一种hook libc库函数的简易方案

最新推荐文章于 2022-11-11 09:20:00 发布
最新推荐文章于 2022-11-11 09:20:00 发布
阅读量3.9k 收藏 4
点赞数 4
分类专栏: 技术小白 文章标签: HOOK Android LIBC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wonderdaydream/article/details/74349403
版权

一、概述

有时候我们分析/逆向ELF文件时,可能想直接运行ELF看看效果,同时又想捕获ELF文件用了哪些字符串、回连地址&端口、操作了哪些文件等等特征信息。这时我们可以巧妙的借用LD_PRELOAD,来实现一种简易的hook libc库函数方案来打印我们想要的特征信息。

当然我们还可以用APK/ELF沙箱、HOOK等方式捕获更加详细的信息,我们这里不讨论,只就LD_PRELOAD来简单介绍。

二、LD_PRELOAD介绍

它允许你定义在程序运行前优先加载的动态链接库,用于有选择性的载入不同动态链接库中的相同函数。使用这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库重写

三、简易方案

1:初始化

在初始化阶段,主要工作:获取原始目标函数地址、获取配置文件信息等。设置_main()为构造函数,优于其它函数之前执行

// .init
__attribute__((constructor))
void _main()
{
    init();
}

接着,用dlsym获取目标libc函数原始地址。

typedef int (*PFN_connect)(int, const struct sockaddr *, socklen_t);

#define ADDFUNC( FUNCTYPE, SYMBOL ) (FUNCTYPE)getFuncAddr(SYMBOL)

void *LibcHelper::getFuncAddr( const char*  symbol ) 
{
    if ( symbol == NULL ) {
        return NULL;
    }
    void * handle = dlsym( libcHandle, symbol );
    if ( handle == NULL ) {
        LOGPRINT( "[-]dlsym fail: ", ".s", symbol );
    }
    return handle;
}

int LibcHelper::init()
{
    libcHandle = dlopen( "/system/lib/libc.so", RTLD_NOW|RTLD_GLOBAL );
    if ( !libcHandle ) {
        LOGPRINT( "Load libc fail.");
        return -1;
    }

    pfnConnect = ADDFUNC(PFN_connect, "connect" );              
    return 0;
}

2:实现hook函数

这是hook函数的主体部分,实现一个跟libc导出函数一致的函数。

int connect(int sockfd, const struct sockaddr *addr, socklen_t addrlen) {
    LOGFUNC();
    // 获取原connect地址
    PFN_connect org_connect = LibcHelper::getInstance().getConnect();
    if ( org_connect != NULL ) {
        // 先调用原connect函数
        int ret = org_connect( sockfd, addr, addrlen );
        struct sockaddr_in *addr_in = (struct sockaddr_in *)addr;
        std::ostringstream s;
        if ( addr_in->sin_family == 1 ) {
            struct sockaddr_un *sun = (struct sockaddr_un *)addr;
            s << "unix://" << sun->sun_path;
        }
        else {
            s << "ip://" << inet_ntoa(addr_in->sin_addr) << ":" << ntohs(addr_in->sin_port);
        }
        // 过滤无效目标,只对特定进程输出日志
        if ( CheckUtils::checkShowInfo() ) {
            // 记录到日志文件中
            LOGPRINT( "connect",
                "sockfd", sockfd,
                "addr", addr,
                "addrlen", addrlen,
                ret );
        }
        return ret;
    }
    LOGPRINT( "connect fail");
    return -1;
}

3:测试

设置LD_PRELOAD环境变量的值为我们的so文件

adb push libcc.so /data/local/tmp
export LD_PRELOAD=/data/local/tmp/libcc.so

在这个shell中执行目标ELF文件,查看日志文件即可获取详细信息

这里写图片描述

四、问题

1:这种方法暂时不能直接适用于静态编译的ELF文件

一个idea:参考IDA识别静态函数的方式 不知是否可行?

2:垃圾信息太多,需要过滤

只对特定的进程(process name)、路径等才输出到日志文件
gambolday
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
一个拦截socket 的hook
05-02
截取socket的hook源码.实现了截取所有windows的网络数据包。仅供学习参考
录播课丨一站式学习HOOK
01-26
直播录播课回放
Linux Hook方法
vspiders的博客
09-13 1114
linux hook是一个非常常见且成熟的技术,用户态Hook的方法有很多中,本次主要记录下LD_PRELOAD动态链接库劫持方法。 LD_PRELOAD是一个全局变量,linux程序在运行时会优先加载该路径变量下的动态链接库,因此我们只需要通过设置LD_PRELOAD加载我们编写的同名函数,后续的加载过程中就会忽略后面的同名函数,从而完成对系统库的劫持。 一般情况下linux动态加载库的顺序为LD_PRELOAD>LD_LIBRARY_PATH>/etc/ld.so.cache>/l
Android 逆向】ART 函数抽取加壳 ④ ( 对 libc.so#execve 函数进行内联 HOOK 操作 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-24 1039
一、对 libc.so#execve 函数进行内联 HOOK 操作
linux 系统调用 hook 总结
whatday的专栏
09-02 4925
1. 系统调用Hook简介 系统调用属于一种软中断机制(内中断陷阱),它有操作系统提供的功能入口(sys_call)以及CPU提供的硬件支持(int 3 trap)共同完成。 我们必须要明白,Hook技术是一个相对较宽的话题,因为操作系统从ring3到ring0是分层次的结构,在每一个层次上都可以进行相应的Hook,它们使用的技术方法以及取得的效果也是不尽相同的。本文的主题是"系统调用的Hoo...
学习笔记-libc框架层的Hook利用
人饭子的博客
11-11 566
系统框架层native hook libc函数符号hook libc函数参数、返回值打印和替换 主动调用libc读写文件 hook linker dlopen frida-trace 引入例子,先hook pthread这个libc函数,流程个人理解是,先看函数是否导出,如果导出可以直接使用frida api获得函数地址,至于是否导出,objection安排上,没导出,那就直接枚举so的...
libc[stdc++]:malloc[new]:hook的实现, 所有的hook函数指针都是弱符号,可以自己手动定义
mzhan017的博客
12-03 767
每个memory相关的函数都会调用到这个函数,但是是单例模式,只要是之前初始化过,就不再初始化。 static void ptmalloc_init (void) { if (__malloc_initialized >= 0) return; static void turn_on_mcheck (void) { mcheck (NULL); } void (*__malloc_initialize_hook) (void) = turn_on_mcheck; ptma
Linux 动态库hook注入
lxb122435677的博客
08-02 3181
由于工作上的需要,之前只是对大概的原理了解,现对此进行详细的分析。 涉及到的关键API以及数据结构: 1. ptrace PTRACE_ATTACH:挂载到指定的pid进程上 PTRACE_GETREGSET:读取目标进程的寄存器 PTRACE_POKETEXT:复制一个word的数据 PTRACE_PEEKTEXT:复制一个word的数据 PTRACE_SETREGSET:设置寄存器 PTRAC...
利用LD_PRELOAD进行hook
Linux知识积累
03-13 1396
在Unix操作系统的动态链接库的世界中,LD_PRELOAD就是这样一个环境变量,它可以影响程序的运行时的链接(Runtimelinker),它允许你定义在程序运行前优先加载的动态链接库。这个功能主要就是用来有选择性的载入Unix操作系统不同动态链接库中的相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库。一方面,我们可以以此功能来使用自己的或
Android逆向之破解某应用加密算法(动态调试so和hook so代码)
Tomes.V.White
03-31 4776
转载自:http://www.520monkey.com/archives/1310 一、样本静态分析 最近有位同学发了一个样本给我,主要是有一个解密方法,把字符串加密了,加解密方法都放在so中,所以之前也没怎么去给大家介绍arm指令和解密算法等知识,正好借助这个样本给大家介绍一些so加密方法的破解,首先我们直接在Java层看到加密信息,这个是这位同学直接告诉我这个类,我没怎么去搜了: ...
Rhook:使用超级简单的API挂钩libc函数
04-04
(Hook :: Recv ( stringify! ( | sockfd, buf, len, flags | { std :: thread :: sleep_ms ( 100 ); original_recv (sockfd, buf, len, flags) })))) 而已! 请注意,您必须在闭包内部使用前缀original_ +函数名...
windows键盘hook VS2012解决方案
11-14
windows键盘hook VS2012解决方案 C++hook代码
网易APM hook方案探索-郑文
08-24
网易APM hook方案探索-郑文
Chrome Extension实战:页面JS脚本替换
热门推荐
夏天夏天悄悄过去留下小眯眯
06-30 1万+
前不久有这样一个想法:怎么把第三方页面所有的GET/POST请求,重定向到我们自己的后台服务器上,然后返回一些假冒数据?
Chrome Extension实战:页面注入
夏天夏天悄悄过去留下小眯眯
07-18 6510
前言:通过注入GitHub的登录页,来实现自动登录。
Python 使用Gmail发送邮件
夏天夏天悄悄过去留下小眯眯
06-22 4673
前言:2014-05-22记录在hi baidu上,现在移过来
Windows 模拟用户点击桌面图标(双击、右击)
夏天夏天悄悄过去留下小眯眯
06-22 3301
Windows 模拟用户点击桌面图标(双击、右击) 前言:2014-04-22记录在hi baidu上,现移过来。 思路:1、获取指定图标的坐标;2、发送右击、双击操作;第一步: 获取坐标
Linux开源沙箱Lisa简单介绍
夏天夏天悄悄过去留下小眯眯
08-04 2270
Lisa简单介绍 Lisa是一款开源的Linux沙箱,她使用Docker进行部署,通过qemu提供虚拟化能力,目前暂支持arm32/64、x86/x64、mips平台架构。 跳转链接:https://github.com/danieluhricek/LiSa.git Lisa整体的架构不算复杂,一些核心的功能点: 静态分析主要由radare2提供; 流量分析主要由tcpdump提供,并使用disspcap来分析抓取的pcap包; 动态行为主要由SystemTap提供; 其中,有两个地方比较有意思,第一是
用c++写一个hook
最新发布
07-05
### 回答1: 在C语言中编写一个hook(钩子)可以实现对特定函数或代码块的拦截、修改或扩展功能。下面是一个简单的用C编写的hook的示例: ```c #include <stdio.h> #include <stdlib.h> #include <dlfcn.h> // 要拦截的函数的原始定义 void original_func() { printf("原始函数被调用\n"); } // hook函数,用于代替原始函数 void hooked_func() { printf("Hook函数被调用\n"); // 调用原始函数 original_func(); } int main() { // 获取要拦截的函数的地址 void *handle = dlopen(NULL, RTLD_LAZY); void (*original)() = dlsym(handle, "original_func"); // 修改原始函数为hook函数 *((void **)(&original)) = (void *)hooked_func; // 调用原始函数(实际上会调用hook函数) original(); dlclose(handle); return 0; } ``` 这个示例中的hook函数使用`dlopen()`和`dlsym()`获取了要拦截的函数的地址,然后通过修改函数指针的方式将原始函数修改为了hook函数。最终,当原始函数被调用时,实际上会执行hook函数。 需要注意的是,hook技术在一些场景中可以用来进行调试、代码注入或代码修改等操作,但在实际应用中要谨慎使用,以免引发软件安全性或稳定性问题。 ### 回答2: 在C语言中编写一个hook,可以通过拦截API调用来修改或者监控系统的行为。 首先,我们需要了解一个基本概念,即hook的实现依赖于动态链接库(DLL)注入技术。DLL注入是将自定义的DLL文件加载到目标进程中,并将DLL中的函数替换为自己定义的函数,从而改变程序的行为。 以下是一个简单的C语言hook的示例: ```c #include <windows.h> // 定义一个自定义函数指针类型,用于替换原始API函数 typedef int(WINAPI* ORIGINAL_FUNCTION)(int); // 定义一个指向原始API函数的指针 ORIGINAL_FUNCTION OriginalFunction; // 自定义的Hook函数,替代原始API函数的功能 int WINAPI HookedFunction(int arg) { // 在这里进行你想要的操作 // 调用原始API函数 return OriginalFunction(arg); } // DLL入口函数 BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: // 获取原始API函数的地址 OriginalFunction = (ORIGINAL_FUNCTION)GetProcAddress(GetModuleHandle("target_module.dll"), "target_function"); // 替换原始API函数的地址为自定义Hook函数的地址 // 注意:这里需要禁用线程保护机制(DEP)和代码签名验证(Digital Signature Verification)才能进行内存写入操作。 DWORD oldProtect; VirtualProtect(OriginalFunction, sizeof(HookedFunction), PAGE_EXECUTE_READWRITE, &oldProtect); memcpy(OriginalFunction, &HookedFunction, sizeof(HookedFunction)); VirtualProtect(OriginalFunction, sizeof(HookedFunction), oldProtect, &oldProtect); break; case DLL_PROCESS_DETACH: // 恢复原始API函数的地址 DWORD oldProtect; VirtualProtect(OriginalFunction, sizeof(HookedFunction), PAGE_EXECUTE_READWRITE, &oldProtect); memcpy(OriginalFunction, &HookedFunction, sizeof(HookedFunction)); VirtualProtect(OriginalFunction, sizeof(HookedFunction), oldProtect, &oldProtect); break; } return TRUE; } ``` 以上代码以动态链接库的形式进行编写,通过DllMain函数在目标进程中加载并注入hook函数。等到目标进程调用原始API函数时,实际上会执行我们自定义的HookedFunction函数。在这个函数中,你可以做任何你想要的操作,比如修改函数参数,监控函数调用等等。 注意,由于hook操作需要对目标进程进行内存写入操作,因此在某些情况下可能导致目标进程奔溃或者产生其他不可预知的错误。所以在实际使用中,需要对目标进程进行充分的测试和评估,以确保hook操作的稳定性和安全性。 ### 回答3: 在 C 语言中,编写一个 hook(钩子)实际上是指在程序运行过程中拦截和处理特定事件的方式。下面是一个简单的示例,用 C 语言编写一个钩子函数: ```c #include <stdio.h> #include <stdlib.h> void hookFunction() { printf("Hook function called!\n"); // 在这里添加处理逻辑 // ... } void originalFunction() { printf("Original function called!\n"); // 在这里添加原始函数的逻辑 // ... } int main() { // 将钩子函数与原始函数绑定 void (*original)() = originalFunction; originalFunction = hookFunction; // 调用原始函数,实际上会触发钩子函数 originalFunction(); // 恢复原始函数 originalFunction = original; // 再次调用原始函数,不会触发钩子函数 originalFunction(); return 0; } ``` 在以上示例中,我们先定义了一个 hookFunction() 函数,它是我们的钩子函数。然后,我们定义了一个原始函数 originalFunction(),它是我们要绑定钩子的目标函数。 在 main() 函数中,我们将原始函数的地址赋给一个函数指针 original,然后将钩子函数 hookFunction() 绑定到 originalFunction。 当我们调用 originalFunction() 时,实际上会触发钩子函数 hookFunction(),从而输出 "Hook function called!"。 接着,我们将 original 函数指针重新赋给 originalFunction,从而恢复原始函数。 最后,再次调用 originalFunction(),输出 "Original function called!",此时不会触发钩子函数。 这就是一个简单的用 C 语言编写的钩子示例。根据实际需求,可以根据事件来编写不同的钩子函数和处理逻辑。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值