linux 内核 hook函数介绍

最新推荐文章于 2024-08-18 10:40:12 发布
最新推荐文章于 2024-08-18 10:40:12 发布
阅读量2.9k 收藏 18
点赞数 2

在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。

    先介绍一个结构体:

    struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,所在文件:linux/netfilter.h 定义为:

typedef unsigned int nf_hookfn(unsigned int hooknum,
			       struct sk_buff *skb,
			       const struct net_device *in,
			       const struct net_device *out,
			       int (*okfn)(struct sk_buff *));

struct nf_hook_ops {
	struct list_head list;

	/* User fills in from here down. */
	nf_hookfn *hook;
	struct module *owner;
	u_int8_t pf;
	unsigned int hooknum;
	/* Hooks are ordered in ascending priority. */
	int priority;
};

其中的成员信息为:

      hook  :是一个函数指针,可以将自定义的函数赋值给它,来实现当有数据包到达是调用你自定义的函数。自定义函数的返回值为:

/* Responses from hook functions. */
#define NF_DROP 0
#define NF_ACCEPT 1
#define NF_STOLEN 2
#define NF_QUEUE 3
#define NF_REPEAT 4
#define NF_STOP 5
#define NF_MAX_VERDICT NF_STOP

owner:是模块的所有者,一般owner = THIS_MODULE ;

    pf   :是protocol flags,其取值范围为:

enum {
	NFPROTO_UNSPEC =  0,
	NFPROTO_IPV4   =  2,
	NFPROTO_ARP    =  3,
	NFPROTO_BRIDGE =  7,
	NFPROTO_IPV6   = 10,
	NFPROTO_DECNET = 12,
	NFPROTO_NUMPROTO,
};

hooknum :中存放的是用户自定义的钩子函数的调用时机,其取值为:

enum nf_inet_hooks {
	NF_INET_PRE_ROUTING,
	NF_INET_LOCAL_IN,
	NF_INET_FORWARD,
	NF_INET_LOCAL_OUT,
	NF_INET_POST_ROUTING,
	NF_INET_NUMHOOKS
};

   其中的每个值的含义为:

 priority : 为所定义的钩子函数的优先级,其取值为份两种:分别为IPV4 和 IPV6; 

    priority 的IPV4取值为:      

enum nf_ip_hook_priorities {
	NF_IP_PRI_FIRST = INT_MIN,
	NF_IP_PRI_CONNTRACK_DEFRAG = -400,
	NF_IP_PRI_RAW = -300,
	NF_IP_PRI_SELINUX_FIRST = -225,
	NF_IP_PRI_CONNTRACK = -200,
	NF_IP_PRI_MANGLE = -150,
	NF_IP_PRI_NAT_DST = -100,
	NF_IP_PRI_FILTER = 0,
	NF_IP_PRI_SECURITY = 50,
	NF_IP_PRI_NAT_SRC = 100,
	NF_IP_PRI_SELINUX_LAST = 225,
	NF_IP_PRI_CONNTRACK_CONFIRM = INT_MAX,
	NF_IP_PRI_LAST = INT_MAX,
};

所在文件:linux\netfilter_ipv4.h

 priority 的IPV6取值为:

enum nf_ip6_hook_priorities {
	NF_IP6_PRI_FIRST = INT_MIN,
	NF_IP6_PRI_CONNTRACK_DEFRAG = -400,
	NF_IP6_PRI_RAW = -300,
	NF_IP6_PRI_SELINUX_FIRST = -225,
	NF_IP6_PRI_CONNTRACK = -200,
	NF_IP6_PRI_MANGLE = -150,
	NF_IP6_PRI_NAT_DST = -100,
	NF_IP6_PRI_FILTER = 0,
	NF_IP6_PRI_SECURITY = 50,
	NF_IP6_PRI_NAT_SRC = 100,
	NF_IP6_PRI_SELINUX_LAST = 225,
	NF_IP6_PRI_LAST = INT_MAX,
};

以上是对struct nf_hook_ops结构体中的每个字段的详解;

 具体实例 

struct nf_hook_ops my_hook = {
    .hook	  = myfunction,
    .owner	  = THIS_MODULE,
    .pf		  = NFPROTO_IPV4,
    .hooknum  = NET_INET_FORWARD,
    .priority = NF_IP4_PRI_FIRST
};

unsigned int myfunction( unsigend int hooknum, struct sk_buff *skb,
                         const struct net_device *in,
                         const struct net_device *out,
                         int (*okfn)(struct sk_buff *))
{}

如上面的代码一样,当定义一个struct nf_hook_ops结构体,并且对其完成了初始化以后,需要将这个结构体进行注册,之后这个结构体以及其中的自定义函数才会其作用。

    注册一个struct nf_hook_ops需要用到的函数为:

int  nf_register_hook(struct nf_hook_ops *reg)

   其实这个 int nf_register_hook()函数在内核中的实现也没有多么的复杂,

来看看它是如何实现的:

struct list_head nf_hooks[NFPROTO_NUMPROTO][NF_MAX_HOOKS] __read_mostly;
EXPORT_SYMBOL(nf_hooks);
static DEFINE_MUTEX(nf_hook_mutex);

int nf_register_hook(struct nf_hook_ops *reg)
{
	struct nf_hook_ops *elem;
	int err;

	err = mutex_lock_interruptible(&nf_hook_mutex);
	if (err < 0)
		return err;
	list_for_each_entry(elem, &nf_hooks[reg->pf][reg->hooknum], list) {
		if (reg->priority < elem->priority)
			break;
	}
	list_add_rcu(&reg->list, elem->list.prev);
	mutex_unlock(&nf_hook_mutex);
	return 0;
}
EXPORT_SYMBOL(nf_register_hook);

所在文件:net\netfilter\core.c

当不再需要使用这个struct nf_hook_ops时,需要注销这个结构体,其可用的函数为:

void nf_unregister_hook(struct nf_hook_ops *reg)
{
	mutex_lock(&nf_hook_mutex);
	list_del_rcu(&reg->list);
	mutex_unlock(&nf_hook_mutex);

	synchronize_net();
}
EXPORT_SYMBOL(nf_unregister_hook);

 当一次需要注册多个struct nf_hook_ops结构体,如:

     struct nf_hook_ops myhooks[n]时,使用:

int nf_register_hooks(struct nf_hook_ops *reg, unsigned int n)
{
	unsigned int i;
	int err = 0;

	for (i = 0; i < n; i++) {
		err = nf_register_hook(&reg[i]);
		if (err)
			goto err;
	}
	return err;

err:
	if (i > 0)
		nf_unregister_hooks(reg, i);
	return err;
}
EXPORT_SYMBOL(nf_register_hooks);

同样,当一次需要注销多个struct nf_hook_ops结构体是,使用:

void nf_unregister_hooks(struct nf_hook_ops *reg, unsigned int n)
{
	while (n-- > 0)
		nf_unregister_hook(&reg[n]);
}
EXPORT_SYMBOL(nf_unregister_hooks);

总结:

struct nf_hook_ops

int	 nf_register_hook( struct nf_hook_ops *reg );

void nf_unregister_hook( struct nf_hook_ops *reg );

int	 nf_register_hooks( struct nf_hook_ops *regs, unsigend int n );

void nf_unregister_hooks( struct nf_hook_ops *regs, unsigned int n );

 

 

whatday
关注
linux钩子函数和回调函数,Linux Kernel 学习笔记10:hook函数
weixin_39608478的博客
05-03 911
(本章基于:Linux-4.4.0-37)linux 内核中有一套hook函数机制,可在不同hook点位置监控网络数据包,并执行丢弃、修改等操作。网络防火墙就是通过此机制实现的。注册注销hook函数linux/netfilter.h注册钩子函数:int nf_register_hook(struct nf_hook_ops *reg);注销:void nf_unregister_hook(str...
linux进程函数钩子,linux内核中的hook函数详解
weixin_42384735的博客
04-29 1410
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。先介绍一个结构体:struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,其实际的定义为:其中的成员信息为:hook :是一个函数指针,可以将自定义的函数赋值给它,来实现当有数据包到达是调用你自定义的函数。自定义函数的返回值为:owner:是模块的所有者,...
linux内核函数挂钩子
Herok
11-28 5131
概述 本文讲解替换一个已经在内存中的函数,使得执行流流入我们自己的逻辑,然后再调用原始的函数。比如有个函数叫做funcion,而你希望统计一下调用function的次数,最直接的方法就是如果有谁调用function的时候,调到下面这个函数就好了。 void new_function() {          count++;          return function(); } ...
探索KHOOKLinux内核钩子引擎的强大功能
最新发布
gitblog_00518的博客
08-18 290
探索KHOOKLinux内核钩子引擎的强大功能 khookLinux Kernel hooking engine (x86)项目地址:https://gitcode.com/gh_mirrors/kh/khookLinux内核开发的世界中,钩子技术是一种强大的工具,它允许开发者在不修改内核源代码的情况下,对内核函数进行拦截和修改。今天,我们将深入探讨一个名为KHOOK的开源项目,这是一个专...
Linux 的简单钩子
热门推荐
天 下
03-18 1万+
在Windows的游戏外挂开发上,钩子(hook)是一个很常见的技术。这里我们不想讨论钩子是什么意思和在Windows上是如何实现的,只是来简单地学习一下Linux的钩子。 首先来确定一个函数,要一个没有多大危害的,那就先试试 time()。 我们写一个与time同名的函数: ? hook.c 1 2 3 4 5 6 7 #include
linux hook函数详解,linux内核中的hook函数详解
weixin_42361933的博客
05-10 438
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。先介绍一个结构体:struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,其实际的定义为: 其中的成员信息为:hook :是一个函数指针,可以将自定义的函数赋值给它,来实现当有数据包到达是调用你自定义的函数。自定义函数的返回值为: owner:是模块的所有...
linux内核hook系统调用execve函数
12-07
功能:hook系统调用execve函数,在系统调用dpkg命令时返回。 这样系统无法安装软件,以及删除软件。 1.下载后 解压直接 make编译 2. sudo insmod hook.ko 进行安装 3. sudo dmesg --follow 查看内核调试信息 4....
linux内核中的hook,【Linux内核调试】使用Ftrace来Hook linux内核函数
weixin_32050773的博客
04-29 442
目标:hook几个Linux内核函数调用,如打开文件和启动进程,并利用它来启用系统活动监控并抢先阻止可疑进程。一、方案比较1. 使用Linux安全API方法:内核代码的关键点包含安全函数调用,这些调用可能触发安全模块安装的回调,该模块可以分析特定操作的上下文,并决定是允许还是禁止它。限制:安全模块无法动态加载,所以需要重新编译内核。2. 修改系统调用表方法:所有Linux系统调用处理程序都存储在s...
c++钩子函数:copy hook_linux函数hook
12-27
- 在Linux内核中,可以通过编写内核模块并在特定的系统调用(如`sys_open`, `sys_write`, `sys_read`等)前后插入钩子代码。这种方式需要对内核有深入理解,风险较高,但可以实现细粒度的控制。 - 使用`kprobes`或...
ftrace-hook:在Linux内核中使用ftrace进行函数挂钩
05-04
Linux内核模块演示了如何使用ftrace框架进行函数挂钩:就像在挂钩函数周围执行任意代码一样。 该代码已根据许可。 如何建造 请考虑使用虚拟机(VirtulBox,VMWare,QEMU等)进行实验。 (不变的)模块是完全无害的...
linux 文件 钩子,linux钩子函数的理解
weixin_39877504的博客
05-02 610
看了一个回调函数,想再了解一下钩子函数,以下为在网络上查找的一些有用资料,记录一下:钩子函数(回调函数)也是系统内核为驱动程序提供的一些特定的函数,在驱动程序中某个变量的状态发生改变或将要改变或改变完成时,将会自动调用该回调函数,在netfilter中的状态就有五个(针对IPV4):hook调用的时机NF_IP_PRE_ROUTING 在完整性校验之后,选路确定之前NF_IP_LOCAL_IN 在...
Linux钩子配置(SVN)
02-06
针对web端开发要求,将svn内最新项目文件在项目中调试预览,使用钩子配置即可,如果是JAVA语言,需要集成其它插件进行热编译部署
linux内核中的hook函数详解,linux 内核 hook函数介绍
weixin_34907135的博客
05-09 463
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。typedef unsigned int nf_hookfn(unsigned int hooknum, struct sk_buff *skb, const struct net_device *in, const struct net_d...
linux hook 任意内核函数,linux内核中的hook函数详解
weixin_30247915的博客
05-02 207
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。先介绍一个结构体:struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,其实际的定义为: 其中的成员信息为:hook :是一个函数指针,可以将自定义的函数赋值给它,来实现当有数据包到达是调用你自定义的函数。自定义函数的返回值为: owner:是模块的所有...
linux内核钩子--khook
weixin_30897233的博客
06-03 1043
简介 本文介绍github上的一个项目khook,一个可以在内核中增加钩子函数的框架,支持x86。项目地址在这里:https://github.com/milabs/khook 本文先简单介绍钩子函数,分析这个工具的用法,然后再分析代码,探究实现原理 钩子 假设在内核中有一个函数,我们想截断他的执行流程,比如说对某文件的读操作。这样就可以监控对这个文件的读操作。这就是钩子。通过插...
linux下的钩子
残月9217
03-22 1874
Linux下SVN自动更新web(配置)  1. 创建svn项目库       svnadmin create /svn/repos/test   在项目库 hooks/ 目录下编辑 post-commit 文件 【钩子脚本】      #!/bin/bash      SVN=/usr/local/svn/bin/svn      WEB=/usr/local/ngi
linux内核中的hook函数详解,linux内核中的hook函数详解
weixin_35011300的博客
05-09 557
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。先介绍一个结构体:struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,其实际的定义为:其中的成员信息为:hook :是一个函数指针,可以将自定义的函数赋值给它,来实现当有数据包到达是调用你自定义的函数。自定义函数的返回值为:owner:是模块的所有者,...
Linux内核hook机制:call_void_hook用法实例(六十一)
Android系统攻城狮
04-24 916
本篇目的:Linux内核hook机制:call_void_hook用法实例char * lsm;\ ____ptr?\ pos;char * lsm;\ ____ptr?\ pos;char * lsm;\ ____ptr?\ pos;char * lsm;\ ____ptr?\ pos;
Linux文件系统读写钩子,Linux2_6系统调用钩子的原理分析和实现应用.pdf
weixin_35648264的博客
05-13 165
Linux2_6系统调用钩子的原理分析和实现应用第 17卷第 3期 湖 南 工 程 学 院 学 报 Vo1. 17. No. 32007 9 Journal ofHunan Institute of Engineering ...
linux内核hook
06-06
Linux内核hook是指,在Linux内核中预留一些接口或函数,允许用户通过编写相应的钩子函数,实现对内核行为的监控、拦截、过滤、修改等操作。这样可以扩展内核功能、定制化内核行为,同时也方便了用户对内核的研究和分析。比较常见的hook技术有系统调用(syscall)hook网络数据包hook、文件系统hook等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值