7——Linux二进制分析——学习——使用ptrace进行代码注入

最新推荐文章于 2024-05-11 12:25:30 发布
最新推荐文章于 2024-05-11 12:25:30 发布
阅读量712 收藏 5
点赞数
分类专栏: 《Linux二进制分析》 备忘 文章标签: ptrace elf asm linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/langqunxianfeng/article/details/88363058
版权

书中第三章最后讲了一个例子,十分遗憾,我暂时还没能调出最后结果。已经花费了很长时间,我觉得暂停是一个比较好的选择。如果我对系统执行elf文件的流程很了解的话,自然能够定位到原因。现在还不是时候,也许等后面再看一看书就知道这里的问题在哪里了。

这个例子书中有更多的错误,尽力改了几个,但还是运行异常。我把整个进展情况和代码贴出来,其中能注释的地方我尽量添加注释,方便读者帮忙分析。如果你知道问题所在,非常希望你能留言,提出宝贵意见,帮助我调通这个工具。

这个例子包含3个.c文件,生成3个elf文件。3个.c文件是,code_inject.c、payload.c和host.c。生成的可执行程序就是文件名,随你自己定,我就按文件名了。它们3个都是干什么的呢?其中code_inject是具有代码注入功能的工具,host是被感染的文件,payload是病毒文件。运行起来host,然后用code_inject工具就可以把payload注入到host中,执行完payload代码之后,host继续执行。

下面的代码是host.c的程序,书中没有给出实现,只能知道里面又一个打字,并且执行完还不会马上退出。所以我这么写的,打印一下,然后sleep一会。

#include <stdio.h>
#include <unistd.h>

int main(void){
    printf("I am but a simple program, please don't infect me.\n");
    sleep(60);
    return 0;
}

下面的代码是payload.c,这里面的说法就比较多了。这里不做详细说明,关于其中的汇编和main函数请点击此链接 payload.c详细说明——linux c编程内嵌汇编和_start启动

//To compile: gcc -fpic -pie -nostdlib payload.c -o payload
#include <stdio.h>
#include <asm/unistd_64.h>
long _write(long fd, char *buf, unsigned long len){
    long ret;
    __asm__ volatile(       
        "mov %0, %%rdi\n"
        "mov %1, %%rsi\n"  
        "mov %2, %%rdx\n"  
        "mov $1, %%rax\n"
        "syscall" : : "g"(fd), "g"(buf), "g"(len));
    asm("mov %%rax, %0" : "=r"(ret));
    return ret;                   
}                                     
                                        
void Exit(long status){
    __asm__ volatile("mov %0, %%rdi\n"
                     "mov $60, %%rax\n"
                     "syscall" : : "r"(status));
}

int _start(){
    _write(1, "I am payload who has hijacked your process!\n", 48);
//    _write(1, "123456\n", 8);
    Exit(0);
}

下面的代码就是核心了——感染工具的代码。我通过注释和代码后面的说明来解释。

//To compile: gcc code_inject.c -o code_inject

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <unistd.h>
#include <fcntl.h>
#include <errno.h>
#include <signal.h>
#include <elf.h>
#include <sys/types.h>
#include <sys/user.h>
#include <sys/stat.h>
#include <sys/ptrace.h>
#include <sys/mman.h>
#include <sys/wait.h>//The sample of the book don't include this lib, it's wrong.
#include <alloca.h>

#define PAGE_ALIGN(x)   (x & ~(PAGE_SIZE 1))
#define PAGE_ALIGN_UP(X)   (PAGE_ALIGN(X) + PAGE_SIZE)
#define WORD_ALIGN(X)   ((X + 7) & ~7)
#define BASE_ADDRESS    0x00100000

typedef struct handle{
    Elf64_Ehdr *ehdr;
    Elf64_Phdr *phdr;
    Elf64_Shdr *shdr;
    uint8_t *mem;
    pid_t pid;
    uint8_t *shellcode;
    char *exec_path;
    uint64_t base;
    uint64_t stack;
    uint64_t entry;
    struct user_regs_struct pt_reg;
}handle_t;

static inline volatile void * evil_mmap(void *, uint64_t, uint64_t, uint64_t, int64_t, uint64_t)__attribute__((aligned(8),__always_inline__));
uint64_t injection_code(void *)__attribute__((aligned(8)));
uint64_t get_text_base(pid_t);
int pid_write(int, void *, const void *, size_t);
uint8_t *create_fn_shellcode(void (*fn)(), size_t len);

void *f1 = injection_code;
void *f2 = get_text_base;

static inline volatile long evil_write(long fd, char *buf, unsigned long len){
    long ret;
    __asm__ volatile(
            "mov %0, %%rdi\n"
            "mov %1, %%rsi\n"
            "mov %2, %%rdx\n"
            "mov $1, %%rax\n"
            "syscall" : : "g"(fd), "g"(buf), "g"(len));
    asm("mov %%rax, %0" : "=r"(ret));
    return ret;
}

static inline volatile int evil_fstat(long fd, struct stat *buf){
    long ret;
    __asm__ volatile(
    "mov %0, %%rdi\n"
    "mov %1, %%rsi\n"
    "mov $5, %%rax\n"
    "syscall" : : "g"(fd), "g"(buf));
    asm("mov %%rax, %0" : "=r"(ret));
    return ret;
}

static inline volatile int evil_open(const char *path, unsigned long flags){
    long ret;
    __asm__ volatile(
    "mov %0, %%rdi\n"
    "mov %1, %%rsi\n"
    "mov $2, %%rax\n"
    "syscall" : : "g"(path), "g"(flags));
    asm("mov %%rax, %0" : "=r"(ret));
    return ret;
}

static inline volatile void * evil_mmap(void *addr, uint64_t len,
        uint64_t prot, uint64_t flags, int64_t fd, uint64_t off){
    long mmap_fd = fd;
    unsigned long mmap_off = off;
    unsigned long mmap_flags = flags;
    unsigned long ret;
    __asm__ volatile(
    "mov %0, %%rdi\n"
    "mov %1, %%rsi\n"
    "mov $2, %%rdx\n"
    "mov %3, %%r10\n"
    "mov %4, %%r8\n"
    "mov %5, %%r9\n"
    "mov $9, %%rax\n"
    "syscall\n" : : "g"(addr), "g"(len), "g"(prot), "g"(flags), "g"(mmap_fd), "g"(mmap_off));
    asm("mov %%rax, %0" : "=r"(ret));
    return (void *)ret;
}

uint64_t injection_code(void * vaddr){
    volatile void *mem;
    mem = evil_mmap(vaddr, 8192,
            PROT_READ|PROT_WRITE|PROT_EXEC,
            MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, 1, 0);
    __asm__ __volatile__("int3");//int3是断点的意思
}

#define  MAX_PATH 512

uint64_t get_text_base(pid_t pid){
    char maps[MAX_PATH], line[256];
    char *start, *p;
    FILE *fd = NULL;
    int i;
    Elf64_Addr base;
    snprintf(maps, MAX_PATH - 1, "/proc/%d/maps", pid);
    if((fd = fopen(maps, "r")) == NULL){
        fprintf(stderr, "Cannot open %s for reading: %s\n", maps, strerror(errno));
        return 1;
    }

    while(fgets(line, sizeof(line), fd)){
        if(!strstr(line, "r-xp"))//my system, type is rwxp. XBter
            continue;
        for(i = 0, start = alloca(32), p = line; *p != ' '; i++, p++)
            start[i] = *p;
        start[i] = '\0';
        base = strtoul(start, NULL, 16);
        break;
    }
    fclose(fd);
    return base;
}

uint8_t * create_fn_shellcode(void (*fn)(), size_t len){
    size_t i;
    uint8_t *shellcode = (uint8_t *)malloc(len);
    printf("%s %d shellcode=%p\n",__FUNCTION__,__LINE__,shellcode);
    uint8_t *p = (uint8_t *)fn;
    for(i = 0; i < len; i++)
        *(shellcode + i) = *p++;
    return shellcode;
}

int pid_read(int pid, void *dst, const void *src, size_t len){
    int sz = len / sizeof(void *);
    unsigned char *s = (unsigned char *)src;
    unsigned char *d = (unsigned char *)dst;
    long word;
    errno = 0;
    while(sz != 0){
        word = ptrace(PTRACE_PEEKTEXT, pid, s, NULL);
        if(word == 1 && errno){
            fprintf(stderr, "pid_read failed, pid: %d: %s\n", pid, strerror(errno));
            goto fail;
        }
        *(long*)d = word;
        s += sizeof(long);
        d += sizeof(long);
        sz--;//Source code don't have this line. It's wrong! XBter
    }
    return 0;
fail:
    perror("PTRACE_PEEKTEXT");
    return 1;
}

int pid_write(int pid, void * dest, const void *src, size_t len){
    size_t quot = len / sizeof(void *);
    unsigned char *s = (unsigned char *)src;
    unsigned char *d = (unsigned char *)dest;
    while(quot != 0){
        printf("%s %d s=%p d=%p quot=%ld\n",__FUNCTION__,__LINE__,s,d,quot);
        if(ptrace(PTRACE_POKETEXT, pid, d, *(void **)s) == 1)
            goto out_error;
        s += sizeof(void *);
        d += sizeof(void *);
        quot--;
    }
    return 0;
out_error:
    perror("PTRACE_POKETEXT");
    return 1;
}

int main(int argc, char **argv){
    handle_t h;
    unsigned long shellcode_size = f2 - f1; //??????????????????
    int i, fd, status;
    uint8_t *executable, *origcode;
    struct stat st;
    Elf64_Ehdr *ehdr;
    if(argc < 3){
        printf("Usage: %s <program> <function>\n", argv[0]);
        exit(1);
    }

    h.pid = atoi(argv[1]);
    h.exec_path = strdup(argv[2]);
    if(ptrace(PTRACE_ATTACH, h.pid) < 0){
        perror("PTRACE_ATTACH");
        exit(1);
    }

    wait(NULL);
    h.base = get_text_base(h.pid);
    shellcode_size += 8;

    h.shellcode = create_fn_shellcode((void*)&injection_code, shellcode_size);
    printf("%d h.shellcode=%p\n",__LINE__,h.shellcode);
    origcode = alloca(shellcode_size);
    if(pid_read(h.pid, (void*)origcode, (void*)h.base, shellcode_size) < 0)
        exit(1);

	if(pid_write(h.pid, (void*)h.base, (void*)h.shellcode, shellcode_size) < 0)
    exit(1);

	if(ptrace(PTRACE_GETREGS, h.pid, NULL, &h.pt_reg) < 0){
        perror("PTRACE_GETREGS");
        exit(1);
    }

    h.pt_reg.rip = h.base;//rip:指令指针寄存器是存放下次将要执行的指令在代码段的偏移量。
    h.pt_reg.rdi = BASE_ADDRESS;//rdi:变址寄存器主要用于存放存储单元在段内的偏移量.
    if(ptrace(PTRACE_SETREGS, h.pid, NULL, &h.pt_reg) < 0){
        perror("PTRACE_SETREGS");
        exit(1);
    }

    if(ptrace(PTRACE_CONT, h.pid, NULL, NULL) < 0){
        perror("PTRACE_CONT");
        exit(1);
    }

    wait(&status);
    if(WSTOPSIG(status) != SIGTRAP){
        printf("Something went wrong WSTOPSIG(status)=%d\n", WSTOPSIG(status));
        exit(1);
    }

    if(pid_write(h.pid, (void*)h.base, (void*)origcode, shellcode_size) < 0)
        exit(1);

		if((fd = open(h.exec_path, O_RDONLY)) < 0){
        perror("open");
        exit(1);
    }

    if(fstat(fd, &st) < 0){
        perror("fstat");
        exit(1);
    }

    executable = malloc(WORD_ALIGN(st.st_size));
    if(read(fd, executable, st.st_size) < 0){
        perror("read");
        exit(1);
    }

    ehdr = (Elf64_Ehdr*)executable;
    h.entry = ehdr->e_entry;
    close(fd);

    if(pid_write(h.pid, (void*)BASE_ADDRESS, (void*)executable, st.st_size) < 0)
        exit(1);

		if(ptrace(PTRACE_GETREGS, h.pid, NULL, &h.pt_reg) < 0){
        perror("PTRACE_GETREGS");
        exit(1);
    }

    h.entry = BASE_ADDRESS + h.entry;
    h.pt_reg.rip = h.entry;
    if(ptrace(PTRACE_SETREGS, h.pid, NULL, &h.pt_reg) < 0){
        perror("PTRACE_SETREGS");
        exit(1);
    }

    if(ptrace(PTRACE_DETACH, h.pid, NULL, NULL) < 0){
        perror("PTRACE_DETACH");
        exit(1);
    }

    wait(NULL);
    exit(0);
}

我先说一下这个例子的执行过程,先在一个终端上后台执行host,./host &,再在另外一个终端上执行注入操作:./code_inject `pidof host` payload。

大概解释一下main函数的逻辑。

200行PTRACE_ATTACH,钩住执行的host程序,这是宿主,待会要感染它。先把位置占上,这样宿主只属于我自己,别人休想入侵。

206行的get_text_base是获取host的maps信息,把其中的代码段其实地址找到,赋值给h.base。

第207行这个+8就不是特别的懂了,我只知道这和程序实际执行pc指针的偏移有关,8是因为我这个是64位系统。我猜是因为想要完整的拷贝病毒需要字节对齐,因为injection_code的长度不是8的整数倍,在后面拷贝的时候如果不加这个8,就会有少拷贝的内容,运行会异常的。

209行调用create_fn_shellcode是拷贝病毒的意思,把病毒injection_code代码拷贝到一块开辟的内存中,地址返回给h.shellcode,后面注入的时候需要用到。

211行这个alloca()接口就不详细说了,和汇编一样我是第一次见到,很神奇,在函数栈中开辟空间,函数退出自动free。但是网上不大提倡使用。直观上逼格很高的骚操作。

212行pid_read是从host的代码段读出injection_code那么长的数据保存起来,留着感染执行完成后恢复原来的程序使用,还原,毁尸灭迹。

215行pie_write是把injection_code这个病毒注入到正在执行的host代码中。

223到228行是调整host进程现在的寄存器的值,让他跳转到开始,好去执行咱们刚注入的代码。

230行的continue不用说。

236行的断点判断也不用说太多。这个断点的设置不是用的0xcc,而是使用的int3,效果应该一样的。

241行把host程序还原。

。。。。。。

就到这吧,在第236行的时候报错了,信号11段错误。。。没有正常断点。。。

 

狼群一一先锋
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
Ptrace--Linux中一种代码注入技术的应用
Litost_Cheng的博客
10-14 5063
PtraceLinux中一种代码注入技术的应用
Linux二进制分析
停止更新,迁移至ykpeng.com
03-06 7420
Preface(序言) 软件工程是一种创造发明的行为,该发明在微处理器上存在、生活并且呼吸。我们称它为程序(program)。逆向工程是发觉程序是如何生活和呼吸,以及如何理解、剖析或者修改程序行为,通过结合使用反汇编器和逆向工具并且依赖我们的黑客直觉来掌控我们正在逆向的目标程序。我们必须理解二进制格式、内存布局和给定处理器指令集的复杂性。我们因此成为微处理器上的程序的主人。一个逆向工程师对二进制
[逆向工程] Linux 二进制分析(1):程序编译与 ELF 格式
最新发布
[热爱分享]希望大家都能花时间在学习自己喜欢的东西上
05-11 905
逆向工程实验二:Linux 二进制分析(1)
linux ptrace注入
weixin_34239169的博客
07-02 914
代码:https://github.com/haidragon/linux-inject注入代码中动态加载所用到的函数。代码为调用 dlopen启动一个动态库。原理:通过 ptrace 附加他,到目标内存中找一块可以执行区域,把代码注入到那里。同时保存原来的数据。用于执行完后恢复现场。关键点是注入代码最后一个字节为 int 3.产生一个异常。这个异常的作用用来恢复现场。命令为 到目录下 ma...
ptrace linux,【ptrace注入linux下ptrace注入器的实现
weixin_42098104的博客
05-26 402
[Asm] 纯文本查看 复制代码#include "iostream"#include #include #include #include #include #include #include #include #include #include #include #include #include #include #includeusing namespace std;class Utils...
Linux -- 利用 ptrace 进行代码注入
weixin_30364147的博客
09-04 221
#include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <string.h> #include <sys/ptrace.h> #include <sys/user.h> #include <sys/wait.h> void getda...
linux二进制分析
fa1lr4in的小博客
10-02 1591
文章大部分内容参考自书籍:《linux二进制分析》〔美〕Ryan O'Neill 著 人民邮电出版社 因为本人对二进制ELF方面的内容比较感兴趣,所以想要系统的学习一下linux二进制文件相关的技术以及利用技巧,上面提到的书解决了我很多的疑惑,强烈安利~~ 正文开始: 工具: 1、gdb 2、objdump:是优秀的分析简单的elf文件的工具,能快速的进行反编译;缺陷是需要依赖ELF节头,...
ptrace注入实例
01-01
在IT行业中,ptrace是一个非常重要的系统调用,主要用于进程调试和系统监控。它允许一个进程(tracer...通过学习和实践ptrace注入实例,我们可以增强对系统级编程的理解,同时也需要注意其潜在的安全风险,并合理使用
Linux内核源代码情景分析 (上下册 高清非扫描 )
03-27
### Linux内核源代码情景分析知识点总结 #### 第1章 预备知识 - **1.1 Linux内核简介** - Linux是由Linus Torvalds在1991年开始开发的操作系统内核,其设计思想受到Unix的影响,但并不直接继承Unix的任何代码。 -...
Linux下Ptrace()调用的安全分析.pdf
09-07
本文将对 Ptrace() 调用的安全进行分析,并讨论其在 Linux 病毒隐藏技术中的应用。 一、Ptrace() 的基本原理 Ptrace() 是一种系统调用,它允许一个进程跟踪和控制另一个进程。它提供了四个参数,包括请求类型、...
kiteshield:Linux上用于x86-64 ELF二进制文件的PackerProtector
02-16
Kiteshield用多层加密包装ELF二进制文件,然后将它们与加载程序代码一起注入,这些加载程序代码完全在用户空间中解密,映射和执行打包的二进制文件。 基于ptrace的运行时引擎可确保在任何给定时间仅对当前调用堆栈...
Learning Linux Binary Analysis linux 二进制分析
11-11
Learning Linux Binary Analysis linux 二进制分析 二进制分析
linux二进制分析随书完整源码
08-02
这个是 《linux二进制分析》的随书源码, 并且增加了第二章的源码,国内不好找的。另外还有该书的勘误,有需要的可以下载看看。
Linux动态代码注入调研1.2Lei1
08-03
Linux动态代码注入调研1.2Lei1】 在Linux操作系统中,动态代码注入是一种技术,它允许在运行时向另一个进程注入代码,通常需要root权限。这种技术主要用于调试、性能分析、安全测试等场景。动态代码注入的核心是...
Linux 二进制分析-Linux环境和工具(chapter 1)
犇叔的博客
12-01 898
linux ELF 二进制分析
2——Linux二进制分析——学习——readelf几个简单选项
We do not claim to have achieved that goal in every aspect of the software, but we strive for it.
02-16 319
查询节头表: readelf -S &lt;object&gt; 查询程序头表: readelf -l &lt;object&gt; 查询符号表: readelf -s &lt;object&gt; 查询ELF文件头数据: readelf -e &lt;object&gt; 查询重定位入口: readelf -r &lt;object&gt; 查询动态段: readelf -...
3——Linux二进制分析——学习——简易ELF解析器
We do not claim to have achieved that goal in every aspect of the software, but we strive for it.
02-16 486
在第二章的结尾,作者贴上了一段ELF解析器的代码,我进行了反复的尝试,加深了对ELF格式的理解。这个其实就是一个简单的readelf,打印所有的section header名称和在可执行程序中的虚拟地址,program header的地址。 为了便于理解,在某些地方我加入了自己的注释。例如mmap()处的注释,line92之前的3行对e_shstrndx的解释,还有开头对3个结构体的解释。 之...
linux二进制文件分析三大工具详解(ldd、readelf、nm)
啊渊的专栏
11-02 1188
linux二进制文件分析三大工具详解(ldd、readelf、nm)
ptrace应用之三代码注入(codeinjection)
12-07 3542
      在Linuxjoural杂志上看到了一篇关于ptrace代码注入的文章,写的非常的好,所以就有想翻译一下的想法。基本内容如下:如果我们想跟踪调试一个已经在运行的进程,我们可以使用 ptrace(PTRACE_ATTACH.......  ),它的功能基本上等同于ptrace(PTRACE_TRACEME.....  )。当我们完成跟踪后,我们可以使用ptrace(PTRACE_DETACH......  )让子进程继续运行。下面是一个实例程序: #include int main()
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值