当前位置：首页 > news >正文

frida 通过 loadLibrary0 跟踪 System.loadLibrary

news 2025/6/30 0:22:42

static {System.loadLibrary("libxxx.so");
}

在 ndk 开发中，常见的实践是在 static 代码块里调用 loadLibrary 加载动态库。由于 apk 从 java 层开始启动，过早地 hook 原生代码会找不到函数。所以一种常见做法是在 loadLibrary 的 hook 回调里附加 Interceptor。

然而，System.loadLibrary 是一个 callerSensitive 的方法，其内部利用反射机制，从 JVM 的调用栈 callStack 获取 caller 的类。如果直接用 frida hook loadLibrary 会使用 system 的 classLoader，只查找 /system/lib 和 /system/vendor/lib 的依赖。

需要再往里跟踪一层函数调用。AOSP 实现 loadLibrary 的代码在 libcore/ojluni/src/main/java/java/lang/System.java，该实现调用了 Runtime 的 loadLibrary0 函数，后者不是 callerSensitive 的，frida 可以 hook。

    @CallerSensitivepublic static void loadLibrary(String libname) {Runtime.getRuntime().loadLibrary0(Reflection.getCallerClass(), libname);}// Runtime.javavoid loadLibrary0(Class<?> fromClass, String libname) {...

loadLibrary0 是一个泛型函数，这个 Class 不知道为啥会擦除成 ClassLoader。所以实际上是不需要 overload 规定重载的。我试了下能用，网上见过继续跟踪两次调用，hook nativeLoad 函数的做法（jamie793）。

但是我是真搞不懂为啥泛型擦除成 classLoader……不管是 java 还是 android，static 代码块的调用栈都没有 classloader。安卓的调用栈如下

dalvik.system.VMStack
java.lang.Thread
com.example.illintentions.MainActivity <----
java.lang.Class
android.app.AppComponentFactory
androidx.core.app.CoreComponentFactory
android.app.Instrumentation
android.app.ActivityThread
android.app.ActivityThread
android.app.servertransaction.LaunchActivityItem
android.app.servertransaction.TransactionExecutor
android.app.servertransaction.TransactionExecutor
android.app.ActivityThread$H
android.os.Handler
android.os.Looper
android.app.ActivityThread
java.lang.reflect.Method
com.android.internal.os.RuntimeInit$MethodAndArgsCaller
com.android.internal.os.ZygoteInit

查看全文

http://www.lryc.cn/news/532315.html