Linux利用hook技术实现文件监控和网络过滤

最新推荐文章于 2024-04-03 16:24:10 发布
最新推荐文章于 2024-04-03 16:24:10 发布
阅读量1.1k 收藏 11
点赞数
分类专栏: 网络 linux 文章标签: linux 网络 运维
原文链接:https://blog.csdn.net/weixin_45646368/article/details/111403378
版权
linux 同时被 2 个专栏收录
340 篇文章 68 订阅
订阅专栏
网络
8 篇文章 0 订阅
订阅专栏

基于https://blog.csdn.net/jinking01/article/details/126718873,继续hook的尝试。

需求说明
1、文件监控系统,实现指定目录的文件监控,当存在关键字的文件被打开时拒绝打开并提示某进程危险,正在打开某文件,若文件不存在关键字或者不在监控范围内则提示用户某进程正在打开文件允许放行。
2、网络监控系统,实现指定IP地址的拦截,不允许指定的IP连接和访问,并且提示用户某IP正在访问或连接,处理结果为放行或者拦截。

示例(没有测试代码哈,只提供了hook函数)

file_filter.c

#include <stdio.h>
#include <string.h>
#include <stdlib.h>

#include <sys/stat.h>
#include <unistd.h>
#include <dlfcn.h>

#define STRMAXLEN 301

const char path[] = "/home/ok/test"; // 受监控的目录
const char word[] = "passwd";       // 敏感字,在受监控的目录中存在敏感字的文件受到保护

typedef int (*new_open)(const char *pathname, int flags);

int open(const char *pathname, int flags)
{
    void *handle = NULL;
    new_open old_open = NULL; // 保存成old_open以备调用

    // 获得libc.so.6的句柄
    handle = dlopen("libc.so.6", RTLD_LAZY);

    // 返回open函数在libc.so.6中的加载时的地址
    old_open = (new_open)dlsym(handle, "open");

    struct stat ststat;
    if (stat(pathname, &ststat)==0)
    {
        // 断是否为文件
        if (S_ISREG(ststat.st_mode))
        {
            // 判断是否为全路径,不为则补全当前路径
            char pathbuf[STRMAXLEN]; // 全路径文件名buf
            if (pathname[0] != '/')
            {
                memset(pathbuf, 0, STRMAXLEN);
                getcwd(pathbuf, STRMAXLEN);
                if (pathbuf[strlen(pathbuf)-1] != '/')
                    strcat(pathbuf, "/");
                strcat(pathbuf, pathname);
            }
            else
            {
                strcpy(pathbuf, pathname);
            }
            // 判断文件是否在监控的目录中
            if (strstr(pathbuf, path) == &pathbuf[0])
            {// 表明该文件受到监控
                FILE *fp = NULL;
                char buffer[1024];
                memset(buffer, 0, sizeof(buffer));

                char strcmd[128];
                memset(strcmd, 0, sizeof(strcmd));
                snprintf(strcmd, sizeof(strcmd), "grep %s %s", word, pathbuf);
                fp = popen(strcmd, "r");

                // buffer不为空则存在关键字,拦截
                if (fgets(buffer, sizeof(buffer), fp) != NULL)
                {
                    printf("进程%d正在打开%s, 该操作已被拦截\n", getpid(), pathbuf);
                    pclose(fp);
                    exit(0);
                }
                pclose(fp);
            }
        }
    }

    printf("进程%d正在打开%s, 已放行\n", getpid(), pathname);

    return old_open(pathname, flags);
}

socket_filter.c

#include <stdio.h>
#include <sys/types.h>          /* See NOTES */
#include <dlfcn.h>
#include <sys/socket.h>
#include <arpa/inet.h>
#include <string.h>
#include <stdlib.h>
#include <unistd.h>

const char URL[] = "115.238.190.240";

typedef int (*new_socket)(int, const struct sockaddr *, socklen_t);
typedef int (*new_accept)(int, struct sockaddr *, socklen_t *);

// 判断接入的网络是否为过滤IP,如果是则提前返回
int connect(int sockfd, const struct sockaddr *addr, socklen_t addrlen)
{
    void *handle = NULL;
    new_socket old_connect = NULL; // 保存成old_connect以备调用

    // 获得libc.so.6的句柄
    handle = dlopen("libc.so.6", RTLD_LAZY);

    // 返回open函数在libc.so.6中的加载时的地址
    old_connect = (new_socket)dlsym(handle, "connect");

    char ip[128]; memset(ip, 0, sizeof(ip)); // ip地址
    int port = -1;                           // 端口号

    if (AF_INET == addr->sa_family)
    {
        struct sockaddr_in *sa4 = (struct sockaddr_in *)addr;
        inet_ntop(AF_INET, (void *)(struct sockaddr *)&sa4->sin_addr, ip, sizeof(ip));
        port = ntohs(sa4->sin_port);
        printf("\nAF_INET IP===%s:%d\n", ip, port);
    }

    if (0 == strcmp(ip, URL))
    {
        printf("\n===%s netfilter...connect failed!\n", ip);
        return -1;
    }

    printf("\nPID:%d, socket:%d, %s Successfully connected!\n", getpid(), sockfd, ip);
    return old_connect(sockfd, addr, addrlen);
}

int accept(int sockfd, struct sockaddr *addr, socklen_t *addrlen)
{
    void *handle = NULL;
    new_accept old_accept = NULL; // 保存old_accept以备调用

    // 获得libc.so.6的句柄
    handle = dlopen("libc.so.6", RTLD_LAZY);

    // 返回accept函数在libc.so.6中的加载时的地址
    old_accept = (new_accept)dlsym(handle, "accept");

    char ip[128]; memset(ip, 0, sizeof(ip)); // Ip地址
    int clientfd = -1;                       // 客户端socketfd

    if (AF_INET == addr->sa_family)
    {
        struct sockaddr_in *sa4 = (struct sockaddr_in *)addr;
        strcpy(ip, inet_ntoa(sa4->sin_addr)); // IP
        // 阻止接入
        if (0 == strcmp(ip, URL))
        {
            printf("\nPID:%d  ===%s=== netfilter...accept failed!\n", getpid(), ip);
            return -1;
        }
    }

    // 放行
    clientfd = old_accept(sockfd, addr, addrlen);
    printf("\nPID:%d, clientfd:%d, %s Successfully accepted!\n", getpid(), clientfd, ip);

    return clientfd;
}

makefile

GC=gcc

all:libmyfilter.so

libmyfilter.so:file_filter.c socket_filter.c
    $(GC) -fPIC -shared -o libmyfilter.so file_filter.c socket_filter.c -ldl

clean:
    rm -rf *.so

原文链接:https://blog.csdn.net/weixin_45646368/article/details/111403378

土豆西瓜大芝麻
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux/Unix 使用inotify,hook函数监控文件事件
sesiria的博客
08-15 853
在实际开发中有时候回遇到许多文件的操作,或者需要对文件事件进行排查。。 可以使用inotify函数来完成这项工作 代码如下: #include <stdio.h> #include <stdlib.h> #include <errno.h> #include <unistd.h> #include <sys/types.h> #include <sys/inotify.h> #define EVENT_SIZE
QT后台监控鼠标侧键
04-15
4. **安装事件过滤器(Event Filter)**:为了在后台监控鼠标,可能需要为特定的窗口或对象安装事件过滤器。通过实现`QObject::eventFilter()`方法,可以在事件传递到目标对象之前捕获并处理它们。这使得我们有机会...
linux实现hook函数
最新发布
weixin_46451012的博客
04-03 180
linux实现hook功能
linux kernel 5.0 inline hook框架
qq_42931917的博客
03-18 1042
linux kernel inline hook
linux 系统调用hook
jack的博客
06-22 319
都引流到某乎上了,不准备在这继续发展了。
Linux 驱动根据struct file获取全路径和文件
qq_42931917的博客
08-19 9563
vfs层获取文件全路径
linux 过滤驱动 用户态,增强Linux内核中访问控制安全的方法
weixin_42365490的博客
04-29 454
背景前段时间,我们的项目组在帮客户解决一些操作系统安全领域的问题,涉及到windows,Linux,macOS三大操作系统平台。无论什么操作系统,本质上都是一个软件,任何软件在一开始设计的时候,都不能百分之百的满足人们的需求,所以操作系统也是一样,为了尽可能的满足人们需求,不得不提供一些供人们定制操作系统的机制。当然除了官方提供的一些机制,也有一些黑魔法,这些黑魔法不被推荐使用,但是有时候面对具体...
Linux下基于Netfilter的网络监听器的设计与实现.pdf
09-06
Linux下基于Netfilter的网络监听器的设计与实现》这篇文献主要探讨了如何在Linux操作系统中利用Netfilter框架设计和实现一个高效的网络监听器。Netfilter是Linux内核2.4.x版本引入的一个功能强大的网络数据包过滤...
基于Linux内核2.6的进程拦截机制的研究和实现.pdf
09-06
本文主要探讨如何在Linux内核2.6的基础上研究和实现进程拦截机制,从而提高系统的安全性。 首先,我们需要理解Linux内核的工作原理。Linux内核负责调度和管理系统的所有进程,包括创建、执行以及在内核空间中的运行...
linux内核IMQ源码实现分析.pdf
11-05
Linux内核中的IMQ(Input Message Queue)是一种用于网络流量控制和入口...虽然IMQ的配置相对简单,但其内核实现机制涉及到多个层次的网络协议栈操作,理解并优化这些操作对于提升系统性能和实现复杂网络策略至关重要。
一个拦截socket 的hook
05-02
截取socket的hook源码.实现了截取所有windows的网络数据包。仅供学习参考
Hook技术拦截IP包Pack
07-08
标题中的“Hook技术拦截IP包Pack”涉及到的是网络编程中的一种高级技巧,即Hook(钩子)技术,用于拦截和处理网络数据包,尤其是IP层的包。在网络安全、网络监控、性能分析等领域,这种技术有着广泛的应用。 Hook...
linux2.4.x网络安全框架.doc
03-18
该框架在Linux 2.2.x的基础上进行了改进和扩展,旨在提供更高效、更灵活的网络控制和过滤功能。以下是对这个框架的详细解析: 1. Netfilter Netfilter是Linux内核网络子系统中的一个核心组件,它定义了在网络数据包...
基于Linux的校园网流量计费系统.pdf
09-06
总之,基于Linux的Netfilter流量计费系统是解决校园网计费问题的有效解决方案,它利用内核级别的数据包处理能力,实现了对网络流量的精细化管理和计费,为网络管理员提供了强大的工具来优化网络资源分配和保障网络...
基于Linux内核Netfilter框架的P2P管理.pdf
09-06
Linux内核的Netfilter框架是一个强大的网络数据包过滤和处理机制,它为用户提供了在网络层、传输层以及会话层等不同层次对网络流量进行控制的能力。Netfilter的核心组件包括iptables,一个命令行工具,用于配置和...
linux检测访问,c – 如何在Linux中检测文件访问?
weixin_35042546的博客
05-14 182
一个选择是使用strace:strace -o logfile -eopen yourapp这将记录所有文件打开的事件,但它会强加一个可能会显着的性能损失.它具有易于使用的优点.另一个选项是使用LD_PRELOAD.这对应于您的选项#2.基本的想法是做这样的事情:#define _GNU_SOURCE#include #include int open(const char *fn, int fl...
Linux下C++中可使用的3中Hook方法
jinking01的专栏
09-06 738
Linux下C++中可使用的3中Hook方法
linuxhook 系统调用示例
09-29 2396
原理很简单,Linux查看进程的命令ps是通过系统调用sys_getdents实现,sys_getdents用户获取一个指定路径下的目录条目,实际上就是枚举   /proc/ 下的pid,这样我们只需要hook一下sys_getdents,把相应的要隐藏的pid信息去掉即可。   以下是LKM代码,在Linux-2.6.14测试并运行成功   #include linux/mod
linux hook 任意内核函数,linux内核中的hook函数详解
weixin_28766581的博客
05-02 173
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。先介绍一个结构体:struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,其实际的定义为:其中的成员信息为:hook :是一个函数指针,可以将自定义的函数赋值给它,来实现当有数据包到达是调用你自定义的函数。自定义函数的返回值为:owner:是模块的所有者,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值