深入 Android syscall 实现:内联汇编系统调用 + NDK 汇编构建

版权归作者所有,如有转发,请注明文章出处:https://cyrus-studio.github.io/blog/

什么是系统调用 (syscall)

系统调用是操作系统提供给应用程序的一组接口,允许用户空间程序与内核进行交互。

在 Android(基于 Linux 内核)中,系统调用由 软中断 实现,通常通过 svc 指令(在 ARM 架构中)触发。系统调用会将 CPU 从用户模式切换到内核模式,使得程序可以执行更高权限的操作。

Android 使用的 C 库是 Bionic,它是为移动设备优化的轻量级 C 库。对应的模块为 libc.so。

Bionic 提供了对系统调用的封装。大多数标准库函数(如 printf、malloc、pthread_create)都通过 Bionic 实现,底层调用了相应的系统调用。

在 NDK 目录中可以找到相关的系统调用号定义头文件。例如

<NDK_PATH>\27.1.12297006\toolchains\llvm\prebuilt\windows-x86_64\sysroot\usr\include\asm-generic\unistd.h

word/media/image1.png

搜索 bionic 模块 可以找到不同CPU架构下的 syscall 实现

word/media/image2.png

在 bionic/libc/arch-arm64/syscalls/ 可以找到 Android 中所有系统调用的汇编代码文件

word/media/image3.png
https://cs.android.com/android/platform/superproject/+/android10-release:bionic/libc/arch-arm64/syscalls/

syscall 在 Android 上的应用场景

系统工具和调试:如 strace、lsof 等工具,通过 syscall 获取系统状态。

安全与反调试:某些安全检测和反调试技术会直接使用 syscall 绕过标准的 libc 函数,以防止被 hook。

嵌入式开发:在一些嵌入式系统中,开发者需要直接控制硬件,这时通常会使用 syscall。

如何在 Android 中使用 syscall

假设我们希望通过 syscall 直接读取文件内容,编写 native 方法代码如下

// 引入必要的头文件
#include <jni.h>
#include <string>
#include <fcntl.h>          // 文件控制定义(如 O_RDONLY)
#include <unistd.h>         // 系统调用号(如 __NR_openat)
#include <sys/syscall.h>    // 系统调用函数
#include <android/log.h>

#define LOG_TAG "syscall-lib.cpp"

// 定义 Android 日志宏,用于输出信息级别日志
#define LOGI(...) __android_log_print(ANDROID_LOG_INFO, LOG_TAG, __VA_ARGS__)

// 使用 extern "C" 告诉编译器按照 C 语言的方式来编译和链接这个函数
extern "C"
JNIEXPORT jstring JNICALL
Java_com_cyrus_example_syscall_SyscallActivity_readFileWithSyscall(JNIEnv *env, jobject,
                                                                   jstring path) {
    // 将 Java 字符串 (jstring) 转换为 C 字符串 (const char *)
    const char *filePath = env->GetStringUTFChars(path, nullptr);

    // 使用 syscall 系统调用打开文件
    // __NR_openat 是 openat() 系统调用的调用号
    // AT_FDCWD 表示使用当前工作目录
    // O_RDONLY 表示以只读方式打开文件
    int fd = syscall(__NR_openat, AT_FDCWD, filePath, O_RDONLY);

    // 如果文件打开失败,返回错误信息
    if (fd < 0) {
        // 释放通过 GetStringUTFChars 分配的资源
        env->ReleaseStringUTFChars(path, filePath);
        return env->NewStringUTF("Failed to open file");
    }

    // 定义一个缓冲区,用于存储文件内容
    char buffer[1024];

    // 使用 syscall 系统调用读取文件内容
    // __NR_read 是 read() 系统调用的调用号
    // 读取的内容存储到 buffer 中,最多读取 sizeof(buffer) - 1 字节
    ssize_t bytesRead = syscall(__NR_read, fd, buffer, sizeof(buffer) - 1);

    // 如果读取失败,返回错误信息
    if (bytesRead < 0) {
        // 关闭文件描述符
        syscall(__NR_close, fd);

        // 释放通过 GetStringUTFChars 分配的资源
        env->ReleaseStringUTFChars(path, filePath);
        return env->NewStringUTF("Failed to read file");
    }

    // 使用 syscall 系统调用关闭文件
    syscall(__NR_close, fd);

    // 释放通过 GetStringUTFChars 分配的资源
    env->ReleaseStringUTFChars(path, filePath);

    // 确保缓冲区以 '\0' 结尾(C 字符串需要以 '\0' 作为结束符)
    buffer[bytesRead] = '\0';

    // 输出读取到的文件内容到控制台
    printf("File content: %s\n", buffer);

    // 将读取到的文件内容转换为 Java 字符串 (jstring) 并返回
    return env->NewStringUTF(buffer);
}

代码中用到的系统调用号 __NR_openat 对应的的 openat 方法签名如下

int openat(int dirfd, const char *pathname, int flags, ... /* mode_t mode */ );

具体可参考 Linux 手册:https://man7.org/linux/man-pages/man2/open.2.html

调用 native 方法读取文件并显示文件内容

package com.cyrus.example.syscall

import android.os.Bundle
import android.widget.Button
import android.widget.Toast
import androidx.appcompat.app.AppCompatActivity
import com.cyrus.example.R

class SyscallActivity : AppCompatActivity() {

    // 加载 native 库
    init {
        System.loadLibrary("syscall-lib")
    }

    external fun readFileWithSyscall(path: String): String

    override fun onCreate(savedInstanceState: Bundle?) {
        super.onCreate(savedInstanceState)
        setContentView(R.layout.activity_syscall)

        findViewById<Button>(R.id.button_syscall).setOnClickListener {
            // 指定文件路径
            val filePath = "/data/local/tmp/test.txt"

            // 调用 native 方法读取文件内容
            val fileContent = readFileWithSyscall(filePath)

            // 显示 Toast
            Toast.makeText(this, fileContent, Toast.LENGTH_SHORT).show()
        }
    }

}

配置 CMakeLists.txt

cmake_minimum_required(VERSION 3.4.1)

find_library( # Sets the name of the path variable.
        log-lib

        # Specifies the NDK library that you want CMake to locate.
        log)

add_library( # 设置库的名称
        syscall-lib

        # 设置库的类型
        SHARED

        # 设置源文件路径
        syscall-lib.cpp)

target_link_libraries( # 将 log 库链接到目标库
        syscall-lib
        ${log-lib})

进入 adb shell,创建文件 test.txt,并输入内容为 hello syscall

adb shell

wayne:/ # cd /data/local/tmp/
wayne:/data/local/tmp # echo "hello syscall" > test.txt

调用测试

word/media/image4.png

内联汇编实现 syscall

直接内联汇编实现 syscall 调用可以让你跳过标准库的封装层,隐藏 syscall 调用,防 hook 增加逆向难度。

1. 找到 syscall 的汇编代码

把 Bionic 模块对应的 libc.so 拉取到本地

// 32 位库
adb pull /system/lib/libc.so  

// 64 位库
adb pull /system/lib64/libc.so
// 或
adb pull /apex/com.android.runtime/lib64/bionic/libc.so  

用 IDA 打开 libc.so,在 Functions 窗口搜索 syscall

word/media/image5.png

得到 syscall 的汇编代码如下

MOV             R12, SP            // R12 = SP (保存栈指针)
PUSH            {R4-R7}           // 保存 R4-R7 到栈
MOV             R7, R0            // R7 = 系统调用号
MOV             R0, R1            // R0 = 第一个参数
MOV             R1, R2            // R1 = 第二个参数
MOV             R2, R3            // R2 = 第三个参数
LDM             R12, {R3-R6}      // R3-R6 = 额外参数 (从栈中加载)
SVC             0                 // 触发系统调用
POP             {R4-R7}           // 恢复 R4-R7
CMN             R0, #0x1000       // 检查返回值 (是否小于 0)
BXLS            LR                // 成功则返回调用地址

由于我们内联汇编 syscall 需要和原来的汇编保持一致,不需要编译器自动生成的函数入口代码和退出代码,所有需要用到 “裸函数”(naked function)。

2. 裸函数(naked function)

在 C 和 C++ 编程中,attribute((naked)) 是 GCC(GNU Compiler Collection)和 Clang 编译器提供的一个属性,用于定义一个 “裸函数”(naked function)。

裸函数是一种特殊的函数,它允许你直接控制函数的汇编指令,而不会自动为你生成函数的入口代码(如保存寄存器、调整栈指针)和退出代码(恢复寄存器、恢复栈指针)。

attribute((naked)) 提供了一种方式,让开发者完全掌控函数的汇编指令布局,而不受编译器默认生成的代码影响。它适合在对性能要求极高或者需要直接操作硬件的情况下使用,例如系统调用、中断处理程序和上下文切换函数。

基本语法

__attribute__((naked)) void myFunction() {
    // 手动编写汇编指令
}

3. 编写内联汇编代码

__attribute__((naked)) long raw_syscall(long __number, ...) {
    __asm__ __volatile__(
            "MOV             R12, SP\n"
            "PUSH            {R4-R7}\n"
            "MOV             R7, R0\n"
            "MOV             R0, R1\n"
            "MOV             R1, R2\n"
            "MOV             R2, R3\n"
            "LDM             R12, {R3-R6}\n"
            "SVC             0\n"
            "POP             {R4-R7}\n"
            "mov             pc, lr");
}

4. 读取文件内容并返回 kotlin 层调用

// 读取文件内容
std::string read_file(const char *filePath) {
    char buffer[1024] = {0};

    // 调用 raw_syscall 打开文件
    int fd = raw_syscall(SYS_openat, 0, filePath, O_RDONLY, 0);
    if (fd < 0) {
        return "Failed to open file";
    }

    // 调用 raw_syscall 读取文件
    ssize_t bytesRead = raw_syscall(SYS_read, fd, buffer, sizeof(buffer) - 1);
    if (bytesRead < 0) {
        raw_syscall(SYS_close, fd);
        return "Failed to read file";
    }

    // 关闭文件
    raw_syscall(SYS_close, fd);

    // 输出读取到的文件内容到控制台
    LOGI("File content: %s\n", buffer);

    return std::string(buffer);
}


extern "C"
JNIEXPORT jstring JNICALL
Java_com_cyrus_example_syscall_SyscallActivity_readFileWithAssemblySyscall(JNIEnv *env, jobject,
                                                                           jstring path) {
    // 将 Java 字符串 (jstring) 转换为 C 字符串 (const char *)
    const char *filePath = env->GetStringUTFChars(path, nullptr);

    std::string file_content = read_file(filePath);

    // 释放通过 GetStringUTFChars 分配的资源
    env->ReleaseStringUTFChars(path, filePath);

    return env->NewStringUTF(file_content.c_str());
}

CMakeLists.txt 加载汇编文件

按上面的方法找到 ARM64 和 AMR 的 syscall 的汇编代码。

在 cpp 目录 创建 syscall64.s (ARM64)汇编代码文件,定义 raw_syscall 汇编函数

    .text                      // 表示接下来的代码段是可执行代码段
    .global raw_syscall        // 将 `raw_syscall` 设为全局符号,使其可以被其他文件引用
    .type raw_syscall, @function // 指定 `raw_syscall` 是一个函数

raw_syscall:
        // 将第一个参数 (系统调用号) 传递给 X8 寄存器
        MOV             X8, X0    // X8 = X0, 系统调用号存储在 X8 中

        // 将其余的参数从 X1-X6 依次向前移动一位 (为系统调用准备参数)
        MOV             X0, X1    // X0 = X1, 系统调用的第一个参数
        MOV             X1, X2    // X1 = X2, 系统调用的第二个参数
        MOV             X2, X3    // X2 = X3, 系统调用的第三个参数
        MOV             X3, X4    // X3 = X4, 系统调用的第四个参数
        MOV             X4, X5    // X4 = X5, 系统调用的第五个参数
        MOV             X5, X6    // X5 = X6, 系统调用的第六个参数

        // 使用 SVC 指令触发系统调用 (Supervisor Call)
        SVC             0         // 发起系统调用,中断进入内核态执行

        RET                      // 返回

在 cpp 目录 创建 syscall32.s (ARM)汇编代码文件,定义 raw_syscall 汇编函数

    .text
    .global raw_syscall
    .type raw_syscall,%function

raw_syscall:
        MOV             R12, SP
        STMFD           SP!, {R4-R7}
        MOV             R7, R0
        MOV             R0, R1
        MOV             R1, R2
        MOV             R2, R3
        LDMIA           R12, {R3-R6}
        SVC             0
        LDMFD           SP!, {R4-R7}
        mov             pc, lr

在 C++ 代码文件中添加 raw_syscall 函数声明

extern "C" long raw_syscall(long __number, ...);

配置 CMakeLists.txt

# 启用 C 和汇编语言的支持
enable_language(C ASM)

# 根据系统处理器架构选择不同的汇编文件
if (CMAKE_SYSTEM_PROCESSOR MATCHES "aarch")  # 检查当前系统是否为 AArch64 (ARM 64-bit) 架构
    # 为 `syscall64.s` 设置编译标志
    # `-x assembler-with-cpp` 表示使用 C 预处理器来编译汇编文件
    set_source_files_properties(syscall64.s PROPERTIES COMPILE_FLAGS "-x assembler-with-cpp")

    # 添加一个共享库 (Shared Library)
    add_library(
            syscall-lib          # 设置库的名称为 `syscall-lib`

            SHARED               # 指定库的类型为共享库

            syscall64.s          # 添加 ARM64 汇编源文件

            syscall-lib.cpp      # 添加 C++ 源文件
    )

    # 如果系统处理器架构为 ARM (ARM 32-bit)
elseif (CMAKE_SYSTEM_PROCESSOR MATCHES "arm")
    # 为 `syscall32.s` 设置编译标志
    # `-x assembler-with-cpp` 表示使用 C 预处理器来编译汇编文件
    set_source_files_properties(syscall32.s PROPERTIES COMPILE_FLAGS "-x assembler-with-cpp")

    # 添加一个共享库 (Shared Library)
    add_library(
            syscall-lib          # 设置库的名称为 `syscall-lib`

            SHARED               # 指定库的类型为共享库

            syscall32.s          # 添加 ARM 32 位汇编源文件

            syscall-lib.cpp      # 添加 C++ 源文件
    )
endif ()

调用 raw_syscall

// 读取文件内容
std::string read_file(const char *filePath) {
    char buffer[1024] = {0};

    // 调用 raw_syscall 打开文件
    int fd = raw_syscall(SYS_openat, 0, filePath, O_RDONLY, 0);
    if (fd < 0) {
        return "Failed to open file";
    }

    // 调用 raw_syscall 读取文件
    ssize_t bytesRead = raw_syscall(SYS_read, fd, buffer, sizeof(buffer) - 1);
    if (bytesRead < 0) {
        raw_syscall(SYS_close, fd);
        return "Failed to read file";
    }

    // 关闭文件
    raw_syscall(SYS_close, fd);

    // 输出读取到的文件内容到控制台
    LOGI("File content: %s\n", buffer);

    return std::string(buffer);
}


extern "C"
JNIEXPORT jstring JNICALL
Java_com_cyrus_example_syscall_SyscallActivity_readFileWithAssemblySyscall(JNIEnv *env, jobject,
                                                                           jstring path) {
    // 将 Java 字符串 (jstring) 转换为 C 字符串 (const char *)
    const char *filePath = env->GetStringUTFChars(path, nullptr);

    std::string file_content = read_file(filePath);

    // 释放通过 GetStringUTFChars 分配的资源
    env->ReleaseStringUTFChars(path, filePath);

    return env->NewStringUTF(file_content.c_str());
}

最后,运行测试

word/media/image6.png

源码

完整源码地址:https://github.com/CYRUS-STUDIO/AndroidExample

<think>好的,我现在要处理用户关于“Fatal signal 31 (SIGSYS)”的问题。首先,我需要回忆一下SIGSYS这个信号的含义。SIGSYS是信号31,通常在进程执行了一个无效的系统调用时触发。接下来,我需要考虑在AndroidLinux环境下这种情况常见的原因,比如seccomp过滤器阻止了某些系统调用,或者应用程序尝试调用了不允许的系统调用。 用户可能需要了解这个错误的具体原因和解决方法。所以我要先解释SIGSYS是什么,然后分析可能的原因,比如seccomp策略、错误的系统调用号、架构兼容性问题(如32位应用在64位系统上的问题)等。接着需要提供诊断步骤,比如检查logcat日志,查看堆栈跟踪,使用调试工具如addr2line解析地址。 然后,解决方案可能包括检查并修改seccomp过滤器,确保系统调用正确,处理架构兼容性问题,以及更新NDK或依赖库。需要注意的是,用户可能是在NDK开发中遇到这个问题,所以需要结合Android环境的特点,比如Bionic libc的使用,或APK的targetSdkVersion影响。 还要考虑用户可能的误区,比如误用了过时的系统调用,或者在调用某些需要权限的函数时被seccomp拦截。可能需要提醒用户检查他们的代码,尤其是涉及系统调用的部分,或者第三方库是否有兼容性问题。 最后,确保回答结构清晰,分点说明原因、诊断方法和解决方案,并提供示例或参考链接帮助用户进一步排查。需要避免技术错误,比如混淆信号编号或系统调用机制,所以需要再次确认SIGSYS的定义和常见触发场景。</think>--- ### 一、SIGSYS 信号简介 **Fatal signal 31 (SIGSYS)** 表示进程触发了系统调用syscall)相关的致命错误,常见于以下场景: 1. **无效的系统调用**:调用了内核不支持的syscall编号。 2. **seccomp过滤器拦截**:Android/Linux的沙盒安全机制(如seccomp-bpf)主动拦截非法syscall。 3. **架构兼容性问题**:例如32位应用在64位环境中错误调用syscall。 --- ### 二、常见原因与排查方法 #### 1. **seccomp策略限制** - **典型场景**: - Android 7.0+ 对`exec()`等敏感syscall的限制。 - 应用或第三方库(如WebView、媒体编解码器)触发了黑名单syscall。 - **诊断方法**: 检查`logcat`日志,定位触发信号的位置: ```logcat Fatal signal 31 (SIGSYS), code 1 (SYS_SECCOMP) in tid 12345, pid 67890 ``` - 关键字段:`SYS_SECCOMP`表示被seccomp拦截。 #### 2. **非法系统调用** - **直接原因**: - 错误调用未定义的syscall(如自定义汇编代码错误)。 - NDK代码错误传递syscall参数(如错误的调用约定)。 - **排查工具**: - 使用`adb logcat`获取崩溃堆栈,通过`addr2line`解析符号: ```bash ndk-stack -sym /path/to/so < crash_log.txt ``` #### 3. **架构兼容性问题** - **案例**: - 32位应用(armeabi-v7a)在64位设备(arm64-v8a)上调用了64位专属syscall。 - 混合使用不同ABI的库导致syscall约定冲突。 - **验证方法**: 在`build.gradle`中限制ABI,观察是否复现: ```groovy android { defaultConfig { ndk { abiFilters 'armeabi-v7a', 'arm64-v8a' } } } ``` --- ### 三、解决方案 #### 1. 修复被拦截的syscall - **步骤**: 1. 根据`logcat`定位触发崩溃的代码位置。 2. 替换非法syscallAndroid支持的API(如用`open()`代替`openat()`)。 - **示例**: ```c // 错误:直接调用syscall syscall(__NR_open, "file.txt", O_RDONLY); // 正确:使用libc封装函数 int fd = open("file.txt", O_RDONLY); ``` #### 2. 调整seccomp策略(需root权限) - **适用场景**: 系统级开发或调试时临时绕过限制。 - **方法**: 修改设备的seccomp策略文件(路径:`/system/etc/seccomp_policy`),但需重新编译系统镜像。 #### 3. 检查NDK代码兼容性 - **关键点**: - 避免直接内联汇编调用syscall,优先使用Bionic libc API。 - 确保所有第三方库与目标ABI兼容。 --- ### 四、案例分析 #### 案例:WebView导致SIGSYS崩溃 1. **现象**: 应用在Android 12设备上使用WebView时崩溃,日志显示`SYS_SECCOMP`。 2. **原因**: WebView内部依赖的库(如`libchromium_android.so`)调用了被拦截的syscall。 3. **解决**: 更新WebView组件或等待系统厂商修复。 --- ### 五、进阶调试工具 1. **Strace**(需root): ```bash adb shell strace -p [pid] -f -e trace=all ``` 监控进程的syscall调用,定位非法操作。 2. **Auditd**: 分析内核审计日志,记录被seccomp拦截的事件: ```bash adb shell dmesg | grep 'audit' ``` --- ### 六、注意事项 - **不要忽略SIGSYS**:直接崩溃是Android的安全机制,强行绕过可能导致应用被商店下架。 - **测试覆盖**:在Android高版本(如12+)和多种ABI设备上充分测试NDK代码。 通过以上方法,可系统性诊断和修复`SIGSYS`问题。若需进一步分析,请提供`logcat`完整日志片段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值