Linux平台下hook技术研究

最新推荐文章于 2024-07-18 16:59:54 发布
最新推荐文章于 2024-07-18 16:59:54 发布
阅读量430 收藏
点赞数
分类专栏: 嵌入式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qazw9600/article/details/107072728
版权

说明

  • 之前公司,C项目中为了程序检测内存泄漏问题,采用一个自己实现的库,能够记录内存分配和释放操作,程序结束或者通过信号可以生成dump信息来分析内存问题。

技术分析

  • 内存分配和释放记录主要是通过hook(钩子)技术来获取的。

hook技术

通过预处理实现

  • 实现方式:
  1. 创建一个头文件,通过宏替换的方式替换掉内存分配(malloc,calloc,realloc)和释放函数(free)。
  2. 创建一个源文件,定义替换函数,在替换函数中记录调用和调用真正的目标函数和做相应处理。
  • 代码示例:
* 头文件 MemHook.h
#if defined(__cplusplus)
extern "C" {
#endif

#define malloc(size) mmalloc(size , __FILE__, __LINE__)
#define calloc(size) mcalloc(size, __FILE__, __LINE__)
.....
#define free(p) mfree(p)

#if defined(__cplusplus)
}
#endif

* 源码
#include <stdio.h>
#include <stdlib.h>
//不能引入 MemHook.h 

void *mmalloc (unsigned long counts, const char* const file , const unsigned long line)
{
	void *buf;
	
	printf("%s , %ld\n", file , line);
  	if (NULL == (buf = malloc(counts)))
	{
	    ....
		return NULL;
	}
	//记录内存分配
    ....
	return buf;
}
.....
void mfree (void *p)
{
	if (p)
	{
	    //记录内存释放
	    .....
		free(p);
	}
}
  • 方式优缺点:
  1. 需要手动引入该头文件,如果有源码未引入该头文件,会导致操作未记录。

LD_PRELOAD 环境变量方式

  • 方式简介:
  • LD_PRELOAD 是在所有动态库前加载该环境变量定义的动态库。
  • 方式说明:
  1. 实现一个动态库,通过LD_PRELOAD环境变量,在所有动态库前加载。
  2. 动态库中定义标准的内存分配和释放函数,例如:malloc,calloc,free等;由于先加载,变量设置后运行的程序中调用的这些函数都会被指向该库中的实现。
  3. 在该库中记录分配和释放记录,以及调用真正的malloc,calloc,free等函数。
  • 代码示例:
* 库源码
#define _GNU_SOURCE

#include <stdio.h>
#include <stdlib.h>
#include <dlfcn.h> 

static void *(*true_malloc)(size_t);
static void (*true_free)(void *ptr);

void *malloc(size_t size)
{
    void *ptr;
    
    if (true_malloc == NULL)
    {    
        true_malloc = dlsym(RTLD_NEXT, "malloc");
    }  
    
    printf(%d\n", size);  
    ptr = true_malloc(size);
    //记录分配操作
    ....
   
    return ptr;   
}
.....
void free(void* ptr)
{
    if (true_free == NULL)
    {    
        true_free = dlsym(RTLD_NEXT, "free");
    }    

    //记录释放操作
    ....
    printf("%p\n", ptr);     
    return true_free(ptr);   
}

* 注意:
1. 函数定义需要和标准的一样。
2. 生成动态库时需要链接 dl库。
* 编译生成动态库
* 设置环境变量 
export LD_PRELOAD=./libxxxx.so 
* 执行其它程序
  • 方式优缺点
  1. 替换方式简单,环境变量设置和取消非常方便。
leon.liao
关注
专栏目录
Linux Ring3 HOOK
SHELLCODE_8BIT的博客
01-05 366
1.前言 Linux hook技术一直是linux技术爱好者们研究的一个热点问题,Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3, ring0是指CPU的运行级别,ring0是最高级别,ring1次之,ring2更次之,以此类推。 拿Linux+x86来说, 操作系统(内核)的代码运行在最高运行级别ring0上,可以使用特权指令,控制中断、修改页表、访问设备等等。 应用程序的代码运行在最低运行级别上ring3上,不能做受控操作。如果要做,比如要访...
Linux Hook技术实践
stockholmrobber的博客
08-19 2458
LInux Hook技术实践什么是hook简单的说就是别人本来是执行libA.so里面的函数的,结果现在被偷偷换成了执行你的libB.so里面的代码,是一种替换。为什么hook 恶意代码注入 调用常用库函数时打log 改变常用库函数的行为,个性化 怎么hook这个东西在win里面有现成的api,但是在linux里面却要主动修改ELF文件,或者修改动态库链接路径。我看网上写的好多挺麻烦的,而且还要调用
linux 子进程hook,Linux Hook技术(五)
weixin_34564735的博客
04-30 208
今天咱们来点实战的话题,对于前面我们研究的那么多知识,做一次总结.来看看这些节表之间是怎么联系起来的.最后我们将经过一个简单的拦截printf函数,修改它的参数,来输出我指定的字符串,这样就达到简单的hook api的目的.好了废话不多说.先看看test5.c里面的代码.#include #include int main(){while (1){getchar();printf("hello")...
Linux HOOK机制与Netfilter HOOK
最新发布
Flashing-C的博客
07-18 939
在计算机中基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流。 Linux常见的HOOK方式:1、修改函数指针。2、用户态动态库拦截。①利用环境变量LD_PRELOAD和预装载机制进行HOOK;②利用函数ptrace可实现对已运行的程序进行HOOK;3、内核态系统调用拦截。通过修改全局系统调用表,对系统调用进行劫持;4、堆栈式文件系统拦截。5、LSM。6、Netfilter HOOK
Linux应用层hook技术总结与实例
qq_33838877的博客
01-20 2735
1.前言 LINUX hook技术一直是linux技术爱好者们研究的一个热点问题,Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3, ring0是指CPU的运行级别,ring0是最高级别,ring1次之,ring2更次之,以此类推。 拿Linux+x86来说,操作系统(内核)的代码运行在最高运行级别ring0上,可以使用特权指令,控制中断、修改页表、访问设备等等。 应用程序的代码运行在最低运行级别上ring3上,不能做受控操作。如果要做,比...
Linux利用hook技术实现文件监控和网络过滤
jinking01的专栏
09-06 1253
linux下利用hook技术实现文件过滤和网络连接过滤(黑名单、白名单)
Linux下的网络HOOK实现以及使用方法
03-04
本文讲述一下Linux下的Net的Hook,使用net的Hook可以实现很多很多非常底层的功能,比如过滤报文,做防火墙,做代理等等。我们知道Windows下面也有Hook的功能,但是要Hook到Net的底层,一般是使用NDIS来实现,但是Linux就提供了如此强大的功能,让我们不得不佩服Linux的伟大。几天的研究让我越来越对Linux的推崇!而且我想 Linux在嵌入式方面的应用会更加广泛!
面向Linux的USB设备监控技术研究与实现.pdf
09-06
通过内核级的IRP拦截和设备分类,此技术能够有效地防止未授权设备的使用,为Linux环境下的网络安全提供了有力保障。同时,该技术研究也为未来操作系统中USB设备管理提供了新的思路和实践基础。
基于linux的网关计费系统关键技术研究.pdf
09-07
【基于Linux的网关计费系统关键技术研究】 随着信息技术的快速发展和互联网的广泛普及,越来越多的高校和科研机构建立了自己的园区网络,并将其与更广大的网络环境如CERNET或Internet相连。在这种背景下,传统的...
实验4 linux kernel hook实验指南1
08-08
Hook技术涉及修改内核中的`sys_call_table`,这是一个存储所有系统调用入口地址的数组。当一个系统调用被触发时,处理器会跳转到`sys_call_table`中对应的函数。通过替换特定系统调用的函数指针,我们可以实现对系统...
inline hook 源码
11-14
**inline hook**是一种在程序运行时修改代码行为的技术,它涉及到计算机...cpp-stub-master这个库可能是学习和研究这一技术的一个好起点,通过阅读和分析源码,我们可以更深入地了解如何在实际项目中应用inline hook
linux api hook
03-28
演示linux api hook,我免费提供一下,希望对你有帮助。
linux x86平台elf 进程注入so并且实现基于rel的hook ubuntu14.01测试通过
08-21
linux x86平台elf 进程注入so并且实现基于rel的hook ubuntu14.01测试通过
LinuxHOOK动态链接库中API的方法
方亮的专栏
08-23 6823
        2012年,我写了一篇介绍Windows系统下Ring3层API的hook方案——《一种注册表沙箱的思路、实现——Hook Nt函数》,其在底层使用了微软的Detours库。5年后,我又遇到这么一个问题,但是系统变成了Linux。我最开始的想法是找一个Linux下的Detours库,于是找到了subhook。其原理是:修改被Hook函数起始地址处的汇编代码,让执行流程跳到我们定义的...
Linux下C++中可使用的3中Hook方法
jinking01的专栏
09-06 780
Linux下C++中可使用的3中Hook方法
linux系统下的各种hook方式\Linux内核hook系统调用
热门推荐
西京刀客
08-26 1万+
文章目录一、linux系统下的各种hook方式1. 函数指针hook2. 动态库劫持3. Linux系统调用劫持 hook4. 堆栈式文件系统5. LSM二、Linux内核hook系统调用 一、linux系统下的各种hook方式 在计算机中,基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流, Linux平台上常见的拦截: 修改函数指针。 用户态动态库拦截。 内核态系统调用拦截。 堆栈式文件系统拦截。 LSM(Linux Security Modules) 1. 函数
linux hook方法整理
jinking01的专栏
09-06 1578
linux上使用hook的方法总结
linux hook函数详解,linux内核中的hook函数详解
weixin_42361933的博客
05-10 438
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。先介绍一个结构体:struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,其实际的定义为: 其中的成员信息为:hook :是一个函数指针,可以将自定义的函数赋值给它,来实现当有数据包到达是调用你自定义的函数。自定义函数的返回值为: owner:是模块的所有...
linux内核hook技术之函数地址替换
快乐时光
03-04 2067
前言 函数地址替换是一种更为简单、常见的hook方式,比如对security_ops、sys_call_table等结构中的函数进行替换,来完成自己的安全权限控制。 其中security_ops是LSM框架中所使用的,sys_call_table是系统调用表结构。当然了,这些结构目前在内核中都已经是只读数据结构了,如果想直接进行函数替换的话,首先就是考虑解决关闭写保护的问题。在下面的模块例子中,演示了重置cr0寄存器写保护位及其 修改内存页表项属性值两种关闭写保护方式,有兴趣的朋友可对...
Linux内核模块设计:利用Hook技术实现文件访问权限监控
本文档主要探讨了如何使用hook技术设计Linux安全模块,以实现对文件的访问控制。实验旨在帮助读者巩固课堂所学内容,并扩展理论知识到实践操作,尤其针对那些希望进行基本内核编程的人员。实验条件包括使用一台具备...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值