1.一种简单加载vulkan动态库的方法
2.如何正确的使用静态链接库和动态链接库
3.针对macOS盗版UltraEdit恶意软件的深度技术剖析
一种简单加载vulkan动态库的方法
在适配国产Linux环境的vulkan应用时,常需面对系统自带libvulkan.so.1但缺失libvulkan.so的困境。若系统源缺少vulkan SDK或loader,需手工下载并编译,步骤繁琐且涉及依赖安装与CMake升级。为简化流程,安卓群控系统源码实现快速测试vulkan兼容性和调试应用,本文提出一种简易加载vulkan动态库的方法,无需安装vulkan SDK或loader,直接利用系统中自带的libvulkan.so.1。
基本原理在于初始化阶段,通过dlopen和dlsym加载vulkan动态库中的api函数指针,应用程序直接调用这些api。本文采用了一个开源的动态库加载工具dylib,支持多系统平台。以vkCreateInstance函数地址的加载为例,需注意vkCreateInstance在vulkan_core.h中的声明被宏VK_NO_PROTOTYPES括起。在CMake中添加该宏定义(add_definitions(-DVK_NO_PROTOTYPES)),阻止vulkan_core.h对原生vk api进行声明。加密备录源码这样,可在load.h中对原生vulkan api进行声明,实现动态库加载。
整个load.h源码示例如下,应用于app初始化时调用vk_loader_init(),实现vulkan动态库中所有函数地址的加载。测试demo项目的地址提供于此。
如何正确的使用静态链接库和动态链接库
动态库和静态库
在Win下,动态库以.dll结尾,静态库以.lib结尾。
在Linux下,动态库文件以.so结尾,静态库以.a结尾。
在Mac下,动态库以.dylib结尾,静态库以.a结尾。
动态库的优势和劣势
动态函数库在编译的时候并没有被编译进目标代码中,你的茶叶商城demo源码程序执行到相关函数时才调用该函数库里的相应函数,因此动态函数库所产生的可执行文件比较小。由于函数库没有被整合进你的程序,而是程序运行时动态的申请并调用,所以程序的运行环境中必须提供相应的库。 动态函数库的改变并不影响你的程序,所以动态函数库的升级比较方便。
某个程序在运行时要调用某个动态链接库函数的时候,OS首先查看所有正在运行的进程,找找看是否已经有人载入了这个库。如果有的话,直接用。如果没有才会载入。这样的第一个优点就是节省内存空间。动态调入意味着是等需要的时候才调入内存,而不是不管用不用都要先放到内存里来。
我如果想要升级某个软件。如果升级的位置是在dll里,那软件其他的展开收起源码部位不需要重新编译链接。所以升级方便。
静态库的优势和劣势
利用静态函数库编译成的文件比较大,因为整个函数库在编译时都会被整合进目标代码中,他的优点就显而易见了,即编译后的执行程序不需要外部的函数库支持,因为所有使用的函数都已经被编译进去了。当然这也会成为他的缺点,因为如果你静态链接的函数库改变了,那么你的程序必须重新编译。
代码更精简,因为不必做版本检查。
程序分发时文件个数少,因为静态链接到源文件里了。
只编译进来库中所用的部分,而不用整个库。
生成的binary占空间更大。
重复的库可能出现在多个进程,浪费内存。文字时钟屏保源码
库内部更新的话需要重新编译binary。
Linux平台的静态库
静态库的生成静态库的链接
Linux平台的动态库
动态库的生成动态库的链接
Windows平台的静态库
静态库的生成/MT 使用 LIBCMT.lib 编译以创建多线程可执行文件。生成静态库lib。
静态库的链接1、在使用链接库的代码开头加入,第二行是要调用的链接库里的函数:
2、将要调用的链接库的lib放入项目源代码中,然后编译。(编译的时候不需要dll。这里把静态部分lib编译进了exe,但动态库dll还没用。)
3、运行之前要把dll放到exe目录下。
Windows平台的动态库
动态库的生成/MD 使用 MSVCRT.lib 编译以创建多线程 DLL。生成动态库。
动态库的链接1、 LoadLibrary(或MFC 的AfxLoadLibrary),装载动态库。
2、 GetProcAddress,获取要引入的函数,将符号名或标识号转换为DLL内部地址。
3、 FreeLibrary(或MFC的AfxFreeLibrary),释放动态链接库。
针对macOS盗版UltraEdit恶意软件的深度技术剖析
在近期,MalwareHunterTeam的专家揭露了一起涉及盗版macOS程序的恶意软件事件。该程序文件名是“ultraedit.dmg”,内含一个名为“libConfigurer.dylib”的恶意库。最初发现时间在年。本文将深入分析此次事件,从磁盘镜像文件入手,进而探讨恶意动态库的详细内容。
macOS用户熟悉UltraEdit,这是一款功能强大的文本与十六进制编辑器,支持大型文件编辑。然而,盗版版的UltraEdit应用程序隐藏着风险。在VirusTotal平台,该样本被数十家反病毒软件标记,但标记名称并不特定,如“Trojan.MAC.Generic”或“Trojan-Downloader.OSX.Agent”,这使得识别恶意软件类型变得困难。
通过加载磁盘镜像,我们发现该盗版程序被挂载至/Volumes/UltraEdit .0.0.,且无任何签名信息,而正版UltraEdit应用程序则包含合法签名。在盗版软件中寻找恶意组件,通常较为困难,特别是对于大型应用而言。然而,我们成功识别了一个名为“libConfigurer.dylib”的恶意组件。
该组件为无符号位(Intel)dylib库,也被VirusTotal平台标记。它被添加为依赖库,意味着当用户启动盗版UltraEdit时,此库会自动加载。通过反汇编工具,我们发现其中包含了一个名为initialize的构造器,执行此构造器后,会下载并执行名为download.ultraedit.info的代码。
下载的代码文件被转储为/tmp/.test和/Users/Shared/.fseventsd,文件内容通过解码后,似乎与已知的恶意软件Khepri相关联,这是一款基于Golang和C++开发的开源跨平台代理+后渗透工具。同时,libConfigurer.dylib从download.ultraedit.info下载的文件也包含了一些混淆的Mach-O源码。
进一步分析显示,.test文件似乎是恶意软件的一部分,它使用/usr/local/bin/ssh执行,这可能用于远程控制或数据传输。而.fseventsd文件则通过文件监控器实现持久化,每次用户登录时自动启动或重启。
总结此次事件,盗版UltraEdit应用程序不仅引入了恶意动态库,还通过网络下载和执行了额外的恶意代码。恶意软件组件通过混淆和持久化技术,增加了检测和移除的难度。在分析过程中,我们使用了多种工具,包括VirusTotal、otool、nm、反汇编工具等,以及第三方安全资源和开源工具,以获得更全面的理解和证据。
面对此类恶意软件,用户应避免下载和使用盗版软件,以保护系统安全。同时,持续监控和更新防病毒软件也是防范恶意软件的重要措施。尽管本文中详细介绍了此次事件的分析过程,但请注意,恶意软件的变种和更新不断,因此保持警惕和采用多层安全防护策略是应对恶意软件的关键。最终,确保系统的安全性,避免遭受潜在的威胁。