linux内核hook技术之函数地址替换

2024-09-02 01:08
文章标签 linux 技术 函数 地址 内核 替换 hook

本文主要是介绍linux内核hook技术之函数地址替换,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

    函数地址替换是一种更为简单、常见的hook方式,比如对security_ops、sys_call_table等结构中的函数进行替换,来完成自己的安全权限控制。

    其中security_ops是LSM框架中所使用的,sys_call_table是系统调用表结构。当然了,这些结构目前在内核中都已经是只读数据结构了,如果想直接进行函数替换的话,首先就是考虑解决关闭写保护的问题。在下面的模块例子中,演示了重置cr0寄存器写保护位 及其 修改内存页表项属性值两种关闭写保护方式,有兴趣的朋友可对照代码进行查阅。

    除此之外,linux内核还提供了一些注册函数,允许直接注册自己的钩子函数来实现各种功能,比如netfilter框架下的注册函数nf_register_hook等。

    接下来以替换sys_call_table中的sys_open为例来写了一个小模块,说明下如何进行函数地址替换以及写保护关闭。该模块已在centos6 系列系统编译并测试过,使用其他系统的朋友可能需要进行一些微调。

    使用insmod装载时,需要加上kallsyms_lookup_name_address参数,eg: insmod   **.ko   kallsyms_lookup_name_address=0x***,其中kallsyms_lookup_name_address的值可通过 cat /proc/kallsyms | grep kallsyms_lookup_name获取。

如何hook

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/kallsyms.h>
#include <linux/types.h>
#include <linux/cpu.h>
#include <linux/stop_machine.h>
#include <asm/unistd_64.h>
#include <asm/cacheflush.h>#define HOOK_HOOK_TABLE_NAME "sys_call_table"typedef void (*sys_call_ptr_t)(void);
typedef unsigned long (* kallsyms_lookup_name_t)(const char *name);
typedef long (* hook_sys_open_t)(const char __user *filename, int flags, int mode);static ulong kallsyms_lookup_name_address;
static kallsyms_lookup_name_t hook_lookup_name;
static ulong g_wpbit_val = 0;
static pgprot_t g_orig_pgprot;static ulong hook_table_addr;
static ulong orig_sys_open_addr;/**要替换的钩子函数* */
long hook_new_sys_open(const char __user *filename, int flags, int mode)
{hook_sys_open_t p_orig;p_orig = (hook_sys_open_t)orig_sys_open_addr;printk("this is hook body !\n");return p_orig(filename, flags, mode);
}/**通过寄存器关闭写保护* */
static void hook_clear_wpbit1(void)
{ulong val = read_cr0();g_wpbit_val = val;val &= 0xfffffffffffeffff;write_cr0(val);
}
/** 写保护位恢复函数* */
static void hook_recover_wpbit1(void)
{write_cr0(g_wpbit_val);
}/**关闭内存页写保护标记* */
static void hook_clear_wpbit2(void)
{pte_t *kpte, new_pte, old_pte;unsigned int level;unsigned long pfn;pgprot_t new_prot;/*根据线性地址查询页表项地址*/kpte = lookup_address(hook_table_addr, &level);if (kpte) {old_pte = *kpte;new_prot = pte_pgprot(old_pte);/*根据页表项值获的页表框号*/pfn = pte_pfn(old_pte);/*保存页表属性值*/g_orig_pgprot = new_prot;/*修改页表属性值*/new_prot.pgprot |= _PAGE_RW;/*使用页框号和新的页表属性值合成新的页表项值*/new_pte = pfn_pte(pfn, canon_pgprot(new_prot));/*发生变化,重新设置页表项值*/if (pte_val(old_pte) != pte_val(new_pte)) {set_pte_atomic(kpte, new_pte);}}
}/**恢复内存页写保护标记* */
static void hook_recover_wpbit2(void)
{pte_t *kpte, new_pte, old_pte;unsigned int level;unsigned long pfn;/*根据线性地址查询页表项地址*/kpte = lookup_address(hook_table_addr, &level);if (kpte) {old_pte = *kpte;pfn = pte_pfn(old_pte);new_pte = pfn_pte(pfn, canon_pgprot(g_orig_pgprot));if (pte_val(old_pte) != pte_val(new_pte)) {/*发生变化,恢复原有页表项值*/set_pte_atomic(kpte, new_pte);}}
}/**钩子函数注入的地方*此处通过对系统调用表,进行函数地址替换* */
static int hook_do_hijack1(void *arg)
{sys_call_ptr_t *p_call = (sys_call_ptr_t *)hook_table_addr;orig_sys_open_addr = (ulong)p_call[__NR_open];/**进行函数地址替换* */hook_clear_wpbit1();p_call[__NR_open] = (sys_call_ptr_t)hook_new_sys_open;hook_recover_wpbit1();return 0;
}
static int hook_do_hijack2(void *arg)
{sys_call_ptr_t *p_call = (sys_call_ptr_t *)hook_table_addr;orig_sys_open_addr = (ulong)p_call[__NR_open];/**进行函数地址替换* */hook_clear_wpbit2();p_call[__NR_open] = (sys_call_ptr_t)hook_new_sys_open;hook_recover_wpbit2();return 0;
}static int hook_recover_hijack1(void *arg)
{sys_call_ptr_t *p_call = (sys_call_ptr_t *)hook_table_addr;/**进行函数地址恢复* */hook_clear_wpbit1();p_call[__NR_open] = (sys_call_ptr_t)orig_sys_open_addr;hook_recover_wpbit1();return 0;
}static int hook_recover_hijack2(void *arg)
{sys_call_ptr_t *p_call = (sys_call_ptr_t *)hook_table_addr;/**进行函数地址恢复* */hook_clear_wpbit2();p_call[__NR_open] = (sys_call_ptr_t)orig_sys_open_addr;hook_recover_wpbit2();return 0;
}static int hook0_init(void)
{/** kallsyms_lookup_name函数的地址,*在insmod装载时由参数kallsyms_lookup_name_address传递*/hook_lookup_name = (kallsyms_lookup_name_t)kallsyms_lookup_name_address;/** 查找将要劫持的函数地址,此处使用内核提供的kallsyms_lookup_name函数*/hook_table_addr = (ulong)hook_lookup_name(HOOK_HOOK_TABLE_NAME);/**使用设置寄存器wp写保护位的方式来放开写保护,进行只读区域的hook* */stop_machine(hook_do_hijack1, NULL, 0);/** 设置页表项中的可写位(第1位writeable),来进行只读区域的hook* 两种方法都可行* *///stop_machine(hook_do_hijack2, NULL, 0);return 0;
}static void hook0_exit(void)
{/**使用设置寄存器wp写保护位的方式来放开写保护,进行只读区域的hook* */stop_machine(hook_recover_hijack1, NULL, 0);/** 设置页表项中的可写位(第1位writeable),来进行只读区域的hook* 两种方法都可行* *///stop_machine(hook_recover_hijack2, NULL, 0);
}module_init(hook0_init);
module_exit(hook0_exit);
module_param(kallsyms_lookup_name_address, ulong, 0644);
MODULE_LICENSE("GPL");

一些思考

  •  推荐使用设置cr0寄存器的方式来关闭写保护功能。
  • 在arm等体系架构中,没有cr0寄存器的情况下,可以尝试使用重置页表属性值中的可写位来完成。上述模块中,已经通过该方式成功将sys_call_table写入。不过该方法未必是万能的,还是需要根据具体的hook位置来做进一步尝试。
  • 补充说明:在arm架构高版本的linux内核系统,比如4.19.X等版本。可能不存在lookup_address等内核接口,上述重置页表属性值的方法未必可用。但可以使用update_mapping_prot函数来完成,可参照以下代码的使用:
void mark_rodata_ro(void)
{unsigned long section_size;/** mark .rodata as read only. Use __init_begin rather than __end_rodata* to cover NOTES and EXCEPTION_TABLE.*/section_size = (unsigned long)__init_begin - (unsigned long)__start_rodata;update_mapping_prot(__pa_symbol(__start_rodata), (unsigned long)__start_rodata,section_size, PAGE_KERNEL_RO);debug_checkwx();
}
其中, __init_begin以及__start_rodata地址可以从/proc/kallsyms文件中获取。

这篇关于linux内核hook技术之函数地址替换的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/1128569

相关文章

Java并发编程之如何优雅关闭钩子Shutdown Hook

Java并发编程之如何优雅关闭钩子Shutdown Hook

《Java并发编程之如何优雅关闭钩子ShutdownHook》这篇文章主要为大家详细介绍了Java如何实现优雅关闭钩子ShutdownHook,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起... 目录关闭钩子简介关闭钩子应用场景数据库连接实战演示使用关闭钩子的注意事项开源框架中的关闭钩子机制1.
阅读更多...
Linux之systemV共享内存方式

Linux之systemV共享内存方式

《Linux之systemV共享内存方式》:本文主要介绍Linux之systemV共享内存方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、工作原理二、系统调用接口1、申请共享内存(一)key的获取(二)共享内存的申请2、将共享内存段连接到进程地址空间3、将
阅读更多...
快速修复一个Panic的Linux内核的技巧

快速修复一个Panic的Linux内核的技巧

《快速修复一个Panic的Linux内核的技巧》Linux系统中运行了不当的mkinitcpio操作导致内核文件不能正常工作,重启的时候,内核启动中止于Panic状态,该怎么解决这个问题呢?下面我们就... 感谢China编程(www.chinasem.cn)网友 鸢一雨音 的投稿写这篇文章是有原因的。为了配置完
阅读更多...
Python的time模块一些常用功能(各种与时间相关的函数)

Python的time模块一些常用功能(各种与时间相关的函数)

《Python的time模块一些常用功能(各种与时间相关的函数)》Python的time模块提供了各种与时间相关的函数,包括获取当前时间、处理时间间隔、执行时间测量等,:本文主要介绍Python的... 目录1. 获取当前时间2. 时间格式化3. 延时执行4. 时间戳运算5. 计算代码执行时间6. 转换为指
阅读更多...
Python正则表达式语法及re模块中的常用函数详解

Python正则表达式语法及re模块中的常用函数详解

《Python正则表达式语法及re模块中的常用函数详解》这篇文章主要给大家介绍了关于Python正则表达式语法及re模块中常用函数的相关资料,正则表达式是一种强大的字符串处理工具,可以用于匹配、切分、... 目录概念、作用和步骤语法re模块中的常用函数总结 概念、作用和步骤概念: 本身也是一个字符串,其中
阅读更多...
Linux命令之firewalld的用法

Linux命令之firewalld的用法

《Linux命令之firewalld的用法》:本文主要介绍Linux命令之firewalld的用法,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录linux命令之firewalld1、程序包2、启动firewalld3、配置文件4、firewalld规则定义的九大
阅读更多...
Linux之计划任务和调度命令at/cron详解

Linux之计划任务和调度命令at/cron详解

《Linux之计划任务和调度命令at/cron详解》:本文主要介绍Linux之计划任务和调度命令at/cron的使用,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录linux计划任务和调度命令at/cron一、计划任务二、命令{at}介绍三、命令语法及功能 :at
阅读更多...
Linux下如何使用C++获取硬件信息

Linux下如何使用C++获取硬件信息

《Linux下如何使用C++获取硬件信息》这篇文章主要为大家详细介绍了如何使用C++实现获取CPU,主板,磁盘,BIOS信息等硬件信息,文中的示例代码讲解详细,感兴趣的小伙伴可以了解下... 目录方法获取CPU信息:读取"/proc/cpuinfo"文件获取磁盘信息:读取"/proc/diskstats"文
阅读更多...
Linux内核参数配置与验证详细指南

Linux内核参数配置与验证详细指南

《Linux内核参数配置与验证详细指南》在Linux系统运维和性能优化中,内核参数(sysctl)的配置至关重要,本文主要来聊聊如何配置与验证这些Linux内核参数,希望对大家有一定的帮助... 目录1. 引言2. 内核参数的作用3. 如何设置内核参数3.1 临时设置(重启失效)3.2 永久设置(重启仍生效
阅读更多...
kali linux 无法登录root的问题及解决方法

kali linux 无法登录root的问题及解决方法

《kalilinux无法登录root的问题及解决方法》:本文主要介绍kalilinux无法登录root的问题及解决方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,... 目录kali linux 无法登录root1、问题描述1.1、本地登录root1.2、ssh远程登录root2、
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2