Linux 系统中LD_PRELOAD有哪些用处？

在 Linux 系统中，LD_PRELOAD是动态链接技术中提供的一个强大的扩展功能，允许在程序运行前优先加载指定的动态链接库，从而改变程序的行为，而无需修改程序源代码。

在实际的工作中，LD_PRELOAD的使用场景是非常多的，比如替换 linux 的内存分配器、故障注入、安全审计等。这篇文章我们来详细看看LD_PRELOAD的原理和使用方法。

LD_PRELOAD的工作原理

LD_PRELOAD 是一个环境变量，通过 LD_PRELOAD 这个环境变量指定的共享库可以覆盖其他库中的同名符号。利用这一特性，我们可以拦截某些库函数的调用，修改其行为，或者在调用前后插入一些代码。

我们接下来通过 LD_PRELOAD 实现在 open 函数的前后都注入一行打印。在这之前，我们需要介绍一些前置的知识。

dlsym 函数

dlsym 的作用是在一个已经打开的动态链接库中查找符号（函数或变量）的地址，定义如下：

void *dlsym(void *handle, const char *symbol);

其中 handle 是动态链接库句柄，symbol是要查找的符号名（函数或变量）。比如查找 printf 函数：

dlsym(RTLD_NEXT, "printf");

RTLD_NEXT 是一个特殊的标记，使用RTLD_NEXT时 dlsym 会从当前共享对象之后的下一个共享对象中查找 printf 函数的地址。

如果要能彻底理解 RTLD_NEXT，需要弄清楚动态链接库的加载顺序和内存映射，应该大部分同学接触不到，我这里先不展开。

先来看一下open函数的原始定义：

#include <fcntl.h> int open(const char *pathname, int flags, ... /* mode_t mode */ );

为了实现 open 函数的 hook，我们需要定义一个 open 函数的函数指针定义 orig_open ，用来接受 dlsym 函数的返回值。

int (*orig_open)(const char *, int, ...);

完整的代码如下：

#define _GNU_SOURCE #include <stdio.h> #include <dlfcn.h> #include <fcntl.h> int (*orig_open)(const char *, int, ...); int open(const char *filename, int flags, ...) { orig_open = dlsym(RTLD_NEXT, "open"); int mode = 0; // todo: get mode from varargs int result = orig_open(filename, flags, mode); fprintf(stderr, "[audit] open %s, fd: %d\n", filename, result); return result; }

把这个文件编译为open_hook.so文件：

gcc -shared -fPIC -o open_hook.so open_hook.c -ldl

用 LD_PRELOAD 加载，就可以拦截目标进程的文件访问，输出审计日志：

» LD_PRELOAD=./open_hook.so cat /etc/hosts [audit] open /etc/hosts, fd: 3 127.0.0.1 localhost.localdomain localhost ::1 localhost6.localdomain6 localhost6 ...

通过 LD_PRELOAD 审计，我们就可以记录 cat 命令读取和输出 /etc/passwd 文件的过程。

使用 LD_PRELOAD 做故障注入

我们可以修改内存分配函数的行为、模拟内存不足等异常情况，测试程序的健壮性。下面这段代码随机让 malloc 函数返回 ENOMEM 错误，看上层应用是否可以正确处理。

#define _GNU_SOURCE #include <dlfcn.h> #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <string.h> #include <errno.h> void *(*orig_malloc)(size_t); void *malloc(size_t size) { orig_malloc = dlsym(RTLD_NEXT, "malloc"); if (rand() % 3 == 0) { fprintf(stderr, "[fault] malloc(%ld) = NULL\n", size); errno = ENOMEM; return NULL; } void* result = orig_malloc(size); fprintf(stderr, "[audit] malloc(%ld) = %p\n", size, result); return result; }

此时我们执行LD_PRELOAD=./malloc_hook.so ps -ef会发现 ps 命令没有很好地处理 malloc 返回异常的情况，直接 panic 了。

而有些命令则很好的处理了，比如LD_PRELOAD=./malloc_hook.so ls命令。

使用 ld_preload 来做内存分析

默认的 Linux 内存分配器 ptmalloc 在性能和内存碎片方面表现不是很好，另外 profile 的功能很弱，可以尝试替换默认的内存分配器为 jemalloc 或者 tcmalloc。它们的原理都是 hook 系统 malloc、free 等内存申请释放函数的实现，增加 profile 的逻辑。

从源码编译 tcmalloc（github.com/gperftools/…） LD_PRELOAD 来 hook 内存分配释放的函数：

HEAPPROFILE=./heap.log HEAP_PROFILE_ALLOCATION_INTERVAL=104857600 LD_PRELOAD=./libtcmalloc_and_profiler.so java -jar xxx ..

启动过程中就会看到生成了很多内存 dump 的分析文件，接下来使用 pprof 将 heap 文件转为可读性比较好的 pdf 文件。内存申请的链路如下图所示：

通过这里可以看到绝大部分的内存申请都耗在了 Java_java_util_zip_Inflater_inflateBytes，接下来就可以进一步分析。

小结

有了 LD_PRELOAD 的能力，可以在不修改源码的情况下 hack 很多应用程序的功能，不过它也有一些限制：

• 不适用静态链接的程序。
• 要千万小心避免递归调用，比如在自定义的 malloc 函数中调用 printf 可能会再次调用 malloc，导致无限递归。可以使用 sprintf 而不是 printf 来避免这种情况。