linux 内核开发 hook,Linux内核hook 演示

最新推荐文章于 2024-07-18 16:59:54 发布
最新推荐文章于 2024-07-18 16:59:54 发布
阅读量128 收藏
点赞数
文章标签: linux 内核开发 hook

我以前利用0x80中断程序找到system_call然后找到 sys_call_table的方法,现在试下hook系统调用sys_mkdir来阻止创建目录小试牛刀。

#include

#include

#include

#include

#include

#include

MODULE_LICENSE("Dual BSD/GPL");

#define _DEBUG

#ifdef _DEBUG

#define kprintk(fmt,args...) printk(KERN_DEBUG fmt,##args)

#define kprintf(fmt,args...) printf(fmt,##args)

#define kperror(str) perror(str)

#else

#define kprintk

#define kprintf

#define kperror

#endif

long g_old_sys_mkdir=0;

long * g_sys_call_table=NULL;

long g_oldcr0=0;

struct _idtr{

unsigned short  limit;

unsigned int    base;

} __attribute__ ( ( packed ) );

// 中断描述符表结构

struct _idt_descriptor

{

unsigned short offset_low;

unsigned short sel;

unsigned char  none, flags;

unsigned short offset_high;

} __attribute__((packed));

unsigned int close_cr(void)

{

unsigned int cr0 = 0;

unsigned int ret;

asm volatile ("movl %%cr0, %%eax"

: "=a"(cr0)

);

ret = cr0;

/*clear the 20th bit of CR0,*/

cr0 &= 0xfffeffff;

asm volatile ("movl %%eax, %%cr0"

:

: "a"(cr0)

);

return ret;

}

void  open_cr(unsigned int oldval)

{

asm volatile ("movl %%eax, %%cr0"

:

: "a"(oldval)

);

}

long * get_sys_call_table(void)

{

struct _idt_descriptor * idt;

struct _idtr idtr;

unsigned int sys_call_off;

int sys_call_table=0;

unsigned char* p;

int i;

asm("sidt %0":"=m"(idtr));

printk("addr of idtr: 0x%x\n", (unsigned int)&idtr);

idt=(struct _idt_descriptor *)(idtr.base+8*0x80);

sys_call_off=((unsigned int )(idt->offset_high<<16)|(unsigned int )idt->offset_low);

printk("addr of idt 0x80: 0x%x\n", sys_call_off);

p=(unsigned char *)sys_call_off;

for (i=0; i<100; i++)

{

if (p[i]==0xff && p[i+1]==0x14 && p[i+2]==0x85)

{

sys_call_table=*(int*)((int)p+i+3);

kprintk("addr of sys_call_table: 0x%x\n", sys_call_table);

return (long*)sys_call_table;

}

}

return 0;

}

//asmlinkage long my_sys_getdents64(unsigned int fd, struct linux_dirent64 __user * dirent, unsigned int count)

asmlinkage long my_sys_mkdir(const char __user *pathname, int mode)

{

kprintk("can't' mkidr ^ ^\n");

return -1;

}

void start_hook(void)

{

g_sys_call_table=get_sys_call_table();

if(!g_sys_call_table)

{

kprintk("get sys_call_table error");

return;

}

//检测获取到的地址是不是正确的

if (g_sys_call_table[__NR_close] != (unsigned long)sys_close)

{

kprintk("Incorrect sys_call_table address.\n");

return ;

}

g_old_sys_mkdir=g_sys_call_table[__NR_mkdir];

//hoot it

g_oldcr0=close_cr();

g_sys_call_table[__NR_mkdir]=my_sys_mkdir;

open_cr(g_oldcr0);

kprintk("new %08x %08x\n",(unsigned int)my_sys_mkdir,(unsigned int)g_sys_call_table[__NR_mkdir]);

}

int raider_init(void)

{

kprintk("raider init\n");

start_hook();

return  0;

}

void raider_exit(void)

{

kprintk("raider exit");

if(g_sys_call_table && g_old_sys_mkdir)

{

g_oldcr0=close_cr();

g_sys_call_table[__NR_mkdir]=g_old_sys_mkdir;

kprintk("restore %08x\n",(unsigned int)g_sys_call_table[__NR_mkdir]);

open_cr(g_oldcr0);

}

}

module_init(raider_init);

module_exit(raider_exit);

代码在2.6.28下测试通过。

可见,只要得到sys_call_table后,就能轻易的做很多手段,其实和windows下修改ssdt没有本质区别只是网上关于linux的实现大部分内核版本比较老,有的都不用改cr0的,所以我很奇怪,也许以前的内核版本可行吧.

其实通往内核的接口还有一个sysenter_entry,通过它也可以得到sys_call_table的,只是这个接口同样没有导出,要得到也得用特殊办法了.0b1331709591d260c1c78e86d0c51c18.png

孙柔嘉
关注
linux内核中的hook,【Linux内核调试】使用Ftrace来Hook linux内核函数
weixin_32050773的博客
04-29 448
目标:hook几个Linux内核函数调用,如打开文件和启动进程,并利用它来启用系统活动监控并抢先阻止可疑进程。一、方案比较1. 使用Linux安全API方法:内核代码的关键点包含安全函数调用,这些调用可能触发安全模块安装的回调,该模块可以分析特定操作的上下文,并决定是允许还是禁止它。限制:安全模块无法动态加载,所以需要重新编译内核。2. 修改系统调用表方法:所有Linux系统调用处理程序都存储在s...
linux内核-获取hook系统调用表】
cddchina的专栏
07-19 554
linux 内核hook
linux内核系统调用hook
weixin_33712881的博客
07-10 156
我以前利用0x80中断程序找到system_call然后找到 sys_call_table的方法,现在试下hook系统调用sys_mkdir来阻止创建目录小试牛刀。 #include <linux/init.h> #include <linux/module.h> #include <linux/moduleparam.h> #...
linux内核中的hook,Linux内核Hook系统调用
weixin_42394913的博客
04-29 519
1,截获write系统调用:#ifndef MODULE#define MODULE#endif#ifndef __KERNEL__#define __KERNEL__#endif#include #include #include #include #include #include /*#include #include #include #include #include #include ...
Linux HOOK机制与Netfilter HOOK
最新发布
Flashing-C的博客
07-18 961
在计算机中基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流。 Linux常见的HOOK方式:1、修改函数指针。2、用户态动态库拦截。①利用环境变量LD_PRELOAD和预装载机制进行HOOK;②利用函数ptrace可实现对已运行的程序进行HOOK;3、内核态系统调用拦截。通过修改全局系统调用表,对系统调用进行劫持;4、堆栈式文件系统拦截。5、LSM。6、Netfilter HOOK
linux内核中的hook函数详解,linux内核中的hook函数详解
weixin_35011300的博客
05-09 562
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。先介绍一个结构体:struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,其实际的定义为:其中的成员信息为:hook :是一个函数指针,可以将自定义的函数赋值给它,来实现当有数据包到达是调用你自定义的函数。自定义函数的返回值为:owner:是模块的所有者,...
linux内核hook模块
faxiang1230的专栏
12-03 3861
linux内核支持动态加载module,今天不聊正常的module,只简单看一下实现Hook的module. hook通常翻译做劫持,不过这个翻译听起来让人不舒服,感觉有点恐怖,所以大家都是喊行话:hook. 上图是经典的堆栈式hook,也是splice典型的做法,在原有的流程中插入hook,更加典型的做法是栈在调用过程中从funcA->funcB变成了funcA->hook-&gt...
linux内核中的hook函数详解,linux 内核 hook函数介绍
weixin_39549899的博客
05-09 275
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。typedef unsigned int nf_hookfn(unsigned int hooknum, struct sk_buff *skb, const struct net_device *in, const struct net_d...
linux内核hook系统调用execve函数
12-07
内核版本:4.19.0-amd64-desktop 功能:hook系统调用execve函数,在系统调用dpkg命令时返回。 这样系统无法安装软件,以及删除软件。 1.下载后 解压直接 make编译 2. sudo insmod hook.ko 进行安装 3. sudo dmesg...
内核模式的apihook.zip_HOOK 内核_hook_内核_内核 hook_驱动hook应用api
09-21
内核模式API Hook是一种高级技术,它涉及到操作系统内核、驱动程序开发...通过对"KernelApiSpy"的分析和实验,我们可以更深入地理解内核Hook的工作原理和实现方法,这对于提升在操作系统底层的编程能力具有极大的帮助。
ftrace-hook:在Linux内核中使用ftrace进行函数挂钩
05-04
Linux内核模块演示了如何使用ftrace框架进行函数挂钩:就像在挂钩函数周围执行任意代码一样。 该代码已根据许可。 如何建造 请考虑使用虚拟机(VirtulBox,VMWare,QEMU等)进行实验。 (不变的)模块是完全无害的...
linux内核hook 演示
weixin_33738555的博客
11-12 89
我以前利用0x80中断程序找到system_call然后找到 sys_call_table的方法,现在试下hook系统调用sys_mkdir来阻止创建目录小试牛刀。 #include <linux/init.h> #include <linux/module.h> #include <linux/moduleparam.h> #...
linux内核中的hook函数详解
weixin_34004750的博客
11-29 971
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。 先介绍一个结构体: struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,其实际的定义为: 其中的成员信息为: hook :是一个函数指针,可以将自定义的函数赋值给它,来实现当有数据包到达是...
Linux内核开发hook系统调用
qq_26962739的博客
09-21 758
本文将讨论如何hook Linux系统调用,教你如何获取系统调用表的地址以及如何利用它来实现几乎所有你想做的事情。
linux内核hook方式
faxiang1230的专栏
07-02 1588
翻译:https://www.apriorit.com/dev-blog/544-hooking-linux-functions-1 我们最近在开展linux系统上安全相关的工作,在上面我们需要hook内核中重要的函数调用,例如打开文件、创建进程。 我们需要这样一个项目来监控系统的活动并且阻塞可疑的进程。 实际上,最后我们采用了一种高效的方式来hook系统,借助于ftrace系统,可以通过函数...
linux hook内核的例子,(十六)洞悉linux下的Netfilter&iptables:开发自己的hook函数【实战】(下)...
weixin_32058931的博客
05-09 133
…//添加必要的头文件#include#include#include//增加我们自定义的扩充命令字#define SOCKET_OPT_BASE 128#define SOCKET_OPT_SETTARGET (SOCKET_OPT_BASE)#define SOCKET_OPT_GETTARGET (SOCKET_OPT_BASE)#define SOCKET_OP...
Hook技术--③Linux系统调用劫持 hook
一些个人笔记,写的不好之处,还请海涵
10-31 558
使用Makefile编译,insmod插入内核模块后,再执行ls时,就会进入到我们的系统调用,我们可以在hook代码中删掉某些文件,ls就不会显示这些文件,但是这些文件还是存在的。当用户态发起一个系统调用时,会通过80软中断进入到syscall hander,进而进入全局的系统调用表sys_ call _table去查找具体的系统调用,那么。系统调用劫持的目的是改变系统中原有的系统调用,用我们自己的程序替换原有的系统调用。,系统调用表实际上是指针数组,下标是系统调用号,
Linux内核--hook系统调用
Linux知识积累
01-19 2434
Linux系统调用劫持:其实就是修改内核符号表,来达到一个劫持的作用。因为系统调用实际上是触发了一个0x80的软中断,然后转到了系统调用处理程序的入口system_call()。system_call()会检查系统调用号来得出到底是调用哪种服务,然后会根据内核符号表跳转到所需要调用的内核函数的入口地址,所以,如果我们这个时候修改了内核符号表,使其跳转到我们自己的函数上,就可以完成劫持。不过2.6之
深入解析内核 Inline Hook 实现
在理解Inline Hook之前,需要掌握一些基本知识,如汇编语言、驱动开发、调试工具Windbg以及函数参数调用机制。 Inline Hook的实现分为三个主要步骤:首先,分析目标函数的开头指令,并将其复制到一个数组中保存;...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值