Linux函数调用劫持的方法总结(带图)

已于 2024-03-25 19:13:02 修改
阅读量3.5k 收藏 19
点赞数 1
分类专栏: 深入Linux 文章标签: linux
于 2020-05-20 14:22:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38371073/article/details/106235404
版权

参考文章:

https://www.cnblogs.com/LittleHann/p/3854977.html

https://lwn.net/Articles/132196/

https://blog.csdn.net/andy205214/article/details/77148573

https://www.cnblogs.com/arnoldlu/p/9752061.html

1.概览

  • Ring3中劫持

    1. 基于环境变量LD_PRELOAD的动态库劫持

  • Ring0中劫持

    1. Kernel Inline Hook

    2. syscall table修改

    3. 内核调试机制Kprobe

2. Ring3函数调用劫持

​ 在Linux中,动态库加载的时候,会按照以下顺序进行搜索:LD_PRELOAD >LD_LIBRARY_PATH >/etc/ld.so.cache>/lib>/usr/lib

​ 方法原理:通过LD_PERELOAD设置编写自己的so库函数在原正常函数前执行

例子:劫持gets()函数

程序 hook.so libc.so LD_PRELOAD优先链接 (此处执行额外的操作) dlsym调用原函数 正常执行,返回值 执行完成,返回值 程序 hook.so libc.so
1. 编写自定义的动态链接库源码hook.c
#include<stdio.h>
#include<dlfcn.h> //用于搜索原函数

/* 要求:函数的形式必须和原函数一样(返回类型,函数名,函数参数)*/
char* gets(char* str){
    
    /* 自定义的操作区域 */
    printf("hook gets! str: %s\n ",str);
    
    /* 调用原函数*/
    typeof(gets)  *func;//函数指针
    func=dlsym(RTLD_NEXT,"gets");//查找malloc函数位置  dlsym:在打开的动态库里找一个函数
    return (*func)(str); //调用原函数执行
}
2.编译成共享库
gcc hook.c -fPIC -shared -ldl -D_GNU_SOURCE -o hook.so
  • -fPIC: 编译器就输出位置无关目标码.适用于动态连接
  • -shared: 生成共享目标文件
3.设置LD_PRELOAD

通过设置环境变量的方法

  • 临时设置 export LD_PRELOAD=$PWD/hook.so
  • 永久设置
    • 修改profile文件 加入 export LD_PRELOAD=${YOUR PATH}/hook.so
    • 修改.bashrc文件 加入 export LD_PRELOAD=${YOUR PATH}/hook.so

  • 编写一个测试程序test.c

    #include <stdio.h>

int main(){
    char str[20]="\0";
    printf("请输入\n");
    gets(str);
    return 0;
}

  • 函数调用劫持效果

3.Ring0系统调用劫持
3.1 Kernel Inline Hook

原理:一个系统调用会调用子函数的,这是通过段内偏移的方式完成的,我们可以通过设置这个偏移指向我们Hook的原函数

例子:劫持sys_read系统调用

3.2 sys_call_table修改方法进行系统调用劫持

原理:将系统调用表中对应的服务例程修改为自己Hook函数的地址

例子:劫持fork()

查找syscall_table位置的方法
  1. 代码模拟出call *sys_call_table(,%eax,4),然后查看机器码查找
  2. 通过/boot/System.map-2.6.32-358.el6.i686文件查找
  3. 通过/proc/kallsyms进行搜索
3.3 内核调试机制kprobe进行系统调用劫持
Kprobe介绍
  • 轻量级内核调试机制
Kprobe两种使用方法
  • 模块加载
  • debugfs接口
Kprobe三种探测手段
  • kprobe 基本的探测手段 基础 可以在函数内任意位置放置探测点
  • jprobe 探测在函数的入口,可以方便的获得函数参数,但是每个函数只能有一个探针
  • Kretprobe 探测在函数的返回值

例子:劫持execve()


#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/kprobes.h>

int jsys_execve(const char __user *filename,
		const char __user *const __user *__argv,
		const char __user *const __user *__envp)
{
  	pr_info("jprobe: execve: %s\n", filename);

	/* Always end with a call to jprobe_return(). */
  	jprobe_return();
  	return 0;
}

static struct jprobe jprobe_execve = {
	.entry= jsys_execve,
	.kp = {
		.symbol_name	= "sys_execve",
	},
};

static int __init mymodule_init(void){
    int ret;

	/* 挂载 hook */
	ret = register_jprobe(&jprobe_execve);
	if (ret < 0) {
		pr_info("register_jprobe failed, returned %d\n", ret);
		return -1;
	}
	pr_info("Planted jprobe execve at %p, handler addr %p\n",
	       jprobe_execve.kp.addr, jprobe_execve.entry);
    
    return 0;
}

static void __exit mymodule_exit(void)
{
	unregister_jprobe(&jprobe_execve);
}


module_init(mymodule_init)
module_exit(mymodule_exit)
MODULE_LICENSE("GPL");

运行效果:

4.总结
方法优点缺点
LD_PRELOAD针对函数调用,简单1.容易发生循环调用问题 2. 部分情况不适用(文件的SUID或SGID位被置1,加载的时候会忽略LD_PRELOAD)
Kernel Inline Hook实现比较难
sys_call_table修改负载小需要查找系统调用表地址
kprobe内核支持 使用简单 安全性高需要内核特性keprobe特性支持,一些系统需要重新编译内核
dongliba09
关注
  • 1
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
劫持linux系统函数 malloc free linux打桩hooking
万有文的博客
04-24 1460
Linux中,“打桩”(stubbing)或"钩子"(hooking)是一种修改程序行为的技术,通常用于测试、调试或功能增强。对于malloc和free这样的函数,打桩通常用于追踪内存分配和释放情况,或用于在内存管理中加入额外的逻辑。
Linux 动态库hook注入
lxb122435677的博客
08-02 3271
由于工作上的需要,之前只是对大概的原理了解,现对此进行详细的分析。 涉及到的关键API以及数据结构: 1. ptrace PTRACE_ATTACH:挂载到指定的pid进程上 PTRACE_GETREGSET:读取目标进程的寄存器 PTRACE_POKETEXT:复制一个word的数据 PTRACE_PEEKTEXT:复制一个word的数据 PTRACE_SETREGSET:设置寄存器 PTRAC...
应急响应中Linux库文件劫持
dayouzi的博客
02-13 1164
在日常的应急工作中,经常遭遇挖矿病毒的案例,但是往往用ps,top等命令是看不到异常的,且即使kill掉进程和计划任务项往往过一会进程就会重新起来。这种情况往往是存在预加载恶意动态链接库的后门,其实网上有很多详细的文章去讲解这个技术,这里笔者也是为了插个眼。动态链接库预加载机制是系统提供给用户运行自定义动态链接库的一种方式,在可执行程序运行之前就会预先加载用户定义的动态链接库的一种技术。
Linux 库文件劫持
travelnight的博客
09-09 1989
Linux库文件劫持
linux 库函数劫持技术,黑盒测试-动态库劫持-so注入-Dll注入
weixin_28778005的博客
05-09 425
在一些比较复杂的出程序中,特别是被混淆过的程序,要对这种程序进行静态分析是很困难的,这时候黑盒测试就成了分析函数的不二之选,本分将会讲述Windows如何利用Dll注入进行黑盒测试。方法编写注入dll、so进行注入测试举例用IDA查看源程序。mainint __cdecl main(int argc, const char **argv, const char **envp){size_t v3;...
高级Linux kernel inline hook技术
lucien的博客
05-08 5226
==Ph4nt0m Security Team== Issue 0x02, Phile #0x05 of 0x0A |=---------------------------------------------------------------------------=| |=-------------------=[ 高级Linux kernel inline hook技术
Linux下HOOK动态链接库中API的方法
方亮的专栏
08-23 6738
        2012年,我写了一篇介绍Windows系统下Ring3层API的hook方案——《一种注册表沙箱的思路、实现——Hook Nt函数》,其在底层使用了微软的Detours库。5年后,我又遇到这么一个问题,但是系统变成了Linux。我最开始的想法是找一个Linux下的Detours库,于是找到了subhook。其原理是:修改被Hook函数起始地址处的汇编代码,让执行流程跳到我们定义的...
Linux系统调用劫持:技术原理、应用及检测.pdf
09-07
Linux系统调用劫持是一种黑客技术,用于在操作系统内核层面植入后门,以保持对系统的非法访问。这种技术常被用于制作rootkit,rootkit是攻击者用来隐藏其活动和保留管理员权限的工具集合。在Linux环境中,尤其是基于...
基于Linux系统调用的内核级Rootkit技术研究.pdf
09-06
《基于Linux系统调用的内核级Rootkit技术研究》这篇论文深入探讨了...总之,本文对Linux内核级Rootkit的系统调用劫持技术进行了深入研究,提供了宝贵的参考文献和专业指导,对于系统开发和安全防护领域具有很高的价值。
LINUX内核中添加系统调用
04-16
Linux内核中添加系统调用是一项涉及到操作系统底层机制的工作,通常用于扩展内核功能或满足特定需求。这里我们将详细探讨如何在Linux内核中静态添加一个系统调用,包括所需的步骤和注意事项。 首先,静态添加系统...
增强Linux内核中访问控制安全的方法
09-15
本文将详细探讨几种常见的技术,包括动态库劫持、系统调用劫持以及Linux Security Modules (LSM)。 首先,动态库劫持是一种利用`LD_PRELOAD`环境变量来改变程序行为的技术。`LD_PRELOAD`允许用户在程序运行前指定...
Linux中实现进程隐藏的一种新方法.pdf
09-06
传统方法劫持`sys-getdents()`系统调用或文件系统操作函数集中的函数,虽然能在一定程度上隐藏进程,但并不完美。例如,即使在`ps`命令中隐藏了进程,用户仍可以通过直接访问`/proc`目录下的进程子目录获取信息。...
linux 库函数劫持技术,Linux劫持系统调用的几种方式.pdf
weixin_31554959的博客
05-09 126
Linux劫持系统调用的几种方式.pdf2009 年第6 期前置知识:Linux 、C关键词:编程、系统劫持、系统调用Linux劫持系统调用的几种方式文/ 图 小小杉在黑防上看到大量的文章都是在Windows 下针对Hook SSDT 、Shadow SSDT 表来劫持Native API 等做文章,那么在Linux 系统下,又是怎样的情形呢?实际上,我们同样可以通过一些手段来劫持系统调用,...
函数劫持
forfcw
07-23 456
#include &lt;stdio.h&gt; #include &lt;stdlib.h&gt; #include &lt;Windows.h&gt; #include&lt;string.h&gt; #include "detours.h" #pragma comment(lib,"detours.lib") //指针存储系统函数 static BOOL (WINAPI *poldCrea...
关于js 函数劫持
开心就好的专栏
04-10 824
看下面一段代码 ;(function(window, undefined) { var _console = null; if (window.console && window.console.log) { _console = window.console; window.console = { log: function(out
根据”so劫持”过360加固详细分析
雪一梦的博客
01-06 3450
参考:https://bbs.pediy.com/thread-223699.htm http://blog.csdn.net/luoshengyang/article/details/8923483 一:思路分析:     一个经过360加固的APK的运行过程应该为图中左边所示,在以上这种so劫持的思路为:第一步通过hook loadlibrary方法先加载自己的so,即:libh
linux静态库函数劫持,linux下封装函数库——动态库.so和静态库.a(代码实现及链接方式)...
weixin_39890517的博客
05-07 201
linux环境下的链接库分为静态链接库(.a库)和动态链接库(.so库),其作用是把C程序编译好做成一种可执行链接文件,主程序文件调用这些程序的函数接口是可以使用a库或so库,在主程序中只需要include含有库中提供的函数接口声明的头文件即可。所以学会如何将自己的源代码封装成库进行使用很重要,接下来就来介绍一下然后进行库的封装:1、动态链接库的制作:首先,生成一个简单的函数实现mymax(a,...
windows、linux劫持技术
weixin_34290631的博客
05-25 189
windows系统以下能够利用detours劫持 realse  模式劫持,调试的程序不能够   函数劫持能够实现的效果。 函数的劫持原理 我们怎样实现-detours   detours是微软亚洲研究院出品的信息安全产品。主要用于劫持。   detours依据函数指针改变函数的行为, 拦截不论什么函数,即使操作系统函数。 1.安装detours 2...
linux 函数调用追踪函数
最新发布
04-13
的实现方式是什么? 函数调用追踪的实现方式有多种,其中比较常见的是使用动态链接库或者编译器的调试选项。动态链接库可以通过重定向函数入口的方式来实现函数调用追踪。另外,编译器的调试选项可以在编译时生成用于调试目的的符号表,通过符号表可以实现函数调用追踪。但是,具体实现方式还需要根据不同的操作系统和编译器进行相应的配置和调试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值