一步一步走进Linux HOOK API(四)

最新推荐文章于 2024-03-19 15:18:56 发布
最新推荐文章于 2024-03-19 15:18:56 发布
阅读量504 收藏
点赞数
分类专栏: 逆向 文章标签: linux

一步一步走进Linux HOOK API()

这一节主要是讲述的是符号节.要怎么才能找到符号节呢,其实只要在上一期讲的遍历节头的时候,判断每一个节类型是不是SHT_SYMTABSHT_DYNSYM,那么相应的节就是一个符号节了,符号节存放的是一张符号表,符号表也是一个连续存储的结构数组.

那什么叫符号呢?编程过程中用到的变量和函数都可以称之为符号,一个ELF文件中并不只有一个符号节,通常是两个,一个叫动态节,打印名称为".dynsym",它的类型是SHT_DYNSYM,所有引入的外部符号在这里有所体现.另一个类型值为SHT_SYMTAB,名字为".symtab",它保存了所有有用的符号信息.

[cpp]  view plain  copy
  1. typedef struct  
  2. {  
  3.   Elf32_Word    st_name;     /* Symbol name (string tbl index) */  
  4.   Elf32_Addr    st_value;    /* Symbol value */  
  5.   Elf32_Word    st_size;     /  * Symbol size */  
  6.   unsigned char st_info;     /* Symbol type and binding */  
  7.   unsigned char st_other;    /* Symbol visibility */  
  8.   Elf32_Section st_shndx;    /* Section index */  
  9. } Elf32_Sym;  


st_name; 符号的名字索引

这个成员是一个符号表对应的字符串表中的一个偏移,对应的字符串表可以通过该节link成员获取得到.

st_value; 符号地址

该成员给出了相应的符号值,根据符号类型和用途,它可能是个内存地址或者绝对值

st_size; 符号的字节大小

如果是数据对象,可能给出该数据对象占用的大小,如果是函数,可能给出了函数指令占用的大小.

st_info; 符号的信息

这个成员有2部分组成,第四位用来表示符号的类型.高四位表示这个符号的绑定类型,对于从动态库引入的函数,这个字段就应该为STB_GLOBAL,表示这个符号是全局符号.elf.h,给出了如下2个宏,用来获取符号信息

[cpp]  view plain  copy
  1. #define ELF32_ST_BIND(val)   (((unsigned char) (val)) >> 4)  
  2. #define ELF32_ST_TYPE(val)   ((val) & 0xf)  
  3. #define ELF32_ST_INFO(bind, type)   (((bind) << 4) + ((type) & 0xf))  

st_other; 此字段恒为0

st_shndx; 每个符号和某些节相关,这个字段给出了一个节头的索引.如果函数体所在的节不存于当前文件中,此字段为0.

下面就通过代码来看一下,怎么获取这些符号节表的信息.

代码写的不是很好,请主要关注怎么去获取这些信息~~

示例代码:

[cpp]  view plain  copy
  1. void display_dynsym(Elf32_Ehdr *ehdr,Elf32_Shdr *shdr)  
  2. {  
  3. Elf32_Sym *symb = (Elf32_Sym *)((char*)ehdr + shdr->sh_offset);  
  4. int  symbSize = shdr->sh_size / sizeof(Elf32_Sym);  
  5. char    *symName = (char*)(((Elf32_Shdr *)((char*)ehdr + ehdr->e_shoff + shdr->sh_link * sizeof(Elf32_Shdr)))->sh_offset   
  6. + (char*)ehdr);  
  7. printf("symName = 0x%x\n",(char*)symName);  
  8. printf("symb = 0x%x\n",(char*)symb);  
  9. printf("symbSize = 0x%x\n",(char*)symbSize);  
  10. printf("Symbol table '.dynsym' contains %d entries:\n",symbSize);  
  11. int i = 0;  
  12. printf("%7s:%-8s%-6s%-8s%-7s%-9s%-4s%s\n","Num","Value","Size",  
  13. "Type","Bind","Vis","Ndx","Name");  
  14. for(i = 0; i < symbSize;i++){  
  15. printf("%7d:",i);  
  16. printf("%-8x",symb->st_value);  
  17. printf("%-8d",symb->st_size);  
  18. printf("%-6x",ELF32_ST_TYPE(symb->st_info));  
  19. printf("%-8x",ELF32_ST_BIND(symb->st_info));  
  20. printf("%-7x",symb->st_other);  
  21. printf("%-9d",symb->st_shndx);  
  22. printf("%s",symName + symb->st_name);  
  23. printf("\n");  
  24. symb++;  
  25. }  
  26. }  
  27. void display_sym(Elf32_Ehdr *ehdr,Elf32_Shdr *shdr)  
  28. {  
  29. Elf32_Sym *symb = (Elf32_Sym *)((char*)ehdr + shdr->sh_offset);  
  30. int  symbSize = shdr->sh_size / sizeof(Elf32_Sym);  
  31. char    *symName = (char*)(((Elf32_Shdr *)((char*)ehdr + ehdr->e_shoff + shdr->sh_link * sizeof(Elf32_Shdr)))->sh_offset   
  32. + (char*)ehdr);  
  33. printf("symName = 0x%x\n",(char*)symName);  
  34. printf("symb = 0x%x\n",(char*)symb);  
  35. printf("symbSize = 0x%x\n",(char*)symbSize);  
  36. printf("Symbol table '.symtab' contains %d entries:\n",symbSize);  
  37. int i = 0;  
  38. printf("%7s:%-8s%-6s%-8s%-7s%-9s%-4s%s\n","Num","Value","Size",  
  39. "Type","Bind","Vis","Ndx","Name");  
  40. for(i = 0; i < symbSize;i++){  
  41. printf("%7d:",i);  
  42. printf("%-8x",symb->st_value);  
  43. printf("%-8d",symb->st_size);  
  44. printf("%-6x",ELF32_ST_TYPE(symb->st_info));  
  45. printf("%-8x",ELF32_ST_BIND(symb->st_info));  
  46. printf("%-7x",symb->st_other);  
  47. printf("%-9d",symb->st_shndx);  
  48. printf("%s",symName + symb->st_name);  
  49. printf("\n");  
  50. symb++;  
  51. }  
  52. }  
  53. void displaySmby(Elf32_Ehdr *ehdr,Elf32_Shdr *shdr)  
  54. {  
  55. int py = ehdr->e_shstrndx * sizeof(Elf32_Shdr);  
  56. Elf32_Shdr *symtab = (Elf32_Shdr *)((char*)shdr + py);  
  57. char *szShdrName = (char*)(symtab->sh_offset + (char*)ehdr);  
  58. int i = 0;  
  59. for(i = 0; i < ehdr->e_shnum; i++){  
  60. if(shdr->sh_type == SHT_SYMTAB){  
  61. display_sym(ehdr,shdr);  
  62. }else if(shdr->sh_type == SHT_DYNSYM){  
  63. display_dynsym(ehdr,shdr);  
  64. }  
  65. shdr++;  
  66. }  
  67. }  
24号杀手
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hook技术简介
武天旭的博客
10-21 1015
# 一、Hook原理 Hook技术的本质就是劫持函数调用。但是由于处于Linux用户态,每个进程都有自己独立的进程空间,因此要实现Hook就必须先注入到所要Hook的进程空间,然后修改其内存中的进程代码,替换其过程表的符号地址。在Android中,一般是通过ptrace函数附加进程,然后向远程进程注人so库,从而达到监控以及远程进程关键函数挂钩。
linux应用hook实例(含源码分析)
啊渊的专栏
08-12 2422
函数地址替换是最简单的hook方式,在开发的时候发现C开发的程序和C++开发的程序hook还是有差别的。C开发的程序函数几乎是可以直接使用readelf查看,因此在查找函数偏移量的时候相对简单一些,但是如果是C++开发无法直接使用readelf命令查看函数地址,因此需要动态跟踪函数地址,找到函数偏移量然后针对该函数地址进行hook。..............................
ELF 格式详解
kunkliu的博客
03-19 3572
可重定位的目标文件(Relocatable)也就是通常称的目标文件,后缀为.o可执行文件(Executable)共享库(Shared Object)共享文件:也就是通常称的库文件,后缀为.so注1: Linux中的readelf命令可以查看ELF文件的详细信息注2:ELF文件只能在操作系统环境下运行,裸机环境运行的是BIN文件;编译器默认输出的文件格式是ELF格式,可以使用objcopy命令转化为BIN文件:将name.elf转化为name.bin文件armbinary。
elf section类型_ELF格式探析之三:sections
weixin_39639040的博客
01-12 360
前文链接:今天我们讲对目标文件(可重定位文件)和可执行文件都很重要的section。我们在讲ELF Header的时候,讲到了section header table。它是一个section header的集合,每个section header是一个描述section的结构体。在同一个ELF文件中,每个section header大小是相同的。(其实看了源码就知道,32位ELF文件中的sectio...
Linux hook系统调用使你文件无法删除
最新发布
chi's blog
03-19 999
hook技术在Linux系统安全领域有着广泛的应用,例如通过hook技术可以劫持删除文件的系统调用,从而使用户无法删除特定文件,也可以实现对系统网络,文件,进程等的监控。hook技术即钩子函数,钩子的本质是一段用以处理系统消息的程序,。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理(改变)该消息(如屏幕取词,监视日志,截获键盘/鼠标输入等),也可以不作处理而继续传递该消息,还可以强制结束消息的传递。
HOOKAPI)——进程防终止
02-26
这算是一个实战吧,做的一个应用需要实现进程的防终止保护,查了相关资料后决定用HOOKAPI的方式实现。起初学习HOOKAPI的起因是因为要实现对剪切板的监控,后来面对进程保护这样一个需求时,综合各方资料并自己动手...
linux api hook
03-28
演示linux api hook,我免费提供一下,希望对你有帮助。
apihook.rar_hook api
09-24
本程序是基于C++语言的Hook编程,主要是对API函数的Hook,对刚学钩子编程的朋友有很好的借鉴意义。
HOOKAPI.rar
03-25
C++ APIHOOK大全 强烈推荐 包含常用的示例:网络、注册表、文件、对话框、进程等HOOK API各种示例源代码
Linux API Hook
03-01
Linux HOOKAPI方面的资料甚少,新人很难走进Linuxhook的大门,本文全面讲解Linuxhookapi的全部实现过程,包括分析过程,涉及inject,相关技术也可以用在Android上。
linux系统下的各种hook方式\Linux内核hook系统调用
西京刀客
08-26 1万+
文章目录一、linux系统下的各种hook方式1. 函数指针hook2. 动态库劫持3. Linux系统调用劫持 hook4. 堆栈式文件系统5. LSM二、Linux内核hook系统调用 一、linux系统下的各种hook方式 在计算机中,基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流, Linux平台上常见的拦截: 修改函数指针。 用户态动态库拦截。 内核态系统调用拦截。 堆栈式文件系统拦截。 LSM(Linux Security Modules) 1. 函数
ELF PLT Hook 原理简述
Knight-ZXW的博客
12-30 2608
【无线平台】ELF PLT Hook 原理简述 简述 Android 是基于Linux的操作系统,因此在Android开发平台上,ELF是原生支持的可执行文件格式;ELF文件格式除了作为可执行文件,还可以作为共享库格式,也就是我们常见的so文件, 以及 object文件 (.o)、core dumps文件等。 GOT/PLT HOOK 是ELF 文件函数hook的一种实现机制,GOT/PLT Hook 主要用于实现替换某个SO的外部调用,它的优点是非常稳定,因此在生产环境通常使用这种实现方案。 GOT/PL
Linux之bind 函数(详细篇)
小菜鸡也要敲代码的博客
09-13 783
前面讲过,struct sockaddr *是一个通用指针类型,addr参数实际上可以接受多种协议的sockaddr结构体,而它们的长度各不相同,所以需要第三个参数addrlen指定结构体的长度。首先将整个结构体清零,然后设置地址类型为AF_INET,网络地址为INADDR_ANY,这个宏表示本地的任意IP地址,因为服务器可能有多个网卡,每个网卡也可能绑定多个IP地址,这样设置可以在所有的IP地址上监听,直到与某个客户端建立了连接时才确定下来到底用哪个IP地址,端口号为6666。
一步一步走进Linux HOOK API(一)
热门推荐
LvAppの嵌入式
03-12 1万+
最近我查阅很多参考资料.发现对于讲述Linux HOOK API的资料是很少,让我们这些新人难以去走进Linux HOOK大门.在这里我将全面的讲述Linux HOOK API的全部实现过程,这个过程中我也遇到很多坎坷,所以在这么写下这份教程.让大家都来进入HOOK的神秘世界. 不要认为HOOK API是windows的专利(PS.其实我以前就是这么认为的.哈哈....),其实在Linux中也有
Linux hook 技术一个简单demo分析
weixin_42136255的博客
08-10 694
hook技术分享
linux hook方法整理
jinking01的专栏
09-06 1383
linux上使用hook的方法总结
ELF文件类型 ELF程序头 ELF节头 ELF符号
kernweak的博客
09-12 1956
ELF文件类型 首先ELF文件可以被标记为以下几个类型: ET_NONE:未知类型。 ET_REL:重定位文件,类型标记为relocatable意为着该文件被标记为了一段可重定位的代码段,有时也称为目标文件。可重定位目标文件通常是还未被链接到可执行程序的一段位置独立的代码。编译完是.o的格式。 ET_EXEC:可执行文件,类型为executable,表明这个文件被标记为可执行文件。这种类型被...
ELF文件系列第篇ELF文件静态结构中的字符串表和符号表
u011298001的博客
12-11 3140
默认字符串表 这节描述默认字符串表。字符串表中包含有若干个以’null’结尾的字符串。在ELF文件中,这些字符串通常是符号的名字或者节的名字。当ELF文件的其它部分需要引用某个字符串时,只需要提供该字符串在字符串表中的序号即可。 字符串表中的第一个字符串(序号为 0)永远是”null”,它用于表示一个空的名字或者没有名字。所以,字符串表的第一个字节是’null’。字符串表也可以是空的,不含有任...
delphi hook api
12-24
Delphi Hook API是一种在Delphi编程语言中用于实现钩子程序的一套应用程序编程接口。通过使用Hook API,可以在Windows操作系统中拦截和修改应用程序的消息或事件流。这样可以实现一些非常有趣的和功能丰富的功能,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值