linux内核hook技术之指令覆盖与注入

本文主要是介绍linux内核hook技术之指令覆盖与注入，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

前言

说到hook，传统意义上，大家都会觉得跟注入和劫持挂钩。在linux内核中，也可以通过指令覆盖和注入的方式进行hook，来完成自己的业务逻辑，实现自己的功能需求。

一部分人喜欢称这种hook技术为inline hook。

如何hook

具体hook细节在以下编写的驱动例子程序中给出了，例子中标注了详细的注释，大家可对照着代码查看。

例子程序在centos 6系统上编译并测试通过了，如果换成其他系统，部分代码可能需要进行微调，想要尝试的朋友，自己写个简单的makefile文件编译即可。

例子程序中以check_kill_permission内核函数为例进行了hook，装载时需要给驱动传递kallsyms_lookup_name函数地址作为参数。

eg： insmod **.ko kallsyms_lookup_name=0x*******，具体地址0x*****可通过指令 cat /proc/kallsyms | grep kallsyms_lookup_name获取。

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/kallsyms.h>
#include <linux/types.h>
#include <linux/cpu.h>
#include <asm/siginfo.h>
#include <asm/insn.h>
#include <linux/stop_machine.h>/*使用check_kill_permission函数来进行hook测试*/
#define HOOK0_SYS_OPEN_NAME  "check_kill_permission"#define HOOK0_INSN_INIT_NAME    "insn_init"
#define HOOK0_INSN_GET_LENGTH_NAME  "insn_get_length"typedef unsigned long (* kallsyms_lookup_name_t)(const char *name);
typedef void (* insn_get_length_t)(struct insn *insn);
typedef void (* insn_init_t)(struct insn *insn,const void *kaddr,int x86_64);
typedef int (* hook0_stub_t) (int sig,struct siginfo *info,struct task_struct *t);static ulong kallsyms_lookup_name_address;
static void *origin_function_head;
static void *origin_function_next;static kallsyms_lookup_name_t hook0_lookup_name;
static insn_init_t hook0_insn_init;
static insn_get_length_t hook0_insn_get_length;
static hook0_stub_t p_hook0_stub;static uint hook0_insn_len = 0;
static ulong g_wpbit_val = 0;/**占位函数*函数体里面的代码用来占位,无其他意义*do_stub稍后会被其他指令覆盖,用来跳转会原函数* */
static int do_stub(int sig,struct siginfo *info,struct task_struct *t)
{int c0, c1, c2;c0 = 10;c1 = 10;c2 = c0 + c1;return c2;
}/**钩子函数* 通俗点说就是想为所欲为的地方* */
static int hook0_new_function(int sig,struct siginfo *info,struct task_struct *t)
{printk("this is hook body\n");/*p_hook0_stub其实指向的是do_stub*当为所欲为完成之后,可以再将原函数重新执行一遍* */return p_hook0_stub(sig, info, t);
}/**写保护关闭函数* */
static void hook0_clear_wpbit(void)
{ulong val = read_cr0();g_wpbit_val = val;val &= 0xfffffffffffeffff;write_cr0(val);
}/** 写保护位恢复函数* */
static void hook0_recover_wpbit(void)
{write_cr0(g_wpbit_val);
}/**获取指令长度* */
static int hook0_get_length(char *pc_addr)
{struct insn insn;int x86_64 = 1;char *p = pc_addr;hook0_insn_init(&insn, p, x86_64);hook0_insn_get_length(&insn);return insn.length;
}/**钩子函数注入的地方*此处主要通过注入jmp命令来实现的* */
static int hook0_do_hijack(void *arg)
{char *p, *p_stub;int insn_len, offset0, offset1;p = origin_function_head;p_stub = (char *)do_stub;insn_len = 0;/**计算原地址入口出,* */while (insn_len < 5)insn_len += hook0_get_length(p + insn_len);hook0_insn_len = insn_len;/*计算hook0_new_function的跳转偏移*/origin_function_next = p + insn_len;offset0 = (long)hook0_new_function - (long)origin_function_head - 5;/*保存原函数指令的前几个字节,稍后在原函数的开始位置植入jmp调转*/memcpy(p_stub, origin_function_head, hook0_insn_len);p_stub += hook0_insn_len;/*计算占位函数的偏移,占位函数前几个字字节存放的原函数的前几个字节,*稍后存入jmp指令,跳转到origin_function_next*origin_function_next指向原函数保存字节之后的剩余部分指令* */offset1 = (long)origin_function_next - (long)p_stub  - 5;/*关闭写保护位 [16bit]*/hook0_clear_wpbit();/**hijack do_stub *e9(后面的4字节表示偏移值) eb(后面的2字节表示偏移值) => jmp *e8 => call*/*p_stub++ = 0xe9;*((int *)p_stub) = offset1;p_hook0_stub = do_stub;/*内存屏障,保障do_stub先跳转先植入*/barrier();/**hijack origin check_kill_permission *e9(后面的4字节表示偏移值) eb(后面的2字节表示偏移值) => jmp *e8 => call*/*p++ = 0xe9;*((int *)p) = offset0;/*写保护复原*/hook0_recover_wpbit();return 0;
}static int hook0_recover_hijack(void *arg)
{hook0_clear_wpbit();/*将原函数开头被植入的jmp指令复原*/memcpy(origin_function_head, do_stub, hook0_insn_len);hook0_recover_wpbit();return 0;
}static int hook0_init(void)
{/** kallsyms_lookup_name函数的地址,*在insmod装载时由参数kallsyms_lookup_name_address传递*/hook0_lookup_name = (kallsyms_lookup_name_t)kallsyms_lookup_name_address;/** 查找将要劫持的函数地址,此处使用内核提供的kallsyms_lookup_name函数*/origin_function_head = hook0_lookup_name(HOOK0_SYS_OPEN_NAME);/**查找insn_init和insn_get_length函数地址*函数用来计算某指令地址的长度 */hook0_insn_init = (insn_init_t)hook0_lookup_name(HOOK0_INSN_INIT_NAME);hook0_insn_get_length = (insn_get_length_t)hook0_lookup_name(HOOK0_INSN_GET_LENGTH_NAME);stop_machine(hook0_do_hijack, NULL, 0);return 0;
}static void hook0_exit(void)
{stop_machine(hook0_recover_hijack, NULL, 0);return;
}module_init(hook0_init);
module_exit(hook0_exit);
module_param(kallsyms_lookup_name_address, ulong, 0644);
MODULE_LICENSE("GPL");

一些感想

使用指令注入等hook技术时候，有几点可能需要注意下：

写保护的问题，代码区的内存空间是只读的，想进行指令注入需要放开写保护位。
执行权限问题，以上演示的hook技术中使用了do_stub占位函数，本身已经具有了执行权限，如果选择自己开辟内存空间，放入跳转等指令的话，是需要给该内存空间加上执行权限的，例如set_memory_x。
指令长度问题，将jmp植入check_kill_permission原函数的开头时，需要将开头的指令进行备份，以上演示例子中备份到了do_stub函数空间。而我们需要注意的是备份长度问题，所以我们可以借助insn的api来计算指令长度，而拷贝的指令长度需要大于等于要注入的jmp指令长度（jmp指令长度为5）。
堆栈平衡问题，不能随意注入指令，要考虑注入指令之后对内核堆栈的影响。

对这类注入的检测手段主要是在函数入口点进行jmp和call等跳转指令检测，从而判断函数是不是已经被污染了。

这篇关于linux内核hook技术之指令覆盖与注入的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！