ELF Hook原理

最新推荐文章于 2021-05-29 04:49:13 发布
最新推荐文章于 2021-05-29 04:49:13 发布
阅读量6.1k 收藏 2
点赞数
分类专栏: Android 文章标签: APIHook ELFHook PLT GOT Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wadahana/article/details/51068119
版权


首先写一段C代码,用arm-linux-androideabi-gcc 编译成可执行文件:



图1. C代码Demo

arm-linux-androideabi-objdump -D 反汇编出所有的段,下面的截图,只截取我们感兴趣的几个段:


     .text 的<main>
     .plt 的 <strlen@plt>
     .got
     .rodata
     .data

1. int b = strlen(helloworld); 函数重定位:

     <main>:0x384 中的指令 bl 294   对应C代码中的strlen(helloworld);
     bl 294 的机器码是 eb ff ff ff c2, 其中 高8位 eb 是条件跳转指令,低24位是相对于当前PC的偏移地址,   偏移地址 = (目的地址 - 当前PC) >> 2 
     当前PC 等于当前指令的地址 + 8 所以:offset = (0x294 - (0x384+0x8)) >> 2

    (0x294 - ( 0x384 +  0x8) ) = 0xF8,  用24位补码表示就是FFFF08, 算术右移2位就是FFFFC2

    然后<strlen@plt>:294 位置 三条汇编指令,等价于 ip = pc + 0 ,  ip = ip + 0x1000, pc = [ip + 0xd60]
    也就是 将 (0x294 + 0x8) + 0x1000 + 0xd60 = 0x1FFC 指向的内存区的值取出来 赋给PC

    我们来看0x1FFC 是在 <_GLOABLE_OFFSET_TABLE>中的表项,内容是0x268, <__libc_init@plt-0x14>的地址,这个应该就是作lazy load用。
    再来看0x1FFC地址,图三中 .rel.plt 表 strlen函数对应的offset值。
    
2. int a = g_strlen(helloworld); 全局函数变量的重定位:
    对应的汇编代码在  <main>:0x368-0x378, 写成伪代码如下:

    0x368: r3 = [0x3a0] = 0x1c8c
    0x36c: r3 = pc + 0x1c8c =  0x36c + 0x08+ 0x1c8c = 0x2000
    0x370: r3 = [r3] = [0x2000]
    0x378: call r3 

    图三.rel.dyn 表中 offset = 0x2000 对应的sym name 为strlen. 
    图二中最后一行也可以看到对应0x2000 的值是0, 当linker链接后会置为符号strlen的实际地址.



图2. 反汇编代码



图3. ELF Header


[libElfHook Demo :  https://github.com/wadahana/ElfHook]

[ref : http://blog.csdn.net/l173864930/article/details/40507359]

wadahana
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HOOK原理详解
10-26
对大多数的Windows开发者来说,如何在Win32系统中对API函数的调用进行拦截一直是项极富挑战性的课题,因为这将是对你所掌握的计算机知识较为全面的考验,尤其是一些在如今使用RAD进行软件开发时并不常用的知识,这包括了操作系统原理、汇编语言甚至是机器指令(听上去真是有点恐怖,不过这是事实)。 当前广泛使用的Windows操作系统中,像Win 9x和Win NT/2K,都提供了一种比较稳健的机制来使得各个进程的内存地址空间之间是相互独立,也就是说一个进程中的某个有效的内存地址对另一个进程来说是无意义的,这种内存保护措施大大增加了系统的稳定性。不过,这也使得进行系统级的API拦截的工作的难度也大大加大了。 当然,我这里所指的是比较文雅的拦截方式,通过修改可执行文件在内存中的映像中有关代码,实现对API调用的动态拦截;而不是采用比较暴力的方式,直接对可执行文件的磁盘存储中机器代码进行改写。
基于AndroidELF PLT/GOT符号重定向过程及ELF Hook实现(by 低端码农 2014.10.27)
热门推荐
简行之旅
10-27 2万+
基于AndroidELF PLT/GOT符号重定向过程及ELF Hook实现——by 低端码农 2014.10.27 引言 写这篇技术文的原因,主要有两个: 其一是发现网上大部分描述PLT/GOT符号重定向过程的文章都是针对x86的,比如《Redirecting functions in shared ELF libraries》就写得非常不错。虽然其过程跟ARM非常类似,但由于C
ELF文件介绍及hook
jinxinliu1的专栏
06-01 1070
1.参考《Linux C 一站式编程》有一章专门讲ELF文件格式的。 2.基于AndroidELF PLT/GOT符号重定向过程及ELF Hook实现,此文是讲ELF hook的实现    看一下PLT表和GOT表的原理
Android elf hook的方式
DaoDivDiFang的博客
01-02 923
got/plt hook 自己写了之后觉得,gotplt应该分开更好一些。got hook有爱奇艺的xhook,个人或者github上一些开源的got hook。爱奇艺说是plt hook,个人觉得很疑惑,看实现也是替换got表中的地址值,和plt没太大关系吧。 plt hook我知道的应该是Facebook:https://github.com/facebookincubator/profil...
android adbi hook elf 运行过程,[原创] ELF Hook总结与代码实现
weixin_31006689的博客
05-29 195
博客:www.wireghost.cnELF Hook总结与代码实现什么是HookHook,中文又译为“挂钩”或“钩子”。这里可以首先从字面上做了解,钩子是干什么的呢?日常生活中,我们的钩子是用来钩住某种东西的,比如说,鱼钩是用来钓鱼的,一旦鱼咬了钩,钩子就一直钩住鱼了,任凭鱼在水里怎么游,也逃不出鱼钩的控制。同样的,Android、IOS中的钩子Hook也是用来钩东西的,比较抽象的是它是用来钩函...
linux x86平台elf 进程注入so并且实现基于rel的hook ubuntu14.01测试通过
08-21
linux x86平台elf 进程注入so并且实现基于rel的hook ubuntu14.01测试通过
elf_hook_with_c_ELFfileformat_elf_slabsli9_
09-29
debug elf file programmaticlly
Understanding_ELF.pdf
05-01
有需要的没有积分的,可以发邮件[email protected],我发给... ELF 格式解析,基于ELF规范v1.2版本。 版权方为:E-mail: [email protected] 备用邮箱及MSN:[email protected] 作者赵凤阳 现就职于爱立信(Ericsson)。
elf.rar_elf
09-24
Start off with user-visible constants.
Elf-Hook持续记录中
weixin_30436101的博客
04-04 81
Elf32_rel保存的是重定向的数据 typedef struct elf32_rel { Elf32_Addr r_offset;     // 重定位入口偏移 Elf32_Word r_info;      // 入口符号和类型,高8位表示入口类型,低24位表示索引idx      } Elf32_Rel;hook导入函数需要修改relplt结构hook...
ELFHooker-master.zip
10-25
# ELFHooker 基于EFL文件格式Hook的demo,hook了SurfaceFlinger进程的eglSwapBuffers函数,替换为new_eglSwapBuffers。 兼容Android 32位和64位。
ELF PLT Hook 原理简述
Knight-ZXW的博客
12-30 2614
【无线平台】ELF PLT Hook 原理简述 简述 Android 是基于Linux的操作系统,因此在Android开发平台上,ELF是原生支持的可执行文件格式;ELF文件格式除了作为可执行文件,还可以作为共享库格式,也就是我们常见的so文件, 以及 object文件 (.o)、core dumps文件等。 GOT/PLT HOOKELF 文件函数hook的一种实现机制,GOT/PLT Hook 主要用于实现替换某个SO的外部调用,它的优点是非常稳定,因此在生产环境通常使用这种实现方案。 GOT/PL
ELF文件及android hook原理
明潮的BLOG
07-12 695
ELF文件装载链接过程及hook原理ELF文件格式解析可执行和可链接格式(Executable and Linkable Format,缩写为ELF),常被称为ELF格式,在计算机科学中,是一种用于执行档、目的档、共享库和核心转储的标准文件格式。ELF文件主要有四种类型:可重定位文件(Relocatable File) 包含适合于与其他目标文件链接来创建可执行文件或者共享目标文件的代码和数据。可执...
Inline_Hook
kernweak的博客
09-03 466
Inline Hook jmp 到没用的地方 pushad,pushfd, 做自己的事 popfd,popad. 加上被覆盖的代码 jmp 到被覆盖代码的下一行 注意点 位置的选择: &amp;lt;1&amp;gt; JMP/CALL指令至少占用5个字节 &amp;lt;2&amp;gt; 绕开全局变量,因为全局变量的硬编码会随着指令变 &amp;lt;3&amp;gt; 根据业务来决定在哪里HOOK:过滤参数...
python学习导航.txt
05-06
python
node-v8.3.0-linux-s390x.tar.xz
最新发布
05-06
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
嵌入式微处理器设计及应用
05-06
摘要:为满足智能家居座椅的交互式运动控制需求,基于AT89S52设计了嵌入式座椅运动控制系统。使用VB.net设计了游戏手柄按键读取软件,并在此基础上设计了座椅运动控制软件,软件可分别在“手柄模式”和“鼠标模式”下与嵌入式座椅运动控制器通信,进而控制座椅进行加速、减速、正转和反转等运动;构建了控制系统实验装置,实验结果表明,“鼠标模式”下,通过鼠标点击控制软件上功能按钮可实现对座椅的准确运动控制;“手柄模式”下,游戏手柄不仅可控制座椅运动,还可同步控制电脑上运行的游戏或远程遥控车,实现浸入感较强的座椅运动娱乐应用。
2024年中国NFC RFID阅读器行业研究报告.docx
05-06
2024年中国NFC RFID阅读器行业研究报告
elf_inject
01-01
Elf_inject是一种恶意软件注入技术。它提供了一种将恶意代码注入到ELF(Executable and Linkable Format,可执行和可链接格式)文件中的方法,以实现对目标系统的攻击或控制。Elf_inject主要用于对Linux系统进行攻击,但在某些情况下也可用于其他操作系统。 Elf_inject的工作原理是通过修改目标ELF文件的代码段或数据段来实现注入恶意代码的目的。具体而言,它会将恶意代码插入到目标文件中的某个已存在的段或新创建的段中。恶意代码可以用来实现各种攻击行为,例如窃取敏感信息、植入后门、修改系统配置等。 为了实现注入,恶意软件通常会先寻找目标ELF文件中的一个合适的段,然后在该段中插入恶意代码。注入完成后,恶意代码就会融入到目标ELF文件中,并在被执行时被加载到内存中。注入后,恶意代码就可以在目标系统中进行活动,并可能对系统造成各种危害。 为了保护系统免受Elf_inject的攻击,可以采取一系列防御措施。首先,加强系统的安全性,包括及时更新和修补操作系统和软件漏洞,使用防火墙和入侵检测系统等。其次,限制可执行文件的访问权限,只允许可信的应用程序执行。此外,定期进行系统检查和杀毒扫描,以便及时发现和清除任何潜在的感染。 总之,Elf_inject是一种注入恶意代码的技术,用于对目标系统进行攻击或控制。为了保护系统免受此类攻击,用户应加强系统的安全性,并采取相应的防御措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值