动态链接库的注入修改查找工具hookso

最新推荐文章于 2023-05-12 14:29:45 发布
最新推荐文章于 2023-05-12 14:29:45 发布
阅读量652 收藏 4
点赞数 1
分类专栏: c++ linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/esrrhs/article/details/106237041
版权
linux 同时被 2 个专栏收录
36 篇文章 0 订阅
订阅专栏
c++
27 篇文章 0 订阅
订阅专栏

hookso

hookso是一个linux动态链接库的注入修改查找工具,用来修改其他进程的动态链接库行为。hookso是一个linux动态链接库的注入修改查找工具,用来修改其他进程的动态链接库行为。

https://github.com/esrrhs/hookso​github.com

 

功能

  • 让某个进程执行系统调用
  • 让某个进程执行.so的某个函数
  • 给某个进程挂接新的.so
  • 卸载某个进程的.so
  • 把旧.so的函数替换为新.so的函数
  • 复原.so的函数替换
  • 查找.so的函数地址

编译

git clone代码,运行脚本,生成hookso以及测试程序

# ./build.sh  
# cd test && ./build.sh

示例

  • 启动test目录下的测试程序

先看下测试代码,代码很简单,test.cpp不停的调用libtest.so的libtest函数

int n = 0;
while (1) {
    if (libtest(n++)) {
        break;
    }
    sleep(1);
}

而libtest.so的libtest函数只是打印到标准输出

extern "C" bool libtest(int n) {
    char buff[128] = {0};
    snprintf(buff, sizeof(buff), "libtest %d", n);
    puts(buff);
    return false;
}

这时候,test是没有加载libtestnew.so的,后面会用hookso来注入,libtestnew.cpp的代码如下

extern "C" bool libtestnew(int n) {
    char buff[128] = {0};
    snprintf(buff, sizeof(buff), "libtestnew %d", n);
    puts(buff);
    return false;
}

extern "C" bool putsnew(const char *str) {
    char buff[128] = {0};
    snprintf(buff, sizeof(buff), "putsnew %s", str);
    puts(buff);
    return false;
}

libtestnew.cpp定义了两个函数,一个用来替换libtest.so的puts函数,一个用来替换libtest.so的libtest函数

现在我们开始编译并运行它

# cd test
# ./build.sh
# ./test
libtest 1
libtest 2
...
libtest 10

程序开始运行,可以看到,不停的打印到输出,假设test的pid是11234

  • 示例1:让test在屏幕上打印一句话
# ./hookso syscall 11234 1 i=1 s="haha" i=4
4

注意这里的输出4,表示是系统调用的返回值。然后观察test的输出,可以看到haha输出

libtest 12699
libtest 12700
hahalibtest 12701
libtest 12702
libtest 12703

这里的几个参数说明:1是系统调用的号码,1表示的是write,i=1意思是一个int类型值为1的参数,s="haha"则为字符串内容为haha

所以这里等价于C语言调用了write(1, "haha", 4),也就是在标准输出打印一句话

  • 示例2:让test调用libtest.so的libtest函数
# ./hookso call 11234 libtest.so libtest i=1234
0

这里的参数和返回值,和示例1 syscall同理。然后观察test的输出,可以看到输出

libtest 12713
libtest 12714
libtest 12715
libtest 1234
libtest 12716
libtest 12717

libtest 1234则为我们插入的一次调用输出结果

  • 示例3:让test加载libtestnew.so
# ./hookso dlopen 11234 ./test/libtestnew.so 
13388992

注意这里的输出13388992,表示是dlopen的handle,这个handle后面卸载so会用到。然后查看系统/proc/11234/maps

# cat /proc/11234/maps 
00400000-00401000 r-xp 00000000 fc:01 678978                             /home/project/hookso/test/test
00600000-00601000 r--p 00000000 fc:01 678978                             /home/project/hookso/test/test
00601000-00602000 rw-p 00001000 fc:01 678978                             /home/project/hookso/test/test
01044000-01076000 rw-p 00000000 00:00 0                                  [heap]
7fb351aa9000-7fb351aaa000 r-xp 00000000 fc:01 678977                     /home/project/hookso/test/libtestnew.so
7fb351aaa000-7fb351ca9000 ---p 00001000 fc:01 678977                     /home/project/hookso/test/libtestnew.so
7fb351ca9000-7fb351caa000 r--p 00000000 fc:01 678977                     /home/project/hookso/test/libtestnew.so
7fb351caa000-7fb351cab000 rw-p 00001000 fc:01 678977                     /home/project/hookso/test/libtestnew.so

可以看到libtestnew.so已经成功加载

  • 示例4:让test卸载libtestnew.so
# ./hookso dlclose 11234 13388992
13388992

这个13388992是示例3 dlopen返回的handle值(多次dlopen的值是一样,并且dlopen多次就得dlclose多次才能真正卸载掉)。然后查看系统/proc/11234/maps

# cat /proc/16992/maps 
00400000-00401000 r-xp 00000000 fc:01 678978                             /home/project/hookso/test/test
00600000-00601000 r--p 00000000 fc:01 678978                             /home/project/hookso/test/test
00601000-00602000 rw-p 00001000 fc:01 678978                             /home/project/hookso/test/test
01044000-01076000 rw-p 00000000 00:00 0                                  [heap]
7fb3525ab000-7fb352765000 r-xp 00000000 fc:01 25054                      /usr/lib64/libc-2.17.so
7fb352765000-7fb352964000 ---p 001ba000 fc:01 25054                      /usr/lib64/libc-2.17.so
7fb352964000-7fb352968000 r--p 001b9000 fc:01 25054                      /usr/lib64/libc-2.17.so
7fb352968000-7fb35296a000 rw-p 001bd000 fc:01 25054                      /usr/lib64/libc-2.17.so

可以看到已经没用libtestnew.so了

  • 示例5:让test加载libtestnew.so,执行libtestnew,然后卸载libtestnew.so
# ./hookso dlcall 11234 ./test/libtestnew.so libtestnew i=1234
0

同理,这里的输出0为函数返回值。然后观察test的输出,可以看到libtestnew.so的libtestnew函数输出

libtest 151
libtest 152
libtest 153
libtestnew 1234
libtest 154
libtest 155

libtestnew 1234就是libtestnew.so的函数libtestnew输出,dlcall相当于执行了前面的dlopen、call、dlclose三步操作

  • 示例6:让test加载libtestnew.so,并把libtest.so的puts函数调用,修改为调用libtestnew.so的putsnew
# ./hookso replace 11234 libtest.so puts ./test/libtestnew.so putsnew
13388992    140573454638880

注意这里的输出结果13388992表示handle,140573454638880表示替换之前的旧值,后面我们复原会用到。然后观察test的输出,可以看到已经调用到了libtestnew.so的putsnew方法

libtest 3313
libtest 3314
libtest 3315
libtest 3316
libtest 3317
putsnew libtest 3318
putsnew libtest 3319
putsnew libtest 3320

现在开始,libtest.so内部调用puts函数,就变成了调用libtestnew.so的putsnew函数了,libtest.so之外调用puts函数,还是以前的没有变

  • 示例7:让test的libtest.so的puts函数,恢复到之前,这里的140573454638880就是之前示例6 replace输出的backup旧值
# ./hookso setfunc 11234 libtest.so puts 140573454638880
140573442652001

注意这里的setfunc也会输出旧值140573442652001,方便下次再还原。然后观察test的输出,可以看到又重新回到了puts方法

putsnew libtest 44
putsnew libtest 45
putsnew libtest 46
libtest 47
libtest 48
libtest 49

注意这时候libnewtest.so仍然在内存中,如果不需要可以用dlclose卸载它,这里不再赘述

  • 示例8:让test加载libtestnew.so,并把libtest.so的libtest函数,跳转到libtestnew的libtestnew,这个和示例6的区别是libtest是libtest.so内部实现的函数,puts是libtest.so调用的外部函数
# ./hookso replace 2936 libtest.so libtest ./test/libtestnew.so libtestnew
13388992    10442863786053945429

这里的输出和示例6同理。然后观察test的输出,可以看到调用了libtestnew.so的libtestnew函数

libtest 31714
libtest 31715
libtest 31716
libtest 31717
libtest 31718
libtestnew 31719
libtestnew 31720
libtestnew 31721
libtestnew 31722
libtestnew 31723

现在整个进程所有调用libtest的地方,都跳转到了libtestnew函数

  • 示例9:让test的libtest.so的libtest函数,恢复到之前,这里的10442863786053945429就是之前示例8 replace输出的替换旧值
# ./hookso setfunc 11234 libtest.so libtest 10442863786053945429
1092601523177

然后观察test的输出,可以看到又回到了libtest.so的libtest函数

libtestnew 26
libtestnew 27
libtestnew 28
libtestnew 29
libtest 30
libtest 31
libtest 32
  • 示例10:查找test的libtest.so的libtest函数地址
# ./hookso find 11234 libtest.so libtest
0x7fd9cfb91668  140573469644392

0x7fd9cfb91668即为地址,140573469644392是地址转成了uint64_t的值

QA

为什么就一个1500行的main.cpp?

因为东西简单,减少无谓的封装,增加可读性

这东西实际有什么作用?

典型的用法是来监控某些进程的底层函数,打打日志,不用修改原始代码。或者拿来做c++的热更新补丁也可以

函数调用有什么限制?

syscall、call、dlcall只支持最大6个参数的函数调用,并且参数只能支持整形、字符
replace不受限制,但是必须确保新的函数和旧函数,参数一致,不然会core掉

有些so的函数会报错?

某些so太大无法被全部load进内存,导致无法解析,运行失败,如

# ./hookso find 11234 libstdc++.so.6.0.28 __dynamic_cast                 
[ERROR][2020.4.28,14:26:55,161]main.cpp:172,remote_process_read: remote_process_read fail 0x7fc375714760 5 Input/output error

把so参数修改成文件路径,这样就会从文件读取so信息

# ./hookso find 11234 /usr/local/lib64/libstdc++.so.6.0.28 __dynamic_cast
[INFO][2020.4.28,14:26:47,274]main.cpp:1529,program_find: /usr/local/lib64/libstdc++.so.6.0.28 __dynamic_cast=0x7fc37475cea0 140477449227936

可以看到,find命令已成功执行,对于其他的命令如call、dlopen、replace同理

esrrhs
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
苹果iOS ipa安装包动态库注入工具
04-20
苹果iOS ipa安装包动态库注入工具,十分方便,注入dylib动态库
Linux 动态库hook注入
lxb122435677的博客
08-02 3186
由于工作上的需要,之前只是对大概的原理了解,现对此进行详细的分析。 涉及到的关键API以及数据结构: 1. ptrace PTRACE_ATTACH:挂载到指定的pid进程上 PTRACE_GETREGSET:读取目标进程的寄存器 PTRACE_POKETEXT:复制一个word的数据 PTRACE_PEEKTEXT:复制一个word的数据 PTRACE_SETREGSET:设置寄存器 PTRAC...
Android中的so注入(inject)和挂钩(hook)
热门推荐
eqera的专栏
07-21 2万+
对于Android for arm上的so注入(inject)和挂钩(hook),网上已有牛人给出了代码-libinject(http://bbs.pediy.com/showthread.php?t=141355)。由于实现中的ptrace函数是依赖于平台的,所以不经改动只能用于arm平台。本文将之扩展了一下,使它能够通用于Android的x86和arm平台。Arm平台部分基本重用了libinj
linux对动态库的搜索知识梳理
Damon_Sandy的博客
04-10 973
动态库编译搜索
Linux的hook机制:自定义动态链接库hook
whbing1471的博客
01-09 1913
最近在研究应用申请内存时的行为,这时候需要hack掉glibc的malloc和free等内存申请操作。用自己写的钩子函数统计malloc和free的频次和大小,以便于解决问题。 一、原理 linux调用C库中的函数,使用动态库时,环境变量 LD_PRELOAD 所指定程序(动态库)在运行时会优先加载,这个动态库中的符号优先级最高,该库中的函数将会替换掉 glibc 中的相关函数,例如 malloc() 和free()。可以将内存管理库替换为 jemalloc 或者 tcmalloc 。 LD_PREL.
Linux下修改可执行程序或者库的动态链接库的路径
Youning_Yim的博客
08-29 6637
在linux下编译生成可执行文件之后或者修改动态库的链接指向,需要修改其相关的链接库的路径并指定到自定义的目录下。
hookso:linux动态链接库注入修改查找工具 A tool for injection, modification and search of linux dynamic link library
05-04
hooksohookso是一个linux动态链接库注入修改查找工具,用来修改其他进程的动态链接库行为。功能让某个进程执行系统调用让某个进程执行.so的某个函数给某个进程挂接新的.so卸载某个进程的.so把旧.so的函数或某个...
易语言 动态链接库注入
06-12
用于向进程注入动态链接库。 .版本 2 .子程序 InjectLibrary, 逻辑型, 公开, 注入动态链接库 .参数 lfLibrary, 文本型, , 动态链接库名称 .参数 lfProc, 文本型, , 子程序名称 .参数 lfProgress, 文本型, , 进程...
windows下DLL动态库注入和拦截
06-08
程序实现的功能是注入一个动态库,拦截其它程序不能打开指定exe。程序分为三部分:用于测试的exe程序(Test)、拦截动态库(inlinehook)、动态库注入和卸载程序(DLLinject)
动态链接库基础与远程线程注入
11-16
动态链接库基础与远程线程注入
动态so库修改方法
k663514387的博客
06-01 8030
​ 对于linux和Android开发者,有时可能需要查看或者修改.so文件,下面来讲述如何查看或者修改so文件。 1、本文使用的工具 IDA Pro: https://www.52pojie.cn/thread-675251-1-1.html 010 Editor:http://www.pc6.com/softview/SoftView_55129.html 2、反编译.so文件 ​ 本文使用的反编译软件是IDA Pro,它是一个优秀的静态反编译软件。由于IDA功能较为复杂,本文只给出查看和修改so直接相
动态库文件依赖修改工具 chrpath, install_name_tool
iteye_10111的博客
09-05 4247
    部署不同版本程序时比较有用的一个东西。mark一下。     chrpath 这个工具可以将写死的依赖去掉.   Usage: chrpath [-v|-d|-c|-r <path>] <program> [<program> ...] -v|--version Display program vers...
【Linux】修改动态链接库
图挖掘领域,新晋砖家 ☞ 未来可期,欢迎和静静一起学习交流吖
03-04 1196
目录 1、简介 2、方法 1、简介 最近发现服务器根目录下有好多cuda版本,因为内存不足等原因需删除一些cuda,因此需要先将动态链接库转为之前的版本,而后删除相关文件 2、方法 刚开始文件存储 df -hl 先查看文件所在位置在/usr/local nvcc -V 发现是11.4 操作:先删除之前旧的,而后建立新的 rm -rf /usr/local/cuda sudo ln -s /usr/local/cuda-10.2 /usr/local/cuda
iOS动态库注入
04-02
本课程主要针对iOS动态库注入技术做了详细讲解和实战演示,分为技术篇和运维篇,最终目标是将动态库注入到目标ipa包中,并且执行动态库中的代码,实现动态库与ipa交互。技术篇 - 主要从基础知识、涉及工具,以及一个完整的手动注入实例流程来讲解,面向技术开发人员; 运维篇 - 通过利用自动注入工具、重签名工具来可视化的注入动态库,面向运维等非技术人员;课程目录课程简介1,课程目标和大纲技术篇2,基础知识 - 动态库3,基础知识 - IPA包4,基础知识 - Mach-O5,基础知识 - 代码注入6,基础知识 - 重签名7,涉及工具 - Xcode/iOSOpenDev/Terminal8,涉及工具 - yololib/MachOView/iFunBox/iReSign9,实例演示 - 创建.dylib动态库10,实例演示 - 创建测试APP11,实例演示 - 手动注入动态库(开发模式)12,实例演示 - 手动注入动态库(重签名模式)运维篇13,运维篇 - 准备工作14,运维篇 - 实战演示15,运维篇 - 技术支持课程总结16,课程总结
安卓逆向Hook So层方法
weixin_43169858的博客
05-12 1307
在Android逆向工程中,对so层(共享库层)的hook是一种常见的技术手段。对so层的hook常常使用的工具是frida和Xposed。下面是一个关于如何使用Frida对Android应用的so文件进行hook的简单教程。
frida hook so层方法大全
菜鸡小白的成长记录
01-17 1万+
文章转载,仅供学习,如有需要请支持原文章创作:https://kevinspider.github.io/fridahookso/ 1.感谢 2. frida env https://github.com/frida/frida-java-bridge/blob/master/lib/env.js 3.IDA 判断 Thumb 指令集和 Arm 指令集 IDA - Options - General - number of opcode bytes - 设置为 4 此时查看 IDA VIew 中 op.
移动安全-Frida hook安卓So层函数实战
道阻且长,行则将至。
04-10 6682
文章目录前言Hook So有导出so层hook无导出so层hookSo层实战hook脚本的编写hook脚本的效果总结 前言 我在前面的一篇博客 CTF逆向-EasySo攻防世界SO层反汇编 中记录了对一道 CTF 逆向题目的 Android APP 的 So 层函数进行基础的逆向分析的过程,通过 IDA 反汇编查看 So 层代码并分析获得了 Flag 值。 生命在于折腾~本文将记录尝试通过 Frida hook 目标 APP 的 So 层函数并直接修改返回值(如同以前熟悉的 hook Java 层的函数一
Android逆向之破解某应用加密算法(动态调试so和hook so代码)
Tomes.V.White
03-31 4788
转载自:http://www.520monkey.com/archives/1310 一、样本静态分析 最近有位同学发了一个样本给我,主要是有一个解密方法,把字符串加密了,加解密方法都放在so中,所以之前也没怎么去给大家介绍arm指令和解密算法等知识,正好借助这个样本给大家介绍一些so加密方法的破解,首先我们直接在Java层看到加密信息,这个是这位同学直接告诉我这个类,我没怎么去搜了: ...
frida hook so层常用的方法
菜鸡小白的成长记录
03-06 3811
在onEnter回调函数中,我们使用Module.findExportByName()函数查找了目标进程中存储配置信息的全局变量的地址,然后使用readCString()方法读取了该地址所指向的字符串。在这个例子中,我们钩住了名为"decrypt"的解密函数,并从函数参数中获取了一个指向加密数据的指针,以及数据的长度。在onEnter回调函数中,我们从函数参数中获取了一个指向字符串的指针,并使用Memory.readCString()方法从目标进程中读取了该指针所指向的C风格字符串,并将其打印到控制台上。
delphi exe程序如何 防止动态库注入
最新发布
01-31
其次,可以在程序中加入反调试和反注入的代码,通过检测系统中是否存在调试器或动态库注入工具来保护程序安全。此外,可以加密和混淆程序的关键代码和数据,增加攻击者对程序的理解和修改难度。还可以通过检查程序...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值