如何解决如何检测当前进程中动态库的卸载?
在 Windows 上,我们可以通过 LdrDllNotification 注册一个回调函数,这样当任何 DLL 即将被卸载时,我们可以有机会收集一些关于该 DLL 的有用信息,包括它的地址、大小、等
我对类 UNIX 平台(包括 Linux、macOS、iOS、Android 等)的了解不够。我如何在这些平台上做同样的事情?
解决方法
在 Linux 上,库由 dynamic loader 加载和卸载。加载通常在加载器本身需要时自动完成,但也可以使用库函数 dlopen()
手动完成。卸载通过 dlclose()
手动完成或在程序退出时自动完成。这并非普遍适用于所有 Unix 系统,而仅适用于符合 POSIX 标准的系统。
不幸的是,由于(不像在 Windows 中)加载和卸载库的工作是由动态加载器(它只是一个用户空间库)执行的,内核不知道发生了什么并且不提供任何机制检测动态库的加载或卸载。更不幸的是,加载器本身也没有提供任何这样的机制。事实上,除了使用指标或类似的东西之外,此类功能可能几乎没有用处。
在 Linux 中,您通常甚至不会在运行时卸载库,除非我们讨论的是一个非常复杂的软件,它需要在运行时限制其内存占用。加载器在启动时需要时(或在调用第一个需要的库函数时)加载库,然后它们像任何其他内存一样留给内核在程序终止时清理。
据我所知,在 Linux 上检测动态库卸载的“最佳”方法是:
-
持续观察
/proc/self/maps
解析加载的库列表。 -
在调试器(如
gdb
)下运行程序,可以使用 Python 编写脚本/自动化。
与其他操作系统一样... Android 是基于 Linux 的,尽管它具有额外的安全功能,并且应用程序是沙盒化的,除非您将设备设为 root 或使用调试外壳,否则您不能“运行”其他应用程序与它们挂钩自定义 dlclose()
甚至调试器。我不能对 iOS 说太多,但我怀疑考虑到应用程序(也是沙盒)的非常有限的能力,实现这样的功能甚至不是一个远程选项。 AFAIK macOS 还支持 dlopen()
/dlclose()
手动加载/卸载库,但是链接器与 Linux 上常用的链接器不同(上面链接)所以我不能说太多关于自动加载/卸载行为。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。