linux内核hook技术之指令覆盖与注入

2024-09-02 01:08

本文主要是介绍linux内核hook技术之指令覆盖与注入,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

    说到hook,传统意义上,大家都会觉得跟注入和劫持挂钩。在linux内核中,也可以通过指令覆盖和注入的方式进行hook,来完成自己的业务逻辑,实现自己的功能需求。

    一部分人喜欢称这种hook技术为inline hook。

如何hook

    具体hook细节在以下编写的驱动例子程序中给出了,例子中标注了详细的注释,大家可对照着代码查看。

    例子程序在centos 6系统上编译并测试通过了,如果换成其他系统,部分代码可能需要进行微调,想要尝试的朋友,自己写个简单的makefile文件编译即可。

    例子程序中以check_kill_permission内核函数为例进行了hook,装载时需要给驱动传递kallsyms_lookup_name函数地址作为参数。

    eg: insmod **.ko kallsyms_lookup_name=0x*******,具体地址0x*****可通过指令 cat /proc/kallsyms | grep kallsyms_lookup_name获取。

 

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/kallsyms.h>
#include <linux/types.h>
#include <linux/cpu.h>
#include <asm/siginfo.h>
#include <asm/insn.h>
#include <linux/stop_machine.h>/*使用check_kill_permission函数来进行hook测试*/
#define HOOK0_SYS_OPEN_NAME  "check_kill_permission"#define HOOK0_INSN_INIT_NAME    "insn_init"
#define HOOK0_INSN_GET_LENGTH_NAME  "insn_get_length"typedef unsigned long (* kallsyms_lookup_name_t)(const char *name);
typedef void (* insn_get_length_t)(struct insn *insn);
typedef void (* insn_init_t)(struct insn *insn,const void *kaddr,int x86_64);
typedef int (* hook0_stub_t) (int sig,struct siginfo *info,struct task_struct *t);static ulong kallsyms_lookup_name_address;
static void *origin_function_head;
static void *origin_function_next;static kallsyms_lookup_name_t hook0_lookup_name;
static insn_init_t hook0_insn_init;
static insn_get_length_t hook0_insn_get_length;
static hook0_stub_t p_hook0_stub;static uint hook0_insn_len = 0;
static ulong g_wpbit_val = 0;/**占位函数*函数体里面的代码用来占位,无其他意义*do_stub稍后会被其他指令覆盖,用来跳转会原函数* */
static int do_stub(int sig,struct siginfo *info,struct task_struct *t)
{int c0, c1, c2;c0 = 10;c1 = 10;c2 = c0 + c1;return c2;
}/**钩子函数* 通俗点说就是想为所欲为的地方* */
static int hook0_new_function(int sig,struct siginfo *info,struct task_struct *t)
{printk("this is hook body\n");/*p_hook0_stub其实指向的是do_stub*当为所欲为完成之后,可以再将原函数重新执行一遍* */return p_hook0_stub(sig, info, t);
}/**写保护关闭函数* */
static void hook0_clear_wpbit(void)
{ulong val = read_cr0();g_wpbit_val = val;val &= 0xfffffffffffeffff;write_cr0(val);
}/** 写保护位恢复函数* */
static void hook0_recover_wpbit(void)
{write_cr0(g_wpbit_val);
}/**获取指令长度* */
static int hook0_get_length(char *pc_addr)
{struct insn insn;int x86_64 = 1;char *p = pc_addr;hook0_insn_init(&insn, p, x86_64);hook0_insn_get_length(&insn);return insn.length;
}/**钩子函数注入的地方*此处主要通过注入jmp命令来实现的* */
static int hook0_do_hijack(void *arg)
{char *p, *p_stub;int insn_len, offset0, offset1;p = origin_function_head;p_stub = (char *)do_stub;insn_len = 0;/**计算原地址入口出,* */while (insn_len < 5)insn_len += hook0_get_length(p + insn_len);hook0_insn_len = insn_len;/*计算hook0_new_function的跳转偏移*/origin_function_next = p + insn_len;offset0 = (long)hook0_new_function - (long)origin_function_head - 5;/*保存原函数指令的前几个字节,稍后在原函数的开始位置植入jmp调转*/memcpy(p_stub, origin_function_head, hook0_insn_len);p_stub += hook0_insn_len;/*计算占位函数的偏移,占位函数前几个字字节存放的原函数的前几个字节,*稍后存入jmp指令,跳转到origin_function_next*origin_function_next指向原函数保存字节之后的剩余部分指令* */offset1 = (long)origin_function_next - (long)p_stub  - 5;/*关闭写保护位 [16bit]*/hook0_clear_wpbit();/**hijack do_stub *e9(后面的4字节表示偏移值) eb(后面的2字节表示偏移值) => jmp *e8 => call*/*p_stub++ = 0xe9;*((int *)p_stub) = offset1;p_hook0_stub = do_stub;/*内存屏障,保障do_stub先跳转先植入*/barrier();/**hijack origin check_kill_permission *e9(后面的4字节表示偏移值) eb(后面的2字节表示偏移值) => jmp *e8 => call*/*p++ = 0xe9;*((int *)p) = offset0;/*写保护复原*/hook0_recover_wpbit();return 0;
}static int hook0_recover_hijack(void *arg)
{hook0_clear_wpbit();/*将原函数开头被植入的jmp指令复原*/memcpy(origin_function_head, do_stub, hook0_insn_len);hook0_recover_wpbit();return 0;
}static int hook0_init(void)
{/** kallsyms_lookup_name函数的地址,*在insmod装载时由参数kallsyms_lookup_name_address传递*/hook0_lookup_name = (kallsyms_lookup_name_t)kallsyms_lookup_name_address;/** 查找将要劫持的函数地址,此处使用内核提供的kallsyms_lookup_name函数*/origin_function_head = hook0_lookup_name(HOOK0_SYS_OPEN_NAME);/**查找insn_init和insn_get_length函数地址*函数用来计算某指令地址的长度 */hook0_insn_init = (insn_init_t)hook0_lookup_name(HOOK0_INSN_INIT_NAME);hook0_insn_get_length = (insn_get_length_t)hook0_lookup_name(HOOK0_INSN_GET_LENGTH_NAME);stop_machine(hook0_do_hijack, NULL, 0);return 0;
}static void hook0_exit(void)
{stop_machine(hook0_recover_hijack, NULL, 0);return;
}module_init(hook0_init);
module_exit(hook0_exit);
module_param(kallsyms_lookup_name_address, ulong, 0644);
MODULE_LICENSE("GPL");

一些感想

使用指令注入等hook技术时候,有几点可能需要注意下:

  • 写保护的问题,代码区的内存空间是只读的,想进行指令注入需要放开写保护位。
  • 执行权限问题,以上演示的hook技术中使用了do_stub占位函数,本身已经具有了执行权限,如果选择自己开辟内存空间,放入跳转等指令的话,是需要给该内存空间加上执行权限的,例如set_memory_x。
  • 指令长度问题,将jmp植入check_kill_permission原函数的开头时,需要将开头的指令进行备份,以上演示例子中备份到了do_stub函数空间。而我们需要注意的是备份长度问题,所以我们可以借助insn的api来计算指令长度,而拷贝的指令长度需要大于等于要注入的jmp指令长度(jmp指令长度为5)。
  • 堆栈平衡问题,不能随意注入指令,要考虑注入指令之后对内核堆栈的影响。

    对这类注入的检测手段主要是在函数入口点进行jmp和call等跳转指令检测,从而判断函数是不是已经被污染了。

 

 

 

 

 

 

 

这篇关于linux内核hook技术之指令覆盖与注入的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1128567

相关文章

这15个Vue指令,让你的项目开发爽到爆

1. V-Hotkey 仓库地址: github.com/Dafrok/v-ho… Demo: 戳这里 https://dafrok.github.io/v-hotkey 安装: npm install --save v-hotkey 这个指令可以给组件绑定一个或多个快捷键。你想要通过按下 Escape 键后隐藏某个组件,按住 Control 和回车键再显示它吗?小菜一碟: <template

linux-基础知识3

打包和压缩 zip 安装zip软件包 yum -y install zip unzip 压缩打包命令: zip -q -r -d -u 压缩包文件名 目录和文件名列表 -q:不显示命令执行过程-r:递归处理,打包各级子目录和文件-u:把文件增加/替换到压缩包中-d:从压缩包中删除指定的文件 解压:unzip 压缩包名 打包文件 把压缩包从服务器下载到本地 把压缩包上传到服务器(zip

【专题】2024飞行汽车技术全景报告合集PDF分享(附原数据表)

原文链接: https://tecdat.cn/?p=37628 6月16日,小鹏汇天旅航者X2在北京大兴国际机场临空经济区完成首飞,这也是小鹏汇天的产品在京津冀地区进行的首次飞行。小鹏汇天方面还表示,公司准备量产,并计划今年四季度开启预售小鹏汇天分体式飞行汽车,探索分体式飞行汽车城际通勤。阅读原文,获取专题报告合集全文,解锁文末271份飞行汽车相关行业研究报告。 据悉,业内人士对飞行汽车行业

Linux 网络编程 --- 应用层

一、自定义协议和序列化反序列化 代码: 序列化反序列化实现网络版本计算器 二、HTTP协议 1、谈两个简单的预备知识 https://www.baidu.com/ --- 域名 --- 域名解析 --- IP地址 http的端口号为80端口,https的端口号为443 url为统一资源定位符。CSDNhttps://mp.csdn.net/mp_blog/creation/editor

【Python编程】Linux创建虚拟环境并配置与notebook相连接

1.创建 使用 venv 创建虚拟环境。例如,在当前目录下创建一个名为 myenv 的虚拟环境: python3 -m venv myenv 2.激活 激活虚拟环境使其成为当前终端会话的活动环境。运行: source myenv/bin/activate 3.与notebook连接 在虚拟环境中,使用 pip 安装 Jupyter 和 ipykernel: pip instal

内核启动时减少log的方式

内核引导选项 内核引导选项大体上可以分为两类:一类与设备无关、另一类与设备有关。与设备有关的引导选项多如牛毛,需要你自己阅读内核中的相应驱动程序源码以获取其能够接受的引导选项。比如,如果你想知道可以向 AHA1542 SCSI 驱动程序传递哪些引导选项,那么就查看 drivers/scsi/aha1542.c 文件,一般在前面 100 行注释里就可以找到所接受的引导选项说明。大多数选项是通过"_

金融业开源技术 术语

金融业开源技术  术语 1  范围 本文件界定了金融业开源技术的常用术语。 本文件适用于金融业中涉及开源技术的相关标准及规范性文件制定和信息沟通等活动。

Linux_kernel驱动开发11

一、改回nfs方式挂载根文件系统         在产品将要上线之前,需要制作不同类型格式的根文件系统         在产品研发阶段,我们还是需要使用nfs的方式挂载根文件系统         优点:可以直接在上位机中修改文件系统内容,延长EMMC的寿命         【1】重启上位机nfs服务         sudo service nfs-kernel-server resta

【Linux 从基础到进阶】Ansible自动化运维工具使用

Ansible自动化运维工具使用 Ansible 是一款开源的自动化运维工具,采用无代理架构(agentless),基于 SSH 连接进行管理,具有简单易用、灵活强大、可扩展性高等特点。它广泛用于服务器管理、应用部署、配置管理等任务。本文将介绍 Ansible 的安装、基本使用方法及一些实际运维场景中的应用,旨在帮助运维人员快速上手并熟练运用 Ansible。 1. Ansible的核心概念