr) return;
    //得到真實的函數地址 可由readif -r 看到
    addr = base_addr + 0x23f8;
    // 添加讀寫權限
    mprotect((void *)PAGE_START(addr), PAGE_SIZE, PROT_READ | PROT_WRITE);
    // 替換為函數地址
    *(void **)addr = (unsigned*)&my_pthread_create;
    // 清除緩存
    __builtin___clear_cache(static_cast<char *>((void *) PAGE_START(addr)),
                            static_cast<char *>((void *) PAGE_END(addr)));
}

調用hook()后，libtest中pthread_create 就會被轉化為my_pthread_create的調用,這樣我們就實現了一次plt hook！

xhook bhook

上面我們hook的偏移都是基于通過readif看到的偏移地址，但是實際上這個地址都用readif可能會非常不方便，而且我們也只是檢索了rel.plt表，實際上會存在多個復雜的跳轉現象時，就需要檢索所有的重定位表。但是沒關系，這些xhook bhook都幫我們做了，只需要調用封裝好的方法即可，我們這里就不結束api了，感興趣讀者可自行觀看readme

plt hook總結

最后我們來總結一下plt hook相關優缺點