基于探针的动态插桩

最新推荐文章于 2025-05-07 12:44:58 发布
最新推荐文章于 2025-05-07 12:44:58 发布
阅读量2.4k 收藏 6
点赞数
分类专栏: 虚拟化/编译 文章标签: table destructor struct constructor insert list
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weiffun/article/details/5764689
版权
本文介绍了基于探针的动态插桩技术,详细阐述了其实现原理,包括函数入口保存、跳转指令插入、探针函数执行以及如何恢复原函数。通过示例展示了如何在Linux环境下利用LD_PRELOAD特性进行插桩,并提供了插入和删除探针的函数。通过测试程序展示了插桩效果,探针函数在原函数执行前被调用,删除探针后恢复原函数行为。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

由于基于探针的动态插桩,通常只能在函数边界插入代码,难以对程序的指令流进行很好的分析,所以平时用的比较少。以前使用微软研究院的detour的API觉得它很神奇,最近看了下它的原理还是很简单:基于简单动态重写函数的开始几个字节,然后跳转到特定函数。呵呵,但是要做好还是不容易的。闲来无事写了一个很粗糙的实现。

 

基本原理就是:(1)保存函数的入口的几个字节,并插入一天跳回函数的jmp指令(这一块代码称为trampaline)。这里的前几个字节不是个定数是有原因的,实际上我们只需要前5字节来保存一条JMP指令,但入口的5个字节可能并不是几条完整的指令,因此若只保存5个字节就会截断指令。如下面的代码所示,test函数入口的第5个字节包含于sub,保存前6个字节就可以避免截断sub指令。

(2)修改函数入口的5个字节为jmp xxx指令,其中的xxx就是探针函数到当前函数的偏移量。跳往探针函数并执行它。

(3)执行trampaline代码,执行原函数。

(3)恢复原函数的入口。

 

基本数据结构:

最低0.47元/天 解锁文章
开发 IDEA Plugin 引入探针,基于字节码获取执行SQL
y_xiao_qi的博客
02-19 845
一、前言 片面了! 一月三舟,托尔斯泰说:“多么伟大的作家,也不过就是在书写自己的片面而已”。何况是我们,何况是我们! 虽然我们不书写文章,但我们写需求、写代码、写注释,当我们遇到了需要讨论的问题点时,往往变成了争论点。这个好、那个差、你用的都是啥啥啥! 当你把路走窄了,你所能接受到的新的思路、新的想法、新的视野,以及非常重要的收入,也都会随之减少。只有横向对比、参考借鉴、查漏补缺,才能让你的头脑中会有更多的思路,无论是在写代码上、还是在理财上、还是在生活上。 二、需求目的 你是否有在使用 In
XCon 2022 | All in one:基于运行时单探针的代码疫苗技术
Anprou的博客
09-24 566
悬镜安全CTO宁戈应邀参XCon 2022安全焦点信息安全技术峰会并发表主题演讲
【总结】挂钩Hook、探针术语讨论
风舞雪凌月的博客
06-03 680
总的来说挂钩是最底层最核心的机制和原理,而是这种机制在软件测试方向的应用,探针则是技术在Web程序的具体实现。
C/C++/Linux函数(打)指南
gitblog_06673的博客
10-29 992
C/C++/Linux函数(打)指南 【下载地址】CCLinux函数指南分享 C/C++/Linux函数(打)指南在深入探讨C或C++项目,尤其是在进行性能分析、故障排查或是安全审计时,理解并掌握函数技术变得尤为重要 ...
PIN-tools:动态二进制工具的全面介绍应用
最新发布
weixin_42598278的博客
05-07 700
PIN工具是由英特尔研究实验室开发的一种动态二进制工具,广泛用于软件性能分析、调试、系统研究以及安全领域。它允许开发者在不修改源代码的情况下,通过入监控代码来观察和分析程序在运行时的行为。PIN 的核心优势在于它的动态性,这意味着它可以任何已编译的二进制文件配合使用,而无需重新编译或者访问源代码。
【C/C++】件机制:基于工厂函数的动态件加载
qq_51482778的博客
04-23 1150
本文介绍了如何通过 C++ 的(.so 文件)和 dlopendlsym实现件机制。这个机制允许程序在运行时动态加载和调用件,而无需在编译时知道件的具体类型。
推荐开源项目:TinyInst — 轻量级动态代码
gitblog_00039的博客
05-15 521
推荐开源项目:TinyInst — 轻量级动态代码库 TinyInstA lightweight dynamic instrumentation library项目地址:https://gitcode.com/gh_mirrors/ti/TinyInst 在软件开发和安全领域,动态代码(Dynamic Code Profiling)是一种强大的工具,用于监控程序行为、调试、性能优化和安全...
动态二进制的原理和基本实现过程(Pin/DynamoRIO/Frida)
热门推荐
海阔天空
04-26 1万+
英文原文全文http://deniable.org/reversing/binary-instrumentation 译转自https://www.4hou.com/binary/13026.html和https://www.4hou.com/binary/13116.html 翻译并不全 感谢翻译作者luochicun 目录 前言 Pin DynamoRIO Frida 前言 ...
All in one:基于运行时单探针的代码疫苗技术.pdf
09-28
"基于运行时单探针的代码疫苗技术.pdf" 本文档介绍了一种基于运行时单探针的代码疫苗技术,即All in one技术。该技术旨在解决代码安全问题,保护代码免受恶意攻击和泄露。 技术简介 All in one技术是一种...
嵌入式系统/ARM技术中的覆盖测试中高效代码技术的研究
11-04
为解决这一问题,研究者基于GCC开发平台设计并实现了一个新的器,引入了词法语法分析器,以更高效地探针代码。 在源代码目标代码的对比中,源代码提供了更高的准确性和针对性,因为它在编译...
动态二进制分析原理介绍(PDF)
12-02
老外的演讲稿(PDF),主要是介绍了二进制的原理实现,然后举了一些例子来加以讲解分析。英文太渣的童鞋就自己翻译下再阅读吧~~~
PIN动态工具
10-24
PIN,Intel的动态工具,很好用,这个是Linux版本的,编写装代码简单易学,网上也有很多教程,大家参考哦!
valgrind_基于动态的C/C++内存泄漏检测工具的设计实现
weixin_28861381的博客
02-05 373
[1] Luk C K, Cohn R, Muth R, et al. Pin:building customized program analysis tools with dynamic instrumentation[J] . ACM Sigplan Notices, 2005, 40(6):190-200.[2] Back M, Charney M, Cohn R, et al. Anal...
效能优化实践:C/C++单元测试万能工具
j简说Linux的博客
11-15 1083
C/C++语言编译后的可执行体,其实就是一个个的函数实现,每个函数的开头就是它的入口。目前存在的 C/C++工具,基本上都有各种使用上的局限,比如流行的 gmock,只能对 C++的虚函数进行替换,针对非虚函数,则需要先对被测代码进行改造;这样,当控制流从函数 A 进入函数 B 的开始位置的时候,即会执行上述代码,从而直接跳转到 C 的开头处。其最终效果,是所有对函数 B 的调用,都如同直接调用了函数 C。同时,函数不仅可以模拟原函数的返回值,实际上它作为一个普通的 C 函数,
程序-实例
spring_willow的博客
06-06 1万+
本文主要介绍装的实例,在测试分类下已经简单介绍了程序装的基本概念以及装的位置,更多知识可以查看程序装相关文献,现将整个装的流程通过一段C语言程序进行实例说明。 注:还处于学习阶段,实例较简单,内容尚待改进,错误之处请指出。 步骤一: Visual studio 编辑代码 1.file->new->project,弹出的窗口中选择第一项W32 console application,如下图所
Pin工具的介绍
stonesharp的专栏
06-16 1万+
Pin工具的介绍 Pin 是一种动态二进制检测框架,适用于x86,x64架构,一般用于程序动态分析用,是多个平台都支持,windows 、linux以及OSX。该工具原本适用于计算机架构分析用的,但是由于丰富的api,强大的功能现在运用的地方很多。比如计算机安全,环境模拟器,并行计算。 Pin相当于一个JIT("just in time“)编译器,并且有相当数量的实例代码(这一点真不
Pin~动态装原理
BenChang的专栏
04-12 6509
参考文献:《Pin:Building Customized Program Analysis Tools with Dynamic Instrumentation》 Pin的装流程: 首先系统加载pin并进行初始化,再由pin去加载pintool,进行相关初始化,然后pintool请求pin运行待装的程序。Pin则拦截程序运行的入口点。取一个trace然后进行即时编译,在即时编译过程中
Java架构-Java序列化的状态
weixin_33922670的博客
11-23 170
关键要点 Java序列化在很多库中引入了安全漏洞。 对序列化进行模块化处于开放讨论状态。 如果序列化能够成为模块,开发人员将能够将其从攻击表面上移除。 移除其他模块可以消除它们所带来的风险。 提供了一种编织安全控制的方法,提供现代化的防御机制。 多年来,Java的序列化功能饱受 安全漏洞 和zero-day攻击,为此赢得了“ 持续奉献的礼物 ”和“ 第四个不可饶恕的诅咒...
什么是探针
04-01
### 探针的基本概念及其原理 #### 定义 探针是一种用于监控和诊断系统的工具或机制,通常被嵌入到应用程序、操作系统或其他软件组件中。它的主要功能是从目标系统中提取特定的数据或事件信息,并将其传递给外部分析工具或管理系统[^1]。 #### 工作原理 探针的工作方式依赖于其部署环境和技术实现方法。以下是几种常见的探针工作模式: 1. **基于标注的方案 (Annotation-Based)** 开发人员可以在代码中标记关键位置(例如函数入口/出口),并通过这些标记触发探针逻辑来捕获所需的信息。这种方式具有较低侵入性和较高的灵活性。 2. **动态** 动态是指在不修改源码的情况下,在运行时向程序注入额外的功能模块以执行探测任务。这种方法常应用于性能调优场景下对现有生产环境中未加任何特殊处理的应用进行实时监测[^3]。 3. **静态编译期植入** 将探查点直接写入到原始代码里并随同主体一起构建成为最终可执行文件的一部分。虽然这种方法能够提供最精确的结果但由于需要重新编译整个项目因此维护成本较高。 4. **网络流量拦截解析** 当涉及到跨服务间通讯或者远程过程调用(RPC)时, 可能还需要借助专门设计用来抓取并解读HTTP(S)/TCP/IP层面上交互细节的技术手段来进行深入研究。如果遇到加密传输(HTTPS), 则可能面临更多挑战除非存在已知的安全缺陷允许绕过正常认证流程获取明文内容[^4]。 综上所述,无论采用何种形式实施,“探针”的核心价值始终围绕着如何高效准确地捕捉反映当前状态变化趋势的关键指标参数而展开讨论。 ```python # 示例:简单的Python探针模拟器 def probe(func): def wrapper(*args, **kwargs): print(f"Function {func.__name__} called with arguments {args}") result = func(*args, **kwargs) print(f"{func.__name__} returned {result}") return result return wrapper @probe def add(a, b): return a + b add(3, 5) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值