利用LD_PRELOAD进行hook

最新推荐文章于 2023-10-31 11:06:35 发布
最新推荐文章于 2023-10-31 11:06:35 发布
阅读量919 收藏 2
点赞数
分类专栏: Linux c 
loader在进行动态链接的时候,会将有相同符号名的符号覆盖成LD_PRELOAD指定的so文件中的符号。换句话说,可以用我们自己的so库中的函数替换原来库里有的函数,从而达到hook的目的。这和Windows下通过修改import table来hook API很类似。相比较之下,LD_PRELOAD更方便了,都不用自己写代码了,系统的loader会帮我们搞定。但是LD_PRELOAD有个限制:只能hook动态链接的库,对静态链接的库无效,因为静态链接的代码都写到可执行文件里了嘛,没有坑让你填。
上代码
先是受害者,我们的主程序main.c,通过strcmp比较字符串是否相等:
#include <stdio.h>
#include <string.h>

int main(int argc, char *argv[])
{
    if( strcmp(argv[1], "test") )
    {
        printf("Incorrect password\n");
    }
    else
    {
        printf("Correct password\n");
    }
    return 0;
}

然后是用来hook的库hook.c:
#include <stdio.h>
#include <string.h>
#include <dlfcn.h>

typedef int(*STRCMP)(const char*, const char*);

int strcmp(const char *s1, const char *s2)
{
    static void *handle = NULL;
    static STRCMP old_strcmp = NULL;

    if( !handle )
    {
        handle = dlopen("libc.so.6", RTLD_LAZY);
        old_strcmp = (STRCMP)dlsym(handle, "strcmp");
    }
    printf("hack function invoked. s1=<%s> s2=<%s>\n", s1, s2);
    return old_strcmp(s1, s2);
}

因为hook的目标是strcmp,所以typedef了一个STRCMP函数指针。由于hook的目的是要控制函数行为,所以需要从原库libc.so.6中拿到“正版”strcmp指针,保存成old_strcmp以备调用。
Makefile:
test: main.c hook.so
    gcc -o test main.c

hook.so: hook.c
    gcc -fPIC -shared -o hook.so hook.c -ldl

执行:
$ LD_PRELOAD=./hook.so ./test 123
hack function invoked. s1=<123> s2=<test>
Incorrect password

$ LD_PRELOAD=./hook.so ./test test
hack function invoked. s1=<test> s2=<test>
Correct password
Reverse Engineering with LD_PRELOAD
http://www.exploit-db.com/papers/13233/
u012567219
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PRELOAD:LD_PRELOAD rootkit实用程序
05-23
这里的"PRELOAD:LD_PRELOAD rootkit实用程序"是指利用`LD_PRELOAD`环境变量来加载一个自定义的动态链接库(`.so`文件),从而在系统调用层面进行hook或注入代码,实现对目标程序的控制或监控。这在某些情况下可以...
一种简单的hook方法--LD_PRELOAD变量
weixin_30443813的博客
02-19 281
LD_PRELOAD这个变量允许你定义在程序运行时优先加载的动态链接库,从而在程序运行时的动态链接 下面程序的看一个例子-getuid.c //getuid.c #include<stdio.h> #include<unistd.h> #include<sys/types.h> int main(void) { printf("my ...
Linux LD_PRELOAD Hook
chi's blog
10-09 484
loader在进行动态链接的时候,会将有相同符号名的符号覆盖成LD_PRELOAD指定的so文件中的符号。换句话说,可以用我们自己的so库中的函数替换原来库里有的函数,从而达到hook的目的。但是LD_PRELOAD有个限制:只能hook动态链接的库,对静态链接的库无效,因为静态链接的代码都写到可执行文件里了嘛,没有坑让你填。使用PRE_LOAD劫持库函数的这种做法可以做很多事情,比如劫持随机函数random, random_r等,使得看起来是公平的摇号程序可以自如地由自己控制;
C++使用LD_PRELOAD劫持(Hook)库函数
~码农小非~的专栏
07-10 2418
更多文章欢迎访问 程序员小非 博客 在调试C++程序的时候,我们并不是每次都能拿到源代码,很多时候我们只能得到一个动态库so,调试时这个动态库就是一个黑匣子,没办法查看修改或者在里面加日志,那么我们是不是就没有任何办法对我们感兴趣的函数和参数进行监控和跟踪了呢? 对于这种情况,我们一般会挂上gdb,然后在我们感兴趣的地方打上断点,然后查看堆栈里的变量的值。但这个过程时比较繁琐的,尤其是在需要了...
Hook技术--②LD_PRELOAD
最新发布
一些个人笔记,写的不好之处,还请海涵
10-31 273
定义与目标函数完全一样的函数,包括名称、变量及类型、返回值及类型等。将包含替换函数的源码编译为动态链接库。通过命令export LD_PRELOAD="库文件路径",设置要优先替换动态链接库。如果找不替换库,可以通过export LD_LIBRARY_PATH=库文件所在目录路径,设置系统查找库的目录。替换结束,要还原函数调用关系,用命令解除想查询依赖关系,可以用ldd 程序名称。共享库必须是可执行文件,即必须具有x权限。共享库必须是使用-fPIC编译的,以避免地址重定位问题。
Android API HookLD_PRELOAD
04-05
安卓挂钩子 hook技术 详细讲解了如何挂钩android api
使用LD_PRELOAD注入程序.pdf
04-26
linux 如何hook 任何一个目标文件中 使用的 第一层函数。在没有目标源码的情形下。对目标进行hook、 亲测,可以用
fml:LD_PRELOAD hack可以在sqlite数据库中保存malloc和自由操作
04-29
LD_PRELOAD hack可以在sqlite数据库中保存malloc和自由操作。 基于我很久以前在glibc中使用__malloc_hook / __free_hook编写的内容。 由于现在已将这些标记为&ldquo;已弃用”,因此我使用以下建议重写了这些内容: 构建...
inotify-mitm:LD_PRELOAD挂钩,用于将网络事件转移到Linux
05-20
使木乃伊化这是尝试挂接inotify调用的实验,...例子make allLD_PRELOAD= $PWD /inotify_hook.so inotifywait -m -r -e modify,attrib,close_write,move,create,delete /tmp 然后在另一个外壳中: touch /tmp/llamas参考
深入分析 LD_PRELOAD
布袋和尚
07-13 8917
是 系统的一个环境变量,它影响程序的运行时的链接(Runtime linker),它允许在程序运行前定义优先加载的动态链接库。这个功能主要就是用来有选择性的载入不同动态链接库中的相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库。1、程序的链接程序的链接可以分为以下三种静态链接库,在 Linux 下文件名后缀为 ,如 。在编译链接时直接将目标代码加入可执行程序。动态链接库,在 Linux 下是 文件,在编译链接时只需要记录需要链接的号,运行程序时才会进行
一种hook libc库函数的简易方案
夏天夏天悄悄过去留下小眯眯
07-04 4004
有时候我们分析/逆向ELF文件时,可能想直接运行ELF看看效果,同时又想捕获ELF文件用了哪些字符串、回连地址&端口、操作了哪些文件等等特征信息。这时我们可以巧妙的借用LD_PRELOAD,来实现一种简易的hook libc库函数方案来打印我们想要的特征信息。
关于LD_PRELOAD在Android API HOOK中的应用
陈刚编程心得与知识集
03-18 2083
受xposed启发,有了一些想法。 我以前都是通过注入的形式,拦截目标进程的API,从而达到一些目的。这个方法相对笨拙,每次都需要注入(启动时);关键问题是,除非做成INLINE HOOK,否则你就得Hook每个so中你想拦截的函数,也不方便。 看到xposed后,就萌发一个想法,能否用Preload,做API HOOK。 这个问题相对比较容易解决:传递一个系统环境变量LD_PRELOAD=
linux LD_PRELOAD 预加载 so 简介
热门推荐
whatday的专栏
09-30 1万+
预加载so的两种方式: 修改/etc/ld.so.preload配置文件,这种方法对配置修改之后运行的进程生效,而无法影响已经在运行的进程; 启动进程前设置LD_PRELOAD变量(如shell中执行LD_PRELOAD=/lib64/inject.so ./myprocess),则只对当前进程生效。 默认情况下进程创建的子进程也会继承Preload环境变量,而父进程可以在子进程初始化前修改子进程的环境变量,从而避免往子代传播。 LD_PRELOAD可以影响程序的运行时的链接,它允许你定义在程序运行前
分享一则Linux系统邮件提示 /usr/local/lib/libprocesshider.so > /etc/ld.so.preload 的中病毒解决方法
weixin_45225923的博客
09-06 4114
最近发现生产服务器CPU占用过高但是查看进程却没有任何过高的进程,最高也才是1点多,而且系统经常收到root用户发送的邮件 所以有理由是怀疑中了挖矿病毒,查看网络连接信息(命令:netstat -napt)后发现一条疑似矿池的连接记录 然后去查找这个IP地址发现是M国的一个地址,去到某服安全中心查看这个IP果然是矿池地址无疑 某安的威胁中心查出来的结果也是一样的, 显示结果跟网络连接中的信息是一样的,这下确定无疑了 ...
LD_PRELOAD函数劫持
WenCoo的博客
05-16 2701
LD_PRELOAD函数劫持 2.3. LD_PRELOAD使用限制这种方式虽然很酷,但却有一些限制。比如对于静态编译的程序是无效的。因为静态编译的程序不需要连接动态库的面的函数。而且,假如文件的SUID或SGID位被置1,加载的时候会忽略LD_PRELOAD(这是ld的开发者出于安全考虑做的)。 三.相关的隐匿技术 3.1 Jynx-K...
[LINUX]LD_PRELOAD中对于dlopen函数的hook
小蜗牛之家
04-08 970
- LD_PRELOADhook方式可以hook大部分的函数,通常需要通过dlopen获取共享库的句柄,然后用dlsym获取对应名称的函数地址, 用于后续调用; - 这种方式对于绝大多数的libc暴露的函数均有效,但是对于dlopen这种机制中需要使用的函数无法进行hook,因为一旦hook了dlopen函数,则会在获取共享库句柄的时候,陷入死循环; - 解决方式:自主编译libc,建立一个...
小心环境变量-浅谈LD_PRELOAD
少仲
04-18 5847
/* author:少仲 blog: http://blog.csdn.net/py_panyu weibo: http://weibo.com/u/3849478598 欢迎转载,转载请注明出处. */ 0x0 前言 在Windows平台,各种Hook技术已经被玩的天花乱坠.软件为了优先获得系统的控制权,都使用了各种Hook技术.常见的SSDT Hook/Inlin
c++代码注入hook inotify_init()函数
05-15
以下是一个简单的示例代码,展示如何使用 LD_PRELOAD 技术注入 hook 到 inotify_init() 函数中: 首先,编写 hook 函数 inotify_init(),并将其保存为一个动态链接库文件 libinotify_hook.so: ```c++ #include <stdio.h> #include <sys/inotify.h> int inotify_init(void) { printf("inotify_init() has been hooked!\n"); return 0; } ``` 然后,编写一个简单的 main() 函数,用于调用 inotify_init() 函数: ```c++ #include <stdio.h> #include <stdlib.h> #include <sys/inotify.h> int main() { int fd = inotify_init(); if (fd == -1) { perror("inotify_init"); exit(EXIT_FAILURE); } printf("inotify_init() returned: %d\n", fd); return 0; } ``` 接下来,编译并运行 main() 函数,验证 inotify_init() 函数是否能够正常工作: ```bash $ gcc main.c -o main $ ./main inotify_init() returned: 3 ``` 最后,使用 LD_PRELOAD 技术将 libinotify_hook.so 动态链接库注入到 main 函数中,以替换 inotify_init() 函数: ```bash $ gcc -shared -fPIC -o libinotify_hook.so inotify_hook.c $ LD_PRELOAD=./libinotify_hook.so ./main inotify_init() has been hooked! inotify_init() returned: 0 ``` 可以看到,在使用 LD_PRELOAD 技术注入 hook 后,inotify_init() 函数被替换为 hook 函数,输出了一条新的提示信息,并返回了预设的返回值 0。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值