打桩时不修改源码_“偷梁换柱”的库打桩机制

最新推荐文章于 2023-06-24 11:12:45 发布
最新推荐文章于 2023-06-24 11:12:45 发布
阅读量124 收藏 1
点赞数
文章标签: 打桩时不修改源码

来源:公众号【编程珠玑】

作者:守望先生

博客:https://www.yanbinghu.com

前言

假如由于调试需要,你希望原先代码中的malloc函数更换为你自己写好的malloc函数,该怎么办呢?如何对程序进行”偷梁换柱“?

打桩机制

LInux链接器有强大的库打桩机制,它允许你对共享库的代码进行截取,从而执行自己的代码。而为了调试,你通常可以在自己的代码中加入一些调试信息,例如,调用次数,打印信息,调用时间等等。本文将介绍三种打桩机制,分别在编译的不同阶段。如果你还不了解这几个阶段,建议你阅读《hello程序是如何变成可执行文件的》。

编译时打桩

编译时打桩在源代码级别进行替换。我们很容易通过#define指令来完成这件事情。首先我们定义自己的头文件mymalloc.h:

#define malloc(size) mymalloc(size)
void *mymalloc(size_t size)

由于在这里使用了#define指令,我们后面需要malloc的地方都会被mymalloc替代。
而mymalloc.c代码如下:

#ifdef MYMOCK //只有MYMOCK编译选项是,这段代码才会编译进去
#include
#include
/*打桩函数*/
void *mymalloc(size_t size){
    void *ptr = malloc(size);
    printf("ptr is %p\n",ptr);
    return ptr;
}
#endif

注意第一行,我们需要在gcc中传入编译选项MYMOCK(自定义,代码与传入的一致即可)。

我们在main.c中调用它:

#include
#include"malloc.h"
int main(){
    char *p = malloc(64);
    free(p);
    return 0;
}

编译运行:

$ gcc -DMYMOCK -c mymalloc.c 
$ gcc -I . -o main main.c mymalloc.o
$ ./main
ptr is 0xdbd010

编译时还使用-I参数,告诉编译器从当前目录下寻找头文件malloc.h,因此,main函数中的malloc调用将会被替换成mymalloc。而在mymalloc.c中的则使用原始的malloc函数,最终达到“偷梁换柱”的效果。

实际上你也可以通过仅仅预编译来很清楚的看到其中的变化:

$ gcc -I . -E -o main.i main.c

查看main.i,你会发现,使用malloc的地方,都被替换成了mymalloc。

小结一下前面的步骤:

  • 打桩函数内部不要打桩,即mymalloc.c中要使用原始的malloc函数,不然会造成循环调用

  • 通过#define指令,将外部调用malloc的地方都替换为mymalloc

  • 分开编译mymalloc.c和外部调用代码,最终链接

这种方式打桩需要能够访问源代码才能完成。

链接时打桩

顾名思义,链接时打桩是在链接时替换需要的函数。Linux链接器支持用--wrap,f的方式来进行打桩,链接时符号f解析成__wrap_f,还会把__real_f解析成f。什么意思呢?我们修改前面mymalloc.c的代码如下:

//来源:公众号【编程珠玑】
//网站:https://www.yanbinghu.com
#ifdef MYMOCK //只有MYMOCK编译选项是,这段代码才会编译进去
#include
#include
void *__real_malloc(size_t size);//注意声明
/*打桩函数*/
void *__wrap_malloc(size_t size) 
{
    void *ptr = __real_malloc(size);//最后会被解析成malloc
    printf("ptr is %p\n",ptr);
    return ptr;
}
#endif

注意将main.c中包含的malloc.h那一行去掉。

编译运行:

$ gcc -DMYMOCK mymalloc.c
$ gcc -c main.c
$ gcc -Wl,--wrap,malloc -o main main.o mymalloc.o
$ ./main
ptr is 0x95f010

我们特别关注mymalloc.c中的代码,利用链接器的打桩机制,最后在main函数中调用malloc,将会去调用__wrap_malloc,而__real_malloc将会被解析成真正的malloc,从而达到“偷梁换柱”的效果。

可以看到的是,这种打桩方式至少需要能够访问可重定位文件。

来源:公众号【编程珠玑】
网站:https://www.yanbinghu.com

运行时打桩

前面两种打桩方式,一种需要访问源代码,另外一种至少要访问可重定位文件。可运行时打桩没有这么多要求。运行时打桩可以通过设置LD_PRELOAD环境变量,达到在你加载一个动态库或者解析一个符号时,先从LD_PRELOAD指定的目录下的库去寻找需要的符号,然后再去其他库中寻找。
同样我们修改mymalloc.c:

//来源:公众号【编程珠玑】
//网站:https://www.yanbinghu.com
#ifdef MYMOCK //只有MYMOCK编译选项是,这段代码才会编译进去
#define _GNU_SOURCE  //这行特别注意加上
#include
#include
#include
extern FILE *stdout;
/*打桩的malloc函数*/
void *malloc(size_t size){
    static int calltimes;
    calltimes++;
    /*函数指针*/
    void *(*realMalloc)(size_t size) = NULL;
    char *error;

    realMalloc = dlsym(RTLD_NEXT,"malloc");//RTLD_NEXT
    if(NULL == realMalloc)
    {
        error = dlerror();
        fputs(error,stdout);
        return NULL;
    }

    void *ptr = realMalloc(size);
    if(1 == calltimes)
    {
        printf("ptr is %p\n",ptr);
    } 
    calltimes = 0;
    return ptr;
}
#endif

在mymalloc.c的代码中,由于我们自己的打桩函数也叫malloc,因此我们通过运行时链接调用malloc函数,以便获取malloc的地址,而不是直接调用。并且是以RTLD_NEXT方式。

将mymalloc.c制作成动态库(动态库的制作和使用参考《动态库的制作与两种使用方式》):

$ gcc -DMYMOCK -shared -fPIC -o libmymalloc.so mymalloc.c -ldl
$ gcc -o main main.c  //重新编译main
$ LD_PRELOAD="./libmymalloc.so" 
$ ./main
Segmentation fault (core dumped)

然而非常不幸的是,最后core dumped了,我们用gdb(参考《Linux常用命令-开发调试篇》)查看调用栈:

(gdb)bt
#0  0x00007fe0ca83518e in _IO_vfprintf_internal (
    s=0x7fe0cabad620 <_io_2_1_stdout_>, format=0x7fe0cabb26dd "ptr is %p\n", 
    ap=ap@entry=0x7ffcbd652058) at vfprintf.c:1267
#1  0x00007fe0ca83d899 in __printf (format=) at printf.c:33
#2  0x00007fe0cabb26cc in malloc () from ./mymalloc.so
#3  0x00007fe0ca8551d5 in __GI__IO_file_doallocate (
    fp=0x7fe0cabad620 <_io_2_1_stdout_>) at filedoalloc.c:127
#4  0x00007fe0ca863594 in __GI__IO_doallocbuf (
    fp=fp@entry=0x7fe0cabad620 <_io_2_1_stdout_>) at genops.c:398
#5  0x00007fe0ca8628f8 in _IO_new_file_overflow (
    f=0x7fe0cabad620 <_io_2_1_stdout_>, ch=-1) at fileops.c:820
#6  0x00007fe0ca86128d in _IO_new_file_xsputn (
    f=0x7fe0cabad620 <_io_2_1_stdout_>, data=0x7fe0cabb26dd, n=7)
    at fileops.c:1331
#7  0x00007fe0ca835241 in _IO_vfprintf_internal (

我们从调用栈基本可以推断,其中有反复调用,那就是说在mymalloc.c中的malloc函数中,有的语句也调用了malloc,导致了最终的反复调用。解决这种问题有两个方法:

  • 避免反复调用

  • 使用不调用打桩函数的函数,即不调用其中的printf

我们采用下面这种方式来避免反复调用,开始调用时,置调用次数为1,最后置0,如果发现调用次数不为0 ,则不调用。

#ifdef MYMOCK //只有MYMOCK编译选项是,这段代码才会编译进去
#define _GNU_SOURCE  //这行特别注意加上
#include
#include
#include
extern FILE *stdout;
/*打桩的malloc函数*/
void *malloc(size_t size){
    /*调用次数+1*/
    static int calltimes;
    calltimes++;
    /*函数指针*/
    void *(*realMalloc)(size_t size) = NULL;
    char *error;

    realMalloc = dlsym(RTLD_NEXT,"malloc");//RTLD_NEXT
    if(NULL == realMalloc)
    {
        error = dlerror();
        fputs(error,stdout);
        return NULL;
    }

    void *ptr = realMalloc(size);
    /*如果是第一次调用,则调用printf,否则不调用*/
    if(1 == calltimes)
    {
        printf("ptr is %p\n",ptr);
    } 
    calltimes = 0;
    return ptr;
}
#endif

当然这样的写法在多线程中也是有问题的,如何改进?

至此,就达到了我们需要的结果:

./main
ptr is 0x245c010

实际上,你会发现,在设置了这个环境变量的终端下,这个打桩的动作对所有程序都生效:

$ ls
ptr is 0x1f1a040
ptr is 0x1f1a680
ptr is 0x1f1a700
ptr is 0x1f1a040
ptr is 0x1f1a060
ptr is 0x1f1a040

那么怎么取消呢:

$ unset LD_PRELOAD

在这里也可以看到,这个机制虽然强大,同样也非常危险,因为不怀好意者可以通过这种方式恶意攻击你的程序。比如说,有个程序中checkPass的接口用来校验密码,如果这个时候使用另外一个动态库,实现自己的checkPass函数,并且设置LD_PRELOAD环境变量,就可以达到跳过密码检查的目的。

总结

怎么样,是不是觉得很神奇?尤其是最后一种方式,可以达到对任何程序进行”偷梁换柱“,对于问题的定位和程序的调试非常有帮助。但是,需要特别注意的是,采用最后一种方式打桩时,最好避免打桩函数内部还调用了打桩函数,这样会导致难以预料的后果,另外由于这种打桩机制对所有程序都有效,因此也非常危险,需要特别注意。

推荐阅读:

如何制作属于自己的静态库?

动态库的制作与两种使用方式你掌握了吗?

关注公众号【编程珠玑】,获取更多Linux/C/C++/Python/Go/算法/工具等原创技术文章。后台免费获取经典电子书和视频资源

fa46d7b393fd0d06c2dc3cfb0660368a.png

weixin_39525313
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C/C++/Linux函数函数插桩(打桩)指南
08-12
在具有一定规模的代码中(C 语言),调用第三方动态中的函数来完成一些功能,是很常见的工作场景。 假设现在有一项任务:需要在...本文主要讲解什么是打桩,以及编译阶段打桩、链接阶段打桩、执行阶段打桩三种方式。
打桩修改源码_说实话,你工作 5 年,不知道什么是 Java Agent 技术,让我很吃惊。。。...
weixin_39940957的博客
11-27 193
来源:cnblogs.com/kokov/p/12120033.html1、引子2、思路2.1 朴素思路2.2 略成熟思路3、 java agent介绍3.1 什么是java agent?3.2 java Instrumentation API4、java agent原理简述4.1 启动修改4.2 运行修改4.3 ClassFileLoadHook和TransFormClassFil...
c语言基础
最新发布
weixin_62696386的博客
06-24 1168
c语言基础知识点 案例驱动式学习
计算机病毒知识 360回答,查杀电脑病毒与木马程序的计算机应用知识
weixin_33656445的博客
06-20 278
查杀电脑病毒与木马程序的计算机应用知识电脑病毒对电脑的危害是极大的,并且随着网络的普及,电脑病毒的传播速度非常快,下面将介绍电脑病毒的相关知识点,让网友们了解病毒与木马程序,能更好防范电脑病毒做好准备。电脑病毒与木马程序要防范电脑病毒与木马,首先要知道什么是电脑病毒与木马程序的基本概念。1、什么是电脑病毒电脑病毒是一种程序,实质是是指编制或在电脑程序中插入破坏电脑功能、数据、影响电脑正常工作并能自...
进程
大道至简,知易行难
06-06 892
进程 一、简介 1.定义 狭义:进程就是一段程序的执行过程。 广义:进程是一个具有一定独立功能的程序关于某个数据集合的一次运行活动。它是操作系统动态执行的基本单元,在传统的操作系统中,进程既是基本的分配单元,也是基本的执行单元。 进程的概念主要有两点: 第一,进程是一个实体。每一个进程都有它自己的地址空间,一般情况下,包括文本区域(text region)、数据区域(data regi
映像劫持 Image Hijack
KAKA的博客
07-06 1053
“映像劫持” —— IFEO(Image File Execution Options:映像文件执行参数),其实应该被称为 “Image Hijack” 原理 原理请看 tombkeeper 的所表: Windows NT系统在执行一个从命令行调用的可执行文件运行请求,首先会检查这是否是一个可执行文件,如果是,又是什么格式的,然后就会检查是否存在: [HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Option
打桩机_csdn
08-25
打桩
行业文档-设计装置-打桩平台装置.zip
09-02
行业文档-设计装置-打桩平台装置.zip
行业文档-设计装置-圆阵列打桩结构.zip
08-25
行业文档-设计装置-圆阵列打桩结构.zip
行业资料-交通装置-一种打桩车.exe
08-11
行业资料-交通装置-一种打桩车.exe
打桩代码函数
08-24
打桩代码函数,c++版本的,希望对大家有帮助。
单元测试中的动态打桩函数替换(windows xp)
01-12
在单元测试中经常需要动态的替换被测函数调用的其他函数,这个替换叫做打桩,现在很少有动态打桩的函数,研究了许久,写了这个功能,做成了lib,在cygwin下生成的。 给出了一个Demo,使用makefile试一试吧! ps:我目前只在windowsxp下应用,其他平台未知!欢迎发邮件给我。 #include "stdio.h" #include "d_stub.h" void testfunc(int arg, int a, int b, int c) { printf("\tI am testFunc %d\n", arg); } void testfunc1(int arg, int a, int b, int c) { printf("\t******************\n\tI am stub function\n"); printf("\tArguments: %d %d %d %d\n\t******************\n", arg, a, b, c); } void testfunc2(int arg, int a, int b, int c) { printf("\tHello world\n"); } main() { stubInfo si, ss; printf("call original func:\n"); testfunc(1, 2, 3, 4); setStub(testfunc, testfunc1, &si); setStub(testfunc1, testfunc2, &ss); printf("after set stub for func1 and func2:\n"); testfunc(1, 2, 3, 4); cleanStub(&ss); /*recover testfunc1*/ printf("after clear stub for func2:\n"); testfunc(1, 2, 3, 4); cleanStub(&si); /*recover testfunc*/ printf("after clear stub for func1::\n"); testfunc(1, 2, 3, 4); }
Linux C 动态打桩实现
08-01
C语言UT单元测试中需要实现动态,本代码实现了该功能,原理和网络上的描述一样,通过修改机器指令实现。 平台是Linux
UT测试与动态打桩源代码
08-26
介绍了UT测试框架及动态打桩技术,并配有相关源代码工程,方便开发人员进行代码自测试。
菜鸟脱壳之脱壳的基础知识(六)——手动查找IAT和修复Dump的程序
banhanjun1518的博客
07-05 692
前面讲了如何寻找OEP和脱壳,有的候,Dump出来的候不能正常运行,是因为还有一个输入表没有进行处理,一些加密壳会在IAT加密上面大做文章,用HOOK-API的外壳地址来代替真是的IAT的地址,让脱壳者无法正确的还原程序的原始IAT,使得程序不能被破解,所以我们处理这些被加密IAT的地址的办法是找到加密这些IAT的地址的跳转(就是MagicJump),将它修改为强制跳转(JMP...
不同操作系统下的C-C++ 编译器
Peace
08-17 3416
1 Windows系统 1) MSVC 指微软的VC编译器,the Microsoft Visual C++ compiler and libraries toolset 2) MinGW Minimalist GNU on Windows的缩写。允许你在GNU/Linux和Windows平台生成本地的Windows程序而不需要第三方C运行。 官方: http://www.mi...
偷梁换柱:谨防“Synaptics”蠕虫病毒
热门推荐
安全解决方案
03-16 3万+
“Synaptics“是一个新型蠕虫病毒,病原体“Synaptics.exe”有超过 2 万个变种。该病毒具有很强的传播性,既可以通过带有恶意宏代码的 Excel 文档传播,也可以通过对正常的EXE 文件进行偷梁换柱(将正常的 EXE 文件内容复制更新到病毒自身的资源段中)的方式进行传播,其次,该病毒会监听 USB 设备的接入并通过 autorun.inf 文件感染 USB 设备。 当用户无意打...
偷梁换柱 --- 管理多个应用程序的壳程序
Akron的专栏
07-07 999
    以前我们每一个设备有一个管理软件,客户总是为此抱怨,特别是做系统集成的大客户。现在我几乎把所有的管理软件软件用 c#.net 重新写一遍,目的是让系统更强壮,更容易维护,更容易扩展。所有的文件采用 xml 格式,包括设备设置文件,每个设备生成一个 dll, 由一个与设备无关的shell 查询设备设置文件调入。如果每个dll 产生一个 Mdi Container, 同把 shell 关闭,
ARM GCC 打桩——符号替换
Murphy
09-05 855
开发中,难免会遇到只有没有源码的情况,调试的候,里的几个函数又非常关键,那我们怎么控制里面的流程呢,并插入自己代码? 这个候就需要使用 GCC 工具重定义中的符号,然后在外面包装该函数。 举例: 一个:lib_test.a 中的函数:void hello_test_lib(void); 现在,我们想把里面的 hello_test_lib 函数替换为 new_hello_test_l...
怎么给GET_TIME系统函数怎么打桩
06-11
如果你要给GET_TIME系统函数打桩,可以使用一些工具和技术来实现。以下是一些常见的打桩方法: 1. 使用LD_PRELOAD环境变量:LD_...此外,打桩系统函数可能会涉及到系统安全和稳定性问题,不建议在生产环境中使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值