8

我需要在 OS X 上的共享库中找到本地符号的偏移量。本地符号与非导出符号中的一样。因此dyld("symbol_name")将不起作用。

但是,我可以nm用来查找这些偏移量,例如

$ nm /System/Library/PrivateFrameworks/DesktopServicesPriv.framework/DesktopServicesPriv  | grep -e ChildSetLabel -e NodeVolumeEject
000000000006cccd T _NodeVolumeEject
000000000009dbd7 t __ChildSetLabel

在那里我们看到导出的 ( T) 符号NodeVolumeEject0x6cccd我可以很容易地使用dyld("NodeVolumeEject"). dyld()将显示当前地址空间中的地址,但我对共享库中的偏移量或地址空间中的绝对地址感到满意。此外,还有一个本地 ( t) 符号_ChildSetLabel,它是0x9dbd7我无法使用dyld().

我希望能够以编程方式执行此解决方案(无需gobjdumpnmotool或任何其他外部程序)。有没有一种“简单”的方法来实现这一目标?上面提到的工具的源代码包含所需的代码,但我想知道是否没有更简单的东西。

域:该解决方案仅适用于 x86_64 MachO 二进制文件的 OS X 10.8 或更高版本。

澄清:我很乐意找出当前偏移量中的绝对偏移量(由于 ASLR)显然不是静态的。但我也很高兴找出相对于该库开始的偏移量,该库保持静态(直到重新编译)。从“库中的地址”到“地址空间中的地址”的部分非常简单:

off_t sym_offset_child_set_label = ANSWER_TO_THIS_QUESTION("_ChildSetLabel");
Dl_info info;
void *abs_volume_eject = dlsym(RTLD_DEFAULT, "NodeVolumeEject");
void *abs_child_set_label = NULL;
if (dladdr(abs_volume_eject, &info)) {
    abs_child_set_label = (void *)((char *)info.dli_fbase + sym_offset_child_set_label);

    /* abs_child_set_label now points to the function in question */
}

这是,只要_ChildSetLabelNodeVolumeEject在同一个共享库中就足够了。因此,ASLR 在这里不是问题。

4

1 回答 1

5

另一种可能性(我最终使用的)是 Apple 的私有CoreSymbolication框架:

void *resolve_private(const char *symbol_owner, const char *symbol_to_resolve)
{
    task_t targetTask;
    int err = task_for_pid(mach_task_self(), getpid(), &targetTask);
    if (err) {
        fprintf(stderr, "couldn't get my Mach task\n");
        return NULL;
    }

    CSSymbolicatorRef targetSymbolicator;

    targetSymbolicator = CSSymbolicatorCreateWithTaskFlagsAndNotification(targetTask,
                                                                              kCSSymbolicatorTrackDyldActivity,
                                                                          ^(uint32_t     notification_type, CSNotificationData data) {
                                                                          });
    if(CSIsNull(targetSymbolicator)) {
        fprintf("CSSymbolicatorCreateWithTaskFlagsAndNotification failed\n");
        return NULL;
    }

    __block CSSymbolOwnerRef symbolOwner = kCSNull;
    CSSymbolicatorForeachSymbolOwnerWithNameAtTime(targetSymbolicator,
                                                   symbol_owner,
                                                   kCSNow,
                                                   ^(CSSymbolOwnerRef owner) {
                                                       symbolOwner = owner;
                                                   });
    if (CSIsNull(symbolOwner)) {
        CSRelease(targetSymbolicator);
        fprintf("CSSymbolicatorForeachSymbolOwnerWithNameAtTime failed\n");
        return NULL;
    }

    __block uintptr_t p = (uintptr_t)NULL;
    CSSymbolOwnerForeachSymbol(symbolOwner, ^(CSSymbolRef symbol) {
        const char *symbol_name = CSSymbolGetMangledName(symbol);
        if (0 == strcmp(symbol_name, symbol_to_resolve)) {
            p = CSSymbolGetRange(symbol).location;
        }
    });

    CSRelease(targetSymbolicator);
    if ((uintptr_t)NULL == p) {
        fprintf("symbol not found\n");
        return NULL;
    } else {
        return (void *)p;
    }
}
于 2014-02-18T13:22:41.173 回答