Linux Hook技术实践

Linux Hook技术实践LInuxHook技术实践什么是hook简单的说就是别人本来是执行libA.so里面的函数的,结果现在被偷偷换成了执行你的libB.so里面的代码,是一种替换。为什么hook恶意代码注入调用常用库函数时打log改变常用库函数的行为,个性化怎么hook这个东西在win里面有现成的api,但是在linux里面却要主动修改ELF文件,或者修改动态库链接路径。我看网上写的好多挺麻烦的,而且还要调用

大家好,又见面了,我是你们的朋友全栈君。

LInux Hook技术实践

什么是hook

简单的说就是别人本来是执行libA.so里面的函数的,结果现在被偷偷换成了执行你的libB.so里面的代码,是一种替换。

为什么hook

  1. 恶意代码注入
  2. 调用常用库函数时打log
  3. 改变常用库函数的行为,个性化

怎么hook

这个东西在win里面有现成的api,但是在linux里面却要主动修改ELF文件,或者修改动态库链接路径。我看网上写的好多挺麻烦的,而且还要调用各种修改ELF的API。。。。所以这里提供一种简单的方法来hook

下面直接demo吧

/*myselect.c*/
#define _GNU_SOURCE
#include <unistd.h>
#include <stdio.h>
#include <sys/types.h>
#include <sys/select.h>
#include <sys/time.h>
typedef int (*selectType)(int __nfds, fd_set *__restrict __readfds,
            fd_set *__restrict __writefds,
            fd_set *__restrict __exceptfds,
             struct timeval *__restrict __timeout);
int select(int maxfdp1,fd_set* readset,fd_set* writeset,fd_set* exceptset, struct timeval*timeout)
{
    printf("in modified select\n");
    selectType ori_select = (selectType)dlsym(RTLD_NEXT,"select");
    return ori_select(maxfdp1,readset,writeset,exceptset,timeout);
}          

这个代码的逻辑很简单,就是重写一个select,然后打包成库,让程序运行时优先加载这个库,这样程序运行时先在这个库中找到select函数后,就不会再加载原始的select函数。但是多数时候我们并不是要完全改变 原函数的行为 或许只是做一些小的修改,或许只是打一些log。这样我们若能在新函数里面执行以前的旧函数就好了,所以我们拿到原函数的入口地址,并在新函数中调用旧函数。这里可以用dlsym(RTLD_NEXT, functionName ).它返回functionName指示的原始库函数的指针。但是要想RTLD_NEXT这个宏有效,还必须在文件的开头加 #define _GNU_SOURCE。这样我们的代码就完成了

生成库

gcc myselect.c -fPIC -shared -o libmyselect.so

假设程序A调用过select这个函数,以前的启动参数是./A,,这个样子的话,系统会去找原始的链接库。若是变成这样启动LD_PRELOAD = ./libmyselect.so ./A

那A运行时就是调用我们写的select函数。。

对,你可以把一些常用的系统调用改成恶意代码,比如write这样的系统调用,然后注入到别人的程序中,然后别人的程序就被你倾入了,当然前提是你修改了别人的程序的链接路径。。
还有一些比较少用的用法,在某些情况下,一些特定线程的系统调用不应占过多的资源,我们可以通过这个方法让之变得高效,这个说法可能比较古怪。举个例子:
某些系统上select的实现可能与众不同,在没有fd就绪时,并不阻塞,而是忙等,这时便可以通过hook技术,在select中插入usleep,达到释放cpu的作用。当然这种用法是很少的,但也确实是骚操作。。。。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/141655.html原文链接:https://javaforall.net

(0)
全栈程序员-站长的头像全栈程序员-站长


相关推荐

  • mybatis interceptor原理_mybatis拦截器获取表名

    mybatis interceptor原理_mybatis拦截器获取表名看了很多博客文章和,mybatis的拦截器概念还是不能很好理解,可能是因为自己基础不好或者理解方式和他人不同吧,所以决定自己花时间好好捋捋,然后把理解后的总结记录下来,供他人参考,也许你们的理解和我也不同,但是不妨花几分钟时间看看,说不定能帮助你文章主要是讲解org.apache.ibatis.plugin包下的Interceptor类和org.apache.ibatis….

    2022年9月9日
    3
  • Ubuntu卸载软件_ubuntu软件卸载

    Ubuntu卸载软件_ubuntu软件卸载之前安装teamviewer的时候,强制进行安装,结果安装失败,并且,之后无论运行任何apt-getintsll命令都会报错:解决办法是:直接将这个软件删除掉就行了,运行以下命令:sudoapt-getremove–purgeteamviewer:i386

    2022年9月28日
    2
  • python中变量的基本使用及命名规则

    python中变量的基本使用及命名规则目标变量定义变量的类型变量的命名标识符和关键字变量的命名规则01.变量定义在Python中,每个变量在使用前都必须赋值,变量赋值以后该变量才会被创建等号(=)用来给变量赋

    2022年7月5日
    25
  • 手机修改ntp服务器地址,手机修改ntp服务器ip地址

    手机修改ntp服务器地址,手机修改ntp服务器ip地址手机修改ntp服务器ip地址内容精选换一换本文介绍使用云手机服务时需要了解的基本概念。云手机是一台包含原生安卓操作系统,具有虚拟手机功能的云服务器,简单来说,云手机=云服务器+AndroidOS。您可以远程实时控制云手机,实现安卓APP的云端运行;也可以基于云手机的基础算力,高效搭建应用,如云游戏、移动办公、直播互娱等场景。服务器是用来提供云手机的物理服务器。云手机目前以服务器您可以直接修改虚…

    2022年5月26日
    43
  • pycharm激活码2021(破解版激活)

    pycharm激活码2021(破解版激活),https://javaforall.net/100143.html。详细ieda激活码不妨到全栈程序员必看教程网一起来了解一下吧!

    2022年3月16日
    82
  • Shell bash 脚本语法

    Shell bash 脚本语法简单的说,脚本就是使用某种特定的描述性语言,依据一定的格式编写而成的,可在某种特定环境下顺序执行的文本文件。先通过一个最为简单的脚本代码来说明一下脚本编写最小脚本实现(在linuxshell界面新建文件viscript,输入一下代码):#!/bin/bashecho”helloworld!”运行文件./script结果为helloworld!

    2022年7月15日
    18

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号