linux 子进程hook,Linux Hook技术（五）

今天咱们来点实战的话题,对于前面我们研究的那么多知识,做一次总结.来看看这些节表之间是怎么联系起来的.最后我们将经过一个简单的拦截printf函数,修改它的参数,来输出我指定的字符串,这样就达到简单的hook api的目的.好了废话不多说.先看看test5.c里面的代码.

#include

#include

int main()

{

while (1)

{

getchar();

printf("hello");

fflush(stdout);

}

return 0;

}

这段代码很简单,敲一个回车就输出一个hello,我们的目的就是实现,敲一个hello让他输出我们指定的字符串.

首先先运行这个main程序.在另一个终端里面输入ps -a 查看main 的进程ID.一会我们用GDB手动修改的时候要attach 连接他的进程 ID.

$ ps -a

ps1.png

ps2.png

这里是获取main 程序的进程空间的映射,找到未被使用的空间来写入我们指定的字符串,这里使用的指令是:

cat /proc/3963/maps (3963为test5的pid)

test5.png

这里我们选用7fca11c2f000-7fca11c33000 rw-p 00000000 00:00 0在下面我们会向这个地址空间.写入我们需要的字符串.(还可以选择7fca11e42000-7fca11e44000 rw-p 00000000 00:00 0 或者7fca11e5c000-7fca11e5d000 rw-p 00000000 00:00 0 )

这里我们上面只是做了个提前预报会使用这个来获取未使用空间,下面我们开始通过手动方式来拦截printf这个函数的参数.

启动我们的调试器GDB(建议使用sudo gdb而不是直接gdb启动)

直接启动gdb可能会因为权限问题无法attach(attach是GDB一种重要的debug模式，在MPI程序debug中发挥重要的作用。)

error.png

success.png

各个区域段的情况

registers.png

code.png

stack.png

首先万事都是从main开始,所以先查看main函数处的代码,距离我们的目标又近了一步,看到printf函数的调用的地方了.根据源代码的分析,这里是唯一一个使用printf的函数调用的地方.

(gdb) disassemble main

main.png

根据ELF文件格式,printf跳转的地址是PLT表内,所以查看PLT内的printf地址处的代码,可见这里jmp跳转的地址就是根据前面介绍的GOT表了.那么理论上,就应该跳转到printf函数内去执行了.但是其实不是的.linux采用了一个叫"懒模式"的加载方式,当某个函数第一次被调用,它才会把真正的地址放到GOT表内去.

(gdb) x/10i 0x555e3b0005d0

printf.png

所以我们查看下GOT表内的数据,发现这个地址很熟悉,这个0x555e3b0005db不正是plt表内的JMP下面的地址嘛.由此可见,当第一次加载函数的时候,其实GOT表内还没有得到真正的函数地址,而是返回去支持PLT表内下面的之类,push跟jmp 然后push会把printf函数的相关偏移数据送入栈,jmp去寻找这个函数的地址,然后修改got表对应的地址处的值,这样,当下次再调用printf的时候,那么GOT表内才是printf真正的函数地址

x/10xw 0x555e3b200fc0

image.png

首先我们对plt表内的0x555e3b0005d0地址下一个断点

x/10b 0x555e3b0005d0

break *0x5579d2f305d0

image.png

然后让程序继续执行.

continue

当你在main程序内输入一个回车的时候,GDB就会收到信号通知,表示我们下的断点起作用了.程序调用了printf函数.

Program received signal SIGTRAP, Trace/breakpoint trap.

image.png

这里查看下eip的值,把eip指向0x5579d2f305d0 printf@plt: jmp *0x5579d3130fc0

这条指令

info register rip

image.png

info register esp

image.png

x/10xw 0x7ffec7ba27e8

image.png