linux内联汇编,绕行和GCC内联汇编(Linux)

最新推荐文章于 2024-07-27 14:17:22 发布
最新推荐文章于 2024-07-27 14:17:22 发布
阅读量159 收藏
点赞数
文章标签: linux内联汇编

这个项目是否开发了一个“框架”,允许其他人在不同的二进制文件中挂钩不同的功能?或者只是你需要挂钩你有这个特定的程序?

首先,让我们假设你想要第二件事,你只需要一个二进制函数,你想挂钩,编程和可靠.普遍这样做的主要问题是,可靠地做到这一点是一场非常艰难的比赛,但如果你愿意做出一些妥协,那么它肯定是可行的.另外我们假设这是x86的事情.

如果要挂钩函数,可以使用多种选项. Detours的内容是内联修补.他们对Research PDF document中的工作方式有一个很好的概述.基本的想法是你有一个功能,例如

00E32BCE /$8BFF MOV EDI,EDI

00E32BD0 |. 55 PUSH EBP

00E32BD1 |. 8BEC MOV EBP,ESP

00E32BD3 |. 83EC 10 SUB ESP,10

00E32BD6 |. A1 9849E300 MOV EAX,DWORD PTR DS:[E34998]

...

...

现在用函数CALL或JMP替换函数的开头,并保存你用补丁覆盖的原始字节:

00E32BCE /$E9 XXXXXXXX JMP MyHook

00E32BD3 |. 83EC 10 SUB ESP,10

00E32BD6 |. A1 9849E300 MOV EAX,DWORD PTR DS:[E34998]

(注意我覆盖了5个字节.)现在使用与原始函数相同的参数和相同的调用约定来调用函数.如果你的函数想要调用原始函数(但它没有),你创建一个“trampoline”,1)运行被覆盖的原始指令2)jmps到原始函数的其余部分:

Trampoline:

MOV EDI,EDI

PUSH EBP

MOV EBP,ESP

JMP 00E32BD3

就是这样,你只需要在运行时通过发出处理器指令来构造trampoline函数.这个过程的难点在于让它可靠地运行,任何函数,任何调用约定和不同的OS /平台.其中一个问题是,如果要覆盖的5个字节在指令的中间结束.要检测“指令的结尾”,您基本上需要包含反汇编程序,因为在函数的开头可以有任何指令.或者当函数本身短于5个字节时(一个总是返回0的函数可以写成XOR EAX,EAX; RETN只有3个字节).

大多数当前的编译器/汇编器产生一个5字节长的函数序列,正是为了这个目的而挂钩.看到MOV EDI,EDI?如果你想知道,“他们为什么要将edi移到edi?那什么都不做!?”你是完全正确的,但这是prolog的目的,正好是5字节长(不是在指令的中间结束).请注意,反汇编示例不是我编写的,它是Windows Vista上的calc.exe.

钩子实现的其余部分只是技术细节,但它们可以给你带来许多小时的痛苦,因为这是最难的部分.您在问题中描述的行为:

void MyInstallRules(void)

{

if(PreHook() == block) //

return;

int * val = InstallRules(); //

PostHook(val); //

}

看起来比我描述的更糟(以及Detours的作用),例如你可能想要“不调用原始”但返回一些不同的值.或者两次调用原始功能.相反,让你的钩子处理程序决定它是否以及在何处调用原始函数.此外,您不需要两个处理程序函数用于挂钩.

如果您对此所需的技术(主要是装配)知之甚少,或者不知道如何进行挂钩,我建议您研究一下Detours的作用.挂钩你自己的二进制文件并拿一个调试器(例如OllyDbg)来查看汇编级别它究竟做了什么,放置了什么指令以及放在哪里. this tutorial也可能会派上用场.

无论如何,如果你的任务是挂钩特定程序中的某些功能,那么这是可行的,如果你遇到任何麻烦,请再次询问.基本上你可以做很多假设(如函数prologs或使用的约定),这将使你的任务更容易.

如果你想创建一个可靠的钩子框架,那么仍然是一个完全不同的故事,你应该首先为一些简单的应用程序创建简单的钩子.

另请注意,此技术不是特定于操作系统,在所有x86平台上都是相同的,它可以在Linux和Windows上运行.什么是特定于操作系统的是您可能必须更改代码的内存保护(“解锁”它,因此您可以写入它),这是通过Linux上的mprotect和Windows上的VirtualProtect完成的.调用约定也是不同的,这就是你可以通过在编译器中使用正确的语法来解决的问题.

另一个麻烦是“DLL注入”(在Linux上它可能被称为“共享库注入”,但术语DLL注入是众所周知的).您需要将代码(执行挂钩)放入程序中.我的建议是,如果可能,只需使用LD_PRELOAD环境变量,您可以在其中指定一个库,该库将在运行之前加载到程序中.这已经在很多时候被描述过了,就像这里:What is the LD_PRELOAD trick?.如果你必须在运行时这样做,我担心你需要使用gdb或ptrace,在我看来这很难(至少是ptrace的事情)去做.但是,您可以阅读例如this article on codeproject或this ptrace tutorial.

我还找到了一些不错的资源:

还有一点:这种“内联修补”并不是唯一的方法.甚至有更简单的方法,例如如果函数是虚函数或者它是库导出函数,则可以跳过所有汇编/反汇编/ JMP事物,只需替换指向该函数的指针(在虚函数表或导出的符号表中).

weixin_39579483
关注
Linux中x86的内联汇编
10-25
Linux中x86的内联汇编Linux中x86的内联汇编Linux中x86的内联汇编
Linux内核学习——1. 内联汇编
weixin_42813232的博客
07-02 555
内联汇编 软件平台:运行于VMware Workstation 12 Player下UbuntuLTS16.04_x64 系统 开发环境:Linux 3.4.2内核、arm-linux-gcc 4.3.2工具链 目录 内联汇编1、内联汇编1.1 语法1.2 编写实现加法1.2.1 传统方式1.2.2 汇编方式1.2.3 使用内联汇编方式1.2.4 加入earlyclobbe方式 1、内联汇编 1.1 语法 asm asm-qualifiersasm ( AssemblerTemplate .
深入理解Linux内核中的同步与互斥的实现
xace007的博客
07-16 948
一文详细了解Linux内核中的同步与互斥的实现。
Linux内核中的内联汇编
qq_45652092的博客
05-06 919
内联汇编是一种在高级编程语言(如C或C++)中直接嵌入汇编代码的技术。这种方法允许程序员在源代码中直接插入汇编指令,从而实现对底层硬件的更直接控制和优化。内联汇编通常使用asm关键字将汇编代码嵌入到C/C++源代码中。
Linux ARM平台上的内联汇编学习(asm ,inline assembly)
05-12 1015
Linux+ARM平台上使用内联汇编(inline assembly),可以通过GCC(GNU Compiler Collection)提供的内联汇编语法来实现。内联汇编允许开发者在C/C++代码中直接嵌入汇编指令,对于编写性能敏感的代码、访问特定硬件特性或者实现某些底层功能非常有用。下面就结合内联汇编的优缺点为出发点,明白为什么要学习和掌握它,以及以一个内联汇编代码为例,熟悉一下内联汇编相关语法规则。内联汇编作为一种在高级语言代码中直接嵌入低级机器指令的技术,具有其独特的优势和潜在的局限性。
linux 内嵌汇编
qq_40227064的博客
04-16 499
c语言内联汇编
ARM GCC 内联汇编参考手册
08-06
### ARM GCC 内联汇编参考手册解析 #### 关键知识点概述 本手册主要介绍了如何在C语言中使用GCC提供的内联汇编功能来编写针对ARM架构的代码。内联汇编是一种强大的技术,允许开发者在C代码中插入低级汇编指令,...
GCC 内联汇编
10-28
### GCC 内联汇编详解 #### 一、AT&T与INTEL的汇编语言语法的区别 ##### 1.1 大小写 在汇编语言中,AT&T与INTEL两种格式对于指令的大小写有不同的规定。INTEL格式通常采用大写字母来书写指令,而AT&T格式则使用...
GCC内联汇编入门[参照].pdf
10-11
GCC内联汇编可以分为基本内联汇编和扩展内联汇编两种形式,前者只允许使用汇编语法,后者则可以使用更多的特性,如输入、输出和寄存器约束等。 在学习GCC内联汇编之前,需要具备基本的x86汇编语言和C语言知识。GCC...
asm.rar_vb.net 内联汇编_内联汇编插件
09-14
- 可读性和可维护性:过多的内联汇编会使代码难以理解和维护,因此应谨慎使用,只在确实需要的地方插入。 - 性能:虽然内联汇编可能提高性能,但也可能导致代码的执行效率依赖于特定的硬件平台,这在跨平台应用中...
GCC 内联汇编语法
最新发布
zhu_superman的博客
07-27 968
GCC 内联汇编语法
linux内嵌汇编语言
09-03
虽然Linux的核心代码大部分是用C语言编写的,但是不可避免的其中还是有一部分是用汇编语言写成的。有些汇编语言代码是直接写在汇编源程序中的,特别是Linux的启动代码部分;还有一些则是利用gcc的内嵌汇编语言嵌在C语言程序中的。这篇文章简单介绍了gcc中的内嵌式汇编语言,主要想帮助那些才开始阅读Linux核心代码的朋友们能够更快的入手。 写这篇文章的主要信息来源是GNU的两个info文件:as.info和gcc.info,如果你觉得这篇文章中的介绍还不够详细的话,你可以查阅这两个文件。当然,直接查阅这两个文件可以获得更加权威的信息。如果你不想被这两篇文档中的一大堆信息搞迷糊的话,我建议你先阅读一下这篇文章,然后在必要时再去查阅更权威的信息。
GCC内联汇编基础.pdf
09-07
GCC内联汇编, C语言嵌入汇编,AT&T Intel语法区别
GCC内联汇编, PDF 格式
09-07
GCC内联汇编, C语言嵌入汇编,AT&T Intel语法区别
第24部分- Linux ARM汇编 内联汇编
badman250的专栏
06-07 528
第24部分- Linux ARM汇编 内联汇编 内联汇编如下: #include <stdio.h> int add(int i, int j) { int res = 0; asm ( "ADD %w[result], %w[input_i], %w[input_j]" : [result] "=r" (res) : [input_i] "r" (i), [input_j] "r" (j) ); return res; } int main(void) {
linux 64位module内联汇编,@yuanbor: Linux内联汇编总结
weixin_30843553的博客
05-12 230
1、基本格式__asm__ __volatile__("Instruction List" : Output : Input : Clobber/Modify);注意:内联汇编最多三个冒号,隔开了四个部分:指令、输出、输入和破坏性说明。2、指令部分指令必须用引号括起来,可以每条指令一对引号,也可以所有指令公用一对引号,Linux常用的格式是:__asm__ __volatile__(".align...
linux命令绕过
qq_46229380的博客
12-18 640
linux命令行绕过总结
(Linux命令行绕过)Bypass Linux Shell Restrictions
st3pby的博客
05-19 259
(echoIFS。
ARM GCC内联汇编深度指南
"ARM GCC 内联汇编参考手册,由TidyJiang翻译,详细介绍了如何在ARM架构下使用GCC编译器进行内联汇编编程,包括C代码优化、预处理宏、寄存器使用、常量、指令顺序等关键概念。文档还涵盖了在Thumb状态执行汇编代码、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值