Hook技术--④Ptrace和⑤Kernel Inline Hook

于 2023-10-31 11:12:49 发布
阅读量161 收藏
点赞数
分类专栏: Linux Hook技术 文章标签: linux 笔记 c++ 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53485135/article/details/134136184
版权

1.4 Ptrace

前置知识:

  • Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3, ring0是指CPU的运行级别,ring0是最高级别,ring1次之,ring2更次之,以此类推。
  • 拿Linux+x86来说, 操作系统(内核)的代码运行在最高运行级别ring0上,可以使用特权指令,控制中断、修改页表、访问设备等等。
  • 应用程序的代码运行在最低运行级别上ring3上,不能做受控操作。如果要做,比如要访问磁盘,写文件,那就要通过执行系统调用(函数),执行系统调用的时候,CPU的运行级别会发生从ring3到ring0的切换,并跳转到系统调用对应的内核代码位置执行,这样内核就为你完成了设备访问,完成之后再从ring0返回ring3。这个过程也称作用户态和内核态的切换。
  • Linux的hook一般发生在ring0和ring3层,其中ring0层通常是hook Linux系统调用表中的系统调用,而ring3层则一般hook的动态链接库中的函数。

1.4.1 理解

ptrace是一种系统调用,也就是进程追踪(process trace);

用于对进程的执行进行干涉以及寄存器状态(值)的读取以及设置,内存的写入与读取;

我们常用的Linux下的gdb主要功能实现就是通过ptrace系统调用的:

#include <sys/ptrace.h>
long ptrace(enum __ptrace_request request, pid_t pid,void *addr, void *data);
  • request : 请求ptrace执行的操作
  • pid: 目标进程的ID
  • addr: 目标进程的地址
  • data: 不同操作下写入或读取的操作数据

1.4.2 示例

模拟gdb的break和continue操作

思路:

  1. 将需要下断点的地址的代码读出并保存;
  2. 将需要下断点的地址的代码修改为0xcc(int 3);
  3. 将需要下断点的地址的代码恢复.

被attach的程序:re.c

#include <stdio.h>
#include <time.h>
#include <unistd.h>
void show() {
    printf("Hello, ptrace! [pid:%d]\n", getpid());
}
int main() {
    while(1) {
        show();
        sleep(2);
    }
    return 0;
}

编译:

gcc re.c -o re

Ptarce程序:hook.c

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h> 
#include <unistd.h>
#include <sys/ptrace.h>
#include <sys/types.h>
#include <sys/wait.h>
#include <sys/reg.h>   /* For constants ORIG_EAX etc */
#include <sys/user.h>

void new_show() {
    printf("Hooked by cc-sir!\n");
}

int main(int argc, char *argv[]) {   
    if(argc!=2) {
        printf("Usage: %s pid\n", argv[0]);
        return 0;
    }
    printf("new_show_addr: %p\n",new_show);
    struct user_regs_struct reg;
    pid_t pid = atoi(argv[1]);
    ptrace(PTRACE_ATTACH, pid,NULL,NULL);
    wait(NULL);
    ptrace(PTRACE_GETREGS,pid,NULL,&reg);
    printf("rip: 0x%lx\n",reg.rip);
    long addr = reg.rip;
    long show_addr = 0x400586;
    long code = 0xcc80cd;
    long back_code;
    int id;
    back_code = ptrace(PTRACE_PEEKTEXT, pid, addr, NULL);   //保留源码
    printf("back_code: %llx\n",back_code);

    if(ptrace(PTRACE_POKETEXT, pid, addr, code) < 0){   //修改源码
        perror("PTRACE_POKETEXT");
        return 0;
    }
    ptrace(PTRACE_CONT, pid, NULL, NULL);
    wait(NULL);
    printf("The process has int 0x3!\n");
    getchar();
    if(ptrace(PTRACE_POKETEXT, pid, addr, back_code) < 0) {  //还原代码
        perror("PTRACE_POKETEXT");
        return 0;
    }
    ptrace(PTRACE_SETREGS, pid, NULL, &reg); //还原寄存器
    ptrace(PTRACE_CONT, pid, NULL, NULL);
    printf("The process has continue run!\n");
    ptrace(PTRACE_DETACH, pid, NULL, NULL);
    return 0;
}

gcc hook.c -o hook

**结果:**https://img-blog.csdnimg.cn/20200428195902777.gif

1.4.3 Ptrace总结

因此,在Linux下,除了使用LD_PRELOAD这种被动Glibc API注入方式,还可以使用基于调试器(Debuger)思想的ptrace()主动注入方式,总体思路如下:

  1. 使用Linux Module、或者LSM挂载点对进程的启动动作进行实时的监控,并通过Ring0-Ring3通信,通知到Ring3程序有新进程启动的动作
  2. 用ptrace函数attach上目标进程
  3. 让目标进程的执行流程跳转到mmap函数来分配一小段内存空间
  4. 把一段机器码拷贝到目标进程中刚分配的内存中去
  5. 最后让目标进程的执行流程跳转到注入的代码执行

ptrace的使用:

  1. 用PTRACE_ATTACH或者PTRACE_TRACEME 建立进程间的跟踪关系。
  2. PTRACE_PEEKTEXT, PTRACE_PEEKDATA, PTRACE_PEEKUSR等读取子进程内存/寄存器中保留的值。
  3. PTRACE_POKETEXT, PTRACE_POKEDATA, PTRACE_POKEUSR等把值写入到被跟踪进程的内存/寄存器中。
  4. 用PTRACE_CONT,PTRACE_SYSCALL, PTRACE_SINGLESTEP控制被跟踪进程以何种方式继续运行。
  5. PTRACE_DETACH, PTRACE_KILL 脱离进程间的跟踪关系。

1.4.4 参考文章

https://www.cnblogs.com/tangr206/articles/3094358.html

http://t.csdnimg.cn/Zx5eS

http://t.csdnimg.cn/Gul3s

ptrace 函数深入分析:https://www.cnblogs.com/heixiang/p/10988992.html

Linux 源码分析之 Ptrace:https://blog.csdn.net/u012417380/article/details/60468697

1.5 Kernel Inline Hook

1.5.1 理解

传统的kernel inline hook技术就是修改内核函数的opcode,通过写入jmp或push ret等指令跳转到新的内核函数中,从何达到劫持的目的。

1698302098399

对于这类劫持攻击,目前常见的做法是fireeye的"函数返回地址污点检测",通过对原有指令返回位置的汇编代码作污点标记,通过查找jmp,push ret等指令来进行防御。

我们知道实现一个系统调用的函数中一定会递归的嵌套有很多的子函数,即它必定要调用它的下层函数。

而从汇编的角度来说,对一个子函数的调用是采用"段内相对短跳转 jmp offset"来实现的,即CPU根据offset来进行一个偏移量的跳转。

如果我们把下层函数在上层函数中的offset替换成我们"Hook函数"的offset,这样上层函数调用下层函数时,就会跳到我们的"Hook函数"中,我们就可以在"Hook函数"中做过滤和劫持内容的工作。

1.5.2 示例

以sys_read作为例子\linux-2.6.32.63\fs\read_write.c

asmlinkage ssize_t sys_read(unsigned int fd, char __user * buf, size_t count)
{
        struct file *file;
        ssize_t ret = -EBADF;
        int fput_needed;
 
        file = fget_light(fd, &fput_needed);
        if (file) 
    {
                loff_t pos = file_pos_read(file);
                ret = vfs_read(file, buf, count, &pos);
                file_pos_write(file, pos);
                fput_light(file, fput_needed);
        }
 
        return ret;
}
EXPORT_SYMBOL_GPL(sys_read);

在sys_read()中,调用了子函数vfs_read()来完成读取数据的操作,

在sys_read()中调用子函数vfs_read()的汇编命令是:

call 0xc106d75c <vfs_read>

等同于:jmp offset(相对于sys_read()的基址偏移)

所以,我们的思路很明确,找到call 0xc106d75c <vfs_read>这条汇编,把其中的offset改成我们的Hook函数对应的offset,就可以实现劫持目的了。

  1. 搜索sys_read的opcode
  2. 如果发现是call指令,根据call后面的offset计算要跳转的地址是不是我们要hook的函数地址
    1. 如果"不是"就重新计算Hook函数的offset,用Hook函数的offset替换原来的offset
    2. 如果"已经是"Hook函数的offset,则说明函数已经处于被劫持状态了,我们的Hook引擎应该直接忽略跳过,避免重复劫持
/*
参数:
1. handler是上层函数的地址,这里就是sys_read的地址
2. old_func是要替换的函数地址,这里就是vfs_read
3. new_func是新函数的地址,这里就是new_vfs_read的地址
*/
unsigned int patch_kernel_func(unsigned int handler, unsigned int old_func, 
        unsigned int new_func)
{
    unsigned char *p = (unsigned char *)handler;
    unsigned char buf[4] = "\x00\x00\x00\x00";
    unsigned int offset = 0;
    unsigned int orig = 0;
    int i = 0;
 
    DbgPrint("\n*** hook engine: start patch func at: 0x%08x\n", old_func);
 
    while (1) {
        if (i > 512)
            return 0;
 
        if (p[0] == 0xe8) {
            DbgPrint("*** hook engine: found opcode 0x%02x\n", p[0]);
            
            DbgPrint("*** hook engine: call addr: 0x%08x\n", 
                (unsigned int)p);
            buf[0] = p[1];
            buf[1] = p[2];
            buf[2] = p[3];
            buf[3] = p[4];
 
            DbgPrint("*** hook engine: 0x%02x 0x%02x 0x%02x 0x%02x\n", 
                p[1], p[2], p[3], p[4]);
 
                offset = *(unsigned int *)buf;
                DbgPrint("*** hook engine: offset: 0x%08x\n", offset);
 
                orig = offset + (unsigned int)p + 5;
                DbgPrint("*** hook engine: original func: 0x%08x\n", orig);
 
            if (orig == old_func) {
                DbgPrint("*** hook engine: found old func at"
                    " 0x%08x\n", 
                    old_func);
 
                DbgPrint("%d\n", i);
                break;
            }
        }
        p++;
        i++;
    }
 
    offset = new_func - (unsigned int)p - 5;
    DbgPrint("*** hook engine: new func offset: 0x%08x\n", offset);
 
    p[1] = (offset & 0x000000ff);
    p[2] = (offset & 0x0000ff00) >> 8;
    p[3] = (offset & 0x00ff0000) >> 16;
    p[4] = (offset & 0xff000000) >> 24;
 
    DbgPrint("*** hook engine: pachted new func offset.\n");
 
    return orig;
}
霜晨月c
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Hook技术简介
武天旭的博客
10-21 1043
# 一、Hook原理 Hook技术的本质就是劫持函数调用。但是由于处于Linux用户态,每个进程都有自己独立的进程空间,因此要实现Hook就必须先注入到所要Hook的进程空间,然后修改其内存中的进程代码,替换其过程表的符号地址。在Android中,一般是通过ptrace函数附加进程,然后向远程进程注人so库,从而达到监控以及远程进程关键函数挂钩。
MacOS动态注入的三种方式及hook方案
Tesi1a的充电桩
04-22 9101
1.静态注入 https://cloud.tencent.com/developer/article/1193647 insert_dylib 将dylib注入到二进制文件中生成新的二进制。 2.DYLD_INSERT_LIBRARIES动态注入 https://blog.nswebfrog.com/2018/02/09/make-injection-app-for-mac/ xcode创建一个...
Android平台的 Ptrace, 注入, Hook 全攻略
beyond702的专栏
05-11 3601
原帖:http://www.aiuxian.com/article/p-1295924.html Android平台上的Ptrace已经流行很久了,我记得最早的时候是LBE开始使用Ptrace在Android上做拦截,大概三年前我原来的同事yuki (看雪上的古河) 写了一个利用Ptrace注入的例子,被广泛使用,听说他还因此当上了版主,呵呵: Android平台上的注入代码 两年前
linux系统调用挂钩方法总结
sdulibh的专栏
12-22 1万+
相关学习资料 http://xiaonieblog.com/?post=121 http://hbprotoss.github.io/posts/li-yong-ld_preloadjin-xing-hook.html http://www.catonmat.net/blog/simple-ld-preload-tutorial/ http://os.51cto.com/art/2010
一套使用注入和Hook技术托管入口函数的方案
方亮的专栏
09-28 1833
        工作中,我们可能会经常使用开源项目解决一些领域中的问题。这种“拿来主义”是一种“专业人干专业事”的思想,非常实用。(转载请指明出于breaksoftware的csdn博客)         一般场景下,我们都是把开源项目代码编译到我们自己的项目中。这样的“融合”,就相当于让两个项目进行了“基因重组”,最终产出一个“基因战士”。在进行“基因重组”中,需要“专业人员”对开源项目中每个...
文件IO-HOOK_inlinehook_
10-03
inlineHook 的模板,可以更加快速调用,如果不能正常解压,请将后缀修改为zip
inline-hook:简单的内联挂钩框架适用于x86,x64,手臂和拇指
04-30
这是一个简单的inline-hook框架,目前仅适用于intel(32bit,64bit)和arm(仅适用于arm32和thumb),它基于c ++ 11的新功能。 如何构建:基于cmake 2.8的框架,您所要做的就是: cmake。 制作 使用方法: 该框架的...
emqx-lua-hook:EMQ X钩钩
02-03
emqx-lua-hook:EMQ X钩钩
react-hook-layout:React中的布局管理
05-01
import { defineSlots , useLayout } from "react-hook-layout" ; const Page = ( ) => { const { Content , Footer , Header , SidebarLeft , SidebarRight } = defineSlots ( "Content" , "Footer" , "Header...
基于NDIS-HOOK的个人防水墙设计
04-16
为了解决网络数据泄露的问题,讨论了防水墙的概念和NDIS概念结构,研究了NDIS数据包发送流程和NDIS-HOOK数据包发送流程,并简要分析了NDIS-HOOK技术在防水墙数据包处理中的应用,讨论了运用NDIS-HOOK技术对发送的...
hook一个实现API拦截的具体例子学习钩子的实例
03-07
hook一个实现API拦截的具体例子学习钩子的实例,新手可以快速上手哦 解压密码:http://www.99616.net/
动态注入技术
hpp24的专栏
08-06 4161
我们在讨论动态注入技术的时候,APIHook技术由来已久,在操作系统未能提供所需功能的情况下,利用APIHook的手段来实现某种必需的功能也算是一种不得已的办法。在Windows平台下开发电子词典的光标取词功能,这项功能就是利用Hook API的技术把系统的字符串输出函数替换成了电子词典中的函数,从而能得到屏幕上任何位置的字符串。无论是16位的Windows95,还是32位的Windws NT,
linux系统下的各种hook方式\Linux内核hook系统调用
热门推荐
西京刀客
08-26 1万+
文章目录一、linux系统下的各种hook方式1. 函数指针hook2. 动态库劫持3. Linux系统调用劫持 hook4. 堆栈式文件系统5. LSM二、Linux内核hook系统调用 一、linux系统下的各种hook方式 在计算机中,基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流, Linux平台上常见的拦截: 修改函数指针。 用户态动态库拦截。 内核态系统调用拦截。 堆栈式文件系统拦截。 LSM(Linux Security Modules) 1. 函数
(转载兼整理)Linux 2.6 下通过 ptrace 和 plt 实现用户态 API Hook
weixin_33898876的博客
06-11 204
这厮此文写的相当实用,不知道为啥不好好整理一下,得,我代劳了吧。作者:l04m33@gmail.com,原文。去看一眼就知道我干嘛干这个脏活儿了... 感觉这篇文章有上首页的素质,可惜不是我自己写的,那就算了吧。 本来我自己想用类似这篇文章说的方法,仔细琢磨了一下,似乎我的事儿还是用别的方法干比较好。另外感觉和这篇文章需求相似的话,只要不是偷着摸着干事,也还是LD_PRELOAD来的简单直接。L...
[LINUX C]利用ptrace实现文件读写等linux系统调用的hook(代码)
小蜗牛之家
09-27 898
利用ptrace实现文件读写等系统调用的hook: #include <stdio.h> #include <stdlib.h> #include <sys/ptrace.h> #include <sys/wait.h> #include <sys/types.h> #include <sys/reg.h> #in...
Linux高级内核Inline HOOK
weixin_34378045的博客
11-12 364
高级Linux Kernel Inline Hook技术分析与实现 2010-01-01 12:40 By wzt [目录] 1. 简述 2. 更改offset实现跳转 ...
实现一个Linux文件系统ACL防火墙-FS_HOOK简介
Netfilter
01-20 5538
近日,我将一个基于eBPF实现的SandFS中的eBPF部分摘除了,形成了一个单纯的SandFS框架: https://github.com/marywangran/sandfs_with_no_ebpf 纳尼?eBPF大红大紫之时,我竟然反其道而行之,这不犯了形而上学的错误了吗? 没错,事实上我摘除它的原因是因为这个原生的eBPF-based-SandFS在我的两个开发环境中均没有编译通过: ...
linux内核态hook模块
faxiang1230的专栏
12-03 3661
linux内核支持动态加载module,今天不聊正常的module,只简单看一下实现Hook的module. hook通常翻译做劫持,不过这个翻译听起来让人不舒服,感觉有点恐怖,所以大家都是喊行话:hook. 上图是经典的堆栈式hook,也是splice典型的做法,在原有的流程中插入hook,更加典型的做法是栈在调用过程中从funcA->funcB变成了funcA->hook-&gt...
针对VFS截获系统调用的各种bug处理
yun2205446823的专栏
02-29 467
利用VFS截获系统调用的方法:http://blog.csdn.net/yun2205446823/article/details/50767690 bug1:利用makefile进行编译时直接编译出现 no rule to make target kernel/bounds.c 或者 no rule to make target kernel/bounds.c
hook-gevent
最新发布
10-24
根据提供的引用内容,无法确定hook-gevent的具体含义。但是可以猜测,hook-gevent可能是一个Python模块或库,用于实现协程并发编程。协程是一种轻量级的线程,可以在单线程中实现并发执行,提高程序的效率和性能。gevent是一个基于协程的Python网络库,可以实现高并发的网络编程。因此,hook-gevent可能是一个用于集成gevent库的钩子或插件,用于在其他Python应用程序中实现协程并发编程。如果您需要更详细的信息,请提供更多的上下文或引用内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

霜晨月c

谢谢老板地打赏~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值