Linux下库打桩机制分析 function Interposition

[时间：2017-08] [状态：Open]
[关键词：linux, libray,打桩，interposition，函数替换，链接器，gcc，malloc，free]

0 引言

本文主要参考《深入理解计算机系统》（原书第三版）ch7.13。作为个人知识整理和后续参考使用。

库打桩（interposition）这个名词比较陌生，这是由Linux链接器所提供的技术，允许用户截获对共享库函数的调用，并执行自己的代码（当然是在普通权限下，管理员权限通常是禁止使用该技术的）。
使用打桩机制，可以追踪某个特殊库函数的调用次数、验证并追踪其输入输出，甚至把它替换成一个完全不同的实现。

2 基本原理

打桩机制的基本实现原理如下：
给定需要打桩的目标函数，常见一个wrapper函数，其原型和目标函数一致。
利用特殊的打桩机制，可以实现让系统调用你的wrapper函数而不是目标函数。
wrapper函数中通常会执行自己的逻辑，然后调用目标函数，再将目标函数的返回值传递给调用者。

打桩可以发生在编译时、链接时或者程序被加载执行的运行时。不同的阶段都有对应的打桩机制，也有其局限性。
下文将以c标准库中的malloc和free函数的打桩来说明不同打桩机制。基本目标是用打桩来追踪程序运行时对malloc和free的调用。

3 示例一：编译时打桩

编译时打桩说白就是将对目标函数的调用替换为对应wrapper的调用。实现方式很简单，通过指定编译指令来实现。
下面代码实现了一个demo，用于说明如何使用预处理器实现编译时打桩。包装函数实现如下：

// malloc.h
#ifndef COMPILE_TIME
#define malloc(size) mymalloc(size)
#define free(ptr) myfree(ptr)
#endif

void * mymalloc(size_t size);
void myfree(void *ptr);

// mymalloc.cpp
#ifdef COMPILE_TIME
#include <stdio.h>
#include <malloc.h>

// malloc wrapper function
void * mymalloc(size_t size) {
    void * ptr = ::malloc(size);
    printf("malloc %p size %u\n", ptr, size);
    return ptr;
}

// free wrapper function
void myfree(void *ptr) {
    ::free(ptr);
    printf("free %p\n", ptr);
}
#endif

在wrapper函数中我们调用目标函数，并打印追踪记录。本地的malloc.h头文件用于替换系统的目标函数调用逻辑，将其切换到对应的包装函数中。
所有源码可以在我的SampleCode[https://git.oschina.net/Tocy/SampleCode.git]的interposition-打桩\compile目录找到，可以使用下面函数指令编译代码：

gcc -DCOMPILE_TIME -c mymalloc.cpp
gcc -I. -o intpos main.cpp mymalloc.o

编译后执行可执行文件，就可以得到将对malloc/free的调用转到我们的wrapper函数中。

4 示例二：链接时打桩

Linux静态链接器支持用--wrap f标志进行链接时打桩。这个标志告诉链接器，把对符号f的引用解析成__wrap_f（前缀是两个下划线），还要对符号__real_f的引用解析成f。
我们的wrap函数实现如下：

#ifdef LINK_TIME
#include <stdio.h>

extern "C" {
void * __real_malloc(size_t size);
void __real_free(void * ptr);

// malloc wrapper function
void * __wrap_malloc(size_t size) {
    printf("%s enter %u\n", __FUNCTION__, size);
    void * ptr = __real_malloc(size);
    printf("malloc %p size %u\n", ptr, size);
    return ptr;
}

// free wrapper function
void __wrap_free(void *ptr) {
    __real_free(ptr);
    printf("free %p\n", ptr);
}
}
#endif

所有源码可以在我的SampleCode[https://git.oschina.net/Tocy/SampleCode.git]的interposition-打桩\link目录找到使用下面命令编译：

gcc -DLINK_TIME -c mymalloc.cpp
gcc -c main.cpp
gcc -Wl,--wrap,malloc -Wl,--wrap,free -o intpos main.o mymalloc.o

注意这里是WL（L小写，不是数字1，Linker option）。-Wl,option标志把option传递给链接器。option中的每个逗号都会替换为一个空格。即-Wl,--wrap,malloc就是把--wrap malloc传递给链接器。上面编译必须分开，否则可能会出错。

通过链接器的命令打桩也可以实现我们的目的，但是有一个缺点，你需要重新连接所有需要监测的模块。

5 示例三：运行时打桩

编译时打桩需要访问程序的源代码，连接时打桩需要能够访问程序的可重定位的对象文件。不过运行时打桩仅需要访问可执行目标文件即可，它的基本原理是基于动态链接器的LD_PRELOAD环境变量的。
如果LD_PRELOAD环境变量被设置为一个共享库路径的列表（以空格或分号分隔），那么当你加载和执行一个程序，需要解析未定义的引用时，动态链接器会先搜做LD_PRELOAD中给定的库，然后才搜索任何其他的库。有了这个机制，当你加载和执行任意可执行文件时，可以对任何共享库中任意函数打桩，包括libc.so中的malloc和free。

我们的wrapper函数实现如下

#ifdef RUNTIME
#define _GNU_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <dlfcn.h>

// malloc wrapper function
void * malloc(size_t size) {
    printf("%s enter %u\n", __FUNCTION__, size);
    void *(* mallocp)(size_t size);
    char * error;
    
    // get address of libc malloc
    mallocp = dlsym(RTLD_NEXT, "malloc");
    if ((error = dlerror()) != NULL) {
        fputs(error, stderr);
        exit(1);
    }
    void * ptr = mallocp(size);
    printf("malloc %p size %u\n", ptr, (int)size);
    return ptr;
}

// free wrapper function
void free(void *ptr) {
    void (* freep)(void *ptr);
    char * error;
    
    // get address of libc free
    freep = dlsym(RTLD_NEXT, "free");
    if ((error = dlerror()) != NULL) {
        fputs(error, stderr);
        exit(1);
    }

    freep(ptr);
    printf("free %p\n", ptr);
}
#endif

所有源码可以在我的SampleCode[https://git.oschina.net/Tocy/SampleCode.git]的interposition-打桩\runtime目录找到，需要通过下面指令编译：
gcc -DRUNTIME -shared -fpic -o mymalloc.so mymalloc.cpp -ldl -fpermissive

主函数不做修改。但运行时需要使用下面指令：
LD_PRELOAD="./mymalloc.so" ./intpos
如此就可以达到预期的效果，监测对malloc和free函数的调用。

6 补充知识：malloc调试变量——__malloc_hook

如果单纯为了处理malloc/free的调用，可以参考下万能的manual。
__malloc_hook是glibc提供的malloc调试变量中的一个，详情参考MALLOC_HOOK。
只要在代码中添加__malloc_hook= my_malloc_hook;语句，当前程序中关于的malloc调用都会使用my_malloc_hook函数，简单方便。但是这组调试变量不是线程安全的，很多新的编译器已经将该功能废弃。有兴趣的可以参考下。

7 总结

到此，本文开头的问题已经解决。整理此文目的只是为了加深记忆。
同时了解下基本的内存泄露分析方法。

8 参考

• Tutorial: Function Interposition in Linux
• 在应用程序中替换Linux中Glibc的malloc的四种方法