LInux Hook技术实践

什么是hook

简单的说就是别人本来是执行libA.so里面的函数的，结果现在被偷偷换成了执行你的libB.so里面的代码，是一种替换。

为什么hook

恶意代码注入
调用常用库函数时打log
改变常用库函数的行为，个性化

怎么hook

这个东西在win里面有现成的api，但是在linux里面却要主动修改ELF文件，或者修改动态库链接路径。我看网上写的好多挺麻烦的，而且还要调用各种修改ELF的API。。。。所以这里提供一种简单的方法来hook

下面直接demo吧

/*myselect.c*/
#define _GNU_SOURCE
#include <unistd.h>
#include <stdio.h>
#include <sys/types.h>
#include <sys/select.h>
#include <sys/time.h>
typedef int (*selectType)(int __nfds, fd_set *__restrict __readfds,
            fd_set *__restrict __writefds,
            fd_set *__restrict __exceptfds,
             struct timeval *__restrict __timeout);
int select(int maxfdp1,fd_set* readset,fd_set* writeset,fd_set* exceptset, struct timeval*timeout)
{
    printf("in modified select\n");
    selectType ori_select = (selectType)dlsym(RTLD_NEXT,"select");
    return ori_select(maxfdp1,readset,writeset,exceptset,timeout);
}

这个代码的逻辑很简单，就是重写一个select，然后打包成库，让程序运行时优先加载这个库，这样程序运行时先在这个库中找到select函数后，就不会再加载原始的select函数。但是多数时候我们并不是要完全改变原函数的行为或许只是做一些小的修改，或许只是打一些log。这样我们若能在新函数里面执行以前的旧函数就好了，所以我们拿到原函数的入口地址，并在新函数中调用旧函数。这里可以用dlsym(RTLD_NEXT, functionName ).它返回functionName指示的原始库函数的指针。但是要想RTLD_NEXT这个宏有效，还必须在文件的开头加 #define _GNU_SOURCE。这样我们的代码就完成了

生成库

gcc myselect.c -fPIC -shared -o libmyselect.so

假设程序A调用过select这个函数，以前的启动参数是./A,,这个样子的话，系统会去找原始的链接库。若是变成这样启动LD_PRELOAD = ./libmyselect.so ./A

那A运行时就是调用我们写的select函数。。

对，你可以把一些常用的系统调用改成恶意代码，比如write这样的系统调用，然后注入到别人的程序中，然后别人的程序就被你倾入了，当然前提是你修改了别人的程序的链接路径。。
还有一些比较少用的用法，在某些情况下，一些特定线程的系统调用不应占过多的资源，我们可以通过这个方法让之变得高效，这个说法可能比较古怪。举个例子：
某些系统上select的实现可能与众不同，在没有fd就绪时，并不阻塞，而是忙等，这时便可以通过hook技术，在select中插入usleep，达到释放cpu的作用。当然这种用法是很少的，但也确实是骚操作。。。。

发布者：全栈程序员-站长，转载请注明出处：https://javaforall.net/141655.html原文链接：https://javaforall.net