Hook技术--③Linux系统调用劫持 hook

已于 2023-10-31 11:09:59 修改
阅读量439 收藏 3
点赞数
分类专栏: Linux Hook技术 文章标签: c++ 笔记 linux 网络安全
于 2023-10-31 11:09:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53485135/article/details/134136039
版权

1.3 Linux系统调用劫持 hook

1.3.1 理解

系统调用劫持的目的是改变系统中原有的系统调用,用我们自己的程序替换原有的系统调用。Linux内核中所有的系统调用都是放在一个叫做sys_ call _table的内核数组中,数组的值就表示这个系统调用服务程序的入口地址。整个系统调用的流程如下:

1698300470361

当用户态发起一个系统调用时,会通过80软中断进入到syscall hander,进而进入全局的系统调用表sys_ call _table去查找具体的系统调用,那么如果我们将这个数组中的地址改成我们自己的程序地址,就可以实现系统调用劫持。但是内核为了安全,对这种操作做了一些限制

  • sys_ call _table的符号没有导出,不能直接获取。
  • sys_ call _table所在的内存页是只读属性的,无法直接进行修改。

对于以上两个问题,解决方案如下(方法不止一种):

  • 获取sys call table的地址 :grep sys_call_table /boot/ -r

在这里插入图片描述

  • 控制页表只读属性是由CR0寄存器的WP位控制的,只要将这个位清零就可以对只读页表进行修改。
/* make the page writable */
int make_rw(unsigned long address) {
    unsigned int level;
    pte_t *pte = lookup_address(address, &level);//查找虚拟地址所在的页表地址
    pte->pte |= _PAGE_RW;//设置页表读写属性
    return 0;
}

/* make the page write protected */
int make_ro(unsigned long address) {
    unsigned int level;
    pte_t *pte = lookup_address(address, &level);
    pte->pte &= ~_PAGE_RW;//设置只读属性
    return 0;
}

1.3.2 示例

开始替换系统调用,本文实现的是对 ls 这个命令对应的系统调用,系统调用号是 __NR_getdents。

在linux内核中,比较常见并且关键的就是系统调用表,系统调用表实际上是指针数组,下标是系统调用号,应用层发起的所有活动基本上都绕不过系统调用,控制了系统调用表基本上就是控制了整个系统.

hook只需要两个信息:系统调用表的起始地址和系统调用号,之后就能像修改指针一样进行劫持。

static int syscall_init_module(void) {
    orig_getdents = sys_call_table[__NR_getdents];
    make_rw((unsigned long)sys_call_table); //修改页属性
    sys_call_table[__NR_getdents] = (unsigned long *)hacked_getdents; //设置新的系统调用地址
    make_ro((unsigned long)sys_call_table);
    return 0;
}

恢复原状:

static void syscall_cleanup_module(void) {
    printk(KERN_ALERT "Module syscall unloaded.\n");
    make_rw((unsigned long)sys_call_table);
    sys_call_table[__NR_getdents] = (unsigned long *)orig_getdents;
    make_ro((unsigned long)sys_call_table);
}

使用Makefile编译,insmod插入内核模块后,再执行ls时,就会进入到我们的系统调用,我们可以在hook代码中删掉某些文件,ls就不会显示这些文件,但是这些文件还是存在的。

1.3.3 文章参考

http://t.csdnimg.cn/A4r9U

霜晨月c
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
linux应用hook实例(含源码分析)
啊渊的专栏
08-12 2451
函数地址替换是最简单的hook方式,在开发的时候发现C开发的程序和C++开发的程序hook还是有差别的。C开发的程序函数几乎是可以直接使用readelf查看,因此在查找函数偏移量的时候相对简单一些,但是如果是C++开发无法直接使用readelf命令查看函数地址,因此需要动态跟踪函数地址,找到函数偏移量然后针对该函数地址进行hook。..............................
Hook技术简介
武天旭的博客
10-21 1032
# 一、Hook原理 Hook技术的本质就是劫持函数调用。但是由于处于Linux用户态,每个进程都有自己独立的进程空间,因此要实现Hook就必须先注入到所要Hook的进程空间,然后修改其内存中的进程代码,替换其过程表的符号地址。在Android中,一般是通过ptrace函数附加进程,然后向远程进程注人so库,从而达到监控以及远程进程关键函数挂钩。
linux系统下的各种hook方式\Linux内核hook系统调用
热门推荐
西京刀客
08-26 1万+
文章目录一、linux系统下的各种hook方式1. 函数指针hook2. 动态库劫持3. Linux系统调用劫持 hook4. 堆栈式文件系统5. LSM二、Linux内核hook系统调用 一、linux系统下的各种hook方式 在计算机中,基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流, Linux平台上常见的拦截: 修改函数指针。 用户态动态库拦截。 内核态系统调用拦截。 堆栈式文件系统拦截。 LSM(Linux Security Modules) 1. 函数
易语言-易语言通过HOOK进行IP转发/拦截
06-29
通过HOOK进行IP转发/拦截源码,源码调用了超级模块。
修改MSR对syscall指令HOOK
12-12
修改MSR(lstar)对syscall指令HOOK. 本身在win7 x64 sp1使用VS2013开发。
linux系统调用挂钩方法总结
sdulibh的专栏
12-22 1万+
相关学习资料 http://xiaonieblog.com/?post=121 http://hbprotoss.github.io/posts/li-yong-ld_preloadjin-xing-hook.html http://www.catonmat.net/blog/simple-ld-preload-tutorial/ http://os.51cto.com/art/2010
Linux应用层hook技术总结与实例
qq_33838877的博客
01-20 2313
1.前言 LINUX hook技术一直是linux技术爱好者们研究的一个热点问题,Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3, ring0是指CPU的运行级别,ring0是最高级别,ring1次之,ring2更次之,以此类推。 拿Linux+x86来说,操作系统(内核)的代码运行在最高运行级别ring0上,可以使用特权指令,控制中断、修改页表、访问设备等等。 应用程序的代码运行在最低运行级别上ring3上,不能做受控操作。如果要做,比...
Linux ARM64 hook系统调用
小立仔
03-01 1497
Linux ARM64 hook mkdir 系统调用 简介
Linux内核开发之hook系统调用
最新发布
qq_26962739的博客
09-21 563
本文将讨论如何hook Linux系统调用,教你如何获取系统调用表的地址以及如何利用它来实现几乎所有你想做的事情。
linux 系统调用hook
jack的博客
06-22 286
都引流到某乎上了,不准备在这继续发展了。
winmm劫持补丁的apihook解码常规和特征补丁-易语言
06-12
这里先发一个一般补丁工具能做到 apihook劫持常规补丁 和 特征补丁,回头再慢慢发些寄存器补丁,硬断补丁之类的 其实仅仅是这种需求的话,一般的补丁工具都可以写出这种补丁 仅仅用到了精益模块,模块请自行从论坛...
koa-service:web框架,涵盖cron,hook,c ++插件等
02-03
简介 1、包含Rest-ful、Middleware、Hooks、鉴权等, 特别是在API层加入的函数劫持功能,类似于spring的aop很方便业务解耦, 2、包含MongoDB、Mysql、redis等数据操作库或接口 3、分装http、socket、protobuf工具 4、...
WINAPI调用约定函数的inlineHOOK模板类(class)
09-17
使用class封装的inlineHOOK模板类(class),可劫持大部分WINAPI函数,此种函数的特征为前5字节为 8B FF 55 8B EC;和使用此模板类的几个示例。 如果劫持关键DLL中的函数,请注意DEP的状态:AlwaysOff或者自己实现过...
易语言-易语言DLL劫持
06-25
一些木马或病毒也会利用DLL劫持技术搞破坏,因此当在应用程序目录下发现系统一些DLL文件存在时,如lpk.dll,应引起注意。 首先 运行exe他会把需要的DLL加载进来,加载的目录如无特别的制定的话,现在当前目录找,...
Linux平台下hook技术研究
qazw9600的专栏
07-01 397
说明 之前公司,C项目中为了程序检测内存泄漏问题,采用一个自己实现的库,能够记录内存分配和释放操作,程序结束或者通过信号可以生成dump信息来分析内存问题。 技术分析 内存分配和释放记录主要是通过hook(钩子)技术来获取的。 hook技术 通过预处理实现 实现方式: 创建一个头文件,通过宏替换的方式替换掉内存分配(malloc,calloc,realloc)和释放函数(free)。 创建一个源文件,定义替换函数,在替换函数中记录调用调用真正的目标函数和做相应处理。 代码示例: * 头
Linux 实现网页劫持,Linux下实现劫持系统调用的总结(上)--代码及实现
weixin_33180243的博客
05-14 115
Linux内核版本2.6中已经不再导出系统调用符号表了。因此,如果想实现劫持系统调用,就得想办法找到系统调用表的地址。网上应该可以搜到相关的实现。我这里找到了albcamus兄的精华文章,并在内核版本2.6.18.3上实践了其中的代码。这里总结一下。本文欢迎自由转载,但请标明出处和本文链接,并保持本文的完整性。Dec 2, 2009一、代码及实现(一) 劫持open系统调用的代码内核态实现劫持系统...
LinuxC++中可使用的3种Hook方法
网络资源是无限的
12-05 6281
Hook即钩子,截获API调用技术,是将执行流程重定向到你自己的代码,类似于hack。如使程序运行时调用你自己实现的malloc函数代替调用系统库中的malloc函数。这里介绍下LinuxC++中可使用的3中Hook方法: 1. GNU C库允许你通过指定适当的钩子函数(hook function)来修改malloc、realloc和free的行为,钩子函数的声明在malloc.h文件中,如__malloc_hook, __free_hook,你可以使用这些钩子来帮助你调试使用...
linux 系统调用 hook 总结
whatday的专栏
09-02 5012
1. 系统调用Hook简介 系统调用属于一种软中断机制(内中断陷阱),它有操作系统提供的功能入口(sys_call)以及CPU提供的硬件支持(int 3 trap)共同完成。 我们必须要明白,Hook技术是一个相对较宽的话题,因为操作系统从ring3到ring0是分层次的结构,在每一个层次上都可以进行相应的Hook,它们使用的技术方法以及取得的效果也是不尽相同的。本文的主题是"系统调用的Hoo...
Hook Linux内核系统调用
xiejianjun417的专栏
04-09 586
百度搜索到Hook Linux内核系统调用的方式,通过修改系统调用表syscall_table相应的地址,查找syscall_table的方式主要有3种: 通过查看/boot/System.map.*文件,从sys_close遍历到loops_per_jiffy来查找到syscall_table,代码如下: unsigned long **find_sys_call_table(void) ...
hook linux
07-28
Linux中,"hook"是指通过修改或替换系统函数的方式来拦截和修改程序的行为。通过hook技术,我们可以在程序执行特定函数之前或之后注入自定义的代码,从而实现对程序的控制和修改。引用\[1\]中的代码示例展示了如何通过hook技术劫持connect函数,实现对网络连接的修改。在这个示例中,通过修改connect函数的参数,将连接的目标端口修改为1235,并打印出连接的IP地址和修改后的端口号。这样,我们可以在程序中对网络连接进行自定义的操作。引用\[2\]中的代码展示了具体的hook实现方式,通过使用函数指针和动态链接库的方式来替换原有的connect函数。引用\[3\]中提到,在Linux内核中,采用了函数指针的形式来实现面向对象的特性,通过实现VFS提供的接口,可以实现自定义的堆栈式文件系统。这种方式可以拦截和修改文件的读写操作,实现对文件系统的控制。 #### 引用[.reference_title] - *1* *2* [Linux Hook方法](https://blog.csdn.net/vspiders/article/details/120266898)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [linux系统下的各种hook方式\Linux内核hook系统调用](https://blog.csdn.net/inthat/article/details/119931358)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

霜晨月c

谢谢老板地打赏~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值