seccomp + ptrace hook系统调用demo

最新推荐文章于 2024-06-02 22:11:13 发布
最新推荐文章于 2024-06-02 22:11:13 发布
阅读量354 收藏 6
点赞数 7
文章标签: 单片机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013347872/article/details/139096026
版权

前言

目前绝大部分app都会频繁的使用syscall去获取设备指纹和做一些反调试,使用常规方式过反调试已经非常困难了,使用内存搜索svc指令已经不能满足需求了,开始学习了一下通过ptrace/ptrace配合seccomp来解决svc反调试难定位难绕过等问题。

seccomp

Linux 2.6.12中的导入了第一个版本的seccomp,通过向/proc/PID/seccomp接口中写入“1”来启动通过滤器只支持几个函数。

PLAINTEXT

1

read(),write(),_exit(),sigreturn()

使用其他系统调用就会收到信号(SIGKILL)退出。测试代码如下:

PLAINTEXT

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35

#include <fcntl.h>
#include <stdio.h>
#include <unistd.h>
#include <sys/prctl.h>
#include <linux/seccomp.h>

void configure_seccomp() {
    printf("Configuring seccomp\n");
    prctl(PR_SET_SECCOMP, SECCOMP_MODE_STRICT);
}
int main(int argc, char* argv[]) {
    int infd, outfd;
    if (argc < 3) {
        printf("Usage:\n\t%s <input path> <output_path>\n", argv[0]);
        return -1;
    }
    printf("Starting test seccomp Y/N?");
    char c = getchar();
    if (c == 'y' || c == 'Y') configure_seccomp();
    printf("Opening '%s' for reading\n", argv[1]);
    if ((infd = open(argv[1], O_RDONLY)) > 0) {
        ssize_t read_bytes;
        char buffer[1024];
        printf("Opening '%s' for writing\n", argv[2]);
        if ((outfd = open(argv[2], O_WRONLY | O_CREAT, 0644)) > 0) {
            while ((read_bytes = read(infd, &buffer, 1024)) > 0)
                write(outfd, &buffer, (ssize_t)read_bytes);
        }
        close(infd);
        close(outfd);
    }
    printf("End!\n");

    return 0;
}

可以看到执行到22行就结束了没执行到 Eed.

图片描述

seccomp-bpf

Seccomp-BPF(Berkeley Packet Filter)是Linux内核中的一种安全机制,用于限制进程对系统调用的访问权限。它主要用于防止恶意软件对系统的攻击,提高系统的安全性。

Seccomp-BPF使用BPF(Berkeley Packet Filter)技术来实现系统调用过滤,可以使用BPF程序指定哪些系统调用可以被进程访问,哪些不能。BPF程序由一组BPF指令组成,可以在系统调用执行之前对其进行检查,以决定是否允许执行该系统调用。

Seccomp-BPF提供了两种模式:白名单模式和黑名单模式。白名单模式允许所有系统调用,除非明确指定不允许的系统调用。黑名单模式禁止所有系统调用,除非明确指定允许的系统调用。这两种模式的选择取决于您的实际需求。

Seccomp-BPF提供了一个钩子函数,在系统调用执行之前会进入到这个函数,对系统调用进行检查,如果BPF程序允许执行该系统调用,则进程可以继续执行,否则会抛出一个异常。

1.BPF确定了一个可以在内核内部实现的虚拟机,该虚拟机具有以下特性:

PLAINTEXT

1
2
3
4
5
6
7
8
9
10
11
12

简单指令集
    小型指令集
    所有的命令大小相一致
    实现过程简单、快速
只有分支向前指令
    程序是有向无环图(DAGs),没有循环
易于验证程序的有效性/安全性
    简单的指令集⇒可以验证操作码和参数
    可以检测死代码
    程序必须以 Return 结束
    BPF过滤器程序仅限于4096条指令

2.Seccomp-BPF 使用的也只是BPF的子集功能:

PLAINTEXT

1
2
3
4
5
6
7
8
9
10
11
12
13
最低0.47元/天 解锁文章
u013347872
关注
  • 7
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
android hook红包接口,Xposed框架实现Android中的Hook
weixin_29383401的博客
06-01 472
Hook.jpg前几天受高人指点意外发现了开启Android世界的新大陆,就是这个叫Hook(''钩子'')的东西。听起来很神奇,周末抽时间研究了一番,发现确实是一个值得去研究的技术。什么是 Hook?江湖上称它为“钩子”,它能够在事件传送到终点前截获并监控事件的传输。它能够将自己的代码“融入”被钩住的进程中,成为目标进程的一部分。这么说来,它可以Hook系统的API,然后通过注入自己代码的方式...
去掉AlipayWallet的ptrace 反调试保护,进行lldb调试(学习demo
03-16
1、文章:https://blog.csdn.net/z929118967/article/details/78233844 2、去掉ptrace的思路: 2.1、 当程序运行后,使用 debugserver *:1234 -a BinaryName 附加进程出现 segmentfault 11 时,一般说明程序内部调用了ptrace 。 2.2、为验证是否调用了ptrace 可以 debugserver -x backboard *:1234 /BinaryPath(这里是完整路径),然后下符号断点 b ptrace,c 之后看ptrace第一行代码的位置,然后 p $lr 找到函数返回地址,再根据 image list -o -f 的ASLR偏移,计算出原始地址。最后在 IDA 中找到调用ptrace的代码,分析如何调用的ptrace。 2.3、开始hook ptrace
Linux下Ptrace()调用的安全分析.pdf
09-07
Linux下Ptrace()调用的安全分析.pdf
深入Android源码系列(二) HOOK技术大作战
程序员入门进阶
07-03 2546
漫天的标题党的口水文打赏爆表,冷落了一群默默输出高质量文章的人群。真正的技术文章能否得到认可?      本文讲解内容有     hook技术原理探究     hook本进程方法     hook跨进程的系统调用,方法     so注入     GOT完成so方法hook     ELF文件头信息 00 简单描述下原理,当我们想去监听func方法,如果我们按照代码去编写,则会是如下
linux 系统调用 hook 总结
whatday的专栏
09-02 5040
1. 系统调用Hook简介 系统调用属于一种软中断机制(内中断陷阱),它有操作系统提供的功能入口(sys_call)以及CPU提供的硬件支持(int 3 trap)共同完成。 我们必须要明白,Hook技术是一个相对较宽的话题,因为操作系统从ring3到ring0是分层次的结构,在每一个层次上都可以进行相应的Hook,它们使用的技术方法以及取得的效果也是不尽相同的。本文的主题是"系统调用的Hoo...
Linux系统调用Hook姿势总结
swartz_lubel的专栏
02-11 3468
相关学习资料http://xiaonieblog.com/?post=121 http://hbprotoss.github.io/posts/li-yong-ld_preloadjin-xing-hook.html http://www.catonmat.net/blog/simple-ld-preload-tutorial/ http://os.51cto.com/art/201004/195...
Android安全:Hook技术
热门推荐
1024工场
08-15 2万+
一、Hook技术 1.Hook英文翻译为“钩子”,而钩子就是在事件传送到终点前截获并监控事件的传输,像个钩子钩上事件一样,并且能够在钩上事件时,处理一些自己特定的事件; 2.Hook使它能够将自己的代码“融入”被勾住(Hook)的进程中,成为目标进程的一部分; 3.在Andorid沙箱机制下,Hook是我们能通过一个程序改变其他程序某些行为得以实现; 二、Hook分类 1.根据Android开发模式,Native模式(C/C++)和Java模式(Java)区分,在Android平台上 Java层
iOS安全防护系列之ptrace反调试与汇编调用系统方法详解
08-27
主要给大家介绍了关于iOS安全防护系列之ptrace反调试与汇编调用系统方法的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
ptrace的小demo
03-17
论文研究-Linux下Ptrace()调用的安全分析.pdf
07-22
对Linux下的系统调用Ptrace()所拥有的进程跟踪和控制调试功能进行了分析;结合内核漏洞的具体实例研究其对系统可能造成的安全威胁;最后就病毒技术中的一项关键技术——隐藏,讨论了Ptrace()在Linux病毒隐藏技术中的...
letmedebug:禁用ptrace的PT_DENY_ATTACH-修补ptrace系统调用
05-18
甲虫禁用ptrace的PT_DENY_ATTACH 修补ptrace系统调用
基于单片机的电容传感器测量油箱油量方法的研究
weixin_45905610的博客
05-30 576
介绍了一种基于单片机的电容传感器测量飞机油箱内油量的方法,利用电容式传感器的电容随油面高度的变化,构建了以单片机为核心的油量自动测试系统,给出了该油量测试系统的测量原理、硬件设计和软件设计。实际应用表明,该油量测量系统具有结构简单、测试精度高、可靠性好等优点。
【TB作品】MSP430 G2553 单片机口袋板,ADC,读取P1.4电压
q742971636的博客
06-02 198
ADC,读取P1.4电压,将电压显示到口袋板的显示屏。
【TB作品】MSP430 G2553 单片机口袋板,流水灯,按键改变花型
q742971636的博客
06-02 120
按键修改流水灯的花型,一共四种花型。
细说ARM MCU中的MX_GPIO_Init()函数的实现过程
wenchm的博客
05-30 603
本文中使用ST的开发板NUCLEO-G474RE,板上MCU型号为STM32G474RET6。配套的扩展板:实例中当开发板上的按键B1被按下时,PC13引脚被上拉至高电平VDD,不按下时,PC13下拉至低电平GND。用按键B1控制板上的LD2灯的亮灭,当PA5输出高电平时LD2亮,否则灯灭。
嵌入式进阶——LED灯
qiuyeyyy的博客
05-22 1007
⛺️心若有所向往,何惧道阻且长。
【TB作品】MSP430 G2553 单片机口袋板,读取单片机P1.4电压显示,ADC
最新发布
q742971636的博客
06-02 230
读取P1.4电压,显示到口袋板显示屏,电压越高亮灯越多。
linux hook 系统调用
06-28
### 回答1: Linux Hook 系统调用是指在 Linux 操作系统中,通过修改系统调用表来拦截和修改系统调用的行为。这种技术可以用于实现各种功能,如监控系统调用、实现安全策略、实现虚拟化等。Hook 系统调用的实现方式有多种,如使用内核模块、使用 LD_PRELOAD 环境变量、使用 ptrace 等。但是,Hook 系统调用也可能会带来一些安全风险,因此需要谨慎使用。 ### 回答2: Linux系统中的hook是一种通过修改系统内核来实现对系统或应用程序行为的改变的技术手段。hook技术的实现方式有很多种,比如LD_PRELOAD,在程序运行前拦截系统调用,重定向到用户编写的函数中,实现对系统调用进行Hook;也可以修改内核源代码,在内核中添加对指定系统调用Hook函数,并重新编译部署内核。 在Linux系统中,Hook技术被广泛运用于安全防护、性能优化、监控记录等领域。安全防护方面,通过Hook技术可以拦截进程的系统调用,实现对安全攻击的检测和防范;在性能优化方面,Hook技术可以记录系统资源使用情况,进行优化分析;在监控记录方面,Hook技术可以通过修改系统调用返回值,实现对应用程序的状态监控和记录等功能。 Hook技术的实现需要一定的计算机专业知识和技能,同时也需要了解目标系统的内部运行机制和系统调用的使用方法。在使用时需要注意,Hook技术对系统稳定性和性能会产生影响,需要谨慎使用和调试。同时,在使用Hook技术时需要考虑到实现方式的兼容性、对日后维护的影响等问题,从而保证Hook技术的稳健性和长期有效性。 综上所述,在Linux系统中,Hook技术是一种应用广泛、有效性高的技术手段,可以实现对系统和应用程序行为的灵活定制和改变,通过对系统调用的拦截和修改,实现安全防护、性能优化、监控记录等多种功能。不过,在使用时需要注意风险和影响,选择合适的实现方式,从而确保Hook技术的有效性和稳健性。 ### 回答3: Linux 系统调用是操作系统的一个重要组成部分,它提供了应用程序与操作系统之间通信的桥梁,使得应用程序可以利用操作系统的功能进行各种操作。然而,在某些情况下,用户可能需要修改某些系统调用的行为或者监控它们的使用情况,这就需要使用 Linux hook 系统调用。 Linux hook 系统调用,也称为系统调用钩子,是一种在系统调用进行时拦截和修改系统调用的技术。其主要作用是通过程序实现拦截和修改系统调用的行为,以达到特定的目的。比如,通过修改文件访问系统调用的行为,可以对文件进行加密、解密和防止恶意软件操作等。 Linux hook 系统调用的实现方式有很多种,其中最常见的方式就是使用内核模块实现。内核模块是一种动态加载到内核中的代码,可以通过内核提供的对模块的管理函数进行加载、卸载和修改等操作。利用内核模块,可以实现对指定系统调用的拦截与修改,具体实现方法是通过在模块中添加指定系统调用的替代函数来实现。 除此之外,还可以使用 LD_PRELOAD 环境变量或者 ptrace 系统调用来实现 Linux hook 系统调用。其中,LD_PRELOAD 环境变量是一种可以动态加载库文件的方法,通过在 LD_PRELOAD 中指定某个库文件,可以在程序运行时优先加载该库文件,从而实现对系统调用的拦截;而 ptrace 系统调用则是一种常用的系统调用监控方法,可以用来检测系统调用调用次数、参数和返回结果等信息。 总体来说,Linux hook 系统调用是一种非常实用的技术,可以用来实现各种监控和安全保障功能。但是,在使用时需要注意保证系统的稳定性和安全性,避免出现非预期的系统崩溃或安全漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值