继“[原创]开源一个Linux内核里进程内存管理模块源码” 的后续文章

地址：[原创]开源一个Linux内核里进程内存管理模块源码

前言

使用ollvm编译Linux内核驱动模块.ko的正确方法、解决ollvm编译导致加载驱动报错“please compile with -fno-common”

此问题很久之前就已解决了，库存了挺久了，是时候发布一下吧~

起因

在编写好Linux内核驱动模块后，经过OLLVM混淆编译出来（这里我采用OLLVM9.0.1编译）。再加载进真机手机发现报错“please compile with -fno-common”（不要问我是如何Pass掉内核里验证，此问题不在此文章的讨论范围内）

分析

可以确定的是这个错误，肯定是内核报出来的，不是我的驱动报的。随便下载一份Linux内核源码，很快就定位到了报错点在/kernel/module.c文件里

通过分析ELF结构可以得知COM的意思：

• STT_COMMON
  The symbol labels an uninitialized common block. See below for details.

检查.ko文件的ELF头发现确实有一大堆的COM变量，而且规律可循，每有一个混淆函数，就会带有两个COM变量，分别为x、y。这里猜测是ollvm每混淆出来的一个函数，都需要附带两个4字节全局变量才可正常执行，这两个4字节变量叫x、y。

解决

每让ollvm混淆一个函数，自己就在源文件新建两个4字节的变量后期替换掉ollvm编译后的两个COM，如
int fake_x=0,fake_y=0;

这里变量名我随便取，取xaa3和xaa6

可以发现，自己在源文件里面定义的变量，是没有COM这个标识的，反而变成了17，那就非常好办了，修改ELF头，替换掉OLLVM编译的COM变量指向，因为自己在源文件里定义的两个int变量并无任何用途，所有替换是没有问题的。

这里写一个小工具来替换COM变量：
GitHub

替换后的效果：

COM标志已消失。

尝试重新跑驱动：

验证混淆：

拖进IDA，看看效果

下雨一样很壮观。

大部分去除OLLVM混淆的工具都离不开一个特点，就是模拟运行，但此Linux内核驱动，首先是采用非常规手段编译出来的驱动文件，再者，目标真机手机的内核是官方最新的ROM包里的内核（非自己编译的内核，官方最新的ROM里的内核都是不开放源码的，要么开源的都是第一版很旧很旧那种，想调试？死心吧），然后我采用的是非常规手段加载启动的Linux内核驱动（正常方法不行哈哈，因为会死机，我也不知道原因，懒得去查了，反正特殊方法能启动，所以想调试？很难哟）。

破解者想要去除此驱动的混淆，只能静态去混淆，但目前好像还没看到有？。反正动态调试此驱动是几乎不可能的了。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课