linux内核hook技术之跳转指令偏移值

2024-09-02 01:08
文章标签 linux 技术 偏移 指令 内核 跳转 hook

本文主要是介绍linux内核hook技术之跳转指令偏移值,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

    在另一篇博文中提到了指令覆盖和指令注入的hook方式,使用覆盖和注入方式完成内核函数hook,需要有很多的注意事项,而且容易被检测工具检测。这篇博文则聊一下如何通过替换跳转指令偏移值来完成内核函数的hook,这种hook技术也可以称为inline hook。

    事先做个准备工作,手头正好有centos 6系列操作系统,还有一个热腾腾刚出锅的vmlinux。通过 gdb  vmlinux,所示如下:

    如图片所示,sys_open通过call指令调用了do_sys_open函数,我们通过 cat /proc/kallsyms | grep sys_open   cat /proc/kallsyms | grep do_sys_open可以找到函数的真实地址。

    其中call指令的指令码是0xe8,call指令后面的4字节是偏移值offset。

    offset =  要跳转的函数地址  -  call指令当前地址 + 5,其中5表示call指令占用了5个字节。

    也就是说 offset = 要跳转的函数地址  -  call指令下一条指令的地址

如何hook

    我们可以通过kallsyms_lookup_name找到sys_open和do_sys_open的函数地址,则可以从sys_open开始逐字节查找指令码,从而找到call do_sys_open的指令位置,将call后面的偏移值替换称新的偏移值即可完成do_sys_open函数的hook功能。

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/kallsyms.h>
#include <linux/types.h>
#include <linux/cpu.h>
#include <linux/stop_machine.h>#define HOOK0_HOOK_FIRST_NAME  "sys_open"
#define HOOK0_HOOK_SECOND_NAME  "do_sys_open"typedef unsigned long (* kallsyms_lookup_name_t)(const char *name);
typedef long (* hook0_do_sys_open_t)(int dfd, const char __user *filename, int flags, int mode);static ulong kallsyms_lookup_name_address;
static void *hook0_function_first;
static void *hook0_function_second;static kallsyms_lookup_name_t hook0_lookup_name;
static ulong g_wpbit_val = 0;/**钩子函数* 通俗点说就是想为所欲为的地方* */
static long hook0_new_function(int dfd, const char __user *filename, int flags, int mode)
{hook0_do_sys_open_t p_orig_func;/*将do_sys_open函数地址赋值给p_orig_func*/p_orig_func = (hook0_do_sys_open_t)hook0_function_second;printk("this is hook body\n");/*做完自己想做的事情,记得把系统原有的工作也完成一下*/return p_orig_func(dfd, filename, flags, mode);
}/**写保护关闭函数* */
static void hook0_clear_wpbit(void)
{ulong val = read_cr0();g_wpbit_val = val;val &= 0xfffffffffffeffff;write_cr0(val);
}/** 写保护位恢复函数* */
static void hook0_recover_wpbit(void)
{write_cr0(g_wpbit_val);
}/**钩子函数注入的地方*此处主要通过修改偏移值来实现的* */
static int hook0_do_hijack(void *arg)
{unsigned char *pins_code;int maxsize = 128, i;long tmp_offset, real_offset, new_offset = 0;/**hook0_function_first是sys_open的地址* */pins_code = hook0_function_first;hook0_clear_wpbit();for (i = 0; i < maxsize; i++) {/**查找调用do_sys_open的位置*通过gdb vmlinux发现sys_open中调用do_sys_open使用了call指令* call指令的指令码值是e8,后面存储偏移量* eg: call offset 等同于 e8 offset* */if ((unsigned char)pins_code[i] == 0xe8) {/*发现跳转指令call*/tmp_offset = *((int *)(pins_code + i + 1));real_offset = (long)hook0_function_second - ((long)pins_code + i + 5);/*比较当前跳转指令后的偏移值是否是do_sys_open的偏移值*/if (tmp_offset == real_offset) {/*找到调用do_sys_open的指令位置*offset调整为距hook0_new_function的偏移,来完成hook0_new_function的调用*/new_offset = (long)hook0_new_function - ((long)pins_code + i + 5);*((int *)((long)pins_code + i + 1)) = new_offset;break;}}}hook0_recover_wpbit();return 0;
}static int hook0_recover_hijack(void *arg)
{unsigned char *pins_code;int maxsize = 128, i;long tmp_offset, real_offset, new_offset = 0;/**hook0_function_first是sys_open的地址* */pins_code = hook0_function_first;hook0_clear_wpbit();for (i = 0; i < maxsize; i++) {/**查找调用hook0_new_function的位置* 参照hook0_do_hijack * */if ((unsigned char)pins_code[i] == 0xe8) {/*发现跳转指令call*/tmp_offset = *((int *)(pins_code + i + 1));real_offset = (long)hook0_new_function - ((long)pins_code + i + 5);/*比较当前跳转指令后的偏移值是否是hook0_new_function的偏移值*/if (tmp_offset == real_offset) {/*找到调用hook0_new_function的指令位置*offset调整为距原有函数do_sys_open的偏移,来完成恢复的调用*/new_offset = (long)hook0_function_second - ((long)pins_code + i + 5);*((int *)((long)pins_code + i + 1)) = new_offset;break;}}}return 0;
}static int hook0_init(void)
{/** kallsyms_lookup_name函数的地址,*在insmod装载时由参数kallsyms_lookup_name_address传递*/hook0_lookup_name = (kallsyms_lookup_name_t)kallsyms_lookup_name_address;/** 查找将要劫持的函数地址,此处使用内核提供的kallsyms_lookup_name函数*/hook0_function_first = (void *)hook0_lookup_name(HOOK0_HOOK_FIRST_NAME);hook0_function_second = (void *)hook0_lookup_name(HOOK0_HOOK_SECOND_NAME);stop_machine(hook0_do_hijack, NULL, 0);return 0;
}static void hook0_exit(void)
{stop_machine(hook0_recover_hijack, NULL, 0);return;
}module_init(hook0_init);
module_exit(hook0_exit);
module_param(kallsyms_lookup_name_address, ulong, 0644);
MODULE_LICENSE("GPL");

    该代码也是在centos 6系列的系统上编译和测试过,使用其他系统的朋友可能需要进行一些微调整。

一些思考

    整体来看,替换跳转指令偏移的hook方式比代码覆盖和注入的方式更友好一些,至少不用担心堆栈平衡的问题,操作起来也更为简单。不过使用这种方式hook的注入点,对传统意义上的hook检测工具就没有这么友好了。

这篇关于linux内核hook技术之跳转指令偏移值的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/1128568

相关文章

Linux join命令的使用及说明

Linux join命令的使用及说明

《Linuxjoin命令的使用及说明》`join`命令用于在Linux中按字段将两个文件进行连接,类似于SQL的JOIN,它需要两个文件按用于匹配的字段排序,并且第一个文件的换行符必须是LF,`jo... 目录一. 基本语法二. 数据准备三. 指定文件的连接key四.-a输出指定文件的所有行五.-o指定输出
阅读更多...
Linux jq命令的使用解读

Linux jq命令的使用解读

《Linuxjq命令的使用解读》jq是一个强大的命令行工具,用于处理JSON数据,它可以用来查看、过滤、修改、格式化JSON数据,通过使用各种选项和过滤器,可以实现复杂的JSON处理任务... 目录一. 简介二. 选项2.1.2.2-c2.3-r2.4-R三. 字段提取3.1 普通字段3.2 数组字段四.
阅读更多...
Linux kill正在执行的后台任务 kill进程组使用详解

Linux kill正在执行的后台任务 kill进程组使用详解

《Linuxkill正在执行的后台任务kill进程组使用详解》文章介绍了两个脚本的功能和区别,以及执行这些脚本时遇到的进程管理问题,通过查看进程树、使用`kill`命令和`lsof`命令,分析了子... 目录零. 用到的命令一. 待执行的脚本二. 执行含子进程的脚本,并kill2.1 进程查看2.2 遇到的
阅读更多...
Linux云服务器手动配置DNS的方法步骤

Linux云服务器手动配置DNS的方法步骤

《Linux云服务器手动配置DNS的方法步骤》在Linux云服务器上手动配置DNS(域名系统)是确保服务器能够正常解析域名的重要步骤,以下是详细的配置方法,包括系统文件的修改和常见问题的解决方案,需要... 目录1. 为什么需要手动配置 DNS?2. 手动配置 DNS 的方法方法 1:修改 /etc/res
阅读更多...
Linux创建服务使用systemctl管理详解

Linux创建服务使用systemctl管理详解

《Linux创建服务使用systemctl管理详解》文章指导在Linux中创建systemd服务,设置文件权限为所有者读写、其他只读,重新加载配置,启动服务并检查状态,确保服务正常运行,关键步骤包括权... 目录创建服务 /usr/lib/systemd/system/设置服务文件权限:所有者读写js,其他
阅读更多...
Linux下利用select实现串口数据读取过程

Linux下利用select实现串口数据读取过程

《Linux下利用select实现串口数据读取过程》文章介绍Linux中使用select、poll或epoll实现串口数据读取,通过I/O多路复用机制在数据到达时触发读取,避免持续轮询,示例代码展示设... 目录示例代码(使用select实现)代码解释总结在 linux 系统里,我们可以借助 select、
阅读更多...
Linux挂载linux/Windows共享目录实现方式

Linux挂载linux/Windows共享目录实现方式

《Linux挂载linux/Windows共享目录实现方式》:本文主要介绍Linux挂载linux/Windows共享目录实现方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地... 目录文件共享协议linux环境作为服务端(NFS)在服务器端安装 NFS创建要共享的目录修改 NFS 配
阅读更多...
linux系统中java的cacerts的优先级详解

linux系统中java的cacerts的优先级详解

《linux系统中java的cacerts的优先级详解》文章讲解了Java信任库(cacerts)的优先级与管理方式,指出JDK自带的cacerts默认优先级更高,系统级cacerts需手动同步或显式... 目录Java 默认使用哪个?如何检查当前使用的信任库?简要了解Java的信任库总结了解 Java 信
阅读更多...
Linux命令rm如何删除名字以“-”开头的文件

Linux命令rm如何删除名字以“-”开头的文件

《Linux命令rm如何删除名字以“-”开头的文件》Linux中,命令的解析机制非常灵活,它会根据命令的开头字符来判断是否需要执行命令选项,对于文件操作命令(如rm、ls等),系统默认会将命令开头的某... 目录先搞懂:为啥“-”开头的文件删不掉?两种超简单的删除方法(小白也能学会)方法1:用“--”分隔命
阅读更多...
Java中的Schema校验技术与实践示例详解

Java中的Schema校验技术与实践示例详解

《Java中的Schema校验技术与实践示例详解》本主题详细介绍了在Java环境下进行XMLSchema和JSONSchema校验的方法,包括使用JAXP、JAXB以及专门的JSON校验库等技术,本文... 目录1. XML和jsON的Schema校验概念1.1 XML和JSON校验的必要性1.2 Sche
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2