Linux利用hook技术实现文件监控和网络过滤

最新推荐文章于 2024-05-20 10:32:12 发布
最新推荐文章于 2024-05-20 10:32:12 发布
阅读量1.3k 收藏 11
点赞数
分类专栏: 网络 linux 文章标签: linux 网络 运维
原文链接:https://blog.csdn.net/weixin_45646368/article/details/111403378
版权
linux 同时被 2 个专栏收录
340 篇文章 69 订阅
订阅专栏
网络
8 篇文章 0 订阅
订阅专栏

基于https://blog.csdn.net/jinking01/article/details/126718873,继续hook的尝试。

需求说明
1、文件监控系统,实现指定目录的文件监控,当存在关键字的文件被打开时拒绝打开并提示某进程危险,正在打开某文件,若文件不存在关键字或者不在监控范围内则提示用户某进程正在打开文件允许放行。
2、网络监控系统,实现指定IP地址的拦截,不允许指定的IP连接和访问,并且提示用户某IP正在访问或连接,处理结果为放行或者拦截。

示例(没有测试代码哈,只提供了hook函数)

file_filter.c

#include <stdio.h>
#include <string.h>
#include <stdlib.h>

#include <sys/stat.h>
#include <unistd.h>
#include <dlfcn.h>

#define STRMAXLEN 301

const char path[] = "/home/ok/test"; // 受监控的目录
const char word[] = "passwd";       // 敏感字,在受监控的目录中存在敏感字的文件受到保护

typedef int (*new_open)(const char *pathname, int flags);

int open(const char *pathname, int flags)
{
    void *handle = NULL;
    new_open old_open = NULL; // 保存成old_open以备调用

    // 获得libc.so.6的句柄
    handle = dlopen("libc.so.6", RTLD_LAZY);

    // 返回open函数在libc.so.6中的加载时的地址
    old_open = (new_open)dlsym(handle, "open");

    struct stat ststat;
    if (stat(pathname, &ststat)==0)
    {
        // 断是否为文件
        if (S_ISREG(ststat.st_mode))
        {
            // 判断是否为全路径,不为则补全当前路径
            char pathbuf[STRMAXLEN]; // 全路径文件名buf
            if (pathname[0] != '/')
            {
                memset(pathbuf, 0, STRMAXLEN);
                getcwd(pathbuf, STRMAXLEN);
                if (pathbuf[strlen(pathbuf)-1] != '/')
                    strcat(pathbuf, "/");
                strcat(pathbuf, pathname);
            }
            else
            {
                strcpy(pathbuf, pathname);
            }
            // 判断文件是否在监控的目录中
            if (strstr(pathbuf, path) == &pathbuf[0])
            {// 表明该文件受到监控
                FILE *fp = NULL;
                char buffer[1024];
                memset(buffer, 0, sizeof(buffer));

                char strcmd[128];
                memset(strcmd, 0, sizeof(strcmd));
                snprintf(strcmd, sizeof(strcmd), "grep %s %s", word, pathbuf);
                fp = popen(strcmd, "r");

                // buffer不为空则存在关键字,拦截
                if (fgets(buffer, sizeof(buffer), fp) != NULL)
                {
                    printf("进程%d正在打开%s, 该操作已被拦截\n", getpid(), pathbuf);
                    pclose(fp);
                    exit(0);
                }
                pclose(fp);
            }
        }
    }

    printf("进程%d正在打开%s, 已放行\n", getpid(), pathname);

    return old_open(pathname, flags);
}

socket_filter.c

#include <stdio.h>
#include <sys/types.h>          /* See NOTES */
#include <dlfcn.h>
#include <sys/socket.h>
#include <arpa/inet.h>
#include <string.h>
#include <stdlib.h>
#include <unistd.h>

const char URL[] = "115.238.190.240";

typedef int (*new_socket)(int, const struct sockaddr *, socklen_t);
typedef int (*new_accept)(int, struct sockaddr *, socklen_t *);

// 判断接入的网络是否为过滤IP,如果是则提前返回
int connect(int sockfd, const struct sockaddr *addr, socklen_t addrlen)
{
    void *handle = NULL;
    new_socket old_connect = NULL; // 保存成old_connect以备调用

    // 获得libc.so.6的句柄
    handle = dlopen("libc.so.6", RTLD_LAZY);

    // 返回open函数在libc.so.6中的加载时的地址
    old_connect = (new_socket)dlsym(handle, "connect");

    char ip[128]; memset(ip, 0, sizeof(ip)); // ip地址
    int port = -1;                           // 端口号

    if (AF_INET == addr->sa_family)
    {
        struct sockaddr_in *sa4 = (struct sockaddr_in *)addr;
        inet_ntop(AF_INET, (void *)(struct sockaddr *)&sa4->sin_addr, ip, sizeof(ip));
        port = ntohs(sa4->sin_port);
        printf("\nAF_INET IP===%s:%d\n", ip, port);
    }

    if (0 == strcmp(ip, URL))
    {
        printf("\n===%s netfilter...connect failed!\n", ip);
        return -1;
    }

    printf("\nPID:%d, socket:%d, %s Successfully connected!\n", getpid(), sockfd, ip);
    return old_connect(sockfd, addr, addrlen);
}

int accept(int sockfd, struct sockaddr *addr, socklen_t *addrlen)
{
    void *handle = NULL;
    new_accept old_accept = NULL; // 保存old_accept以备调用

    // 获得libc.so.6的句柄
    handle = dlopen("libc.so.6", RTLD_LAZY);

    // 返回accept函数在libc.so.6中的加载时的地址
    old_accept = (new_accept)dlsym(handle, "accept");

    char ip[128]; memset(ip, 0, sizeof(ip)); // Ip地址
    int clientfd = -1;                       // 客户端socketfd

    if (AF_INET == addr->sa_family)
    {
        struct sockaddr_in *sa4 = (struct sockaddr_in *)addr;
        strcpy(ip, inet_ntoa(sa4->sin_addr)); // IP
        // 阻止接入
        if (0 == strcmp(ip, URL))
        {
            printf("\nPID:%d  ===%s=== netfilter...accept failed!\n", getpid(), ip);
            return -1;
        }
    }

    // 放行
    clientfd = old_accept(sockfd, addr, addrlen);
    printf("\nPID:%d, clientfd:%d, %s Successfully accepted!\n", getpid(), clientfd, ip);

    return clientfd;
}

makefile

GC=gcc

all:libmyfilter.so

libmyfilter.so:file_filter.c socket_filter.c
    $(GC) -fPIC -shared -o libmyfilter.so file_filter.c socket_filter.c -ldl

clean:
    rm -rf *.so

原文链接:https://blog.csdn.net/weixin_45646368/article/details/111403378

linux应用hook实例(含源码分析)
啊渊的专栏
08-12 2750
函数地址替换是最简单的hook方式,在开发的时候发现C开发的程序和C++开发的程序hook还是有差别的。C开发的程序函数几乎是可以直接使用readelf查看,因此在查找函数偏移量的时候相对简单一些,但是如果是C++开发无法直接使用readelf命令查看函数地址,因此需要动态跟踪函数地址,找到函数偏移量然后针对该函数地址进行hook。..............................
C++程序调用SetWindowsHookEx全局拦截键盘按键消息和窗口消息的Hook实例分享
最新发布
dvlinker的技术专栏
08-28 1万+
本文分享调用SetWindowsHookEx全局拦截键盘按键消息和窗口消息的两个Hook实例。
Linux Hook 笔记
weixin_34212189的博客
02-21 121
相信很多人对"Hook"都不会陌生,其中文翻译为"钩子".在编程中, 钩子表示一个可以允许编程者插入自定义程序的地方,通常是打包好的程序中提供的接口. 比如,我们想要提供一段代码来分析程序中某段逻辑路径被执行的频率,或者想要在其中 插入更多功能时就会用到钩子. 钩子都是以固定的目的提供给用户的,并且一般都有文档说明. 通过Hook,我们可以暂停系统调用,或者通过改变系统调用的参数来改变正常的输出结...
linux 中的hook
faithsws的专栏
09-28 6477
相信熟悉windows编程的高手们都知道,windows为我们提供一些api,这些api用于hook 键盘,鼠标,消息等事件。windows的运行是来源于这些事件驱动的,所以一旦我们截获了这些事件,就可以篡改程序本来的功能了。但是在Linux中,并不存在这样的api。要抓获内核中的input事件,就必须另外编辑驱动进行额外的处理。 这是以前我在工作中遇到的一个需求:在用户按下某个功能键
Linux应用层hook技术总结与实例
qq_33838877的博客
01-20 2803
1.前言 LINUX hook技术一直是linux技术爱好者们研究的一个热点问题,Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3, ring0是指CPU的运行级别,ring0是最高级别,ring1次之,ring2更次之,以此类推。 拿Linux+x86来说,操作系统(内核)的代码运行在最高运行级别ring0上,可以使用特权指令,控制中断、修改页表、访问设备等等。 应用程序的代码运行在最低运行级别上ring3上,不能做受控操作。如果要做,比...
linux 系统调用hook
jack的博客
06-22 385
都引流到某乎上了,不准备在这继续发展了。
Linux/C/C++ 文件监控网络监控的简单实现(利用hook技术)
weixin_45646368的博客
12-19 2791
file_filter.c #include <stdio.h> #include <string.h> #include <stdlib.h> #include <sys/stat.h> #include <unistd.h> #include <dlfcn.h> #define STRMAXLEN 301 const char path[] = "/home/changun/test"; // 受监控的目录 const cha
linux kernel中的ingress hook简介
toyijiu的专栏
05-20 720
Linux内核中,Ingress Hook是Netfilter框架中的一个钩子(Hook),用于对进入网络接口的数据包进行处理。它位于数据包接收的早期阶段,在数据包被路由或转发之前。
linux内核中的hook,【Linux内核调试】使用Ftrace来Hook linux内核函数
weixin_32050773的博客
04-29 471
目标:hook几个Linux内核函数调用,如打开文件和启动进程,并利用它来启用系统活动监控并抢先阻止可疑进程。一、方案比较1. 使用Linux安全API方法:内核代码的关键点包含安全函数调用,这些调用可能触发安全模块安装的回调,该模块可以分析特定操作的上下文,并决定是允许还是禁止它。限制:安全模块无法动态加载,所以需要重新编译内核。2. 修改系统调用表方法:所有Linux系统调用处理程序都存储在s...
Linux网络和eBPF
RandyLambert的博客
03-23 1999
目录关于本文如何实现分类器和流量控制程序套接字过滤器程序(BPF_PROG_TYPE_SOCKET_FILTER)套接字相关程序功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 关于本文 Linux 现在已经支持了很多种和网络相关的
监控技术文件
04-16
本资料是监控系统的一些行业标准 适合弱电工程师使用
APIHook钩子文件监控 监控指定目录下文件的读写和修改.zip
03-28
APIHook文件监控 监控指定目录下文件的读写和修改.zip
Linux API Hook
03-01
Linux HOOKAPI方面的资料甚少,新人很难走进Linuxhook的大门,本文全面讲解Linuxhookapi的全部实现过程,包括分析过程,涉及inject,相关技术也可以用在Android上。
linux 子进程hook,Linux Hook技术(五)
weixin_34564735的博客
04-30 222
今天咱们来点实战的话题,对于前面我们研究的那么多知识,做一次总结.来看看这些节表之间是怎么联系起来的.最后我们将经过一个简单的拦截printf函数,修改它的参数,来输出我指定的字符串,这样就达到简单的hook api的目的.好了废话不多说.先看看test5.c里面的代码.#include #include int main(){while (1){getchar();printf("hello")...
文件监视开发技术小结
cnhome的专栏
03-03 2374
 最近在用java写监视文件系统的东东,特对C++和Java下的不同实现方法做一小结。  1.Java环境下 很多人都说用文件轮询HashTable,然后如何如何比较,这种方法效率极为低下,还会造成无谓的磁盘读写。好了JDK 7中提供了java.nio.file大家可以通过 WatchService 来实现文件的事件的监听。千万记得在JDK 7下哈,现在的JDK7的预览版
linux hook技术
mijichui2153的博客
04-22 4128
Hook中文翻译为钩子,可以用来截获调用函数,并改变函数的行为。Windows和Linux都提供了相应的实现机制。这篇文章是针对Linux平台的。也是在学习协程库libco过程中接触到的。 正文: 如果你是一个开发者,并期望去改变一个库函数的行为,那么这篇文章将带你入门——只是用库函数做实验。所有的代码是用C写的,在Linux上面使用GCC编译测试。 根据维基百科,“在计算机...
linux hook
cncnlg的专栏
05-21 4152
目录 1. 系统调用Hook简介 2. Ring3中Hook技术 3. Ring0中Hook技术 4. 后记 1. 系统调用Hook简介 系统调用属于一种软中断机制(内中断陷阱),它有操作系统提供的功能入口(sys_call)以及CPU提供的硬件支持(int 3 trap)共同完成。 我们必须要明白,Hook技术是一个相对较宽的话题,因为操作系统从ring3
linux系统下的各种hook方式\Linux内核hook系统调用
西京刀客
08-26 1万+
文章目录一、linux系统下的各种hook方式1. 函数指针hook2. 动态库劫持3. Linux系统调用劫持 hook4. 堆栈式文件系统5. LSM二、Linux内核hook系统调用 一、linux系统下的各种hook方式 在计算机中,基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流, Linux平台上常见的拦截: 修改函数指针。 用户态动态库拦截。 内核态系统调用拦截。 堆栈式文件系统拦截。 LSM(Linux Security Modules) 1. 函数
Hook实现文件监控
sinat_36391009的博客
11-29 6911
介绍 该Windows文件监控系统旨在为Windows环境中的文件提供安全性。我需要设计一个应用程序来监视Windows上的文件打开、关闭和保存操作,并限制用户在安装此实用程序之前访问文件类型的子集。这是通过连接Windows文件相关api,然后根据需要在Windows中对文件进行打开、保存和关闭操作的预处理来实现的。预处理可能是对文件进行加密,破坏文件的标题部分等。如果在系统上安装了这个实用程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值