找回密码
 会员注册
查看: 14|回复: 0

百度App性能优化工具篇-Thor原理及实践

[复制链接]

4

主题

0

回帖

13

积分

新手上路

积分
13
发表于 2024-10-8 19:28:52 | 显示全部楼层 |阅读模式
一.?背景App开发过程中,如果遇到一些疑难问题或者性能问题(如低端机卡顿),由于没法拿到更多系统的有效信息很难有效定位。这时,Hook不失为一种好的解决方案,Hook技术是在程序运行的过程中,动态的修改代码,植入自己的代码逻辑,修改原有程序执行流程的技术。Hook技术有如下几点能力:【耗时监控】在代码前后动态插入Trace打点,统计耗时;【性能监控】IO监控、内存监控、View绘制监控、大图检测等;【安全审查】Hook敏感API(例如定位),用以安全评审;【逆向和脱壳】对病毒样本进行逆向和脱壳分析;Hook技术由来已久,目前业界Java和Native Hook都有不少优秀的开源框架,但是如果我们需要将Hook能力使用到线上,都或多或少有些问题,例如兼容性、稳定性、动态性等等。鉴于此,我们开发了一套Thor容器框架,提供标准的Hook接口,降低学习成本,同时将开源框架按照接口适配成插件动态下发按需安装,保证Hook能力的完备和轻量性,并且后续出现更加优秀以及自研的框架的可以无缝的接入和Hook能力拓展,并且不需要上层业务代码和插件进行适配,保证兼容性。二.?现状Android系统的编程语言主要分为Java和C/C++,Hook方向也主要分为Native和Java Hook两种,其中Native Hook原理也主要分为PLT / Inline Hook两大类,然后Java Hook也分为替换入口点Hook(Replace Entrypoint Hook)和类Inline Hook两大类。Native 方法执行流程大概如下:Native 方法执行过程中会先通过PLT表找到GOT表中函数全局偏移地址,然后执行其机器码指令,PLT Hook主要是指通过修改GOT中函数的全局偏移地址来达到Hook的目的,代表框架如:xHook、bHook等;Inline Hook则主要是指直接将函数执行的机器码指令进行修改和指令修复来达到Hook的目的,代表框架如:Android-Inline-Hook等。GOT(Global Offset Table):全局偏移表用于记录在 ELF 文件中所用到的共享库中符号的绝对地址。PLT(Procedure Linkage Table):过程链接表的作用是将位置无关的符号转移到绝对地址。当一个外部符号被调用时,PLT 去引用 GOT 中的其符号对应的绝对地址,然后转入并执行。Java 方法执行流程大概如下:Java 方法执行过程中会通过方法在虚拟机中对应的结构Method或ArtMethod结构体中的入口点(Entrypoint),来找到对应的字节码/机器码指令执行。替换入口点Hook(Replace Entrypoint Hook)是指替换Method/ArtMethod中的入口点来达到Hook的目的,代表框架如:Xposed、Dexposed、YAHFA等;类Inline Hook是指将入口点对应的字节码/机器码进指令进行修改和指令修复来达到Hook的目的,代表框架如:Epic等,由于安卓虚拟机的JIT/AOT机制的存在,函数执行地址可能会进行各种变化,所以通常会将字节码强行编译成机器码,然后统一通过修改机器码指令来Hook。丨2.1?常见Native Hook框架丨2.1.1 xHook框架xHook框架通过PLT Hook方案来实现的,PLT Hook是通过直接修改GOT表,使得在调用该共享库的函数时跳转到的是用户自定义的Hook功能代码。流程如下:了解PLT Hook的原理之后,知道该Hook方式有如下特点:由于修改的是GOT表中的数据,因此修改后,所有对该函数进行调用的地方就都会被Hook到。这个效果的影响范围是该PLT和GOT所处的整个so库。PLT与GOT表中仅仅包含本ELF需要调用的共享库函数项目,因此不在PLT表中的函数无法Hook到(比如非export导出函数就无法Hook到)。丨2.1.1 Andorid-Inline-Hook框架Inline Hook的原理则是直接修改函数在.text实际执行的机器码来实现Hook,不仅对所有SO生效,还能Hook非export导出函数,补齐了PLT Hook方法的不足。流程如下:但是由于你直接修改的是机器码指令,由于指令架构版本的差异以及后续要进行指令修复,容易有兼容性的问题。丨2.2?常见Java?Hook框架丨2.2.1 Dexposed框架Dexposed框架只支持Dalvik虚拟机,此虚拟机通过Method结构体中accessFlags字段来判断当前方法是字节码还是机器码。该框架通过修改accessFlags字段为ACC_NATIVE,将Java原方法注册为Native方法,调用时会先调用Native Hook方法,再反射调用Java原方法来实现Hook的目的,流程图如下所示:丨2.2.2?Epic框架Epic框架则是在Dexposed的基础上,增加了对ART虚拟机Hook的能力。由于ART虚拟机的复杂性(AOT和JIT),Java代码执行的入口可能随时都在变化,如果通过ArtMethod中的entry_point_from_quick_compiled_code_字段入口进行Hook,可能会发生不可预期的崩溃。Epic则是在 Wi?feld, Marvin 的论文ArtHook: Callee-side Method Hook Injection on the New Android Runtime ART基础上做了实现,大概思路是把entry_point_from_quick_compiled_code_指向的机器码地址(未编译的字节码也会强制编译成机器码,类似于Inline Hook)进行修改,跳转到跳板代码,然后通过跳转代码进行分发,调用Hook方法之后再调用原方法,来达到Hook的目的。流程图如下:丨2.3?常见框架对比通过分析和对比可知,开源框架存在比较典型的几个问题如下:Hook能力不完备:无法同时满足所有的Hook场景(Java Hook和Native Hook);兼容性问题:由于现有框架可能存在各种各样的稳定性问题,导致如果后续替换Hook框架,则所有的业务Hook逻辑都要修改存在兼容性问题;不支持动态Hook:只能将代码内置到主包中,没法动态下发安装实现动态Hook;没有容错机制:大部分框架都有稳定性问题且没有容灾机制,如果导致应用崩溃,会导致灾难性的后果。三.?方案选型从现有状况来看,如果同时需要Java/Native Hook的能力,那么至少需要集成两个框架,业务代码也只能在主包中编写,增加包体积。其次如果替换使用更加优秀或者自研的框架时,所有的业务代码也要跟着修改,学习和适配兼容的成本巨大。最后Hook框架导致的崩溃,因为没有动态能力和容灾机制也只能重新发布应用和铺渠道,影响用户体验。虽然每个框架都有各自的一些问题,但是要求我们从头开始开发一款同时支持Java和Native Hook的框架,没有稳定性问题并且兼容所有安卓版本、轻量且容灾的框架,重复造轮子并且ROI太低,所以我们要开发自己的一套容器框架,取长处补短板,充分利用好已有的框架来实现目标。百度App作为超级App,本身就是一个航空母舰,容器框架要在其上线至少需要达到以下几点要求:完备性:需要支持所有的Hook能力(Java和Native Hook),能够覆盖所有代码范围;兼容性:插件保证向后兼容,即使替换底层Hook框架,业务完全无感知,不需要重新学习和适配新的Hook框架;轻量动态性:体积要尽量保证轻量,这对于手百尤为重要,并且支持通过云控下发的方式动态安装运行;容灾性:发生连续启动崩溃时可以自关闭恢复,不会持续影响线上用户。四.?Thor揭秘为了满足上述要求,我们开发了Thor容器框架,提供标准的Hook接口,包含Java和Native Hook接口,业务方不需要关心底层实现逻辑(如同虚拟文件系统VFS),只需要了解如何使用这些接口即可,极大的降低学习接入成本。同时将稳定的开源框架按照接口适配成插件,将这些Hook能力进行抽象,按需动态的安装加载,保证Hook能力的完备性和轻量性。并且后续出现更加优秀以及自研的框架的可以无缝的接入,对上层也是无感知的,不需要上层业务代码和插件进行适配,很好的保证了兼容性。丨4.1?Thor整体结构丨4.1.1 Thor架构图支撑业务:支撑了低端机、隐私合规、OOM和流水线等多个业务;Thor抽象层:主要包含Java / Native Hook和Thor Module的业务模块等抽象层接口;应用层插件:包含了SP、IO、线程、内存等基础插件或者业务相关插件,其适配实现了Thor Module的业务模块接口;实现层插件:Epic(Java Hook)、xHook(PLT Hook)、Android-Inline-Hook(Inline Hook)或者自研等插件,其适配实现了Java / Native Hook接口;Thor框架插件模块:支持自主开发插件,支持插件热插拔,可以通过内置或云控动态下发,即时生效;维护和调度插件的生命周期;沙盒模块:支持在沙盒进程安装插件,不影响主进程,重启生效;校验模块:支持对插件进行安全校验,保证插件来源安全性;插件管理界面:支持对已有插件动态安装和卸载的控制管理界面。Thor实现层插件和Thor应用层插件都是apk的形式存在,但是也可以以组件源码的形式集成打包到宿主中。丨4.2?Thor核心优势丨4.2.1?易用性Thor只开发抽象层接口,底层实现对业务是不可见的,不需要反复学习,这样最大程度的保证了易用性。Java/Native Hook都提供了标准的接口供业务方使用,接口如下:Java Hook接口(Thor提供Java Hook能力的接口)public interface IHookEntity { ...... /** * Hook指定的方法 *?????*?@param?hookedMethod 待Hook的方法Method对象 * @param hookCallback Hook回调{@link IHookCallback} */ void hookMethod(Member hookedMethod, IHookCallback hookCallback); ......}如果是Java Hook使用方只需要直接使用该接口的能力即可;如果是能力提供方,则需要将Java Hook能力注入到Thor抽象层的Java Hook接口实现中。Native Hook接口(Thor提供Native Hook能力的接口,包含PLT Hook和Inline Hook)struct thor_abstract { // 函数定义:PLT Hook实现框架的函数指针 // lib_name 被Hook的so库的名称 // symbol 被Hook的函数名 // hook_func Hook方法 // backup_func 原方法备份(函数指针) int (*thor_plt_hook)(const char *lib_name, const char *symbol, void *hook_func, void **backup_func); // 函数定义:Inline Hook实现框架的函数指针 // target_func 原方法 // hook_func Hook方法 // backup_func 原方法备份(函数指针) int (*thor_inline_hook)(void *target_func, void *hook_func, void **backup_func); // PLT Hook二期(新增接口,支持批量plt hook) struct thor_plt_ext *plt_ext;};如果是Nava Hook使用方只需要直接使用该接口的能力即可;如果是能力提供方,则需要将Nava Hook能力注入到Thor抽象层的Native Hook接口实现中。Thor Module接口(Thor提供的业务模块接口)public abstract class ThorModule implements IThorModule { /** * 调度插件的加载生命周期 */ public abstract void handleLoadModule(); /** * 宿主通知和更新插件配置信息生命周期 */ public void onPluginFuncControl(PluginFuncInfo pluginFuncInfo) { }}主要提供给业务模块使用,如果需要使用Hook能力,直接在handleLoadModule子类实现中调用Thor的各个Hook能力即可(不是必须使用的,Thor作为容器框架只是额外提供了Hook的能力而已)。丨4.2.2 完备性该框架同时支持Java / Native Hook的能力,具有完备的Hook能力。上小节讲解了提供给业务方的Java/Native Hook和 Thor Module业务模块等抽象层接口,底层实现则根据接口进行适配之后,通过静态代码依赖注入或动态模块加载注入到抽象层实现中,这样Thor就具备了完备的Hook能力。Thor的 Java Hook 能力(类Xposed API)Hook Handler#dispatchMessage方法,代码如下:ThorHook.findAndHookMethod(Handler.class, "dispatchMessage", new IHookCallback() { @Override public void beforeHookedMethod(IHookParam param) { Message msg = (Message) param.getArguments()[0]; Log.d(TAG, ">>>>>>>>>>>dispatchMessage: " + msg); } @Override public void afterHookedMethod(IHookParam param) { Log.d(TAG, "<<<<<<<<<<<
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 会员注册

本版积分规则

QQ|手机版|心飞设计-版权所有:微度网络信息技术服务中心 ( 鲁ICP备17032091号-12 )|网站地图

GMT+8, 2025-1-9 05:53 , Processed in 0.466154 second(s), 26 queries .

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表