linux内核:sys_call_talbe hook案例(通讯录读取hook的教程)

最新推荐文章于 2024-07-18 16:59:54 发布
最新推荐文章于 2024-07-18 16:59:54 发布
阅读量2.3k 收藏 1
点赞数
分类专栏: ubuntu 文章标签: linux android avd ubuntu c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nijian81/article/details/45896167
版权

最近在学习安卓goldfish的内核hook,把最近半个月的成果写个教程,供大家分享,希望大家不要走弯路。

关于源码下载、内核编译、动态插入内核等等再次不介绍了,可以参考其他的博客,里面写的很详细,在这里我主要介绍如何进行通讯录的调用hook:

应用环境:

       本教程适用于,下载安卓模拟器的goldfish源码,然后自己编译运行,并且可以把虚拟机运行在上面。然后通过动态插入内核,可以验证已经安卓模拟器上已经假如了自己的内核。当然,这样做基本都是为了hook  linux内核调用。然后写了自己的模块,用于当应用程序去读取安卓设备的通讯录时,去动态hook。

程序代码:

-----------------------------------------------------hook.c

#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/moduleparam.h>
#include <linux/unistd.h>
#include <linux/semaphore.h>
#include <asm/cacheflush.h>
#include <linux/string.h>
#include <net/sock.h>
#include <linux/netlink.h>
#include <linux/skbuff.h>
#include <stddef.h>

#define NETLINK_USER 16

struct sock *nl_sk = NULL;

void **sys_call_table;

asmlinkage int (*original_call_open) (const char*, int, int);

asmlinkage int (*original_call_read) (unsigned int, char*, int);

asmlinkage long (*sys_openat) (int, const char*, int, int);

asmlinkage long our_openat(int dfd, const char *filename, int flags, int mode){
    printk("%s\n",filename);
    return sys_openat(dfd,filename,flags,mode);
}

asmlinkage int our_sys_read(unsigned int fd, char * buf, int count){
    
    if(fd == 0 && count == 1){
        //printk("有文件正在被读取intercept 0x%02X", buf[0]);
    }
    
    return original_call_read(fd, buf, count);
}

asmlinkage int our_sys_open(const char* file, int flags, int mode)
{
    //联系人 /data/data/com.android.providers.contacts/databases/contacts2.db
       //通话记录  /data/data/com.android.providers.telephony/databases/telephony.db
    //短信记录  /data/data/com.android.providers.telephony/databases/mmssms.db
    char * contact = "/data/data/com.android.providers.contacts/databases/contacts2.db";
    char * telephony = "/data/data/com.android.providers.telephony/databases/telephony.db";
    char * sms = "/data/data/com.android.providers.telephony/databases/mmssms.db";
   if (strcmp(file, contact) == 0 || strstr(file, contact) != NULL){   //这里一定要注意比较条件
     printk("应用程序正在读取手机的联系人记录!!!\n");
   }
   if (strcmp(file, telephony) == 0){
     printk("应用程序正在读取手机的通话记录!!!\n");
   }
   if (strcmp(file, sms) == 0){
     printk("应用程序正在读取手机的短信记录!!!\n");
   }
       return original_call_open(file, flags, mode);
}

//用来接受用户态发来的消息
 void hello_nl_recv_msg(struct sk_buff *skb)
{

    struct nlmsghdr *nlh;
    int pid;/data/data/com.android.providers.contacts/databases/contacts2.db
    struct sk_buff *skb_out;
    int msg_size;
    char *msg = "Hello from kernel";
    int res;

    printk(KERN_INFO "Entering: %s\n", __FUNCTION__);

    msg_size = strlen(msg);

    nlh = (struct nlmsghdr *)skb->data;
    printk(KERN_INFO "Netlink received msg payload:%s\n", (char *)nlmsg_data(nlh));
    pid = nlh->nlmsg_pid; //pid of sending process

    skb_out = nlmsg_new(msg_size, 0);

    if (!skb_out)
    {

        printk(KERN_ERR "Failed to allocate new skb\n");
        return;

    }
    nlh = nlmsg_put(skb_out, 0, 0, NLMSG_DONE, msg_size, 0);
    NETLINK_CB(skb_out).dst_group = 0; //not in mcast group
    strncpy(nlmsg_data(nlh), msg, msg_size);

    res = nlmsg_unicast(nl_sk, skb_out, pid);

    if (res < 0)
        printk(KERN_INFO "Error while sending bak to user\n");
 
}


static void disable_page_protection(void){
//    unsigned long value = 0xc000de04;
//    asm volatile ("mov %%cr0,%0" : "=r" (value));
//    if(value & 0x00010000){
//        value &= ~0x00010000;
//        asm volatile("mov %0,%%cr0" : : "r" (value));
//    }
}

void set_addr_rw(unsigned long addr){
    //unsigned int lever;
    //pte_t *pte = lookup_address(addr,&level);
    //if(pte->pte &~ _PAGE_RW)
    //    pte->pte |= _PAGE_RW;
}

int set_page_rw(long unsigned int _addr)
{
  // struct page *pg;
  //pgprot_t prot;
  // pg = virt_to_page(_addr);
  // prot = VM_READ | VM_WRITE;
  // return change_page_attr(pg, 1, prot);

    // return set_memory_rw(PAGE_ALIGN(_addr) - PAGE_SIZE, 1);
  // unsigned int level;
  // pte_t * pte = lookup_address(address,&level);
  // if(pte->pte &~ _PAGE_RW)
  //    pte->pte |= _PAGE_RW;
  // return 0;
    //return set_memory_rw(PAGE_ALIGN(_addr) - PAGE_SIZE, 1);
}

int init_module()
{
   // sys_call_table address in System.map
    sys_call_table = (void*)0xc0022f24;
    original_call_open = sys_call_table[__NR_open];
    original_call_read = sys_call_table[__NR_read];
    sys_openat = sys_call_table[__NR_openat];

   // set_page_rw(sys_call_table);
   // set_addr_rw(sys_call_table);
   // disable_page_protection();
    sys_call_table[__NR_open] = our_sys_open;
    sys_call_table[__NR_read] = our_sys_read;
    sys_call_table[__NR_openat] = our_openat;
  //  printk("Entering: %s\n", __FUNCTION__);
  //  nl_sk = netlink_kernel_create(&init_net, NETLINK_USER, 0, &hello_nl_recv_msg, NULL, THIS_MODULE);

   // nl_sk = netlink_kernel_create(NETLINK_USER, input);
    //if (!nl_sk)
    //{

      //  printk(KERN_ALERT "Error creating socket.\n");
       // return -10;

    //}

    return 0;
}

void cleanup_module()
{
   // Restore the original call
   sys_call_table[__NR_open] = original_call_open;
   sys_call_table[__NR_read] = original_call_read;
   sys_call_table[__NR_openat] = sys_openat;
   printk(KERN_INFO "exiting hello module\n");
   netlink_kernel_release(nl_sk);
}

//MODULE_LICENSE("GPL");  
//module_init(init_module);  
//module_exit(cleanup_module);  

--------------------------------------------------------Makefile

    obj-m := sys-hook.o        
    sys-hook-objs := hook.o #由于我们的模块叫做hello-yf,所以写hello-yf-objs :=表示该模块由N个模块组成,例如hello-yf-objs := file1.o  file2.o     
            
    KID :=~/android-kernel-2.6/goldfish  
    PWD := $(shell pwd)  #表示当前Makefile所在的路径
    ARCH=arm    
    CROSS_COMPILE=arm-eabi-  
    CC=$(CROSS_COMPILE)gcc  
    LD=$(CROSS_COMPILE)ld     
            
    all:  
    make -C $(KID) ARCH=$(ARCH) CROSS_COMPILE=$(CROSS_COMPILE) M=${PWD} modules  
          #M=表示在建立模块target的时候,makefile回归到我们模块程序的目录。
            
    clean:  
    rm -rf *.o .cmd *.ko *.mod.c .tmp_versions *.order *.symvers
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

关于代码部分,我只想说一个地方:

  if (strcmp(file, contact) == 0 || strstr(file, contact) != NULL){
     printk("应用程序正在读取手机的联系人记录!!!\n");
   }

大家一定注意,这里一定是用strstr和strcmp同时去比较,他们之间的关系是“或”的关系。因为应用程序读取用户通讯录的时候不是去死板的调用

"/data/data/com.android.providers.contacts/databases/contacts2.db"这个目录,而是去调用这个数据库的其中几个表和几个字段,这里不赘述了,所以如果只是比较strcmp()的话,并不能准确的hook,这个问题我纠结了三天终于想到了问题的症结。另外,我把部分代码的注释用‘//’加了注释。

最后,希望大家看到这个教程之后,能够顺利的hook,少走弯路。

尼晓健
关注
专栏目录
Linux内核分析(四)--内核初始化
文艺小少年的博客
11-05 211
本篇文章接着上篇的上电初始化,讲一下linux系统各部分的初始化
gp 导出数据字典_Greenplum 常用数据字典
weixin_39588209的博客
12-20 574
一、数据库集群信息1、gp_segment_configration2、pg_filespace_entry这两个表是在pg_global表空间下面的,是全局表。用来查看集群segment信息,比如segment个数。二、常用数据字典表1、pg_class保存了所有表、视图、序列、索引元数据信息,每个DDL/DML操作都必须跟这个表发生关系。2、pg_attribute记录字段的内容3、gp_di...
sys_call_table HOOK
weixin_30906185的博客
10-14 242
sys_call_table 这个东西,其实和 Windows 下的 SSDT 表,在功能上完全相同。 前一阵子学Linux驱动,遇到了这个系统调用表,然后我就想到Windows的SSDT表,既然SSDT表都可以HOOK,系统调用表是不是也可以。 然后,就开始HOOK了。 首先,SSDT表,是微软自己导出的,我就在想,Linux是不是也导出了 sys_call_table ...
Linux syscall Hook
钞sir的博客
03-26 1702
简介 Linux程序基本都是靠系统调用(syscall)来实现的, 所以可以控制到syscall, 就可以对程序进行监控或修改了; 前置知识 我们知道现在系统中程序分为64位和32位的, 系统为了兼容这些程序对系统函数的调用方法进行了简单的区分,最直观的就是64位程序使用syscall来调用系统函数,而32位的程序使用的是int 0x80, 比如这里的sleep函数的系统调用: 64位程序: 32位程序: 当然, 不是简单一个syscall命令或者int 0x80命令就可以完成一个系统调用, 还有一个系
Linux HOOK机制与Netfilter HOOK
最新发布
Flashing-C的博客
07-18 943
在计算机中基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流。 Linux常见的HOOK方式:1、修改函数指针。2、用户态动态库拦截。①利用环境变量LD_PRELOAD和预装载机制进行HOOK;②利用函数ptrace可实现对已运行的程序进行HOOK;3、内核态系统调用拦截。通过修改全局系统调用表,对系统调用进行劫持;4、堆栈式文件系统拦截。5、LSM。6、Netfilter HOOK
Rootkit---获取sys_call_table
q759451733的博客
04-11 552
内核版本不一致导致获取sys_call_table的方式都不一样,本章总结了三种方式获取sys_call_table。
Linux4.19-通过IDT获取sys_call_table实现系统调用劫持
CalvinXu
05-09 1971
上一篇博客写了如何获取IDT地址,这里将接着上一篇博客继续写,如果还不清楚如何获取IDT可以看一下我的上一篇博客:Linux4.19-获取IDT地址:https://blog.csdn.net/qq_41208289/article/details/106012230 这里再次声明一下,博主的系统为目前最新版本的Debian10,Linux4.19内核(32位x86机器) 前言 网上的绝大部分博客对于获取sys_call_table的方法在目前的内核中都已经失效,Linux大概从4.8开始加入了保
ARM system call
TechMax的专栏
06-08 1052
1. The system call vector numbers are defined in arch/arm/include/asm/unistd.h #define __NR_restart_syscall (__NR_SYSCALL_BASE+  0) #define __NR_exit (__NR_SYSCALL_BASE+  1) #define __NR_fork (__N
agel-table:element-ui table 的二次封装,保持灵活性,极简的思想,更少的代码,更多的功能,更快速的开发 :up_arrow::up_arrow::up_arrow:
04-10
agel-table | 使 element-ui table 组件更简单 文档 (gitee 提供服务,国内较快) (github 提供服务) 特性 该组件的思想就是以一个 table 对象来做所有的操作,哪怕页上多个列表也不用在 data 定义一堆 data1,...
利用create talbe 命令创建Vip表,表结构见下图: Dingtalk_20230314115747.jpg CREATE TABLE vip( vno char(4) primary key not null , vname char(20) not null, sex char(2) not null, birthday date, phone char(11) );
05-31
好的,以下是创建Vip表的SQL语句: ```sql CREATE TABLE vip( vno CHAR(4) PRIMARY KEY NOT NULL, vname CHAR(20) NOT NULL, sex CHAR(2) NOT NULL, birthday DATE, phone CHAR(11) );...- vno:会员编号,长度为...
erlang面试经(2)
小老鼠啊的博客
12-29 2685
面试经(2)一、OTP相关二、定时器三、运算符四、算法五、Erlang有哪些运算符六、请写出Erlang条件表达式、循环七、如何匹配binary(二进制位也就是字节,默认的话是比特位)从第三字节开始的八、请举例替换二进制字符串中的指定字符串九、怎么使用Erlang语言实现Key和Value的存储十、跨进程通信、跨节点(服务器)通信方式有哪些十一、请简述一下服务器上线出问题处理的流程十二、有哪些调试...
全局键盘钩子SysHook
11-25
全局键盘钩子SysHook有使用说明,是个DLL
Linux Rootkit实验|01 基于修改系统调用表的Hook
这是一个c++热爱者的博客哟
02-03 1085
配合着源码在线阅览,边做边能查到内核代码的感觉非常棒。本次实验中的比第一次实验中的grep要方便许多。实验过程中深感自己学识浅薄,静水流深呐。一个朋友在FreeBuf文章下评论说:“写得不错。但获取sys_call_table的地址对hook这一大目标并没有起到多大作用,甚至是多余的。”后来他又说:“回复有所歧义,说不需要知道sys_call_table的地址是针对2.6以前的内核版本,之前的版本可以直接引用sys_call_table变量,多谢提醒!
截获系统调用(sys_call_table/VFS)
yun2205446823的专栏
02-29 1461
转自http://blog.chinaunix.net/uid-20196318-id-28808.html 方法1:修改系统调用表(适用于linux-2.4内核内核使用sys_call_table数组来存储系统调用表,将系统调用号与系统调用处理函数对应起来,通过修改sys_call_table数组的某一个元素,即可实现截获系统调用的功能,在2.4内核中,sys_call_table符
hook Linux 内核函数
m0_46671092的博客
09-03 495
可以尝试使用如下几种方案来拦截Linux内核函数: 使用Linux安全API 修改系统调用表 使用kprobes 拼接 使用ftrace处理程序 使用Linux安全API 从最佳实践的角度来说,我们认为使用Linux安全API的hook函数是最佳选择,因为这个接口就是为此而设计的。 内核代码的关键点包含安全函数调用,这些调用可能导致安全模块安装的回调。该模块可以研究特定操作的上下文,并决定是允许还是禁止它。不幸的是,Linux Security API有两个主要限制: 安全模块无法动态加载,因此我们需
linux系统下的各种hook方式\Linux内核hook系统调用
热门推荐
西京刀客
08-26 1万+
文章目录一、linux系统下的各种hook方式1. 函数指针hook2. 动态库劫持3. Linux系统调用劫持 hook4. 堆栈式文件系统5. LSM二、Linux内核hook系统调用 一、linux系统下的各种hook方式 在计算机中,基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流, Linux平台上常见的拦截: 修改函数指针。 用户态动态库拦截。 内核态系统调用拦截。 堆栈式文件系统拦截。 LSM(Linux Security Modules) 1. 函数
Linux Rootkit 系列二:基于修改 sys_call_table 的系统调用挂钩
whatday的专栏
07-23 1681
与第一篇文章作者所想象的不同,本文不打算给大家介绍三种不同的系统调用挂钩技术,相反,本文仅详细讲解最简单的系统调用挂钩方案,并且基于这个方案实现最基本的文件监视工具。这样,既可以让读者轻松上手进行实际应用, 又可以加深、巩固读者对LKM的理解,同时还免去了一次学习多种挂钩方案的理论知识压力。 所以,本文力求以实验为核心,每一个步骤都可能有对应的实验代码。代码仓库:https://github...
Linux内核驱动模块编程指南》
FLY_THINK2012的博客
05-08 352
ForewordTable of Contents作者声明版本和注意感谢译者注作者声明《Linux内核驱动模块编程指南》最初是由Ori Pomerantz为2.2版本的内核编写的 ,后来,Ori将文档维护的任务交给了PeterJay Salzman,Peter完成了2.4内核版本文档的编写,毕竟Linux内核驱动模块是一个更新很快的内容。现在,Peter也无法腾出足够的时间来完成2.6内...
Linux的open函数的调用过程,浅析linux中open系统调用
weixin_28818643的博客
05-05 810
浅析linux中open系统调用作者:吴新武,从2.6.19的linux内核开始,内核的系统调用使用函数syscall,其函数原型为:int syscall(int number, ...)其中number是系统调用号,number后面应顺序接上该系统调用的所有参数。以x86平台为例,系统调用号在内核源码中的路径是/arch/x86/include/asm/unistd_32.h头文件中定义。其中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值