linux LD_PRELOAD 预加载 so 简介

最新推荐文章于 2024-08-12 15:57:48 发布
最新推荐文章于 2024-08-12 15:57:48 发布
阅读量1.4w 收藏 14
点赞数 3
原文链接:https://blog.csdn.net/whatday/article/details/108890018
版权
本文介绍了Linux系统中利用LD_PRELOAD环境变量预加载动态链接库的方法,包括修改/etc/ld.so.preload配置文件和启动进程前设置LD_PRELOAD。预加载库可以用于hook系统调用,例如捕获socket函数调用。然而,LD_PRELOAD也带来安全风险,如静态链接或设置SUID权限可避免其影响。文章探讨了使LD_PRELOAD失效的策略,并提醒注意其潜在的安全隐患。
摘要由CSDN通过智能技术生成

预加载so的两种方式:

  1. 修改/etc/ld.so.preload配置文件,这种方法对配置修改之后运行的进程生效,而无法影响已经在运行的进程;
  2. 启动进程前设置LD_PRELOAD变量(如shell中执行LD_PRELOAD=/lib64/inject.so ./myprocess),则只对当前进程生效。

默认情况下进程创建的子进程也会继承Preload环境变量,而父进程可以在子进程初始化前修改子进程的环境变量,从而避免往子代传播。

LD_PRELOAD可以影响程序的运行时的链接,它允许你定义在程序运行前优先加载的动态链接库,这个功能主要就是用来有选择性的载入不同动态链接库中的相同函数。

通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数。

进程在启动后,会按照一定顺序加载动态库:

  • 加载环境变量LD_PRELOAD指定的动态库
  • 加载文件/etc/ld.so.preload指定的动态库
  • 搜索环境变量LD_LIBRARY_PATH指定的动态库搜索路径
  • 搜索路径/lib64下的动态库文件

因此可以使用预加载实现hook功能,一个简单例子,捕获所有socket函数:

// inject.c
#include <stdio.h>
#include <sys/socket.h>

 __attribute__ ((visibility("default"))) int socket(int family, int type, int protocol) {

    printf("detect socket call\n");
    return -1;
}

__attribute__((constructor)) void main() {
    printf("module inject success\n");
}

然后在shell环境中执行以下命令:

gcc inject.c --shared -fPIC -o inject.so # 生成so库(*)
LD_PRELOAD=$PWD/inject.so ping 127.0.0.1 # 使用LD_PRELOAD预加载
# 输出内容如下
# module inject success 
# detect socket call

不可否认,LD_PRELOAD是一个很难缠的问题。目前来说,要解决这个问题,只能想方设法让LD_PRELOAD失效。目前而言,有以下面两种方法可以让LD_PRELOAD失效。

  1. 通过静态链接。使用gcc的-static参数可以把libc.so.6静态链入执行程序中。但这也就意味着你的程序不再支持动态链接。
  2. 通过设置执行文件的setgid/setuid标志。在有SUID权限的执行文件,系统会忽略LD_PRELOAD环境变量。也就是说,如果你有以root方式运行的程序,最好设置上SUID权限。

在一些UNIX版本上,如果要使用LD_PRELOAD环境变量,需要有root权限。但不管怎么说,这些个方法目前来看并不是一个彻底的解决方案,为了安全,只能禁用LD_PRELOAD。

 

 

 

 

whatday
关注
使用LD_PRELOAD拦截共享函数库的函数调用
tyler_download的专栏
05-29 496
linux系统上,程序运行时有一个特征。在程序加载前,系统会加载一系列库函数。如果程序运行后,它再使用动态链接库时,如果它调用链接库里面的函数名与加载的函数库中的某个函数名相同,那么系统会自动调用加载函数库中的函数。 这种机制给与我们一个劫持程序运行的入口。例如函数从某个动态加载的so链接库里调用名为function_name的函数,那么我们可以先设置一个链接库,在里面也导出一个同名函数function_name,然后使用修改系统的环境变量LD_PRELOAD,让程序在运行前先加载我们的链接库
LD_PRELOAD加载jemalloc
sunny_98_98的博客
11-01 1595
在使用CentOS 7.6,用LD_PRELOAD方法测试了一下jemalloc 和 glibc自带的malloc的性能,发现的确更好。 为何没有测试 tcmalloc?因为从网上查了一下,tcmalloc 和 jemalloc的对比 (原文) : 作为基础库的ptmalloc是最为稳定的内存管理器,无论在什么环境下都能适应,但是分配效率相对较低。 tcmalloc针对多核情况有所优化,性能有所提高,但是内存占用稍高,大内存分配容易出现CPU飙升。 jemalloc的内存占用更高,但是在多核多线程下的表
Linux】object '/lib/libcwait.so' from /etc/ld.so.preload
weixin_33843947的博客
04-14 286
linux 4.7 上安装oracle 9i 软件所需的包的时候,遇到如下问题,执行linux 命令之后都会出现ERROR: ld.so: object '/lib/libcwait.so' from /etc/ld.so.preload cannot be preloaded: ignored. root@rac1:/home/oracle/sof...
Linux LD_PRELOAD优先加载so失效原因分析
最新发布
xuyun0565的专栏
08-12 384
如果stick权限的LD_PRELOAD生效,那么linux上的提权太简单了,只要将自己的代码编译成so让具有stick权限的程序运行,既可用root身份运行自己代码,因此LD_PRELOAD在遇到stick权限时必须失效。可以看出passwd的属主是root,且用于stick权限,上图中的s,这就让普通用户执行passwd命令是,passwd对应的进程具有root权限,从而到达修改/etc/shadow文件的效果。说了这么多是为了给具有stick权限的程序LD_PRELOAD不生效做铺垫,
分享一则Linux系统邮件提示 /usr/local/lib/libprocesshider.so > /etc/ld.so.preload 的中病毒解决方法
weixin_45225923的博客
09-06 4332
最近发现生产服务器CPU占用过高但是查看进程却没有任何过高的进程,最高也才是1点多,而且系统经常收到root用户发送的邮件 所以有理由是怀疑中了挖矿病毒,查看网络连接信息(命令:netstat -napt)后发现一条疑似矿池的连接记录 然后去查找这个IP地址发现是M国的一个地址,去到某服安全中心查看这个IP果然是矿池地址无疑 某安的威胁中心查出来的结果也是一样的, 显示结果跟网络连接中的信息是一样的,这下确定无疑了 ...
Linux 环境变量LD_PRELOAD
小立仔
06-12 3559
Linux 下使用 环境变量 LD_PRELOAD 简介以及使用其来 hook标准库中的函数
LD_PRELOAD
weixin_34269583的博客
05-19 124
2019独角兽企业重金招聘Python工程师标准>>> ...
Android API Hook之LD_PRELOAD
04-05
LD_PRELOADLinux下的一个环境变量,它能够在程序运行时动态地加载指定的动态链接库(.so文件),并且这些库会被优先加载,从而覆盖或者替换程序原本会加载的同名函数。这使得开发者能够通过替换函数来改变程序的...
libkeepalive_centoslibkeepalive_linuxc_
10-01
`LD_PRELOAD`是一个环境变量,用于在程序启动时加载特定的动态链接库。在这里,`/路径/libkeepalive.so`表明我们需要将libkeepalive库加载到任何需要心跳保持功能的进程,这样即使目标程序没有直接调用...
linux ld.so,linux共享库及/etc/ld.so.conf文件的应用
weixin_36378232的博客
05-14 447
Linux 共享库Linux 系统上有两类根本不同的 Linux 可执行程序。第一类是静态链接的可执行程序。静态可执行程序包含执行所需的所有函数 —换句话说,它们是“完整的”。因为这一原因,静态可执行程序不依赖任何外部库就可以运行。第二类是动态链接的可执行程序。静态可执行程序与动态可执行程序比较我们可以用 ldd 命令来确定某一特定可执行程序是否为静态链接的:# ldd /sbin/slnnot ...
ERROR: ld.so: object '/usr/local/lib/lbb.so' from /etc/ld.so.preload cannot be preloaded (cannot ope
热门推荐
zhanghenan123的博客
03-21 1万+
出现此问题中病毒了,执行如下操作即可完全解决 echo "" > /etc/ld.so.preload chattr +i /etc rm -rf /var/spool/cron/* rm -rf /etc/cron.d/* chattr +i /var/spool/cron/ rm -f /usr/local/lib/lbb.so chattr +i /usr/local/lib ki...
linux下设置so路径,ld加载so路径设置
weixin_42394257的博客
05-08 973
linux下一般程序运行时查找动态库的顺序:(1)根据环境变量LD_LIBRARY_PATH查找(2)根据/etc/ld.so.cache查找(3)查找依次在/lib和/usr/lib目录查找---------------------------------LD_LIBRARY_PATH来处理非标准路经的共享库。ld.so 加载共享库的时候,也会查找这个变量所设置的路经。LD_LIBRARY_P...
ERROR: ld.so: object ‘/usr/local/lib/pscan.so‘ from /etc/ld.so.preload cannot be preloaded...
srg2000的博客
01-03 5130
报错现象 在连接远程服务器Linux系统时,一连接就出现了以下报错,输入命令时,又出现了以下类似的报错。如图所示: 解决方法 1.输入命令(作用:在这个文件里写入空内容) echo "" > /etc/ld.so.preload 2.出现以下错误时 证明你这个文件可能是只允许读操作的文件,不允许被修改或删除,这时需要输入以下命令去除文件的ia属性,再进行更改。 chattr -ia /etc/ld.so.preload 3.去除之后,在执行步骤1的语句 echo "" > /etc/ld
Linuxldld.so命令的区别
weixin_34248849的博客
11-18 459
显然,ld链接器,它的生命周期是发生在compile-time的,它的一些参数是编译时期gcc给传递的,比如,指定需要链接什么库。 ld.so命令的周期是发生在run-time的,名字叫动态链接器/加载器。它的作用体现在运行时。比如你链接了指定的库,它运行的时候会根据指定的路径去加载指定的库。 而命令ld.so相应的配置文件是/etc/ld.so.conf,这是个文本文件,里面可以增加修改so...
理解ld-linux.so.2
weixin_34381687的博客
10-20 1183
翻译自:Understanding ld-linux.so.2 前言 ld-linux.so.2是linux的动态加载器(dynamic loader)。本文试图就ld-linux.so.2如何与Linux交互,如何与正在调用的应用程序进行交互 给出一个概述。 什么是ld-linux.so 现在,大多数程序都是动态链接的。 当操作系统加载一个动态链接的应用程序时,它必须找到并加载它执行该应...
子进程的LD_PRELOAD
weixin_30546189的博客
09-12 828
一个指定LD_PRELOAD的进程创建的子进程是否受LD_PRELOAD的影响? 1. fork()后在子进程中执行函数。 main.c #include <unistd.h> #include <stdio.h> extern char** environ; void foo(); int main() { for(char **current...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值