linux hook open函数,linux 中 inline hook 简单分析(do_exit)

最新推荐文章于 2023-03-18 21:37:23 发布
最新推荐文章于 2023-03-18 21:37:23 发布
阅读量654 收藏 2
点赞数
文章标签: linux hook open函数

author: jonathan

本文档的CopyRight归jonathan所有,可自由转载,转载时请保持文档的完整性。

/*----------------------------------------------------------------------------------------------------------------------------*/

Hook多年不搞了,总认为是上不了台面的技术。但是由于产品的需要没有办法,还是要弄一弄。

本文中重点描述一下Linux的函数Hook中注意的关键点。

1 概念

Hook两个字描述:劫持

对于目标是对象,就是对象HOOK;对于目标是函数,就叫Inline Hook;对于目标是IAT,就叫IAT Hook.

2 方法

对于函数HOOK,要能够跳转到劫持函数中,再跳转原函数。如何跳转,使用什么指令?其实方法很多,最多就是使用jmp,因为简单。如果使用call也可以,还需要自己维护call产生的栈问题。

当然,插入HOOK点理论上可以在函数任何位置,但是要保障插入HOOK点前后指令的完整性。现在disassembler库也很多,都不是难题。

2.1 jmp方法

jmp dst_address_offset

此命令占5个地址; dst_address_offset = 目的地址 - HOOK点开始位置 - jmp指令占用地址(5)

2.2 call方法

call dst_address_offset

此处注意call的分解:push 返回地址;jmp 目标地址。因此在HOOK函数返回时,注意平衡堆栈,特别时使用jmp方式返回

投机的方式:找到一个以有的call处,修改call处的跳转地址即可。

3 注意事项

3.1 内存要可写,可检查CR0寄存器中的WP位

3.2 处理好堆栈平衡

3.3 原子操作,特别是多cpu情况

4 Windows平台 HOOK

文章数不胜数,略。

5 Linux下函数Inline Hook

这里以do_exit为例。do_exit函数是导出函数,所以可以直接获取函数地址;对于非导出函数,则需要相关函数查找地址。现在假设do_exit未导出。

为了找到非导出函数地址,需要在内存中找特征码。但是对于要搜寻的函数空间也有两点要求:

函数地址可知,否则陷入鸡生蛋问题;

该函数要调用寻找的未导出函数地址。

对于do_exit,我们首先应该想到是sys_exit函数。

5.1 查找do_exit函数地址

(gdb) disass sys_exit

Dump of assembler code for function sys_exit:

0xc042ef4c :        push   %ebp

0xc042ef4d :        mov    %esp,%ebp

0xc042ef4f :        mov    0x8(%ebp),%eax

0xc042ef52 :        shl    $0x8,%eax

0xc042ef55 :        and    $0xffff,%eax

0xc042ef5a :       call   0xc042e79a

End of assembler dump.

(gdb) x/2 0xc042ef5a

0xc042ef5a :       0xfff83be8      0xc08555ff

(gdb) disass do_exit

Dump of assembler code for function do_exit:

0xc042e79a : push   %ebp

0xc042e79b : mov    %esp,%ebp

0xc042e79d : push   %edi

0xc042e79e : push   %esi

0xc042e79f : push   %ebx /*到此为止*, 可以看出do_exit不错,指令基本可以满足要求/

0xc042e7a0 : mov    %eax,%ebx

0xc042e7a2 : sub    $0x38,%esp

0xc042e7a5 :     mov    %fs:0xc0858000,%edi

...

具体就不用多说了,看看2中原理,对照一下上面红色字体部分就明白了。

5.2 替换do_exit

static unsigned char g_original_do_exit[5] = { 0 };

static unsigned char g_stub_do_exit[5] = { 0xe9, 0, 0, 0, 0};

static unsigned long g_do_exit_address = 0;

static int hook_do_exit(unsigned char* do_exit_address)

{

int ret = -1;

unsigned long offset = 0;

//      g_do_exit_address = (unsigned long)(do_exit_address + 3);

g_do_exit_address = (unsigned long)(do_exit_address );

memcpy(g_original_do_exit, (unsigned char *)g_do_exit_address, 5);

offset = (unsigned long)my_do_exit - g_do_exit_address - 5;

*((unsigned long *)(g_stub_do_exit + 1)) = offset;

lock_kernel();

CLEAR_CR0;

memcpy((unsigned char*)g_do_exit_address, g_stub_do_exit, 5);

SET_CR0;

unlock_kernel();

return ret;

}

static void unhook_do_exit(void)

{

lock_kernel();

CLEAR_CR0;

memcpy((unsigned char*)g_do_exit_address, g_original_do_exit, 5);

SET_CR0;

unlock_kernel();

}

5.3 my_do_exit处理

static long my_do_exit(int error_code)

{

#if 1 /* 从do_exit头开始hook */

asm("pushl %%ebp\n\t"

"movl %%esp,%%ebp\n\t"

"pushl %%edi\n\t"

"pushl %%esi\n\t"

"pushl %%ebx\n\t"            /* 为何先pushl?其后面语句也是push ebx?你自己来思考了,这里有小弯 */

"movl %0, %%ebx\n\t"      /* 为何选择 ebx而不是eax ,需要你自己来思考 */

"addl $5, %%ebx\n\t"

"jmp *%%ebx\n\t"

::"m"(g_do_exit_address)

);

#else /* 从do_exit + 3的位置hook */

asm("pushl %%edi\n\t"

"pushl %%esi\n\t"

"pushl %%ebx\n\t"

"movl %%eax, %%ebx\n\t"

"movl %0, %%eax\n\t"   /* 为什么选择是eax , 您要思考一下 */

"addl $5, %%eax\n\t"

"jmp *%%eax\n\t"::"m"(g_do_exit_address)

);

#endif

return 0;

}

5.4 注意事项

应用层程序退出一般从sys_exit不到信息的,但是一定能够从do_exit获取到信息。

卸载do_exit的hook就崩溃了,原因我没有继续查找,留给您了。

华之川
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解恢复Inline Hook源码
03-30
详解恢复inline Hook的源代码
inline hook
07-30
Hook库,我写的,欢迎大家下载使用,方便好用。
js常用hook
kiss的博客
10-15 4344
js hook 技术
linux kernel 5.0 inline hook框架
qq_42931917的博客
03-18 1024
linux kernel inline hook
Linux hook系统调用open/read/write
热门推荐
qq_42931917的博客
09-30 1万+
测试系统: curtis@curtis-virtual-machine:~/Desktop$ uname -a Linux curtis-virtual-machine 4.2.0-42-generic #49~14.04.1-Ubuntu SMP Wed Jun 29 20:22:11 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux Hook 系统调用我们先要知道sys_call_table地址,这个可以看之前文章,同时我们要了解sys_open函数原型: asmlin
linux hook 任意内核函数,linux内核hook函数详解
weixin_28766581的博客
05-02 168
在编写linux内核的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。先介绍一个结构体:struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,其实际的定义为:其的成员信息为:hook :是一个函数指针,可以将自定义的函数赋值给它,来实现当有数据包到达是调用你自定义的函数。自定义函数的返回值为:owner:是模块的所有者,...
linuxhook 系统调用示例
09-29 2390
原理很简单Linux查看进程的命令ps是通过系统调用sys_getdents实现,sys_getdents用户获取一个指定路径下的目录条目,实际上就是枚举   /proc/ 下的pid,这样我们只需要hook一下sys_getdents,把相应的要隐藏的pid信息去掉即可。   以下是LKM代码,在Linux-2.6.14测试并运行成功   #include linux/mod
c++钩子函数:copy hook_linux函数hook
12-27
"copy hook"特指针对Linux系统的文件复制过程进行拦截和修改的钩子函数。 在Windows系统,钩子函数通常通过Windows API的SetWindowsHookEx函数实现,但在Linux环境下,由于其内核和API机制的不同,实现钩子的...
linux_hook_1.0.tar.gz_Linux钩子程序_linux hook
09-24
Linux下的钩子程序,可抓底层网络包。可以使用。
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
Inline Hook的核心是通过在原函数的代码插入额外的指令来实现对函数调用的拦截,从而在不改变原有函数调用结构的情况下,动态改变函数的功能或行为。这种技术在系统监控、恶意软件分析、游戏修改以及性能优化等...
HOOKAPI.rar_API函数_asm hook_hook_hook api
09-20
ASM(汇编语言)HOOK API函数库是一种技术,它允许程序员在程序运行时拦截和修改特定的系统调用或函数行为。Hook技术广泛应用于软件调试、性能监控、病毒检测、游戏修改等领域。在这个名为"HOOKAPI.rar"的压缩包,...
APIHook.rar_hook_inline
09-14
APIHook.rar_hook_inline是一个关于API Hook技术的压缩包,特别是关注于内联Hook(Inline Hook)的实现。API Hook是一种技术,它允许开发者在特定的API调用前后插入自定义的代码,以便监控、修改或者控制函数的行为。...
Linux下C++可使用的3Hook方法
jinking01的专栏
09-06 713
Linux下C++可使用的3Hook方法
linux应用调用内核函数,Hooking linux内核函数(一):寻找完美解决方案
weixin_34237125的博客
04-29 447
前言我们最近参与了一个Linux系统安全相关项目,需要hooking几个重要的Linux内核函数调用,例如打开文件和启动进程,并利用它来启用系统活动监控并抢先阻止可疑进程。最后,我们发明了一种有效的方法,用于通过名称来hook内核的任何函数,并在ftrace(Linux内核跟踪功能)的帮助下围绕其调用执行代码。 在这个由三部分组成的系列文章的第一部分,描述了在提出新解决方案之前我们尝试hook...
linux 进程 inline hook,高级Linux Kernel Inline Hook技术分析与实现
weixin_34094525的博客
05-11 195
五、实例下面是hook sys_read的部分代码实现,读者可以根据思路来补充完整。config.h#ifndef CONFIG_H#define CONFIG_H#define SNIFF_LOG "/tmp/.sniff_log"#define KALL_SYMS_NAME "/proc/kallsyms"#define HIDE_FILE "test"#define MAGIC_PID 12...
linux内核hook,Linux内核Hook系统调用
weixin_42394913的博客
04-29 487
1,截获write系统调用:#ifndef MODULE#define MODULE#endif#ifndef __KERNEL__#define __KERNEL__#endif#include #include #include #include #include #include /*#include #include #include #include #include #include ...
Linux应用层hook技术总结与实例
qq_33838877的博客
01-20 2410
1.前言 LINUX hook技术一直是linux技术爱好者们研究的一个热点问题,Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3, ring0是指CPU的运行级别,ring0是最高级别,ring1次之,ring2更次之,以此类推。 拿Linux+x86来说,操作系统(内核)的代码运行在最高运行级别ring0上,可以使用特权指令,控制断、修改页表、访问设备等等。 应用程序的代码运行在最低运行级别上ring3上,不能做受控操作。如果要做,比...
关于Hook unistdopen, read, write, close的一些技巧
aerror的专栏
05-12 876
open , read, write, close, flock, fileno, lseek, lseek64, 这些都是使用一个int的文件描述符的,对于我们hook的时候,一般来说,我们是想在open这里,我们去打开一个自己的文件,可能这个并不是一个真实的文件,如这个我们需要维护一个类的指针,我们必须用一个整数去关联这个这个指针,因为返回值,我们只能是整型,fd这个东西是一个整数,它有自己的规则,又是系统维护的,我们必须返回一个整数和系统不冲突或重复的,我们才能在后面的read, write这里判断出
linux inline hook 内核函数和系统调用函数的方式有那些
最新发布
05-19
Linux 内核,可以使用多种方式实现内核函数和系统调用函数inline hook。以下是一些常见的方式: 1. 通过修改内核代码:可以直接在内核代码插入 hook 代码,但是需要重新编译内核并重启系统才能生效。 2. Kprobes:Kprobes 是内核提供的一种动态的代码注入技术,可以在内核运行时动态地修改内核函数。Kprobes 可以在内核函数执行前或执行后插入代码,并且支持在多个内核版本使用。 3. Ftrace:Ftrace 是内核提供的一种跟踪机制,可以用于内核函数hook。Ftrace 可以通过设置 tracepoints 或函数过滤器来实现 hook。 4. Uprobes:Uprobes 是内核提供的一种用户空间 probe 技术,可以用于系统调用的 hook。Uprobes 可以在系统调用执行前或执行后插入代码。 5. LKM(Loadable Kernel Module):LKM 是一种可以在运行时加载到内核的模块。可以通过编写一个 LKM 来实现内核函数hook,但是需要注意 LKM 的安全性问题。 总之,不同的 hook 方式有各自的优缺点和适用场景,需要根据具体情况选择合适的方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值