linux内核hook技术之函数地址替换

原创 已于 2023-02-21 15:02:23 修改 · 置顶 · 2.4k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #内核 #寄存器 #hooks #驱动程序

于 2021-03-04 18:15:53 首次发布

前言

    函数地址替换是一种更为简单、常见的hook方式,比如对security_ops、sys_call_table等结构中的函数进行替换,来完成自己的安全权限控制。

    其中security_ops是LSM框架中所使用的,sys_call_table是系统调用表结构。当然了,这些结构目前在内核中都已经是只读数据结构了,如果想直接进行函数替换的话,首先就是考虑解决关闭写保护的问题。在下面的模块例子中,演示了重置cr0寄存器写保护位 及其 修改内存页表项属性值两种关闭写保护方式,有兴趣的朋友可对照代码进行查阅。

    除此之外,linux内核还提供了一些注册函数,允许直接注册自己的钩子函数来实现各种功能,比如netfilter框架下的注册函数nf_register_hook等。

    接下来以替换sys_call_table中的sys_open为例来写了一个小模块,说明下如何进行函数地址替换以及写保护关闭。该模块已在centos6 系列系统编译并测试过,使用其他系统的朋友可能需要进行一些微调。

    使用insmod装载时,需要加上kallsyms_lookup_name_address参数,eg: insmod   **.ko   kallsyms_lookup_name_address=0x***,其中kallsyms_lookup_name_address的值可通过 cat /proc/kallsyms | grep kallsyms_lookup_name获取。

如何hook

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/kallsyms.h>
#include <linux/types.h>
#include <linux/cpu.h>
#include <linux/stop_machine
最低0.47元/天 解锁文章

200万优质内容无限畅学
偷梁换柱(Linux下的hook技术
qq_39827740的博客
10-29 740
如果是自己实现的API,那调试起来还好说,加些打印,加些日志,也能糊弄过去。在Linux端开发服务端程序,经常能遇到某个API被执行了,但是只看到执行后的效果,却不能明确是哪个线程执行的,更不清楚其执行路径。attach上去后,打好断点,然后等着复现,但是最大的问题是,灵活度受限,在必现的问题面前还好,但在偶现的问题面前,就显的力不从心。)的存在,导致不同设备,不同环境上运行相同的程序,加载起来的动态库符号地址都不一样,因此该地址需要进行计算,计算方法(以。实现hook非常的灵活,但有较高的学习门槛。
【深入解析】Linux模块化设计(6):从 /proc/kallsyms 到 kallsyms_lookup_name:内核符号查找机制深度揭秘
最新发布
NO_Dream_的博客
06-06 347
作用:根据给定字符串名字,返回该符号对应的地址;其实现是一个遍历内核符号表(kallsyms)的过程。是内核内置符号表查询器;它帮助模块动态解析未导出的符号;默认不导出,需要自行改内核启用;是用户态访问的窗口。
linux内核hook模块
faxiang1230的专栏
12-03 4253
linux内核支持动态加载module,今天不聊正常的module,只简单看一下实现Hook的module. hook通常翻译做劫持,不过这个翻译听起来让人不舒服,感觉有点恐怖,所以大家都是喊行话:hook. 上图是经典的堆栈式hook,也是splice典型的做法,在原有的流程中插入hook,更加典型的做法是栈在调用过程中从funcA->funcB变成了funcA->hook-&gt...
linux系统下的各种hook方式\Linux内核hook系统调用
热门推荐
西京刀客
08-26 1万+
文章目录一、linux系统下的各种hook方式1. 函数指针hook2. 动态库劫持3. Linux系统调用劫持 hook4. 堆栈式文件系统5. LSM二、Linux内核hook系统调用 一、linux系统下的各种hook方式 在计算机中,基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流, Linux平台上常见的拦截: 修改函数指针。 用户态动态库拦截。 内核态系统调用拦截。 堆栈式文件系统拦截。 LSM(Linux Security Modules) 1. 函数
linux 子进程hook,Linux Hook技术(五)
weixin_34564735的博客
04-30 254
今天咱们来点实战的话题,对于前面我们研究的那么多知识,做一次总结.来看看这些节表之间是怎么联系起来的.最后我们将经过一个简单的拦截printf函数,修改它的参数,来输出我指定的字符串,这样就达到简单的hook api的目的.好了废话不多说.先看看test5.c里面的代码.#include #include int main(){while (1){getchar();printf("hello")...
Linux中程序的栈帧分析以及修改函数地址
weixin_33892359的博客
06-22 186
下面有一段代码:#include<stdio.h> #include<unistd.h> #include<stdlib.h> voidfun() { printf("iamtheevilfunc\n"); exit(1); } intfun1(inta,intb) { int*p=&...
linux内核中的hook,【Linux内核调试】使用Ftrace来Hook linux内核函数
weixin_32050773的博客
04-29 558
目标:hook几个Linux内核函数调用,如打开文件和启动进程,并利用它来启用系统活动监控并抢先阻止可疑进程。一、方案比较1. 使用Linux安全API方法:内核代码的关键点包含安全函数调用,这些调用可能触发安全模块安装的回调,该模块可以分析特定操作的上下文,并决定是允许还是禁止它。限制:安全模块无法动态加载,所以需要重新编译内核。2. 修改系统调用表方法:所有Linux系统调用处理程序都存储在s...
c++钩子函数:copy hook_linux函数hook
12-27
在IT领域,钩子函数Hook Function)是一种高级技术,常用于系统监控、调试和拦截特定事件。在C++编程中,我们可以利用钩子来跟踪和控制程序的行为,例如在这个场景下,我们关注的是文件复制操作。"copy hook"特指...
Linux内核Hook技术:阻止execve系统调用执行dpkg命令
本文主要关注如何Hook Linux内核中的execve系统调用,具体到拦截dpkg命令的执行过程。 首先,需要明确的是execve函数的作用。在Linux内核中,execve是一个重要的系统调用,用于运行一个新的程序。它通过替换当前...
Linux Kernel 学习笔记10:hook函数
stone8761的专栏
06-01 1万+
(本章基于:Linux-4.4.0-37) linux 内核中有一套hook函数机制,可在不同hook点位置监控网络数据包,并执行丢弃、修改等操作。网络防火墙就是通过此机制实现的。 注册注销hook函数linux/netfilter.h 注册钩子函数: int nf_register_hook(struct nf_hook_ops *reg); 注销: void
Hook函数任意地址 c++
10-22
该实例实现了Hook函数任意地址的功能,并可以获取CPU寄存器的内容。
Linux x86架构内核Hook实现
qq_42931917的博客
12-27 5348
Linux x86架构内核Hook实现 一、内核函数 text_poke()函数用于在内核动态替换opcode,从而达到Inline Hook的效果。 /** * text_poke - Update instructions on a live kernel * @addr: address to modify * @opcode: source of the copy * @len: length to copy * * Only atomic text poke/set should be
linux内核hook方式
faxiang1230的专栏
07-02 1928
翻译:https://www.apriorit.com/dev-blog/544-hooking-linux-functions-1 我们最近在开展linux系统上安全相关的工作,在上面我们需要hook内核中重要的函数调用,例如打开文件、创建进程。 我们需要这样一个项目来监控系统的活动并且阻塞可疑的进程。 实际上,最后我们采用了一种高效的方式来hook系统,借助于ftrace系统,可以通过函数...
linux内核中的hook函数详解,linux内核中的hook函数详解
weixin_28968285的博客
05-09 1214
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。先介绍一个结构体:struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,其实际的定义为:其中的成员信息为:hook :是一个函数指针,可以将自定义的函数赋值给它,来实现当有数据包到达是调用你自定义的函数。自定义函数的返回值为:owner:是模块的所有者,...
Linux内核开发之hook系统调用
qq_26962739的博客
09-21 1188
本文将讨论如何hook Linux系统调用,教你如何获取系统调用表的地址以及如何利用它来实现几乎所有你想做的事情。
Linux应用层hook技术总结与实例
qq_33838877的博客
01-20 3151
1.前言 LINUX hook技术一直是linux技术爱好者们研究的一个热点问题,Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3, ring0是指CPU的运行级别,ring0是最高级别,ring1次之,ring2更次之,以此类推。 拿Linux+x86来说,操作系统(内核)的代码运行在最高运行级别ring0上,可以使用特权指令,控制中断、修改页表、访问设备等等。 应用程序的代码运行在最低运行级别上ring3上,不能做受控操作。如果要做,比...
linux kernel hook
weixin_33929309的博客
03-14 439
其时是用的linux一个热修补技术。调用内核api 把旧函数前修改成跳转,跳转到新的函数里去执行。这个api就是stop_machine 但是传的不是函数而是一个包好的结构体stop_machine https://www.ibm.com/developerworks/cn/aix/library/au-spunix_ksplice/源码地址:https://github.com/haidrago...
hook C++类的虚表,替换成其他函数
AppNinja 开发手记
10-13 540
hook C++类的虚表,替换成其他函数
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值