got表hook和inlinehook的优缺?(面试题)

于 2025-03-10 20:59:01 发布
阅读量981 收藏 7
点赞数 13
CC 4.0 BY-SA版权
分类专栏: 安卓逆向面试题 文章标签: android 安卓逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SXXYNHHXX/article/details/146163959

高质量文章:

Android Hook技术学习——常见的Hook技术方案总结
https://bbs.kanxue.com/thread-272870.htm

GOT Hook 与 Inline Hook 的优缺点对比

GOT(Global Offset Table)Hook 和 Inline Hook 是两种常见的函数劫持(hooking)技术,广泛用于逆向分析、动态调试、函数拦截等场景。两者各有优缺点,适用于不同需求。

1. GOT Hook

原理

  • GOT 是动态链接的全局偏移表,在 ELF 可执行文件中用于存储动态链接库函数的地址。
  • GOT Hook 通过修改 GOT 表中的函数地址,使程序调用目标函数时跳转到自定义函数(Hook 函数)。

优点

稳定性高

  • 只影响特定的函数指针,而不会修改代码段,避免修改指令带来的潜在崩溃风险。
  • 不依赖特定架构(x86、ARM 都适用)。

适用于共享库(shared library)

  • 可用于拦截动态链接的函数调用,适用于 libclibm 等标准库的 Hook。

绕过部分完整性校验

  • 由于不直接修改代码段(.text),可以绕过部分反调试和完整性检测机制。

缺点

仅适用于动态链接的函数

  • 不能 Hook 静态链接的函数,也不能 Hook 内联的函数。

无法拦截 PLT 之前的调用

  • ELF 采用 PLT(Procedure Linkage Table)延迟解析机制,首次调用函数时仍需解析真实地址,因此可能导致首次调用未被 Hook。

容易被检测

  • 通过 dl_iterate_phdrreadelf -robjdump -R 等方式,可以检测 GOT 表是否被篡改。

2. Inline Hook

原理

  • 直接修改目标函数的 .text 代码段,在函数开头插入跳转指令(JMP/BL),使执行流程跳转到 Hook 函数。
  • 可用于 Hook 任意代码段中的函数(包括静态函数、内联函数、动态库函数等)。

优点

适用范围广

  • 可 Hook 静态链接函数、内联函数,甚至内核函数
  • 可用于 Hook 系统调用(syscall),甚至修改内核态函数行为。

可拦截所有调用

  • Hook 发生在代码执行的最早阶段,不受 PLT/GOT 解析影响。

适用于更深层次的拦截

  • 可以在 Hook 代码中执行指令级修改,例如修改寄存器、修改参数等。

缺点

稳定性低,易崩溃

  • 直接修改 .text 段,若 Hook 代码不当可能导致程序崩溃。
  • 修改 .text 需要关闭写保护(mprotect),某些安全机制(如 SELinux、PIE、PaX)可能会阻止修改。

受架构限制

  • 在不同架构(x86/x86_64、ARM/ARM64)下,指令集不同,Hook 方式不同。
  • 例如,在 x86/x86_64 上通常使用 jmp,而在 ARM 上需要处理 BL 指令和 Thumb 模式。

容易被检测

  • 反调试工具可以检查 .text 段是否被修改,例如:
    objdump -d target_binary | grep <hooked_function>
  • 还可以通过校验 memcmp() 比较代码段原始内容和当前内容是否一致。

3. GOT Hook vs. Inline Hook 对比总结

特性GOT HookInline Hook
适用范围仅动态链接的函数所有函数(包括静态/内联)
修改方式修改 GOT 表修改 .text
稳定性低(容易崩溃)
首次调用拦截可能无法拦截能拦截
绕过完整性校验部分有效无效(易检测)
反调试检测读取 GOT 表即可检测比较 .text 段即可检测
适用架构通用受架构指令集限制
修改权限只需要改写 GOT(数据段,可写)需要解除 .text 段写保护
可逆性容易恢复需要恢复原始指令

4. 适用场景

场景推荐 Hook 方式说明
Hook libc 等动态库函数GOT Hook适用于拦截 mallocopen 等标准库调用
Hook 静态链接/内联函数Inline HookGOT Hook 无法拦截
Hook 所有函数调用Inline Hook可以拦截 PLT 解析前的所有调用
需要稳定性高GOT Hook修改数据段,相对稳定
需要广泛适用性Inline Hook可以拦截更多函数
需要隐藏 HookGOT Hook(部分情况)但仍然可以被检测
Android 逆向分析GOT Hook(系统库) / Inline Hook(特定函数)具体情况具体分析

5. 总结

  • GOT Hook 适用于拦截动态库函数,稳定性较高,但无法 Hook 静态/内联函数,容易被检测。
  • Inline Hook 适用于拦截所有函数(包括静态、内联),但修改 .text 段稳定性低,容易导致崩溃,也容易被检测。
  • 选择哪种 Hook 方式,取决于 目标函数类型稳定性要求反检测需求

在实际应用中,通常结合两者使用。例如:

  • GOT Hook 拦截 malloc/freeopen/close 等系统调用。
  • Inline Hook 用于修改特定函数行为(如游戏修改器、反调试)。
第八章 Android 原生程序开发与逆向分析(三)(原生程序文件格式)(字符串、符号got 、plt 、地址重定位
zlmm741的博客
04-06 970
文章目录字符串符号got 与 plt 地址重定位r_offsetr_infor_addend 字符串 观察 ELF 文件格式,会发现其中包含 .dynstr、.shstrtab、.strtab 三张字符串 .dynstr 位于 .dynstr 节区(dynstr 即 Dynamic String 的缩写),存放的是 .dynamic 节区使用的字符串,如 DT_NEEDED 类型...
web前端面试题完美整理/涵盖html,CSS、JS、浏览器、Vue、React、移动web。
A曾大大的博客
04-15 956
本篇文章整理总结了一些前端面试题,涵盖面很广,并且面的都是知名大厂,所以这些题还是很有代性的,都掌握以后一面基础面应该没什么问题,二面也能应付大半,奉上: css相关 更多教程:https://sucaiip.com/ 万能居中 1.margin: 0 auto;水平 2.text-align: center;水平 3.行高,垂直 4.格,center,middle;水平垂直 5.disp...
Android got hook实现
ctoast的博客
02-15 1098
ELF基本知识 讲解got hook之前,我们首先要对ELF的文件结构有一个基本的认识。ELF中的内容主要包括代码、数据,以及符号,字符串等。这些信息以”节"(section)的形式存储。我习惯把节称为段。常见的段比如代码段.text,数据段.data,字符串.strtab,符号.symtab。 需要注意的是符号字符串的关系,符号中不会直接存储符号名,符号名等字符串会被放到字符串中...
一文带你掌握androidgotHOOK实现。
VN520的博客
01-23 953
对于android的so文件的hook根据ELF文件特性分为:Gothook、Symhookinline hook等。全局符号(GOT)hook实际是通过解析SO文件,将待hook函数在got的地址替换为自己函数的入口地址,这样目标进程每次调用待hook函数时,实际上是执行了我们自己的函数。
AndroidGOTHOOK手动实现
Rorschach:Blog
11-17 4965
网上对于Android中各种HOOK的实现都有很多的介绍了,之前看懂了原理相关的东西,一直没有去尝试手动实现,最近刚好想起就手动实现了一下,简单尝试记录下实现过程以及坑点。如何理解HOOK? 我理解的HOOK就是去动态的修改代码段中相关跳转地址或者指令,执行我们的代码,然后跳转回去接着执行。那既然这样,肯定要保证动态修改的操作先于该函数被执行,因此一般会将HOOK代码放在比较靠前被执行的地方,如i
Android_InlineHook 使用教程
最新发布
gitblog_00485的博客
08-16 537
Android_InlineHook 使用教程 1. 项目目录结构及介绍 Android_InlineHook 的目录结构如下: Android_InlineHook/ ├── app/ # 示例应用模块 │ ├── src/ # 应用源代码 │ │ └── main/ # 主模块源码 │ │ ...
2020秋招 C++软件开发/游戏开发 面试知识整理汇总
方寸间沧海桑田的博客
10-10 4390
鄙人的2020秋招目前已经基本结束,最终拿了四家公司的offer,在综合比较之后目前已经有了明确的偏向,之后在尘埃落定后再写一篇感想总结把。现在把这两个月来整理的CPP复习资料做一个总结,希望日后能够帮助到需要帮助的人 由于文章很长,在这里枚举出对应的十个主要知识点。同时由于md编译器的排版实在比不上word,建议下载本人所提供的word资源。 一、C++方面的问题 二、数据结构算法 三、计...
快手客户端稳定性体系建设
Kwai_tech的博客
08-12 1万+
快手客户端稳定性体系建设背景退出率从Wakeups说起Wakeups是怎么触发的怎么监控wakeups抓取堆栈退出率定义Android OOM治理解决GC卡顿解决Dump hprof冻结app解决hprof文件过大解决hprof解析的耗时与OOM关键对象判定性能化分发与跟进收获与展望成果收获Roadmap参考文献作者简介招聘信息开源项目KOOM 背景 当我们谈论稳定性的时候,通常指的是crash,android有java crash & native crash,iOS有NSException &
android中基于plt/gothook实现原理
handy周
01-05 7596
目录 native-hook示例开始 got全局符号hook 远程注入hook操作 inline hook原理 native内存泄漏检测常用方式 概述 由于android系统是基于linux内核开发的,因此我们日常编写的so文件,实际上也是一个ELF文件,类似于Windows下的PE文件,在开始了解native hook之前,我们要先了解一下ELF文件的格式,以及系统加载的一些过程。 Lin...
androidgotHOOK实现
深耕安全技术研究
08-12 1150
概述 对于android的so文件的hook根据ELF文件特性分为:Gothook、Symhookinline hook等。 全局符号(GOT)hook,它是通过解析SO文件,将待hook函数在got的地址替换为自己函数的入口地址,这样目标进程每次调用待hook函数时,实际上是执行了我们自己的函数。 Androd so注入函数Hook(基于got)的步骤: 1.ptrace附加目标pid进程; 2.在目标pid进程中,查找内存空间(用于存放被注入的so文件的路径so中被调用的函数的名称或者
Android_Inline_Hook,构建一个so文件来自动执行android本地钩子的工作。支持Thumb-2/ARM32。.zip
09-24
这个项目制作了一个android.so文件,可以自动完成一些本地钩子的工作。
HOOK SO文件的GOT
yy405145590的专栏
12-10 1830
#include #include #include #include #include #define IS_DYN(_einfo) (_einfo->ehdr.e_type == ET_DYN) struct dyn_info{ Elf32_Addr symtab; Elf32_Addr strtab; Elf32_Addr jmprel; Elf3
android inline hook 学习笔记
jmp esp
11-13 2576
hook种类 GOThook,通过更改GOToffset来实现hook inline hook,即内部跳转hook,替换函数开始处的地址为跳转指令,跳转到hook函数比较而言, 1.GOT对于本so文件中不经过GOT 2.dlsym来调用的函数不经过GOT android inline hook难点 - ARM模式Thumb存在区别,不像x86,需要区分处理. - 跳转指令如
Inline Hook 之(监视任意函数)
热门推荐
masefee C/C++游戏编程
04-15 4万+
前面已经写过两次inline hook的博文了,第一篇为:《C/C++ HOOK API(原理深入剖析之-LoadLibraryA)》,这篇博文的方法是通过修改任意函数的前面N个字节,实现跳转并进入到我们自定义的hook函数里,执行完毕我们的hook函数之后,再直接调用被hook的函数。第一篇的方法没有考虑多线程的情况,所以在多线程环境下会有问题。第二篇为:《Inline HOOK API 改进版(hot-patching)》,这篇的初衷是为了解决多线程的问题,因为这种方式是一直hook的,直到程序结束。
Android Hook框架adbi的分析(3)---编译inline Hook实践
Fly20141201. 的专栏
07-16 3636
本文博客地址:http://blog.csdn.net/qq1084283172/article/details/75200800一、序言在前面的博客中,已经分析过了Android Hook框架adbi源码的具体实现,Android Hook框架adbi的实现主要分为两部分,一部分是root权限下的Android跨进程的so注入,一部分是基于Android系统的inline Hook
Android Inline Hook
jltxgcy的专栏
08-13 4480
0x00 Android Inline Hook    Inline Hook即内部跳转Hook,通过替换函数开始处的指令为跳转指令,使得原函数跳转到自己的函数,通常还会保留原函数的调用接口。与GOTHook相比,Inline Hook具有更广泛的适用性,几乎可以Hook任何函数,不过其实现更为复杂,考虑的情况更多,并且无法对一些太短的函数Hook。    项目代码:https://github
linux_GOT_hook
weixin_34293246的博客
04-24 332
源码:https://github.com/haidragon/ELF-Hook 转载于:https://blog.51cto.com/haidragon/2383808
Android通过链接视图加载视图实现GOT HOOK
beyond702的专栏
03-25 1347
1. 背景 最近在研究android平台的hook技术,发现网上的资料比较凌乱,自己总结一下。 首先要非常熟悉ELF文件格式,自己动手写一个解析ELF文件的小程序基本就可以研究的比较透彻了。 ELF文件中有节段的概念,相信很多人都不太了解它们的区别:节头是在链接阶段非常重要的结构,提供了链接器链接符号的重要信息,属于链接视图;而段是链接完生成可执行文件动态库后才有的,在被加载执行的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值