51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

如何用几行代码打造应用程序热补丁?(一)

作者:大U的技术课堂
企业动态
本篇将介绍一种简单实用的应用程序热补丁技术。不少场景下,用该方法编写几行代码即可免重启修复应用程序BUG!

一、前言

应用程序,作为核心业务组件,每天都面临着严峻的高可用挑战,每次重启,都会导致服务受损。尤其是单点的虚拟化组件和有状态的应用程序,一旦重启,影响更甚。

热补丁,一种在程序运行时动态修复内存中代码bug的技术,能避免系统重启导致的业务中断、有效保证操作系统的可用性。

经过大量的研究和实践,UCloud从0到1,自研了一套应用程序热补丁技术。千锤百炼出真金,经过内部数十万台次修复验证,UCloud应用程序热补丁技术已自成体系,成为UCloud核心黑科技之一。

二、原理

一般来说,应用程序热补丁的流程是,首先通过编译器将热补丁源码制作成可加载的动态链接库,然后通过加载程序将热补丁加载到目标进程的地址空间,***在进行一致性模型检查确认安全的情况下,把原始代码替换成新的代码,完成在线修复的过程。

下面我们分别介绍热补丁本身和热补丁加载程序,热补丁本身是因patch而异的,加载程序是通用的。

假设我们有热补丁加载程序Loader、目标进程T、热补丁patch.so,目标程序的func函数替换为func_v2。

三、热补丁

1. 编写热补丁源码,编译成动态链接库的格式的热补丁patch.so,patch.so中包含func和func_v2的信息。

2. 热补丁patch.so在被加载程序Loader加载到目标进程T地址空间的过程中,通过dlsym调用找到func的地址,并将func的入口指令改为可写,同时改变为跳转到func_v2。

3. 至此,所有对func的调用都会被重定向到func_v2,func_v2执行完毕后返回,程序继续运行。

4. 如图所示:

热补丁

四、热补丁加载程序

1. 加载程序Loader找到目标进程T的dlopen函数入口地址。

2. Loader通过ptrace依附到目标进程T,Loader将热补丁的名字放入放入目标进程T的堆栈,将IP寄存器设置为dlopen函数的地址。

3. Loader使目标进程T继续运行。因为IP寄存器已经设置为dlopen函数的入口,目标进程T会调用dlopen把热补丁加载到T的地址空间中。

4. 如图所示:

热补丁加载程序

了解原理之后,我们一步步实现一种简单的基于x86_64的热补丁。

(对于需要制作热补丁的同学,只需自己编写patch.so,而Loader是通用的。patch.so编写可以参考下面的例子,往往只需几行代码做相应替换。)

五、实现

1. 热补丁

1) 目标进程T执行dlopen的过程中,通过预先在热补丁(动态链接库)中写入的constructor函数,在加载过程中函数func_v1替换函数func。

  1. static void __attribute__((constructor)) init(void) 
  2.  { 
  3.      int numpages; 
  4.      void *old_func_entry, *new_func_entry; 
  5.  
  6.      old_func_entry = dlsym(NULL, "func"); 
  7.      new_func_entry = dlsym(NULL, "func_v2"); 
  8.  
  9.      #define PAGE_SHIFT              12 
  10.      #define PAGE_SIZE               (1UL << PAGE_SHIFT
  11.      #define PAGE_MASK               (~(PAGE_SIZE-1)) 
  12.  
  13.      numpages = (PAGE_SIZE - (old_func_entry & ~PAGE_MASK) >= size) ? 1 : 2; 
  14.      mprotect((void *)(old_func_entry & PAGE_MASK), numpages * PAGE_SIZE, PROT_READ|PROT_WRITE|PROT_EXEC); 
  15.  
  16.      /* 
  17.       * Translate the following instructions  
  18.       *  
  19.       * mov $new_func_entry, %rax  
  20.       * jmp %rax  
  21.       *  
  22.       * into machine code  
  23.       *  
  24.       * 48 b8 xx xx xx xx xx xx xx xx  
  25.       * ff e0  
  26.       */ 
  27.      memset(old_func_entry, 0x48, 1); 
  28.      memset(old_func_entry + 1, 0xb8, 1);  
  29.      memcpy(old_func_entry + 2, &new_func_entry, 8);  
  30.      memset(old_func_entry + 10, 0xff, 1); 
  31.      memset(old_func_entry + 11, 0xe0, 1); 
  32.  } 

2. 热补丁加载程序

1) Loader得到目标进程T地址空间中dlopen入口地址

  • dlopen函数有libdl提供,并不是所有的程序都加载libdl,幸运的是,libc中提供了同样功能的函数libc_dlopen_mode,并且接受的参数和dlopen相同。除非特殊情况,所有程序都会加载libc。所以我们需要找到libc_dlopen_mode在目标进程T地址空间中的函数入口地址。
  • 我们知道,不同进程中libc会被加载到不同的基地址,但是libc中函数的地址相对基地址的偏移是不变的。
  • 通过Loader和目标进程T的/proc/pid/maps,我们可以得到libc在Loader和目标进程T中加载的基地址。通过Loader运行dlsym,我们可以得到Loader中的libc_dlopen_mode的地址。这样我们可以得到目标进程T中libc_dlopen_mode的地址(Loader_dlopen - Loader_libc + T_libc)。
  1. / Take a hint and find start addr in /proc/pid/maps / 
  2.   static unsigned long find_lib_base(pid_t pid, char *so_hint) 
  3.   { 
  4.   FILE *fp; 
  5.   char maps[4096], mapbuf[4096], perms[32], libpath[4096]; 
  6.   char *libname; 
  7.   unsigned long start, end, file_offset, inode, dev_major, dev_minor; 
  8.  
  9.   sprintf(maps, "/proc/%d/maps", pid); 
  10.   fp = fopen(maps, "rb"); 
  11.   if (!fp) { 
  12.           fprintf(stderr, "Failed to open %s: %s\n", maps, strerror(errno)); 
  13.           return 0; 
  14.   } 
  15.  
  16.   while (fgets(mapbuf, sizeof(mapbuf), fp)) { 
  17.           sscanf(mapbuf, "%lx-%lx %s %lx %lx:%lx %lu %s", &start, 
  18.                   &end, perms, &file_offset, &dev_major, &dev_minor, &inode, libpath); 
  19.  
  20.           libname = strrchr(libpath, '/'); 
  21.           if (libname) 
  22.                   libname++; 
  23.           else 
  24.                   continue; 
  25.  
  26.           if (!strncmp(perms, "r-xp", 4) && strstr(libname, so_hint)) { 
  27.                   fclose(fp); 
  28.                   return start; 
  29.           } 
  30.   } 
  31.  
  32.   fclose(fp);   return 0;  
  33.   } 
  34.   loader_libc = find_lib_base(getpid(), “libc-c”); 
  35.   T_libc = find_lib_base(T_pid, “libc-“); 
  36.   Loader_dlopen = (unsigned long)dlsym(NULL, “__libc_dlopen_mode”); 
  37.   T_dlopen = T_libc + (Loader_dlopen - Loader_libc); 

2) Loader对目标进程T使用ptrace attach,并保存T此时的寄存器信息。

  1. static int ptrace_attach(pid_t pid) 
  2.   { 
  3.   int status; 
  4.  
  5.   if (ptrace(PTRACE_ATTACH, pid, NULL, NULL)) { 
  6.           fprintf(stderr, "Failed to ptrace_attach: %s\n", strerror(errno)); 
  7.           return 1; 
  8.   } 
  9.  
  10.   if (waitpid(pid, &status, __WALL) < 0) { 
  11.           fprintf(stderr, "Failed to wait for PID %d, %s\n", pid, strerror(errno)); 
  12.           return 1; 
  13.   } 
  14.   return 0; 
  16.   static int ptrace_call(pid_t pid, unsigned long func_addr, unsigned long arg1, unsigned long arg2, unsigned long *func_ret) 
  17.   { 
  18.   … 
  19.   memset(&saved_regs, 0, sizeof(struct user_regs_struct)); 
  20.   ptrace_getregs(pid, &saved_regs); 
  21.  
  22.   … 
  23.   } 

3) 将目标进程T的%RIP指向dlopen,热补丁的名字的字符串放入堆栈,字符串的地址写入%rdi,RTLD_NOW的值写入%rsi作为dlopen的flag。同时把dlopen返回地址设置为非法地址0x0(把0x0压入栈中),这样Loader可以捕获目标进程T产生的SIGSEGV信号进而重新获得T的控制权。

  1. unsigned long invalid = 0x0
  2.  regs.rsp -sizeof(invalid); 
  3.  ptrace_poketext(pid, regs.rsp, ((void *)&invalid), sizeof(invalid)); 
  4.  ptrace_poketext(pid, regs.rsp + 512, filename, strlen(filename) + 1); 
  5.  regs.rip = dlopen_addr
  6.  regsregs.rdi = regs.rsp + 512; 
  7.  regs.rsi = RTLD_NOW
  8.  ptrace_setregs(pid, &regs); 

4) Loader使目标进程T继续运行。当T执行完dlopen之后,T产生的SIGSEGV信号被Loader捕获,Loader重新获得T进程的控制权。

  1. static int ptrace_cont(pid_t pid) 
  2.  
  3. {int status; 
  4.  
  5. if (ptrace(PTRACE_CONT, pid, NULL, 0)) { 
  6.  
  7. fprintf(stderr, "Failed to ptrace_cont: %s\n", strerror(errno));return 1; 
  8.  
  10.  
  11. if (waitpid(pid, &status, __WALL) < 0) {fprintf(stderr, "Failed to wait for PID %d, %s\n", pid, strerror(errno)); 
  12.  
  13. return 1;} 
  14. return 0;} 

5) Loader通过读取目标进程T此时的%rax寄存器得到dlopen的返回值,恢复T最开始的执行状态,***释放对T的控制

  1. ptrace_getregs(pid, &regs); 
  2. dlopen_ret = regs.rax; 
  3. ptrace_setregs(pid, &saved_regs); 
  4. ptrace_detach(pid); 

至此对目标进程T的热补丁就完成了。下面我们看一个例子。

六、验证

假设我们运行target程序,每隔一秒打印Hello一次:

  1. # ./target 
  2. Hello 
  3. Hello 
  4. … 

target程序由target本身和libold.so组成,分别代码如下:

  1. /* target.c */ 
  2. #include <unistd.h> 
  3. #include "old.h" 
  4.  
  5. int main() { 
  6.     for (;;) { 
  7.         print(); 
  8.         sleep(1); 
  9.     } 
  11.  
  12. /* old.c */ 
  13. #include <stdio.h> 
  14.  
  15. void print(void) 
  17.     printf("Hello\n"); 

编译

  1. gcc -fPIC --shared old.c -o libold.so 
  2. gcc target.c ./libold.so -o target 

我们想要修改print函数,变成打印“Goodbye”。我们需要编写热补丁new.c,并添加新函数和constructor:

  1. /* new.c */ 
  2. #include <stdio.h> 
  3.     #include <string.h>  
  4. #include <sys/mman.h>  
  5. #include <dlfcn.h>  
  6.  
  7. print_v2(void) 
  9.     printf("Goodbye\n"); 
  11.  
  12. static void __attribute__((constructor)) init(void) 
  13. {  
  14.     int numpages; 
  15.     void *old_func_entry, *new_func_entry; 
  16.  
  17.     old_func_entry = dlsym(NULL, print); 
  18.     new_func_entry = dlsym(NULL, print_v2); 
  19.  
  20.     #define PAGE_SHIFT              12  
  21.     #define PAGE_SIZE               (1UL << PAGE_SHIFT)  
  22.     #define PAGE_MASK               (~(PAGE_SIZE-1)) 
  23.  
  24.     numpages = (PAGE_SIZE - (old_func_entry & ~PAGE_MASK) >= size) ? 1 : 2; 
  25.     mprotect((void *)(old_func_entry & PAGE_MASK), numpages * PAGE_SIZE, PROT_READ|PROT_WRITE|PROT_EXEC); 
  26.     memset(old_func_entry, 0x48, 1); 
  27.     memset(old_func_entry + 1, 0xb8, 1);  
  28.     memcpy(old_func_entry + 2, &new_func_entry, 8);  
  29.     memset(old_func_entry + 10, 0xff, 1); 
  30.     memset(old_func_entry + 11, 0xe0, 1); 
  31. }  

编译:

  1. gcc -fPIC --shared new.c -ldl -o libnew.so  

然后通过加载程序对target进程打入热补丁libnew.so,***我们对target程序打入这个热补丁,观察变化:

  1. # ./target 
  2. Hello 
  3. Hello 
  4. Goodbye 
  5. Goodbye 
  6. … 

我们发现热补丁确实改变了print函数,***通过gdb进一步确认,可以看出print函数的入口被修改成48 b8 dc b6 15 a9 c1 7f 00 00 ff e0,与我们的预期相符:

  1. (gdb) disas /r print 
  2. Dump of assembler code for function print: 
  3.    0x00007fc1a98f456c <+0>:     48 b8 dc b6 15 a9 c1 7f 00 00   movabs $0x7fc1a915b6dc,%rax 
  4.    0x00007fc1a98f4576 <+10>:    ff e0   jmpq   *%rax # 这里print在入口处跳转到0x7fc1a915b6dc这个地址 
  5. … 
  6. (gdb) info symbol 0x7fc1a915b6dc 
  7. print_v2 in section .text of /root/process-hotupgrade/test/libnew.so # 0x7f2ea417971c这个地址就是print_v2函数的地址 

七、总结

我们介绍了应用程序热补丁的基本原理,实践了一个应用程序热补丁demo。此类热补丁适用于动态替换共享链接库中的可见函数,可以修复例如glibc “GHOST漏洞”(CVE-2015-0235)等等,在UCloud我们利用热补丁修复了若干缺陷,在用户没有感知的情况下把bug快速及时的修复。这些热补丁修复程序里,绝大多数代码是通用的,只需少数几行做特殊替换。

上文介绍的热补丁技术对于适用的场景非常理想,简单可靠,但存在几个缺点:

  • 手写热补丁代码门槛较高,特别是被修复函数的依赖函数链较长时手写热补丁很容易出错
  • 无法修复局部函数和局部变量(只能修复全局可见的函数和变量)

下一篇文章我会介绍一种更加先进的应用程序热补丁技术。

【本文是51CTO专栏机构作者“大U的技术课堂”的原创文章,转载请通过微信公众号(ucloud2012)联系作者】

 戳这里,看该作者更多好文

责任编辑:赵宁宁 来源: 51CTO专栏
应用程序热补丁代码
相关推荐
如何用几行代码打造应用程序热补丁?(二)
本文将会介绍一种自动生成应用程序热补丁技术,可以生成应用程序和动态链接库中任意函数的热补丁。

2017-06-07 23:33:01

应用程序热补丁代码
如何用几行代码免重启修复应用程序BUG?(
UCloud生而为云,一直专注在云计算的泥潭里摸爬滚打,踩过数不清的坑,写过数不清的BUG。所幸,在不断的试错中,也锤炼出一些能在江湖傍身的大杀器。这些经过千锤百炼的大杀器和宝贵的踩坑经验,一起成为今天UCloud的核心科技。

2017-03-15 17:57:04

代码免重启BUG
如何用MEAP工具开发移动应用程序
当有需求时,大多数的企业都希望开发本机应用程序,但是,他们也会希望开发能够在众多移动设备和操作系统上运行的移动应用程序,这样做也就无需为每一种操作系统和每一种类型的设备重新开发应用程序。

2013-02-22 09:28:45

MEAP软件移动应用开发HTML5
如何用ChatGPT把控应用程序生命周期
本文将专注于评估LLM是否适合作为代码生成型开发的基础架构,并得出结论:可以使用像ChatGPT这样的大型语言模型来供应、配置和部署现代应用程序,进而用于把控应用程序的生命周期。

2023-12-21 08:00:00

ChatGPT人工智能大型语言模型
打造个Hello World OSGi Web应用程序
本文将一步一步对OSGiWeb应用开发的技巧进行讲解,包括程序注册方式和声明方式。在阅读完本文之后,相信读者便能够初步掌握OSGiWeb应用的开发过程。

2009-10-19 14:14:19

OSGi Web应用
开源软件Gradio上新5大功能,几行Python代码,构建Web应用程序
用最简单的方法来构建一个AIWeb应用程序。

2024-10-10 13:30:00

iOS应用程序 Twitter开发代码
本文介绍的是iOS应用程序Twitter开发代码,主要介绍了Twitter其中的代码与大家分享,不如先来看内容。

2011-07-21 16:19:30

iOS Twitter
如何加载BlackBerry应用程序
.alx文件是应用程序描述器,用于提供关于应用程序以及应用程序的.cod文件位置的信息。.cod文件包含已编译和打包的应用程序代码。单独的应用程序加载器工具需要这些文件才能安装BlackBerryJavaApplication。

2011-06-07 09:36:41

BlackBerry 应用程序
如何开发 SaaS 应用程序
SaaS云技术的采用发生得相当快。根据BetterCloud的SaaSOps研究,从2017年到2020年,公司使用SaaS应用程序的平均比率增长了5倍。此外,预计到2025年,所有公司的软件中只有15%将是非SaaS。

2022-09-19 00:37:13

SaaS云计算开发
如何防止应用程序泄密?
黑客或攻击者总能找到一些可以利用的媒介或要素。例如,员工越来越多地在工作场合使用移动设备,各种应用商店提供了五花八门的移动应用。由于这些应用的源头不一,质量参差不齐,所以普通用户很难判断哪些是最新的,更难以判断其是否有恶意目的。

2015-11-05 10:16:33

Linux系统是如何用虚拟内存来欺骗应用程序的?
在x86平台上,主存储器(也就是我们说说的内存)负责存储指令和数据,它的作用仅次于CPU。离开了内存,性能再好的CPU也无法工作。

2021-05-17 07:45:06

Linux系统程序
开发Tizen应用程序()
在https:developer.tizen.orgsdk安装完TizenSDK以后,笔者尝试了一下如何用这个SDK开发应用程序。启动TizenIDE,NewTizenWebProject,选择其中的SampleContact作为模板,项目名称testcontact。

2013-02-21 14:14:40

开发Tizen
微信Android热补丁实践演进之路
通过本文,我希望大家不仅能够全面的了解各项热补丁技术的优缺点,同时也能对它的应用场景有着更加全面的认识。在此基础上,大家或许能更容易的决定是否在自己的项目中使用热补丁技术,以及应当如何使用它。

2018-09-18 09:30:17

微信热补丁Android
Linux 4.1内核热补丁成功实践
我们详细介绍了进程cputime统计异常问题的完整分析和解决思路。该问题并非严重的宕机问题,但却可能会让用户对监控数据产生困惑,误认为可能机器负载太高需要加资源,问题的解决会避免产生不必要的开支。

2019-01-16 10:33:41

Linux
修复“极光”0Day的内存补丁(热补丁)已出现
此前,微软已证实近期Google等公司遭受的猛烈黑客攻击就是缘于IE&ldquo;极光&rdquo;漏洞。目前微软仅提供了临时解决方案,并未发布官方补丁。考虑到该漏洞的巨大危害,一些国家的政府甚至建议民众暂时不要使用IE浏览器上网。而来自黑客论坛的信息也显示,IE&ldquo;极光&rdquo;0day漏洞的攻击代码已在网上大量扩散,针对该漏洞的&ldquo;网页木马生成器&rdquo;已现身网上,大规模的挂马攻击...

2010-01-18 17:32:03

如何基于Web应用程序安全经验来开发云应用程序?
本文我们将针对如何为云环境开发安全的应用程序以抵御常见攻击提供一些指导,并探讨一些需要落实到位的控制因素,以确保基于云的应用程序在开发和部署时的安全性。

2013-11-19 15:35:01

五分之Windows上应用程序无安全补丁
近日,据丹麦的安全漏洞跟踪公司SecuniaAPS发表的一篇报告称,五分之一的安装在Windows系统上的应用程序没有使用安全补丁。

2012-05-04 08:28:10

如何保护云原生应用程序
很多企业如今正在采用云原生设计模式,以使其业务运营实现现代化,并加快上市时间。云原生架构结合了微服务、容器、自动化持续集成(CI)持续交付(CD)管道、容器编排、统一可观察性和云计算基础设施等技术。

2021-10-11 09:00:00

云原生Kubernetes安全
如何选择大数据应用程序
为了充分利用大量的数据支出,供应商在各种不同的产品和服务上打上了“大数据”标签。这种产品的扩散会使组织很难找到合适的大数据应用程序来满足他们的需求。专家建议,企业开始选择大数据应用程序的一个好方法是精确地确定自己所需要什么类型的应用程序。

2018-02-27 13:45:01

如何开发物联网应用程序
专家们认为,到2020年,“物联网”将包括340亿台连接设备,这种颠覆性技术已经开始改变了几个行业,并首次出现在早期尝试者的家中。这就是为物联网创建新产品和应用程序可能成为全世界组织的金矿的原因。

2018-12-11 11:41:14

物联网应用程序IOT
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服