Linux x64下hook系统调用execve的正确方法

最新推荐文章于 2022-12-07 17:39:16 发布
最新推荐文章于 2022-12-07 17:39:16 发布
阅读量1k 收藏 3
点赞数
文章标签: 操作系统
原文链接:https://my.oschina.net/macwe/blog/603583
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

Linux x64下hook系统调用execve的正确方法

1.概述

Linux下hook内核execve系统调用的方法有很多:

  1. 可以使用inline-hook,将sys_execve函数头部修改成jmp指令跳转到我们自己hook函数;
  2. 可以使用内核本身的kprobes功能,内核需包含CONFIG_KPROBES编译选项;
  3. 还可以使用hook系统调用表的方法,替换其中__NR_execve项为我们的hook函数的地址。

本文介绍一下采用hook系统调用表项的方法该如何实现。

2.问题

一般的hook系统调用表项代码要这样写(伪代码)

asmlinkage long my_execve_hook64(const char __user *filename,
                                 const char __user *const __user *argv,
                                 const char __user *const __user *envp)
{
	long rc;
	
	rc = do_somet
最低0.47元/天 解锁文章
weixin_33881753
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
LinuxHook系统函数execve获取执行参数-Rootkit
daizhongyin的专栏
01-25 2902
LinuxHook系统函数execve获取执行参数 根据linux系统在32位平台还是64位平台分别进行了hook代码的编写和测试,该功能是常见的rootkit技术 针对32位平台的Hook代码如下,已经在ubuntu12.04上测试过: /* * This kernel module locates the sys_call_table by scanning * the syste...
64位linux 系统调用,关于32位和64位linux系统调用
weixin_34803466的博客
04-29 486
32位和64位的syscall原理都是一样只有传参和调用存在差异,以下一起说,做个对比32位系统调用使用 " int 80h "64位系统调用使用 " syscall " (汇编代码就是syscall 直接ROPgadget--only查找即可)32的系统调用号与64位的不大一样 使用的时候最好百度一下比如32位 #define __NR_execve 1164位 #define ...
Linux内核Hook系统调用execve
LEGENDA的博客
12-07 1007
Linux内核hook系统调用execve,使得某个进程无法打开。
Linux上监控应用程序启动 (hook execve系统调用)
weixin_42915431的博客
05-27 3783
​ 对于linuxx86-64平台,hook普通的系统调用是一件比较简单的事情,可以看hook系统调用完整实例讲解。但是对于execve、fork、clone等这些系统调用hook却并没那么简单了。本文详细展示如何hook execve系统调用,针对rhel/centos 5.x 6.x 7.x 8.x发行版默认内核版本上测试正常。
使用kprobes,截获execve系统调用,更谨慎的hook syscallTable的写法
weixin_30768661的博客
09-16 272
转载,原文出处:http://blog.chinaunix.net/u/548/showart.php?id=386423 关于截获execve等系统调用,很久以来存在一个问题:新函数不能直接调旧函数, 否则导致stack不平衡,出错。 曾经有高人用一串的汇编代码去平衡堆栈, 但对于偶们这些汇编菜鸟来说, 连阅读都很困难。 而且, 好像gcc4.x下不支持 它使用的一种寻址方式了。...
linux内核hook系统调用execve函数
12-07
功能:hook系统调用execve函数,在系统调用dpkg命令时返回。 这样系统无法安装软件,以及删除软件。 1.下载后 解压直接 make编译 2. sudo insmod hook.ko 进行安装 3. sudo dmesg --follow 查看内核调试信息 4....
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
通过这个Inline Hook插件,你可以学习到如何在x86和x64环境下实现Inline Hook,理解其原理并掌握在实际项目中应用这一技术的方法。对于计算机科学和软件工程的学生,以及从事逆向工程和安全研究的专业人士来说,这是...
易语言x64-hook模块源码+实列
07-30
2. **Hook技术原理**:Hook技术主要通过插入自定义代码到系统调用或应用程序函数调用的入口点,以捕获、修改或替换原有功能。常见的Hook类型包括API Hook、内联Hook(Inline Hook)、异常处理Hook(VEH Drx Hook)等...
C# 优雅的 APIHOOK 支持X86+X64源码
09-21
//绕过Hook直接调用源函数 hook.Origin(IntPtr.Zero, "111", "222", 0); //调用Api 被Hook MessageBox.Show("Hello world", "666", MessageBoxButtons.YesNoCancel); } //Hook解除拦截不到 MessageBox.Show(...
天野学院X64Hook封包拦截发送工具
最新发布
08-17
天野学院X64Hook封包拦截发送工具,可进行封包的拦截、发送、过滤等,针对X64游戏程序和安卓模拟器。无需代理软件、无需驱动。
linux手写x64的shellcode
小小鱼的博客
08-25 1171
编写汇编代码 下面的代码实现的是执行 execve("/bin/sh") 命令,rax寄存器存放execve的系统调用编号,rdi存放的是execve的参数: section .text global _start _start: push rax xor rdx, rdx xor rsi, rsi mov rbx,'/bin//sh' push rbx push rsp pop rdi mov al, 59 syscall 关于x64系统调用表可参考如下博文: https://blog.csdn.ne
Linux系统调用表(64位
SUKI547的博客
11-29 4454
系统调用号 函数名 入口点 源代码 0 read sys_read fs/read_write.c 1 write sys_write fs/read_write.c 2 open sys_open fs/open.c 3 close sys_close fs/open.c 4 stat sys_newstat fs/s...
linux环境下模拟实现命令解释器_反弹shell逃逸基于execve的命令监控(上)
weixin_39623271的博客
12-21 260
微信公众号:七夜安全博客关注信息安全技术、关注 系统底层原理。问题或建议,请公众号留言。一.前言本篇聊一聊 新的主题:《反弹shell-逃逸基于execve的命令监控》,打算写一个专题,预估可以写三篇,内容确实有点多,也是最近研究了一些有意思的东西,想给大家分享一下。喜欢的话,请大家一定点在看,并分享出去,算是对我原创最大的支持了。二.Shell命令监控在linux中,大家用的比较多的...
linux X86-64 获取系统调用
boywhp的专栏
09-02 1603
static void init_x64_syscalls(void) {         int i;         void* system_call_addr = 0;         unsigned char* lpbin;         rdms
linux系统调用挂钩方法总结
热门推荐
sdulibh的专栏
12-22 1万+
相关学习资料 http://xiaonieblog.com/?post=121 http://hbprotoss.github.io/posts/li-yong-ld_preloadjin-xing-hook.html http://www.catonmat.net/blog/simple-ld-preload-tutorial/ http://os.51cto.com/art/2010
Linux x64 Hook系统调用
zzzpany的博客
06-30 1684
Linux x64 Hook系统调用 实验环境: Linux ubuntu 4.4.0-31-generic #50~14.04.1-Ubuntu 参考文档: https://blog.csdn.net/zuihaobushi/article/details/72729850 内核访问用户空间 https://www.cnblogs.com/arnoldlu/p/8879800....
Linux MIPS64下hook系统调用(kylin server v10)
weixin_42915431的博客
12-13 3387
本文基于mips64平台,实际写个demo介绍如何在mips64下hook系统调用,这里只介绍基于syscall table的hook
Hook android系统调用的实践
Fly20141201. 的专栏
05-01 6513
一、环境条件 Ubuntukylin 14.04.5 x64bit Android 4.4.4 Nexus 5 二、Android内核源码的下载 执行下面的命令,获取 Nexus 5手机 设备使用的芯片即获取Nexus 5手机设备内核源码的版本信息。 $ adb shell # 查看移动设备使用的芯片信息 $ ls /dev/block/platfor
linux hook 系统调用
06-28
Linux Hook 系统调用是指在 Linux 操作系统中,通过修改系统调用表来拦截和修改系统调用的行为。这种技术可以用于实现各种功能,如监控系统调用、实现安全策略、实现虚拟化等。Hook 系统调用的实现方式有多种,如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值