[ptrace修改内存]实现进程代码注入

最新推荐文章于 2024-07-29 22:03:06 发布
最新推荐文章于 2024-07-29 22:03:06 发布
阅读量8.4k 收藏 23
点赞数
分类专栏: 安全 最爱的C 文章标签: trace inject 注入 gcc Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011580175/article/details/82831889
版权
本文介绍了如何利用ptrace系统调用在Linux环境下实现进程代码注入,通过直接修改rip位置注入shellcode,详细阐述了实验过程、代码实现及注意事项,包括内存64位对齐、elf文件的读取和注入。
摘要由CSDN通过智能技术生成

一、背景

ptrace是Unix系列系统的系统调用之一。其主要功能是实现对进程的追踪。对目标进程,进行流程控制,用户寄存器值读取&写入操作,内存进行读取&修改。这样的特性,就非常适合,用于编写实现,远程代码注入。大部分的病毒会使用到这一点,实现,自用空间注入,rip位置直接注入,text段与data段之间的空隙注入。

二、测试环境

  • Linux ubuntu 4.15.0-34-generic x86_64

三、主要流程

实验使用的方式是,直接rip位置代码注入。注入的shellcode,主要实现,使用syscall,进行系统调用。调用mmap(),在目标进程的0x00100000地址位置,申请8192大小的内存空间,将指定的注入程序,注入到这申请的空间中。并且将rip调整至其entry入口地址。

  1. attach目标进程。
  2. 读取user_reg,获取rip的值。
  3. 将shellcode注入到rip位置。
  4. 使用PTRACE_CONT参数,恢复程序执行。
  5. 当shellcode执行完成mmap匿名内存空间申请成功后。发送int3中断信号给追踪进程。
  6. 将要注入的elf可执行文件open,并且read(注意read要64位对齐)到缓冲区。
  7. PTRACE_POKE将elf可执行文件写入到被注入进程shellcode创建的内存空间上。
  8. 读写user_reg将rip设置到elf可执行文件的入口点,也就是:mmap申请内存的起始地址+phdr->entry。
  9. 使用PTRACE_CONT参数,恢复程序执行,完成注入。

四、代码实现

GitHub : https://github.com/HotIce0/code_injection

  • code_injection.c 代码注入的执行程序
  • inject_me.c 被执行远程注入的程序
  • test.c 要注入elf可执行程序

五、重点

  1. gcc -fpie -pie 用于生产与位置无关的目标代码。
  2. gcc -nostdlib 用于生成,不使用标准链接库的代码。
  3. #define WORD_ALIGN(x) ((x + 7) & ~7) 用于64位对齐。因为,在64位的ptrace的文档中说明,PTRACE_POKE && PTRACE_PEEK一次操作的内存大小是64位,使用malloc申请的内存空间如果不是64位的整数倍,可能会出现内存非法访问。segement fault。
// Open specify ELF file.
fd = open(h.exec
最低0.47元/天 解锁文章
HotIce0
关注
专栏目录
[Ptrace]Linux内存替换(四)代码注入
BraveWinds B10G
08-09 3703
【环境】 CentOS 6.6 (Final) Linux version 2.6.32-504.el6.i686 Gcc version 4.4.7 20120313 【A程序:counter.c】 #include #include long long timeum(){ struct timeval tim; gettimeofday (&tim ,
使用ptrace向已运行进程注入.so并执行相关函数
热门推荐
MyArrow的专栏
07-30 1万+
1. 简介     使用ptrace向已运行进程注入.so并执行相关函数,其中的“注入”二字的真正含义为:此.so被link到已运行进程(以下简称为:目标进程)空间中,从而.so中的函数在目标进程空间中有对应的地址,然后通过此地址便可在目标进程中进行调用。      到底是如何注入的呢?      本文实现方案为:在目标进程中,通过dlopen把需要注入的.so加载到目标进程的空间中。
ptrace安卓程序注入例子
02-11
安卓程序ptrace注入例子,送给想研究手游注入的同学 使用JNI注入
Java-jna 向内存中写入数据
最新发布
G01010110的博客
07-29 1780
在遍历条目时我直接使用 JNA 封装的方法(Kernel32.INSTANCE.Process32Next(snapshot, processEntry))是因为我在使用自己声明的接口(Process32Next)中,出现了乱码,经过不断的尝试解码,最终只发现使用Unicode解码才勉强能分辨出对应的进程名称,(使用其他解码工具发现将编码定义为Big5,使用Unicode重新编码效果最好。按图顺序点击后(当点击指针选项后,地址值会变,不要担心,那是正常的),然后输入之前找的偏移地址。记录地址和偏移地址。
Ptrace--Linux中一种代码注入技术的应用
Litost_Cheng的博客
10-14 5170
PtraceLinux中一种代码注入技术的应用
利用ptrace进行注入
yldfree的博客
11-07 1491
转载:https://bbs.pediy.com/thread-246948.htm 插入的代码 #include <stdio.h> #include <unistd.h> int main() { __asm__( "jmp forward\n\t" "backword:popq %rsi\n\t" ...
代码注入的三种方法
xumaojun的专栏
08-31 2175
http://www.vckbase.com/index.php/wv/1580   目录 Windows 钩子 CreateRemoteThread 和 LoadLibrary 技术 ――进程间通信 CreateRemoteThread 和 WriteProcessMemory 技术 ――如何用该技术子类化远程控件 ――何时使用 CreateRemoteThread
Linux -- 利用 ptrace 进行代码注入
weixin_30364147的博客
09-04 229
#include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <string.h> #include <sys/ptrace.h> #include <sys/user.h> #include <sys/wait.h> void getda...
使用ptrace向已运行进程注入.so并执行相关函数讲解.docx
10-22
在IT领域,进程注入是一种高级技术,通常用于调试、监控或修改其他进程的行为。本文将深入探讨如何使用ptrace系统调用来向已运行的进程注入动态链接库(.so)并执行其中的函数。ptraceLinux系统提供的一种强大的...
使用ptrace向已运行进程注入.so并执行相关函数讲解.pdf
11-13
总结,通过ptrace向已运行进程注入.so并执行相关函数,是一种强大的调试和注入技术,它允许我们在不修改目标程序源代码的情况下,影响其行为。然而,这种技术也有可能被滥用,用于恶意目的,因此在实际应用中应...
ptrace注入实例
01-01
ptrace注入实例代码
使用ptrace向已运行进程注入 so并执行相关函数
qq_44884706的博客
04-15 872
使用ptrace向已运行进程注入 so并执行相关函数
7——Linux二进制分析——学习——使用ptrace进行代码注入
We do not claim to have achieved that goal in every aspect of the software, but we strive for it.
03-09 727
书中第三章最后讲了一个例子,十分遗憾,我暂时还没能调出最后结果。已经花费了很长时间,我觉得暂停是一个比较好的选择。如果我对系统执行elf文件的流程很了解的话,自然能够定位到原因。现在还不是时候,也许等后面再看一看书就知道这里的问题在哪里了。 这个例子书中有更多的错误,尽力改了几个,但还是运行异常。我把整个进展情况和代码贴出来,其中能注释的地方我尽量添加注释,方便读者帮忙分析。如果你知道问题所在,...
linux内存替换,[Ptrace]Linux内存替换(二)信息获取
weixin_39808893的博客
05-02 145
对ptrace有了初步了解后,到网上找了一个简单例程熟悉一下,实现效果为B程序附加到A程序上获取A程序EIP等相关信息后输出。【环境】CentOS 6.4 RCLinux version 2.6.32-358.el6.i686Gcc version 4.4.7 20120313【A程序:counter.c】#include int main(){int i;for(i = 0;i < 20;...
如何在linux系统中修改其他进程内存,如何在任意进程修改内存保护属性
weixin_29324401的博客
04-29 1589
最近,我们在进行一项安全研究时,需要在任意进程修改内存空间的保护标志。起初,我们发现这项任务看起来很简单,但在实际操作中,却发现困难重重,还好这些都不是什么大问题。在解决这些问题的过程中,我们还学到了一些新的东西,主要是关于 Linux 机制和内核开发的。在以下的详解中,我们会介绍我们所采取的三种方法以及每次寻求更好解决方案的原因。背景介绍在现代操作系统中,每个进程都有自己的虚拟地址空间(从虚拟...
ptrace应用之三代码注入(codeinjection)
12-07 3569
      在Linuxjoural杂志上看到了一篇关于ptrace代码注入的文章,写的非常的好,所以就有想翻译一下的想法。基本内容如下:如果我们想跟踪调试一个已经在运行的进程,我们可以使用 ptrace(PTRACE_ATTACH.......  ),它的功能基本上等同于ptrace(PTRACE_TRACEME.....  )。当我们完成跟踪后,我们可以使用ptrace(PTRACE_DETACH......  )让子进程继续运行。下面是一个实例程序: #include int main()
[Ptrace]Linux内存替换(五)x86_64平台代码注入
BraveWinds B10G
08-12 2016
上一节完成了x86平台的简单代码注入,本节将该过程移植到x86_64平台下测试成功。 【测试环境】 CentOS 5.4 (Final)x86_64 Linux version 2.6.18-164.el5. x86_64 GCC version 4.4.2 20080704
ptrace函数(附近进程修改进程数据)
haodawei123的博客
01-30 2291
1、ptrace定义 Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生一个信号。则进程被中止,并且通知其父进程。在进程中止的状态下,进程内存空间可以被读写。父进程还可以使子进程继续执行,并选择是否是否忽略引起中止的信号 long ptrace( enum __ptrace_request request...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值