在Linux中拦截文件打开事件

听起来你的处境很麻烦。下面简要提到的大多数解决方案都保证会干扰SELinux,所以不要相信我的话。

使用调试自己的进程 strace 拦截 open

seccomp bpf是另一种可能性。可能在较旧的安卓版本上不可用,但由于安卓O seccomp将成为安卓安全装备的保证部分。拦截 打开 在仅警告模式下,当发生有趣的事情时(通过调试或信号),将控制权交还给自己。

/data/anr/traces.txt 是按需打开的,您应该能够通过观看 /proc/self/fd/

打开 发生的系统调用(strace源代码可能有助于strace/seccomp解决方案,readlink for /过程/自/故障诊断/ )并付诸行动(dup2,正如你已经提到的)。

“只写日志文件”在库内硬编码

mprotect 和 PROTECT_EXEC 特别是受到了严格限制,但至少mmap肯定是允许的(以支持JIT编译器等)。也许可以编写一些东西来就地编辑字符串常量(只要这样做是可能的并且允许的,我自己也不确定)。

一个更通用的解决方案很快就会接近联合文件系统,要正确使用它相当困难。即使是在内核联合文件系统中, overlayfs ,无法提供完整的POSIX语义。

您需要LD\U预加载来挂接应用程序。要钩住第三方库,只需在库之前加载钩子(或将其放在可执行文件中)。

假设库调用 open 来自libc,而不是直接对应的系统调用,并且它以正常方式链接,您只需要一个名为 打开 在代码中的某个地方。拨打电话 打开 来自libc( RTLD_NEXT 打开 功能符号。