linux 下hook函数

最新推荐文章于 2024-10-08 20:40:39 发布
最新推荐文章于 2024-10-08 20:40:39 发布
阅读量5.2k 收藏 7
点赞数
分类专栏: linux hook
hook在windows下可以说是知名度相当高的一种"高级“技术
想在linux下面实现像windows下的那种hook的功能,不过网上的资料很少(LD_PRELOAD 也可以做类似的事)
自己研究了下,写了个类似功能的函数
思想很简单,就在运行时把一个函数的入口改成jmp到另一个地址

点击(此处)折叠或打开

  1. #include <iostream>
  2. #include <stdlib.h>
  3. #include <stdio.h>
  4. #include <stdint.h>
  5. #include <string.h>
  6. #include <sys/mman.h>
  7. #include <errno.h>
  8. #include <unistd.h>

  10. void set_hook(void *to_mock_func, void *mock_func)
  11. {
  12.     uint8_t machine_code[] = {
  13.             //movq $0x0, %rax 后面8个字节的0为64位立即数
  14.             0x48, 0xb8, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0,
  15.             //jmpq *%rax
  16.             0xff, 0xe0
  17.         };

  19.     int pagesize = sysconf(_SC_PAGE_SIZE);
  20.     if (pagesize == -1)
  21.     {
  22.         exit(errno);
  23.     }

  25.     uint8_t *mem = (uint8_t *) to_mock_func;
  26.     void *= (uint8_t*) (mem - ((uint64_t) mem % pagesize));
  27.     if (mprotect(p, pagesize, PROT_READ | PROT_WRITE | PROT_EXEC))
  28.     {
  29.         perror("mprotect error");
  30.         exit(errno);
  31.     }

  33.     //改写立即数为mock的地址,写入函数入口处
  34.     memcpy(machine_code + 2, &mock_func, sizeof(mock_func));
  35.     memcpy(mem, machine_code, sizeof(machine_code));

  37.     if (mprotect(p, pagesize, PROT_EXEC))
  38.     {
  39.         perror("mprotect error");
  40.         exit(errno);
  41.     }
  42. }

  44. using namespace std;
  45. class Cal
  46. {
  47. public:
  48.     int Sum(int a, int b, long c, long d, long e)
  49.     {
  50.         std::cout << "Cal::Sum called... " << std::endl;
  51.         return 0;
  52.     }
  53.     int m;
  54. };

  56. int MockCalSum(Cal *p, int a, int b, long c, long d, long e)
  57. {
  58.     int x = 0;
  59.     x += a + b + c + d;
  60.     std::cout << "MockCalSum called... " << std::endl;
  61.     p->= x;
  62.     return x;
  63. }

  65. int main()
  66. {
  67.     int a = 0;
  68.     int b = 1;
  69.     long c = 2;
  70.     long d = 3;
  71.     long e = 4;
  72.     Cal cal;
  73.     cal.Sum(a, b, c, d, e);
  74.     MockCalSum(&cal, a, b, c, d, e);
  75.     set_hook((void*)&Cal::Sum, (void*)MockCalSum);
  76.     cal.Sum(a, b, c, d, e);
  77.     return 0;
  78. }
linuxheik
关注
专栏目录
linux应用hook实例(含源码分析)
啊渊的专栏
08-12 2756
函数地址替换是最简单的hook方式,在开发的时候发现C开发的程序和C++开发的程序hook还是有差别的。C开发的程序函数几乎是可以直接使用readelf查看,因此在查找函数偏移量的时候相对简单一些,但是如果是C++开发无法直接使用readelf命令查看函数地址,因此需要动态跟踪函数地址,找到函数偏移量然后针对该函数地址进行hook。..............................
一步一步走进Linux HOOK API(一)
热门推荐
LvAppの嵌入式
03-12 1万+
最近我查阅很多参考资料.发现对于讲述Linux HOOK API的资料是很少,让我们这些新人难以去走进Linux HOOK大门.在这里我将全面的讲述Linux HOOK API的全部实现过程,这个过程中我也遇到很多坎坷,所以在这么写下这份教程.让大家都来进入HOOK的神秘世界. 不要认为HOOK API是windows的专利(PS.其实我以前就是这么认为的.哈哈....),其实在Linux中也有
通过hook Linux内核函数,监控进程/线程创建与销毁
warriorpaw的专栏
12-09 8905
还是实验室蛋疼项目的需求催出来的东西,蛋疼要死,CS专业读研难道就等于干2-3年义工?? Linux实际上木有线程这玩意,具体到内核里面就是个进程组头+一堆轻量级进程 太感谢Linus了,工作量瞬间下来了,在内核线程/进程无差别的,写一套东西就忽悠交差说是两套都做了,反正那帮子人也不懂。。。。 所有的进程创建都是通过do_fork()内核函数来做的,所有进程销毁都是走do_exit(),系统
Linux Hook 笔记
weixin_34212189的博客
02-21 121
相信很多人对"Hook"都不会陌生,其中文翻译为"钩子".在编程中, 钩子表示一个可以允许编程者插入自定义程序的地方,通常是打包好的程序中提供的接口. 比如,我们想要提供一段代码来分析程序中某段逻辑路径被执行的频率,或者想要在其中 插入更多功能时就会用到钩子. 钩子都是以固定的目的提供给用户的,并且一般都有文档说明. 通过Hook,我们可以暂停系统调用,或者通过改变系统调用的参数来改变正常的输出结...
钩子函数和回调函数
最新发布
我的博客
10-08 388
在嵌入式开发中,钩子函数Hook Function)和回调函数(Callback Function)都是常见的编程模式,虽然它们的用途和机制相似,但在设计理念和应用场景上有所区别。
linux 中的hook
faithsws的专栏
09-28 6479
相信熟悉windows编程的高手们都知道,windows为我们提供一些api,这些api用于hook 键盘,鼠标,消息等事件。windows的运行是来源于这些事件驱动的,所以一旦我们截获了这些事件,就可以篡改程序本来的功能了。但是在Linux中,并不存在这样的api。要抓获内核中的input事件,就必须另外编辑驱动进行额外的处理。 这是以前我在工作中遇到的一个需求:在用户按下某个功能键
linux 下的hook
助跑。。。。。。跳
04-02 4646
◆ 如何修改动态库符号表 作者:wangdb (mailto:wangdb@nsfocus.com) 主页:http://www.nsfocus.com/ 日期:2000-10-14 一、ELF 文件和有关术语Unix 系统的可执行文件和动态库文件是以 ELF 格式存放的。为使下面的叙述清晰而没有伎义,先简要介绍一下 ELF 文件格式,并约定一些术语。
linux内核中的hook函数详解,linux 内核 hook函数介绍
weixin_34907135的博客
05-09 478
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。typedef unsigned int nf_hookfn(unsigned int hooknum, struct sk_buff *skb, const struct net_device *in, const struct net_d...
c++钩子函数:copy hook_linux函数hook
12-27
总结来说,"c++钩子函数:copy hook_linux函数hook"是一个C++项目,它在Linux环境下实现了文件复制操作的监控和控制,可能通过内核模块、用户空间钩子或两者结合的方式。项目使用了ATL库来创建COM接口,并提供了类型...
linux钩子函数和回调函数,Linux Kernel 学习笔记10:hook函数
weixin_39608478的博客
05-03 943
(本章基于:Linux-4.4.0-37)linux 内核中有一套hook函数机制,可在不同hook点位置监控网络数据包,并执行丢弃、修改等操作。网络防火墙就是通过此机制实现的。注册注销hook函数linux/netfilter.h注册钩子函数:int nf_register_hook(struct nf_hook_ops *reg);注销:void nf_unregister_hook(str...
linuxhook函数
esrrhs的专栏
06-27 1115
#include #include #include #include #include #include #include #include void set_hook(void *to_mock_func, void *mock_func) { uint8_t machine_code[]
ftrace-hook:在Linux内核中使用ftrace进行函数挂钩
05-04
Linux内核模块演示了如何使用ftrace框架进行函数挂钩:就像在挂钩函数周围执行任意代码一样。 该代码已根据许可。 如何建造 请考虑使用虚拟机(VirtulBox,VMWare,QEMU等)进行实验。 (不变的)模块是完全无害的...
linux hook函数详解,linux内核中的hook函数详解
weixin_42361933的博客
05-10 471
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。先介绍一个结构体:struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,其实际的定义为: 其中的成员信息为:hook :是一个函数指针,可以将自定义的函数赋值给它,来实现当有数据包到达是调用你自定义的函数。自定义函数的返回值为: owner:是模块的所有...
linux hook
08-23 439
  https://blog.csdn.net/cncnlg/article/details/45892399
Linux API Hook
03-01
Linux HOOKAPI方面的资料甚少,新人很难走进Linuxhook的大门,本文全面讲解Linuxhookapi的全部实现过程,包括分析过程,涉及inject,相关技术也可以用在Android上。
linux 系统调用hook
jack的博客
06-22 385
都引流到某乎上了,不准备在这继续发展了。
Linux系统下的HOOK
蛇矛实验室
04-10 734
Linux系统下的HOOK
Linux hook函数简单实践
marvel的专栏
09-27 1674
#起因 最近对hook函数比较感兴趣,希望能捕获所有某种系统调用,看网上有一篇文章(http://opensourceforu.com/2011/08/lets-hook-a-library-function/) 介绍hook malloc函数,但可能内核实现不同,4.4.0上有问题。特写一篇文章进行更新。 原文中,hook函数中调用printf,其实printf、fprintf等函数都会...
Linux Hook (目录)
pwl999的博客
03-04 1286
Hook技术是性能优化和安全加固的基础。 1、内核态 1.1、LSM Hook 1.2、Ftrace Hook (LivePatch) 1.3、Inline Hook Syscall 2、用户态 2.1、PLT Hook & Inline Hook
Linux Hook方法
vspiders的博客
09-13 1253
linux hook是一个非常常见且成熟的技术,用户态Hook的方法有很多中,本次主要记录下LD_PRELOAD动态链接库劫持方法。 LD_PRELOAD是一个全局变量,linux程序在运行时会优先加载该路径变量下的动态链接库,因此我们只需要通过设置LD_PRELOAD加载我们编写的同名函数,后续的加载过程中就会忽略后面的同名函数,从而完成对系统库的劫持。 一般情况下linux动态加载库的顺序为LD_PRELOAD>LD_LIBRARY_PATH>/etc/ld.so.cache>/l
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值