Linux - 使用dlsym()的RTLD_NEXT来实现库函数拦截

最新推荐文章于 2024-04-19 10:49:02 发布
最新推荐文章于 2024-04-19 10:49:02 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: Unix Like 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/thesre/article/details/120189868
版权

使用dlsym()的RTLD_NEXT来实现库函数拦截

需求描述

需要对文件的打开与执行,加日志收集。

需求分析

本文对该需求,使用库函数钩子的方案。

库函数钩子

/*
 * File: library_calls_hook.c
 * Author:
 *
 * Compile:
 * gcc -fPIC -c -o library_calls_hook.o library_calls_hook.c
 * gcc -shared -o library_calls_hook.so library_calls_hook.o -ldl
 *
 * Use:
 * LD_PRELOAD="./library_calls_hook.so" <command>
 *
 * Copyright
 */

#define _GNU_SOURCE
#include <dlfcn.h>
#define _FCNTL_H
#include <sys/types.h>
#include <bits/fcntl.h>
#include <stddef.h>

extern int errorno;

int __thread (*_open)(const char * pathname, int flags, ...) = NULL;
int __thread (*_open64)(const char * pathname, int flags, ...) = NULL;

int open(const char * pathname, int flags, mode_t mode)
{
    if (NULL == _open) {
        _open = (int (*)(const char * pathname, int flags, ...)) dlsym(RTLD_NEXT, "open");
    }
    printf("intercepted open: %s\n",pathname);
    if(flags & O_CREAT)
        return _open(pathname, flags | O_NOATIME, mode);
    else
        return _open(pathname, flags | O_NOATIME, 0);
}

int open64(const char * pathname, int flags, mode_t mode)
{
    if (NULL == _open64) {
        _open64 = (int (*)(const char * pathname, int flags, ...)) dlsym(RTLD_NEXT, "open64");
    }
    printf("intercepted open64: %s\n",pathname);
    if(flags & O_CREAT)
        return _open64(pathname, flags | O_NOATIME, mode);
    else
        return _open64(pathname, flags | O_NOATIME, 0);
}

static int (*real_execve)(const char *filename, char *const argv[], char *const envp[])=0;
int execve(const char *filename, char *const argv[], char *const envp[])
{
    if (!real_execve) {
        real_execve = dlsym(RTLD_NEXT, "execve");
    }
    printf("intercepted execve: %s\n", filename);
    return real_execve(filename, argv, envp);
}

为了方便演示,这里对库函数的修改部分只加了打印,执行时可以看到效果。

编译

thesre@HP-Z420-Workstation:~/library_call_intercept$ gcc -fPIC -c -o library_calls_hook.o library_calls_hook.c
library_calls_hook.c: In function ‘open’:
library_calls_hook.c:32:5: warning: implicit declaration of function ‘printf’ [-Wimplicit-function-declaration]
   32 |     printf("intercepted open: %s\n",pathname);
      |     ^~~~~~
library_calls_hook.c:32:5: warning: incompatible implicit declaration of built-in function ‘printf’
library_calls_hook.c:21:1: note: include ‘<stdio.h>’ or provide a declaration of ‘printf’
   20 | #include <stddef.h>
  +++ |+#include <stdio.h>
   21 | 
library_calls_hook.c: In function ‘open64’:
library_calls_hook.c:44:5: warning: incompatible implicit declaration of built-in function ‘printf’
   44 |     printf("intercepted open64: %s\n",pathname);
      |     ^~~~~~
library_calls_hook.c:44:5: note: include ‘<stdio.h>’ or provide a declaration of ‘printf’
library_calls_hook.c: In function ‘execve’:
library_calls_hook.c:57:5: warning: incompatible implicit declaration of built-in function ‘printf’
   57 |     printf("intercepted execve: %s\n", filename);
      |     ^~~~~~
library_calls_hook.c:57:5: note: include ‘<stdio.h>’ or provide a declaration of ‘printf’
thesre@HP-Z420-Workstation:~/library_call_intercept$ gcc -shared -o library_calls_hook.so library_calls_hook.o -ldl

通过LD_PRELOAD使用

thesre@HP-Z420-Workstation:~/library_call_intercept$ LD_PRELOAD=./library_calls_hook.so ./test
intercepted execve: /bin/date
intercepted open: /home/thesre/library_call_intercept/hello.txt
openfile succeeded!
thesre@HP-Z420-Workstation:~/library_call_intercept$ LD_PRELOAD=./library_calls_hook.so cat hello.txt 
intercepted open: hello.txt
line 1
line 2
line 3
line 4
line 5

参考资料

http://optumsoft.com/dangers-of-using-dlsym-with-rtld_next/

王万林 Ben
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
android 禁用dlsym_[原创]解答andwei关于android平台通过dlsym来hook模块方法的原理的疑问...
weixin_39550258的博客
12-20 151
验证为啥可以修改函数地址指向的地方,这个地方难道不是在代码段吗?修改了以后为啥备份的原函数地址还可以调用原函数,代码段原函数的首地址指向的地方的内容不是已经改成跳转方法的首地址了吗?因为私信了,在原评论区无法给作者详细的解释,这里是我验证的几个点,希望andwei能够有所启发吧:写了一个demo,平台为debian linux 10,x64,只在linux平台做了验证,因为android的底层即为...
01-MySQL_C_API-编程实践.docx
03-06
MySQL C API是MySQL数据系统提供的一种接口,允许程序员使用C语言来编写与MySQL数据交互的应用程序。本篇文档主要介绍了如何使用MySQL C API进行基本的数据操作,包括连接、查询和断开数据。 首先,MySQL C...
Linux 函数调用劫持的方法总结(带图)
布袋和尚
06-24 896
Ring3中劫持Ring0中劫持Kernel Inline Hooksyscall table 修改内核调试机制 Kprobe在 Linux 中,动态加载的时候,会按照以下顺序进行搜索:方法原理:通过 LD_PERELOAD 定义在程序运行前优先加载的动态链接为自己编写的动态。例子:劫持 gets() 函数 设置 LD_PRELOAD 编写一个测试程序 test.c 函数调用劫持效果 2.1、Kernel Inline Hook原理:一个系统调用会调用子函数的,这是通过段内偏移的方式完成
0102__动态装载及 dlsymRTLD_NEXT参数详解
最新发布
行潇
04-19 161
动态装载及 dlsymRTLD_NEXT参数详解-CSDN博客
动态装载及 dlsymRTLD_NEXT参数详解
mijichui2153的博客
11-08 8819
在看公司spp框架代码的时候发现了如下一段宏定义,其中的dlsym函数及其RTLD_NEXT参数的含义不是很明白,于是网上搜了下这里做个记录。 #define mt_hook_syscall(name) \ do { \ if (!g_mt_sy
动态链接函数dlsym()的参数RTLD_NEXT使用注意事项
Cxinsect的博客
09-12 8349
相比于已知函数的所在动态函数dlsym的参数RTLD_NEXT可以在对函数实现所在动态名称未知的情况下完成对函数的替代。这提供了巨大的便利。但是凡是有一利必有一弊,在使用该参数时,需要注意一些问题。 使用函数文件 main函数.c #include <stdio.h> #include <malloc.h> int main (void) { struc...
linux 函数拦截,如何使用net_dev_add()API过滤和拦截Linux数据包?
weixin_33488806的博客
05-11 138
您正在使您的模块处理所有以太网数据包. Linux将向所有匹配的协议处理程序发送数据包.由于IP已在您的内核中注册,因此您的模块和ip_rcv都将接收所有带有IP头的SKB.如果不更改内核代码,则无法更改此行为.一种可能性是创建一个netfilter模块.这样,您可以在ip_rcv函数之后拦截数据包,并在需要时删除它(在Netfilters PREROUTING挂钩中).这是一个小的Netfilt...
linux-c-function.rar_linux C chm
09-14
动态链接(`dlopen`, `dlsym`, `dlclose`)的使用,允许程序在运行时加载和使用外部代码。 这个CHM文件是Linux开发者不可或缺的参考资料,通过它,开发者能够迅速查找和理解所需的C函数,提高编程效率,解决实际...
ldd3-examples-3.x-master_ldd3-examples-3.x_
10-01
3. **动态加载(dlopen/dlsym)**:除了在程序编译时静态链接,还可以在运行时使用`dlopen`函数动态加载,`dlsym`获取符号地址,实现程序的动态扩展性。 4. **版本化和SONAME**:理解如何为共享指定版本号...
plugin-architecture-example.zip_c++ 插件模式_m_LoadedPlugins_插件_插件架构
09-24
3. **加载插件**:主程序在运行时搜索插件目录,使用`LoadLibrary()`或`dlopen()`等函数加载插件,然后使用`GetProcAddress()`或`dlsym()`获取插件的入口点,实例化插件对象。 4. **初始化插件**:调用插件的`...
Linux-调用加载动态工程代码
04-21
Linux系统中,动态...在软件开发中,使用动态可以实现代码复用、模块化设计和方便的更新。通过上述步骤,我们可以灵活地在Linux环境中加载和使用自定义的动态,如`test-ld`,为我们的应用程序添加新的功能。
MobileApple80211.rar_Linux/Unix编程_Unix_Linux_
08-11
标题“MobileApple80211.rar_Linux/Unix编程_Unix_Linux_”提示我们,这个压缩包可能包含与Linux或Unix系统相关的代码,特别是关于Apple80211功能的实现。描述中提到“Code for dynamically loading Apple80211 ...
libsrc.rar_linux 动态
09-19
标题"libsrc.rar_linux 动态"表明这个压缩包包含了关于Linux环境下动态的示例和相关资料。这可能包括如何创建、链接以及使用动态的实践教程。 动态的扩展名通常是`.so`,例如`libmylib.so`。在Linux下,...
linux-inject-master.zip
06-03
5. **函数Hook**:在注入的代码中,可以使用`glibc`的`dlfcn`接口或者汇编语言来实现函数Hook。函数Hook允许我们在特定函数调用前后插入自定义的行为,比如记录日志、修改参数或返回值等。 6. **解除注入并分离**:...
dlopen-dlsym-dlclose函数介绍
03-13
dlopen-dlsym-dlclose函数介绍,具体介绍该函数定义、使用
C++成员函数拦截方法
bobbypollo的专栏
04-11 1836
概述利用preload方式对动态中C语言函数调用进行拦截,有时候会达到剑走偏锋的效果。例如,在DVB+Dongle的产品中,我们就采用了这种方案,在不需要修改甚至重新编译原中间件及SDK的前提下,截获了SDK中的部分接口调用,从而轻松抓取到OSD图层数据及解扰后的视频流。preload原理如下图,图1 注入libhack.so前后的接口调用路径如图,利用ld_preload向应用的进程空间高地...
Andrdoid中对应用程序的行为拦截实现方式之----从Java层进行拦截
weixin_30367873的博客
11-10 196
致谢:感谢 简行之旅的这篇blog:http://blog.csdn.net/l173864930/article/details/38455951,这篇文章是参考这篇blog的进行一步一步操作的,如果没有这篇好文章的话,貌似我这篇文章的诞生可能就有点难度了。今天周日,昨天花了一天的时间总算是搞定了,问题还是想对应用程序的行为进行拦截的操作,就是像小米手机一样,哪些应用在获取你什么权限的信息。...
除了dlopen("libUE4.so",RTLD_LAZY)取句柄还有什么方法
05-15
除了使用dlopen()函数获取动态链接的句柄之外,还可以使用系统调用open()函数来打开动态链接,然后使用dlsym()函数来获取动态链接中的函数指针。这两种方法都可以用来加载动态链接并获取其中的函数指针,具体使用哪种方法取决于您的需求和环境。 使用open()函数打开动态链接的示例代码如下: ```c #include <dlfcn.h> void* handle = NULL; handle = dlopen("libUE4.so", RTLD_LAZY); if (!handle) { // 动态链接打开失败 // 处理错误 } // 获取函数指针 void (*foo)(void) = dlsym(handle, "foo"); if (!foo) { // 获取函数指针失败 // 处理错误 } // 使用函数指针调用函数 foo(); ``` 需要注意的是,使用open()函数打开动态链接时,需要指定动态链接的完整路径,而不是只指定动态链接的文件名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王万林 Ben

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值