dalvik虚拟机启动及运行原理的研究

2018-02-20 inquisiter 看雪学院

前言

其实不管是加固，还是脱壳（我讲的是高级壳），熟悉android虚拟机的原理都是很重要的（个人感觉）。所以专门花时间学了一下，好久不在发贴了，忙着写博客了。欢迎各位参观http://my.csdn.net/bme314啊。下文纯属个人理解，欢迎各路大牛批评指正。

Zygote启动

这个称作孵化器的进程由init进程创建，之后创建了SystemServer(其中包括包管理服务，应用程序组件管理服务)。

当我们需要通过应用程序组件管理服务（ActivityManagerService）创建新进程时，会通过Socket进程间通信机制，通知Zygot进程为应用程序创建一个新的进程。其实就是把启动后的dalvik赋值一份到新进程。

虚拟机启动

前面的Zygote在启动时，会运行AndroidRuntime类的成员函数start.

这里有个关键java的入口，java就是从这里开始运行的，com.android,internal.os.Zygoteinit.虚拟机也是从这里开始运行的。这个类的main退出时，也就是Zygote进程准备要退出的时候。

startVM

AndoridRuntime类里启动虚拟机的函数。

这里包含了很多启动参数，运行模式等

JNI_CreateJavaVM

这里创建了虚拟机的实例，JavaVMExt对象,创建JNI环境（JNIEnvExt对象），初始化虚拟机实例（dvmStartup）。

设置当前线程执行状态，返回调用者JavaVMExt和JNIExt,分别通过输出参数p_vm和p_env.

JavaVMExt成员变量funcTable保存了虚拟机实例的函数表。

JNIEnvExt用来在java和C/C++函数之间相互调用。并且多个线程对应的JNIEntExt组成了一个列表，第一个JINIExt表示的是主线程。

dvmCreateJNIEnv

这里会创建JNI环境，还有个JNINativeInterface的结构体，本地接口表。当我们需要在C/C++代码中 调用java函数，就要用到这个本地接口表。

findClass寻找java类，GetMethodID获得java类的成员函数，CallObjectMethod函数间接调用之。GetFeildID获得java类成员变量.当然还可以注册反注册jNI方法到java类中。

dvmStartup

初始化虚拟机

我这里关注下

1.dvmClassStartup ,用来初始化类加载器。这里是加载JAVA用的。dalvik/vm/oo/Class.c

2.dvmNativeStartup 加载so库加载 表，用来描述当前进程那些SO文件已经被加载过了。 dalvik/vm/Native.c

3.dvmInternalNativeStartup 初始化内部native函数表。

虚拟机运行

正如我们上面所得，得到JNIEnv的环境变量后，我们就可以进行函数调用了。我们通过这个结构体的成员变量function来实现函数的调用。

1.对应的java调用利用CallStaticVoidMethod（其实是由dvmCallMethodV实现的）函数执行参数clazz和methodID所描述的Java代码。

2.dvmCallMethodV这个函数其实是java和native都可以执行的，但是会通过检测method 的描述函数来判断是否是JNI方法，如果是就执行native，否则执行java函数。

3.dvmCallMethodV在执行java的时候还会调用一个dvmInterpret的函数，这个函数有几种模式，可以在初始化的时候确定。而dvmInterpret就是我们在执行Java过程中的解释器。

以Zygote进程为例，Dalvik虚拟机解释器就是以com.android.internal.os.ZygoteInit类 的静态成员函数main为入口点执行的，然后在Socket循环等待ActivityManagerService服务向它发送创建新的应用程序进程的请求。

而以Android应用程序进程为例，Dalvik虚拟机解释器就是以android.app.ActivityThread类的静态成员函数main为入口点执行，然后在消息队列上进行循环，用来等待和处理主线程的消息。

JNI注册

systemlaod——–nativelaod———-Dalvik_java_lang_runtime_nativeLoad(C++层)——-dvmaLoadNativeCode—–dlopen

然后就是native层函数对应java层的调用方式标记。是用jniRegisterNativeMethods（调用了函数表中RegisterNative）的实现。

xposed框架实现原理

为了进一步对虚拟机有较深的理解，我这里把xpose框架的各种文档也查看和阅读了下。总结成如下的图：

这里把流程图分割成了三份，作的图有点大了。

简单说xpose的框架就是核心的替换虚拟机中的执行过程中的java调用过程，如何实现这个过程？

1.是通过替换系统的app_process可执行文件实现虚拟机中函数的执行地址替换。

2.把java函数替换到native后通过调用XposedBridge.jar来实现自定义函数的调用和原函数的调用

3.具体native到java的实现大致如图2

XposeInstall是用来实现安装整个xpose框架的。

XposedMods：管理自己开发的插件app.

这里含有个关键的函数hookMethodNative，这个函数提供一个方法对象利用Java的Reflection机制来对内置方法覆写，也就是过程2.

不过我看了最新版的xpose源码，很多函数的名字改了，不过看了下原理差不多，根据上面的流程很容易看懂就不说了。

ART模拟器的简单介绍

dalvik和ART是通过标志来判断和切换的。运行的大致过程都是从Androidruntime:start开始的。

art虚拟机不一定会利用解释器，原理就是翻译dex成本地机器码，然后直接调用即可。（因为android本身是基于linux系统的）

art生成的oat文件本身包含dex部分和elf可执行部分，通过一定的对应关系实现调用。其实这也可以算是一种解释方式。映射式的解释方式。

oat是在安装的时候生成的， 运行时包含两种指令，dex指令和本地指令，会分别通过解释模式和本地模式执行。

小结

这段时间学习android的虚拟机，感觉光从代码角度来讲，很容易看的云里雾里。主要原因如下：

代码对于计算机来讲无非就是数字和字符形式的字节流。而人类为了设计和阅读代码必须要把代码抽象成具体的事物，便于描述和记录。但我们设计的东西很多其实并没有十分清晰的现实事物的对应，比如虚拟机。

在现实中就没这种事物，那么就只能把抽象的东西进行进一步的分割具体化。比方说，孵化器，解释器，线程池等，然而这些东西还是不够具体，就只能更进一步的具体化解释。这样多解释几次反而把程序的本质给解释的更复杂了。

所以，阅读代码就很容易产生困惑。为了较为清晰的解决这些困惑，我个人觉得阅读代码千万不能毫无侧重点。这里可能要把握两点：

1.就是对象初始化的状态，这个是我们程序描述的对象的一种状态，不管任何对象，如何抽象，都会描述为某一种状态。（包括成员变量中的各种值，定义，结构等）

2.对象接口方法对状态的更改，及一种状态到另一种状态的改变。（主要就是成员变量，结构，定义的状态改变）

其实不管抽象成什么东西，不外乎就是这两种东西。

另外学习代码最好要找到自己需求的逻辑主线，我这里阅读的主线就是虚拟机对于java类加载过程，和natvie方法注册及解析过程的还原。

本文由看雪论坛 inquisiter 原创

转载请注明来自看雪社区

热门阅读

旅行青蛙破解分析从内存到存档再到改包

识别和避免反汇编中遇到的花指令

通过x64分页机制的PTE Space实现内核漏洞利用

点击阅读原文/read，

更多干货等着你~

阅读原文