描述
   攔截Linux動(dòng)態(tài)庫API的常規(guī)方法，是基于動(dòng)態(tài)符號鏈接覆蓋技術(shù)實(shí)現(xiàn)的，基本步驟是
    1. 重命名要攔截的目標(biāo)動(dòng)態(tài)庫。
    2. 創(chuàng)建新的同名動(dòng)態(tài)庫，定義要攔截的同名API，在API內(nèi)部調(diào)用原動(dòng)態(tài)庫對應(yīng)的API。這里的同名是指與重命名前動(dòng)態(tài)庫前的名稱相同。
   顯而易見，如果要攔截多個(gè)不同動(dòng)態(tài)庫中的API，那么必須創(chuàng)建多個(gè)對應(yīng)的同名動(dòng)態(tài)庫，這樣一來不僅繁瑣低效，還必須被優(yōu)先鏈接到客戶二進(jìn)制程序中（根據(jù)動(dòng)態(tài)庫鏈接原理，對重復(fù)ABI符號的處理是選擇優(yōu)先鏈接的那個(gè)動(dòng)態(tài)庫）。 另外在鉤子函數(shù)的實(shí)現(xiàn)中，若某調(diào)用鏈調(diào)用到了原API，則會(huì)引起死循環(huán)而崩潰。本方法通過直接修改ELF文件中的動(dòng)態(tài)庫API入口表項(xiàng)，解決了常規(guī)方法的上述問題。

特點(diǎn)
   1. 不依賴于動(dòng)態(tài)庫鏈接順序。
   2. 能攔截多個(gè)不同動(dòng)態(tài)庫中的多個(gè)API。
   3. 支持運(yùn)行時(shí)動(dòng)態(tài)鏈接的攔截。
   4. 鉤子函數(shù)內(nèi)的實(shí)現(xiàn)體，若調(diào)用到原API，則不會(huì)死循環(huán)。

---

實(shí)現(xiàn)
   攔截映射表
      為了支持特點(diǎn)2和3，建立了一個(gè)攔截映射表，這個(gè)映射表有2級。第1級為ELF文件到它的API鉤子映射表，鍵為ELF文件句柄，值為API鉤子映射表；第2級為API到它的鉤子函數(shù)映射表，鍵為API名稱，值為包含最老原函數(shù)地址和最新鉤子函數(shù)地址的結(jié)構(gòu)體，如下圖
      當(dāng)最先打開ELF文件成功時(shí)，會(huì)在第1級映射表中插入記錄；反之當(dāng)最后關(guān)閉同一ELF文件時(shí)，就會(huì)從中移除對應(yīng)的記錄。當(dāng)?shù)谝淮螔煦^動(dòng)態(tài)庫API時(shí)，就會(huì)在第2級映射表插入記錄；反之卸鉤同一API時(shí)，就會(huì)從中刪除對應(yīng)的記錄。

   計(jì)算ELF文件的映像基地址
      計(jì)算映像基地址是為了得到ELF中動(dòng)態(tài)符號表和重定位鏈接過程表的內(nèi)容，因?yàn)檫@些表的位置都是相對于基地址的偏移量，該算法在打開ELF文件時(shí)執(zhí)行，如下圖
      EXE文件為可執(zhí)行文件，DYN文件為動(dòng)態(tài)庫。對于可執(zhí)行文件，映射基地址為可執(zhí)行裝載段的虛擬地址；對于動(dòng)態(tài)庫，可通過任一API的地址減去它的偏移量得到，任一API的地址可通過調(diào)用libdl.so庫API dlsym得到，偏移量通過查詢動(dòng)態(tài)鏈接符號表得到。

   打開ELF文件
      為了支持特點(diǎn)2即攔截不同動(dòng)態(tài)庫的多個(gè)API，節(jié)省每次掛鉤API前要打開并讀文件的開銷，獨(dú)立提供了打開ELF文件的接口操作，流程如下圖
      若輸入ELF文件名為空，則表示打開當(dāng)前進(jìn)程的可執(zhí)行文件，此時(shí)要從偽文件系統(tǒng)/proc/self/exe讀取文件路徑名，以正確調(diào)用系統(tǒng)調(diào)用open。當(dāng)同一ELF文件被多次打開時(shí)，只須遞增結(jié)構(gòu)elf的引用計(jì)數(shù)。

   掛鉤API
      當(dāng)打開ELF文件后，就可掛鉤API了，流程如下圖
      當(dāng)?shù)谝淮螔煦^時(shí)，需要保存原函數(shù)以供后面卸鉤；第二次以后繼續(xù)掛鉤同一API時(shí)，更新鉤子函數(shù)，但原函數(shù)不變。   
   
   卸鉤API
      當(dāng)打開ELF文件后，就可卸鉤API了，流程如下圖

   關(guān)閉ELF文件
      因?yàn)樘峁┝舜蜷_ELF文件的接口操作，所以得配有關(guān)閉ELF文件的接口操作。當(dāng)不需要掛鉤API的時(shí)候，就可以關(guān)閉ELF文件了，流程如下圖

---

運(yùn)行時(shí)動(dòng)態(tài)攔截裝置
   在初始化模塊中打開當(dāng)前可執(zhí)行文件，掛鉤libdl.so庫的API dlopen和dlsym；在轉(zhuǎn)換模塊中，按動(dòng)態(tài)庫句柄和API名稱在攔截映射表中查找鉤子函數(shù)，若找到則返回鉤子函數(shù)，否則返回調(diào)用dlsym的結(jié)果；在銷毀模塊中，卸鉤dlopen和dlsym。
當(dāng)動(dòng)態(tài)庫被進(jìn)程加載的時(shí)候，會(huì)調(diào)用初始化模塊；當(dāng)被進(jìn)程卸載或進(jìn)程退出的時(shí)候，會(huì)調(diào)用銷毀模塊；當(dāng)通過dlsym調(diào)用API時(shí)，則會(huì)在dlsym的鉤子函數(shù)中調(diào)用轉(zhuǎn)換模塊。通過環(huán)境變量LD_PRELOAD將動(dòng)態(tài)庫libhookapi.so設(shè)為預(yù)加載庫，這樣就能攔截到所有進(jìn)程對dlopen及dlsym的調(diào)用，進(jìn)而攔截到已掛鉤動(dòng)態(tài)庫API的調(diào)用。