【USparkle專欄】如果你深懷絕技,愛“搞點研究”,樂於分享也博採眾長,我們期待你的加入,讓智慧的火花碰撞交織,讓知識的傳遞生生不息!
一、前言
一直以來性能優化的工作,非常依賴於工具,從結果反推過程,採集產品運行時信息,反推生產環節中的問題,性能問題的定位其實就是在做各種逆向。
不同的工具有不同的檢測面,一般會按照由粗及細的順序使用,直到找到問題的答案。
- 粗粒度的工具,可大致定位到問題是出在哪個硬件上,比如發熱問題,可能的負載點在於CPU、GPU、其它硬件(屏幕、傳感器、網絡),一般應該是系統級的工具,常用的有Perfetto、Xcode、GamePerf、PerfDog。
- 細粒度的工具,檢測面較窄,但能提供更深入的信息,比如:定位到是CPU的問題時,可使用Unity Profiler、Simpleperf看問題堆棧;當定位到是GPU的問題時,則使用RenderDoc、SnapdragonProfiler、Arm Graphics Analyzer截幀。
打個比喻,粗粒度的工具好比地鐵,能帶你到大致的區域範圍,更細粒度的工具幫你解決最後一公里路,在實際情況中,“打通”一公里的問題往往是卡點,通用性質的工具可能滿足不了需求,常常做一些定製化的東西,通過一定積累,形成強大的工具鏈以應對各種突發問題,本文主要對於這些底層的技術棧做一些總結。
二、動態庫注入
Android系統的數據基本都能通過讀各種文件實現(統計線程,讀取CPU利用率/頻率),但有嚴格的權限限制,非root環境下,只能讀取自己進程相關的文件、內存信息。
我們注入到目標進程的動態庫,就好像我們派出的“間諜”一樣,利用目標進程的身份執行我們自己的代碼。
使用JDWP Shellifier是最常用的方式,我們用C++在NDK環境下編寫一個動態庫so文件,這個腳本利用Java調試服務加載我們自己的庫。這也是RenderDoc、LoliProfiler、Matrix用的方式,需要應用Debug權限,或者root開全局調試,或者使用APKTool,解包修改AndroidManifest文件的Debug權限。
https://github.com/IOActive/jdwp-shellifier
這個腳本用Python封裝了注入過程,在onCreate函數觸發時,加載我們的庫。
jdwp_start("127.0.0.1", 500, "android.app.Activity.onCreate", None, libname)控制枱輸出顯示注入成功:
當動態庫注入成功時,C++側入口函數JNI_OnLoad會被執行,我們就可以幹自己想幹的事情了,這只是打開大門的第一步。
JNIEXPORT jint JNICALL JNI_OnLoad(JavaVM *vm, void *reserved)
{
(void)reserved;
LOGI("JNI_OnLoad");
JNIEnv *env;
LOGI("------------------ 4000 : %d", (int)JNI_VERSION_1_6);
if (vm->GetEnv((void **)&env, JNI_VERSION_1_6) != JNI_OK)
{
LOGI("JNI version not supported");
return JNI_ERR; // JNI version not supported.
}
else
{
LOGI("JNI init complete");
}
}下一步介紹Hook技術,俗稱鈎子,能對特定函數劫持,兩種常見Hook手段為PLT Hook、Inline Hook。
三、PLT Hook
先大概講一下程序調用動態鏈接庫中函數的流程,以libunity.so中調用libc.so的Open函數為例子:會先訪問PLT(Procedure Linkage Table),第一次訪問它會使用動態連接器查找libc.so中Open函數的地址,然後地址保存到GOT(Global Offset Table)地址表,之後的調用就直接查GOT表了,如下:
所謂的PLT Hook就是在這個過程做文章、鑽空子,比如xHook就是修改GOT表的函數地址為我們的自定義函數實現攔截,xHook是一個常用的庫,較多運用於各種工具底層實現,我們可以直接使用它,同時它也是開源的,我們可以參考它裏面的很多代碼。
https://github.com/iqiyi/xHookgithub.com/iqiyi/xHook
PLT Hook比較適合去Hook一些公用庫的調用,不管上層怎麼變,IO的行為最終落地到對Open、Close、Read、Wirte的調用,實際項目中主要用於IO、內存分配、線程、網絡等行為的監控,但它的侷限性在於不能Hook內部函數,比如引擎內部的函數調用。
四、實戰:打印引擎啓動時的IO調用
隨便創建一個空的Demo,打包APK,將下面C++代碼通過NDK編譯成動態庫後,使用JDWP注入運行。
這裏在JNI_OnLoad函數創建一個新的線程,延遲3秒後再執行Hook的動作,是因為時機太早libunity.so未加載會導致失敗(據説xHook的作者後續開發了一個新的庫叫bHook,改進了這一點)。
#include <jni.h>
#include <dlfcn.h>
#include "xhook/xhook.h"
#include <thread>
#include <unistd.h>
#include <fcntl.h>
#include <android/log.h>
int MyOpen(const char *pathname, int flags, mode_t mode)
{
int ret = open(pathname, flags, mode);
__android_log_print(ANDROID_LOG_INFO, "TestHook", "unity open %s %d", pathname, ret);
return ret;
}
void TestHook()
{
// 延遲3秒,等待Unity加載完成
std::this_thread::sleep_for(std::chrono::seconds(3));
// 對Open函數Hook註冊
xhook_register("libunity.so", "open", (void *)MyOpen, nullptr);
// 執行Hook
xhook_refresh(0);
}
JNIEXPORT jint JNICALL JNI_OnLoad(JavaVM *vm, void *reserved)
{
JNIEnv *env;
if (vm->GetEnv((void **)&env, JNI_VERSION_1_6) != JNI_OK)
{
return JNI_ERR; // JNI version not supported.
}
std::thread(TestHook).detach();
return JNI_VERSION_1_6;
}這樣我們可以觀察到Unity啓動時加載的一些東西:
正在加載obb文件:
正在加載il2cpp.so:
五、Inline Hook
前面提到,PLT Hook不能Hook到庫內部的函數調用,這個時候就應該輪到Inline Hook出場,它是通過對目標函數地址插入跳轉指令實現,理論上可以Hook住任意內部函數,功能更為強大,由於涉及到在不同CPU架構上的運行狀態機器碼修改,看起來很複雜,其實一點也不簡單,雖兼容性不如PLT Hook,不推薦在生產環境使用,但作為測試環境中的性能工具還是很強的。
ShadowHook是我常用的庫,可以將它的C++源碼下載下來,和自己庫一起編譯。
https://github.com/bytedance/android-inline-hook
如果Hook的目標庫是帶符號表的,可以通過函數名hook,像這樣:
stub = shadowhook_hook_sym_name(
"libart.so",
"_ZN3art9ArtMethod6InvokeEPNS_6ThreadEPjjPNS_6JValueEPKc",
(void *)proxy,
(void **)&orig);但是我們常見的libunity.so、libil2cpp.so的符號表是分離的,可以嘗試用llvm-objcopy合併回去,這裏更推薦另一種做法,ShadowHook也可以直接通過函數地址進行Hook:
void *shadowhook_hook_func_addr(
void *func_addr,
void *new_addr,
void **orig_addr);這裏的func_addr函數地址是絕對地址,為動態庫基地址、函數偏移地址之和,找到這兩個地址加起來就行。
動態庫基地址每次進程啓動都不一樣,需要我們在程序中動態獲取,可以通過dl_iterate_phdr(Android 5.0以上)獲取,也可以讀/proc/self/maps實現(Android 4.0版本以上),之前介紹的xHook有源碼可以抄一下。
/proc/self/maps能查詢到動態庫基地址:
而函數的偏移地址可以使用NDK下llvm-readelf -s指令,讀取符號表獲取到:
readelf讀取出的引擎內部函數地址:
接下來,對函數Hook後,需要對參數進行內存分析提取裏面的有用信息,如果有源碼,就是開卷考試,按照其內存佈局定義出來;沒源碼,我們也可以通過一些技巧把信息提取出來,下面以實戰説明一下。
六、實戰:統計引擎內部調用
我曾經在《使用Simpleperf+Timeline診斷遊戲卡頓》[1]這一篇文章中提到過,一些常見的卡頓歸因,能通過Simpleperf識別,但我們只知道觸發堆棧,今天我們更進一步。
這裏以AddComponent函數為例,做一個Demo,然後嘗試使用Hook把觸發的GameObject、組件名字都打印出來,C# 測試代碼如下:
// New Game Object節點添加一些Unity內置組件
var go = newGameObject();
go.AddComponent<MeshFilter>();
go.AddComponent<MeshRenderer>();
go.AddComponent<MeshCollider>();
// 相機節點添加一個自定義腳本組件
gameObjet.AddComponent<TestCom>();通過Simpleperf鎖定我們的目標函數為AddComponent(GameObject&, Unity::Type const*, ScriptingClassPtr, core::basic_string<char, core::StringStorageDefault<char> >*)
Simpleperf-Timeline查看命中的native函數:
接下來通過llvm-readelf -s指令,查詢函數在符號表中的位置,名字稍微和Simpleperf中的顯示形式有點區別,但是我們還是能認出它,它的地址就是0x5126a4。
搜索符號表內AddComponent函數地址:
接下來,我們需要在代理函數裏面,對函數參數做一些解析,從函數簽名可以看到,參數有4個:void *go、void *unitytype、void *scriptclassptr和void *error。
我們的目標是獲取節點名和組件名,解析前3個就行,主要有兩種方案:
- 在符號表裏多收集一些工具函數地址,比如獲取GameObject名字的方法0x435010,這個方法傳入GameObject對象指針作為參數,返回名字字符串,所以可以把這個函數地址存起來,直接調用,我管這叫“他山之石,可以攻玉”。
獲取GameObject名字的方法地址能輕易搜索到:
- 針對另外兩個參數,可以將結構直接定義出來使用,比如ScriptClass前兩個參數是指針,第三個就是C字符串。這些工作,在有相關源碼的情況下會容易很多,如果沒有的話,只能通過LLDB無源碼動態調試之類的手段來獲取其內存佈局,會涉及到一些二進制分析手段、工具。
有了這些準備工作,就可以開始編碼了:
#include <jni.h>
#include <dlfcn.h>
#include "shadowhook.h"
#include <thread>
#include <unistd.h>
#include <fcntl.h>
#include <android/log.h>
#include <link.h>
classScriptclass
{
public:
void *placeholder1;
void *placeholder2;
constchar *name;
};
classUnityType
{
public:
void *placeholder1;
void *placeholder2;
constchar *name;
};
uintptr_t baseaddr = 0;
int callback(struct dl_phdr_info *info, size_t size, void *data)
{
constchar *target = (constchar *)data;
// Check if the current shared library is the target library
if (strstr(info->dlpi_name, target))
{
__android_log_print(ANDROID_LOG_INFO, "TestHook", "Base address of %s: 0x%lx\n", target, (unsigned long)info->dlpi_addr);
baseaddr = info->dlpi_addr;
return1; // Return 1 to stop further iteration
}
return0; // Continue iteration
}
void *old_AddComponent = nullptr;
typedef void *(*AddComponentFunc)(void *go, void *unitytype, void *scriptclassptr, void *error);
typedef constchar*(*GameObjectGetNameFunc)(void *ptr);
void *MyAddComponent(void *go, void *unitytype, void *scriptclassptr, void *error)
{
constchar *goName = nullptr;
constchar *typeName = nullptr;
if(go != nullptr)
{
// 計算GameObjectGetName的地址
uintptr_t addr = baseaddr + 0x435010;
// 調用GameObjectGetName獲取名稱
GameObjectGetNameFunc func = (GameObjectGetNameFunc)(addr);
goName = func(go);
}
if (scriptclassptr != nullptr)
{
Scriptclass *t = (Scriptclass *)scriptclassptr;
typeName = t->name;
}
elseif (unitytype != nullptr)
{
UnityType *t = (UnityType *)unitytype;
typeName = t->name;
}
if(goName == nullptr)
goName = "null";
if(typeName == nullptr)
typeName = "null";
__android_log_print(ANDROID_LOG_INFO, "TestHook", "UnityAddComponent: %s %s\n", goName, typeName);
return ((AddComponentFunc)old_AddComponent)(go, unitytype, scriptclassptr, error);
}
void TestHook()
{
// 延遲3秒,等待Unity加載完成
std::this_thread::sleep_for(std::chrono::seconds(3));
// 查詢libunity的基地址
constchar *library_name = "libunity.so";
dl_iterate_phdr(callback, (void *)library_name);
// 計算AddComponent的函數地址
uintptr_t addr = baseaddr + 0x5126a4;
// 執行Hook並保存原函數地址到old_AddComponent
void *stub = shadowhook_hook_func_addr((void *)addr, (void *)MyAddComponent, (void **)&old_AddComponent);
if (stub == nullptr)
{
int err_num = shadowhook_get_errno();
constchar *err_msg = shadowhook_to_errmsg(err_num);
__android_log_print(ANDROID_LOG_INFO, "TestHook", "hook error %d - %s\n", err_num, err_msg);
}
else
{
__android_log_print(ANDROID_LOG_INFO, "TestHook", "hook success\n");
}
}
JNIEXPORT jint JNICALL JNI_OnLoad(JavaVM *vm, void *reserved)
{
JNIEnv *env;
if (vm->GetEnv((void **)&env, JNI_VERSION_1_6) != JNI_OK)
{
return JNI_ERR; // JNI version not supported.
}
// 初始化Shadowhook
int ret = shadowhook_init(SHADOWHOOK_MODE_UNIQUE, true);
if (ret != 0)
{
constchar *err_msg = shadowhook_to_errmsg(shadowhook_get_init_errno());
__android_log_print(ANDROID_LOG_INFO, "TestHook", "init error %d - %s\n", shadowhook_get_init_errno(), err_msg);
}
else
{
__android_log_print(ANDROID_LOG_INFO, "TestHook", "init success\n");
}
std::thread(TestHook).detach();
return JNI_VERSION_1_6;
}和前面PLT Hook的例子一樣,使用JDWP注入執行,最終可以輸出Demo中調用AddComponet的參數詳情,利用這些信息,接下來就可以做很多事情了,我們現在可以幾乎Hook任意函數!
控制枱最終能正常輸出節點、組件名:
七、棧回溯
在棧上每個函數都有自己的儲存空間,被稱之為棧幀(Frame),上面保存了部分參數、局部變量。當調用其它函數時,會將這個函數返回後的下一行指令地址也保存在棧幀,棧回溯就是分析這些棧上面函數地址,還原函數運行軌跡的過程。
函數A調用函數B,0x40056a是函數B結束後返回的地址:
棧回溯經常和Hook一起配合,當Hook住某個函數後,輸出它的調用棧,能更進一步分析問題歸因,如果對性能要求不高,可以直接使用libunwind庫,它在不需要開-fno-omit-frame-pointer編譯選項、dwarf調試信息的情況下,也能輸出函數地址,然後我們通過符號表將函數名解析出來。
#include <unwind.h>
#include <android/log.h>
// 棧回溯上下文結構
struct BacktraceState
{
void **current;
void **end;
};
static _Unwind_Reason_Code UnwindCallback(struct _Unwind_Context *context, void *arg)
{
BacktraceState *state = static_cast<BacktraceState *>(arg);
uintptr_t pc = _Unwind_GetIP(context);
if (pc)
{
if (state->current == state->end)
{
return _URC_END_OF_STACK;
}
else
{
*state->current++ = reinterpret_cast<void *>(pc);
}
}
return _URC_NO_REASON;
}
size_t CaptureBacktrace(void **buffer, size_t max)
{
BacktraceState state = {buffer, buffer + max};
_Unwind_Backtrace(UnwindCallback, &state);
return state.current - buffer;
}
void DumpBacktrace(std::ostream &os, void **buffer, size_t count)
{
for (size_t idx = 0; idx < count; ++idx)
{
constvoid *addr = buffer[idx];
constchar *symbol = "";
Dl_info info;
if (dladdr(addr, &info) && info.dli_sname)
{
symbol = info.dli_sname;
}
// 這裏將函數的絕對地址轉換為相對地址
uintptr_t relative = (uintptr_t)addr - (uintptr_t)info.dli_fbase;
os << " #" << std::setw(2) << idx << ": " << info.dli_fname << " " << (void *)relative << "\n";
}
}
// 經封裝後的打印函數
void PrintStacktrace(const size_t count)
{
void* buffer[count];
std::ostringstream oss;
DumpBacktrace(oss, buffer, CaptureBacktrace(buffer, count));
__android_log_print(ANDROID_LOG_INFO, "TestHook", oss.str().c_str());
}棧回溯的步驟雖然看起來繁瑣,但只要經過封裝後,使用起來其實和在C# 裏面一樣方便,下一步我們來試一下。
八、實戰:為IO調用加入棧統計
沿用之前的PLT Hook的例子,這次我們將調用堆棧打印出來:
調用封裝好的PrintStacktrace:
現在打印日誌裏多了調用棧函數地址:
使用NDK目錄下的addr2line.exe對這些地址進行解析,最終得到我們想要的結果。
LocalFileSystemPosix::Open(FileEntryData&, FilePermission, FileAutoBehavior)
zip::CentralDirectory::Enumerate(bool (*)(FileSystemEntry const&, FileAccessor&, char const*, zip::CDFD const&, void*), void*)
VerifyAndMountObb(char const*)
MountObbs()
UnityPause(int)
UnityPlayerLoop()
nativeRender(_JNIEnv*, _jobject*)九、結語
本文從以性能優化分析目的入手,介紹了常用的逆向分析手段 —— 注入、Hook、堆棧回溯,這裏只是淺顯地聊了一下運用場景,事實上每一個坑都能挖到很深,比如注入與反注入,如何對競品進行注入,Hook的相關調試方法、內存分析、更高性能的棧回溯、聚合顯示(火焰圖)等等。
之所以總結此文,是因為我在近期的工作中感覺到,瞭解一點逆向分析的知識,對性能優化、程序調試方面很有好處,也不侷限於遊戲開發領域,技多不壓身。
參考
[1] 使用Simpleperf+Timeline診斷遊戲卡頓
https://zhuanlan.zhihu.com/p/666443120
這是侑虎科技第1878篇文章,感謝作者其樂陶陶供稿。歡迎轉發分享,未經作者授權請勿轉載。如果您有任何獨到的見解或者發現也歡迎聯繫我們,一起探討。(QQ羣:793972859)
作者主頁:https://www.zhihu.com/people/jun-yan-76-80
再次感謝其樂陶陶的分享,如果您有任何獨到的見解或者發現也歡迎聯繫我們,一起探討。(QQ羣:793972859)
