截断系统调用

最新推荐文章于 2024-09-07 05:15:02 发布
最新推荐文章于 2024-09-07 05:15:02 发布
阅读量389 收藏 4
点赞数 3
文章标签: c++ 笔记 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_76892983/article/details/139735960
版权

linux常见的hook技术

内核模块、Inline Hook、Got Hook、Preload Hook、系统文件修改

需求需要将所有的进程的系统调用都截断

可选的有内核模块、Preload Hook、系统文件修改

内核模块Hook

  通常是从内核源码特殊位置,修改回调、修改中断表;或修改重编译内核,导出内部函数,从而跳转到自定义函数,开发内核模块实现hook。

  • 可以拦截到所有应用层系统调用,应用层无法绕过
  • 开发调试复杂,测试周期长,升级和卸载内核模块带来稳定性问题

应用层Preload Hook

  对于Preload的解释,详见[Preload Hook原理](#Preload Hook原理)。Preload Hook是指利用系统支持的preload能力,将模块自动注入进程实现hook。可以通过以下手段使用Preload技术:一种是环境变量配置(LD_PRELOAD);另一种是文件配置:(/etc/ld.so.preload)。

  • 若使用命令行指定LD_PRELOAD则只影响该新进程及子进程;若写入全局环境变量则LD_PRELOAD对所有新进程生效;父进程可以控制子进程的环境变量从而取消preload
  • 文件preload方式影响所有新进程且无法被取消
  • 可以拦截到系统调用和普通库函数
  • 实现和操作最为简单,只需要编写同名系统调用函数即可实现hook
  • 可以使用动态调用方式或自定义实现方式绕过

需要快速的实现选择开发难度比较低的Preload Hook

Preload技术有自身的作用范围,如果将Preload环境变量到全局环境(/etc/profile)或使用Preload文件时,Preload便在所有在此(配置)时间节点之后运行的进程生效,而无法影响已经在运行的进程;若将Preload环境变量作为启动进程的环境变量(如shell中执行LD_PREOAD=/lib64/inject.so ./myprocess),则Preload只对当前进程生效。默认情况下进程创建的子进程也会继承Preload环境变量,而父进程可以在子进程初始化前修改子进程的环境变量,从而避免往子代传播。Preload具体使用方式如下:

  • LD_PRELOAD环境变量 指定动态库全路径,触发时机:启动时
  • /etc/ld.so.preload 指定动态库全路径,触发时机:启动时

  进程在启动后,会按照一定顺序加载动态库:

  • 加载环境变量LD_PRELOAD指定的动态库
  • 加载文件/etc/ld.so.preload指定的动态库
  • 搜索环境变量LD_LIBRARY_PATH指定的动态库搜索路径
  • 搜索路径/lib64下的动态库文件

  如前述,模块通过Preload技术添加到模块链后,进程加载器在解析导入表时,会按照链表顺序依次查找符号,因此如果在Preload动态库中实现并导出了同名(而不是C++修饰名)库函数,即可实现Hook。

#define _GNU_SOURCE
#include <dlfcn.h>
#include <stdio.h>
#include <stdarg.h>
#include <unistd.h>
#include <fcntl.h>
#include <stdbool.h>
#include <string.h>
#include <time.h>

//直接看open函数


//如果试图打开这些文件将要验证 账号和密码(用户自定义)
#define PROCESS_FILE_PATH "自己的文件路径"
#define FILE_PATH "自己的文件路径"
#define LOG "自己的文件路径"
#define PATHLENGTH 128

#define MAX_PATH_LEN   256
#define ERR_ERROR -1
#define ERR_SUCCESS 0
bool m_start = false; //标志位 防止一直hook形成递归

//暂时全部没有close


//获取进程的路径 写入process_path中
int get_process_path(char *process_path)
{

char *p = NULL;
int n = 0;

memset(process_path,0x00,MAX_PATH_LEN);

n = readlink("/proc/self/exe",process_path,MAX_PATH_LEN);//   /proc/self/exe代表当前程序

if (NULL != (p = strrchr(process_path,'/'))){

    *p = '\0';
}else{

    printf("wrong process path");
    return ERR_ERROR;
}

return ERR_SUCCESS;

}


//返回true表示不是保护文件
bool no_protect(const char* pathname) //pathname试图打开的文件
{
    //1.打开  会递归
    //int fd = open(FILE_PATH,O_RDONLY);//打开指定存放保护文件路径的文件
    FILE* fp = fopen(FILE_PATH,"r");
    //2.解析
    //分配存储空间
    char buf[PATHLENGTH];//先用定长 之后优化 用指针 先判断文件的大小 然后malloc分配合适内存
    memset(buf,0,sizeof(buf));
    //读文件
    fread(buf,sizeof(char),sizeof(buf),fp);
    //size_t fsize = read(fd,buf,PATHLENGTH);
    //这里需要判段 暂时没判断
    //3.判断 返回
    fclose(fp);
    if(!strstr(buf,pathname))//没有查到
    {
        printf("不是保护文件\n");
        return true;
    }else
    {
        printf("是保护文件\n");
        return false;
    }
}


//如果是允许进程返回true
bool primit_process()
{
    //将进程的启动路径记录在path中
    char path[MAX_PATH_LEN];
    if (get_process_path(path)){

        printf("get process path error!\n");
        return ERR_ERROR;
    }

    //1.打开  不能用open会递归
    //int fd = open(PROCESS_FILE_PATH,O_RDONLY);//打开指定存放保护文件路径的文件
    FILE* fp = fopen(PROCESS_FILE_PATH,"r");
    //2.解析
    //分配存储空间
    char buf[PATHLENGTH];//先用定长 之后优化 用指针 先判断文件的大小 然后malloc分配合适内存
    memset(buf,0,sizeof(buf));
    //读文件
    fread(buf,sizeof(char),sizeof(buf),fp);
    //size_t fsize = read(fd,buf,PATHLENGTH);
    fclose(fp);
    //这里需要判段 暂时没判断
    //3.判断 返回
    if(!strstr(buf,path))//没有查到
    {
        printf("不是允许进程\n");
        return false;
    }else
    {
        printf("是允许进程\n");
        return true;
    }

}


// 定义一个函数指针,用于保存原始的 open 函数地址
int (*original_open)(const char *pathname, int flags, ...);

void encode(char** point,const char* str)
{
    strncpy(*point,str,strlen(str));
    *point = *point+strlen(str);
    **point=' ';
    *point+=1;
}

//记录时间 调用函数 被访问文件pathname  访问的状态 此处false 访问的进程 get_process_path
int file_open_log(const char* pathname,bool state)
{   
    
    time_t current_time;
    char* c_time_string;
    
    // 获取当前时间
    current_time = time(NULL);
    c_time_string = ctime(&current_time);

    //获取执行文件的路径
    char path[MAX_PATH_LEN];
    if (get_process_path(path)){

        printf("get process path error!\n");
        return ERR_ERROR;
    }

    
    char* point;//记录位置
    char log_buf[1024];//strncpy到这个路径下

    point = log_buf;
    memset(log_buf,0,sizeof(log_buf));
    
    //时间    此步骤可以写一个函数 代码复用性高
    encode(&point,c_time_string);
    
    //路径
    encode(&point,path);

    //被访问的文件 写入内存
    encode(&point,pathname);


    if(state)
    {
        encode(&point,"true");

    }
    else
    {
        encode(&point,"false");
    }
    encode(&point,"\n");

    FILE* fd = fopen(LOG,"a");
    //path只是执行文件的路径 在之前要统一
    fputs(log_buf,fd);//介绍符为\0
    
    fclose(fd);
    
}


int open(const char *pathname, int flags, ...) {
    va_list args;
    va_start(args, flags);
    mode_t mode = va_arg(args, mode_t);
    va_end(args);


    bool noProtect;//判断是否在保护文件中
    noProtect = no_protect(pathname);  


    //获取原来的open函数 如果之前没有hook 这次hook
    if(!m_start)
    {
    original_open = dlsym(RTLD_NEXT, "open");
    m_start = true;
    printf("Intercepted open call for file: %s\n", pathname);
    }


    //不是保护文件
    if(noProtect)
    {   
        //此处open已经被hook 所以里面用的fopen
        file_open_log(pathname,true);//成功打开
        return original_open(pathname, flags, mode);
    }else//是保护文件
    {
        //判断是否是允许的进程
        if(primit_process())//open改掉
        {   
            file_open_log(pathname,true);
            return original_open(pathname, flags, mode);
        }else{
            //记录时间 调用函数 被访问文件pathname 访问的状态 此处false 访问的进程 get_process_path
            file_open_log(pathname,false);
            return -1;
        }
    }
}

NEW
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
什么是c语言系统调用,什么是系统调用?为什么要用系统调用?
weixin_30827435的博客
05-23 1690
描述什么是系统调用?Linux内核中设置了一组用于实现各种系统功能的子程序,称为系统调用。用户可以通过系统调用命令在自己的应用程序中调用它们。从某种角度来看,系统调用和普通的函数调用非常相似。区别仅仅在于,系统调用由操作系统核心提供,运行于核心态;而普通的函数调用由函数库或用户自己提供,运行于用户态。随Linux核心还提供了一些C语言函数库,这些库对系统调用进行了一些包装和扩展,因为这些库函数与系...
Linux系统调用列表(CentOS7_X64)
yetugeng的专栏
02-20 1743
以下的列表来源于64位的CentOS 7系统,详解链接后面会陆续补充。 系统中支持的系统调用列表及编号都定义在 /usr/include/asm/unistd.h文件下。 系统调用号 函数名 源代码 功能简介 起始内核版本 详解链接 0 read fs/read_write.c 读文件内容 ------ Linux...
Linux系统调用列表
热门推荐
小旋锋 的博客
12-09 1万+
一、进程控制: 函数名 描述 文件 fork 创建一个新进程 kernel/fork.c clone 按指定条件创建子进程 kernel/fork.c execve 运行可执行文件 fs/exec.c exit 中止进程 kernel/exit.c _exit 立即中止当前进程 getdtablesize 进程所能打开的
系统调用open函数
pencher_liu的博客
11-15 3512
open() 系统调用通过open()系统调用来打开文件并获得一个文件描述符。#include <sys/types.h> #include <sys/stat.h> #include <fcntl.h> int open (const char *name, int flags); int open (const char *name, int flags, mode_t mode);open()
操作系统系统调用实验
qq_43297953的博客
01-26 1972
操作系统实验一(记录) 思路: 1.实验目标及要求 2.实验结果演示 3.实验流程 4.遇到的问题及解决 5.实验思考 一、实验目标 题目5:把指定文件变为长度为0的空文件 要求: 添加系统调用: \1. 程序能正常演示,功能正确实现; \2. 熟悉系统调用详细处理过程; \3. 系统调用添加过程,包括要修改的文件、修改的内容等; \4. 能解释所有添加的代码; \5. 能详细分析解释代码中所用到的内核函数的源码。 二、实验结果演示 1.新建一个文本文件test.txt
linux 系统调用详解
liujiaoyage的专栏
09-05 4398
转载自:http://blog.csdn.net/orange_os/article/details/7485069
系统调用】常用系统调用函数:详细介绍
crr411422的博客
07-04 3019
提供了一些常见的系统调用函数的具体介绍和代码示例,包括open、perror、close、write、read、stat、dup、fcntl等函数,涵盖了文件操作、错误处理、文件状态获取、文件描述符操作等功能。 此外,我们还介绍了其他一些与I/O和目录相关的系统调用函数,包括access、chmod、chown、truncate、link、symlink、readlink、unlink、rename、getcwd、chdir、opendir、closedir、readdir等函数,并提供了相应的代码示例。
系统调用和库函数
ZBraveHeart的博客
03-03 3686
1、系统调用的本质   所有操作的本质都是要下发命名到硬件,在Linux操作系统中提供了linux内核来驱动操作硬件、为了方便用户操作相关硬件功能,所以提供了一些函数接口,用于操作Linux内核,进而由内核来操作硬件。这些接口称之为系统调用。   在Linux内核中,大多数的代码也是系统调用。在应用层调的一些函数接口,有些也是在函数接口内在调用内核中的系统调用函数。 文件io:称之为系统调用 标准io:称之为库函数 2、库函数   库函数的本质是系统调用系统调用函数只要执行一次,就需要对Linux内核访
C语言系统调用linux文件系统
C or CPP
07-25 1368
在C语言中,openwrite和read函数是系统调用(system calls),它们直接由操作系统提供,用于底层的文件操作。这些函数是UNIX和类UNIX系统(如Linux)中的标准接口,不同于C标准库中的文件操作函数(如fopenfwrite和fread。
几种常用的系统调用函数与库函数
silhouette_233的博客
12-06 1897
几种常用的系统调用函数与库函数 1、open()函数 int open (const char *name, int flags, mode_t mode); //参数分别对应 文件名、flags参数、mode参数,一般只用到前两个就行了 flags参数必须是以下之一:O RDONLY,O_WRONLY,O_RDWR。这些参数各自指定要用只读,只写还是读写模式打开文件。 flags 参数可以和以下...
linux系统调用手册
07-15
Linux系统调用手册】是理解操作系统内核与应用程序交互的关键文档,它包含了所有可以直接从用户空间调用的内核服务。系统调用是操作系统提供给用户态程序访问内核功能的接口,允许用户程序执行如创建进程、读写...
Linux常见系统调用列表介绍
03-04
Linux 系统调用列表介绍 本文列出了大部分常见的 Linux 系统调用,并附有简要中文说明。 Linux 系统调用是操作系统提供给应用程序的接口,用于控制进程、文件系统、网络、设备等资源。以下是 Linux 系统调用的一个...
linux系统调用.pdf
09-30
文件操作是Linux系统调用中非常重要的部分,允许程序进行文件的创建、读取、写入、关闭、截断等操作。例如: - open/creat:打开或创建文件。 - close:关闭文件描述符。 - read/write:进行文件读写操作。 - lseek...
C++】STL—vector的使用
2301_77112794的博客
09-04 676
本文介绍了vector重点函数接口的使用
C语言 | Leetcode C语言题解之第389题找不同
最新发布
m0_59237910的博客
09-07 431
C语言 | Leetcode C语言题解之第389题找不同
关于C语言中实参与形参和指针与二级指针的理解
2203_75904043的博客
09-04 398
在如下代码中,我的test函数要将结构体指针作为实参传递给function函数插入值,那么为什么必须传递二级指针才能正确进行插入呢。
[ C++ ] 一文复习(基础语法,语言特性,STL回顾)
2301_79175236的博客
09-04 991
C++复习参考文,待完善
C++红黑树的底层原理及其实现原理和实现
2302_80214413的博客
09-02 897
今天给大家带来的是红黑树的底层逻辑和底层实现原理及其实现过程,相信大家看完一定会收获满满!~~~
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值