linux内核hook技术之跳转指令偏移值

2024-09-02 01:08
文章标签 linux 技术 偏移 指令 内核 跳转 hook

本文主要是介绍linux内核hook技术之跳转指令偏移值,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

    在另一篇博文中提到了指令覆盖和指令注入的hook方式,使用覆盖和注入方式完成内核函数hook,需要有很多的注意事项,而且容易被检测工具检测。这篇博文则聊一下如何通过替换跳转指令偏移值来完成内核函数的hook,这种hook技术也可以称为inline hook。

    事先做个准备工作,手头正好有centos 6系列操作系统,还有一个热腾腾刚出锅的vmlinux。通过 gdb  vmlinux,所示如下:

    如图片所示,sys_open通过call指令调用了do_sys_open函数,我们通过 cat /proc/kallsyms | grep sys_open   cat /proc/kallsyms | grep do_sys_open可以找到函数的真实地址。

    其中call指令的指令码是0xe8,call指令后面的4字节是偏移值offset。

    offset =  要跳转的函数地址  -  call指令当前地址 + 5,其中5表示call指令占用了5个字节。

    也就是说 offset = 要跳转的函数地址  -  call指令下一条指令的地址

如何hook

    我们可以通过kallsyms_lookup_name找到sys_open和do_sys_open的函数地址,则可以从sys_open开始逐字节查找指令码,从而找到call do_sys_open的指令位置,将call后面的偏移值替换称新的偏移值即可完成do_sys_open函数的hook功能。

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/kallsyms.h>
#include <linux/types.h>
#include <linux/cpu.h>
#include <linux/stop_machine.h>#define HOOK0_HOOK_FIRST_NAME  "sys_open"
#define HOOK0_HOOK_SECOND_NAME  "do_sys_open"typedef unsigned long (* kallsyms_lookup_name_t)(const char *name);
typedef long (* hook0_do_sys_open_t)(int dfd, const char __user *filename, int flags, int mode);static ulong kallsyms_lookup_name_address;
static void *hook0_function_first;
static void *hook0_function_second;static kallsyms_lookup_name_t hook0_lookup_name;
static ulong g_wpbit_val = 0;/**钩子函数* 通俗点说就是想为所欲为的地方* */
static long hook0_new_function(int dfd, const char __user *filename, int flags, int mode)
{hook0_do_sys_open_t p_orig_func;/*将do_sys_open函数地址赋值给p_orig_func*/p_orig_func = (hook0_do_sys_open_t)hook0_function_second;printk("this is hook body\n");/*做完自己想做的事情,记得把系统原有的工作也完成一下*/return p_orig_func(dfd, filename, flags, mode);
}/**写保护关闭函数* */
static void hook0_clear_wpbit(void)
{ulong val = read_cr0();g_wpbit_val = val;val &= 0xfffffffffffeffff;write_cr0(val);
}/** 写保护位恢复函数* */
static void hook0_recover_wpbit(void)
{write_cr0(g_wpbit_val);
}/**钩子函数注入的地方*此处主要通过修改偏移值来实现的* */
static int hook0_do_hijack(void *arg)
{unsigned char *pins_code;int maxsize = 128, i;long tmp_offset, real_offset, new_offset = 0;/**hook0_function_first是sys_open的地址* */pins_code = hook0_function_first;hook0_clear_wpbit();for (i = 0; i < maxsize; i++) {/**查找调用do_sys_open的位置*通过gdb vmlinux发现sys_open中调用do_sys_open使用了call指令* call指令的指令码值是e8,后面存储偏移量* eg: call offset 等同于 e8 offset* */if ((unsigned char)pins_code[i] == 0xe8) {/*发现跳转指令call*/tmp_offset = *((int *)(pins_code + i + 1));real_offset = (long)hook0_function_second - ((long)pins_code + i + 5);/*比较当前跳转指令后的偏移值是否是do_sys_open的偏移值*/if (tmp_offset == real_offset) {/*找到调用do_sys_open的指令位置*offset调整为距hook0_new_function的偏移,来完成hook0_new_function的调用*/new_offset = (long)hook0_new_function - ((long)pins_code + i + 5);*((int *)((long)pins_code + i + 1)) = new_offset;break;}}}hook0_recover_wpbit();return 0;
}static int hook0_recover_hijack(void *arg)
{unsigned char *pins_code;int maxsize = 128, i;long tmp_offset, real_offset, new_offset = 0;/**hook0_function_first是sys_open的地址* */pins_code = hook0_function_first;hook0_clear_wpbit();for (i = 0; i < maxsize; i++) {/**查找调用hook0_new_function的位置* 参照hook0_do_hijack * */if ((unsigned char)pins_code[i] == 0xe8) {/*发现跳转指令call*/tmp_offset = *((int *)(pins_code + i + 1));real_offset = (long)hook0_new_function - ((long)pins_code + i + 5);/*比较当前跳转指令后的偏移值是否是hook0_new_function的偏移值*/if (tmp_offset == real_offset) {/*找到调用hook0_new_function的指令位置*offset调整为距原有函数do_sys_open的偏移,来完成恢复的调用*/new_offset = (long)hook0_function_second - ((long)pins_code + i + 5);*((int *)((long)pins_code + i + 1)) = new_offset;break;}}}return 0;
}static int hook0_init(void)
{/** kallsyms_lookup_name函数的地址,*在insmod装载时由参数kallsyms_lookup_name_address传递*/hook0_lookup_name = (kallsyms_lookup_name_t)kallsyms_lookup_name_address;/** 查找将要劫持的函数地址,此处使用内核提供的kallsyms_lookup_name函数*/hook0_function_first = (void *)hook0_lookup_name(HOOK0_HOOK_FIRST_NAME);hook0_function_second = (void *)hook0_lookup_name(HOOK0_HOOK_SECOND_NAME);stop_machine(hook0_do_hijack, NULL, 0);return 0;
}static void hook0_exit(void)
{stop_machine(hook0_recover_hijack, NULL, 0);return;
}module_init(hook0_init);
module_exit(hook0_exit);
module_param(kallsyms_lookup_name_address, ulong, 0644);
MODULE_LICENSE("GPL");

    该代码也是在centos 6系列的系统上编译和测试过,使用其他系统的朋友可能需要进行一些微调整。

一些思考

    整体来看,替换跳转指令偏移的hook方式比代码覆盖和注入的方式更友好一些,至少不用担心堆栈平衡的问题,操作起来也更为简单。不过使用这种方式hook的注入点,对传统意义上的hook检测工具就没有这么友好了。

这篇关于linux内核hook技术之跳转指令偏移值的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/1128568

相关文章

Linux使用fdisk进行磁盘的相关操作

Linux使用fdisk进行磁盘的相关操作

《Linux使用fdisk进行磁盘的相关操作》fdisk命令是Linux中用于管理磁盘分区的强大文本实用程序,这篇文章主要为大家详细介绍了如何使用fdisk进行磁盘的相关操作,需要的可以了解下... 目录简介基本语法示例用法列出所有分区查看指定磁盘的区分管理指定的磁盘进入交互式模式创建一个新的分区删除一个存
阅读更多...
Linux使用dd命令来复制和转换数据的操作方法

Linux使用dd命令来复制和转换数据的操作方法

《Linux使用dd命令来复制和转换数据的操作方法》Linux中的dd命令是一个功能强大的数据复制和转换实用程序,它以较低级别运行,通常用于创建可启动的USB驱动器、克隆磁盘和生成随机数据等任务,本文... 目录简介功能和能力语法常用选项示例用法基础用法创建可启动www.chinasem.cn的 USB 驱动
阅读更多...
高效管理你的Linux系统: Debian操作系统常用命令指南

高效管理你的Linux系统: Debian操作系统常用命令指南

《高效管理你的Linux系统:Debian操作系统常用命令指南》在Debian操作系统中,了解和掌握常用命令对于提高工作效率和系统管理至关重要,本文将详细介绍Debian的常用命令,帮助读者更好地使... Debian是一个流行的linux发行版,它以其稳定性、强大的软件包管理和丰富的社区资源而闻名。在使用
阅读更多...
Linux Mint Xia 22.1重磅发布: 重要更新一览

Linux Mint Xia 22.1重磅发布: 重要更新一览

《LinuxMintXia22.1重磅发布:重要更新一览》Beta版LinuxMint“Xia”22.1发布,新版本基于Ubuntu24.04,内核版本为Linux6.8,这... linux Mint 22.1「Xia」正式发布啦!这次更新带来了诸多优化和改进,进一步巩固了 Mint 在 Linux 桌面
阅读更多...
LinuxMint怎么安装? Linux Mint22下载安装图文教程

LinuxMint怎么安装? Linux Mint22下载安装图文教程

《LinuxMint怎么安装?LinuxMint22下载安装图文教程》LinuxMint22发布以后,有很多新功能,很多朋友想要下载并安装,该怎么操作呢?下面我们就来看看详细安装指南... linux Mint 是一款基于 Ubuntu 的流行发行版,凭借其现代、精致、易于使用的特性,深受小伙伴们所喜爱。对
阅读更多...
什么是 Linux Mint? 适合初学者体验的桌面操作系统

什么是 Linux Mint? 适合初学者体验的桌面操作系统

《什么是LinuxMint?适合初学者体验的桌面操作系统》今天带你全面了解LinuxMint,包括它的历史、功能、版本以及独特亮点,话不多说,马上开始吧... linux Mint 是一款基于 Ubuntu 和 Debian 的知名发行版,它的用户体验非常友好,深受广大 Linux 爱好者和日常用户的青睐,
阅读更多...
Linux(Centos7)安装Mysql/Redis/MinIO方式

Linux(Centos7)安装Mysql/Redis/MinIO方式

《Linux(Centos7)安装Mysql/Redis/MinIO方式》文章总结:介绍了如何安装MySQL和Redis,以及如何配置它们为开机自启,还详细讲解了如何安装MinIO,包括配置Syste... 目录安装mysql安装Redis安装MinIO总结安装Mysql安装Redis搜索Red
阅读更多...
Linux中Curl参数详解实践应用

Linux中Curl参数详解实践应用

《Linux中Curl参数详解实践应用》在现代网络开发和运维工作中,curl命令是一个不可或缺的工具,它是一个利用URL语法在命令行下工作的文件传输工具,支持多种协议,如HTTP、HTTPS、FTP等... 目录引言一、基础请求参数1. -X 或 --request2. -d 或 --data3. -H 或
阅读更多...
Linux磁盘分区、格式化和挂载方式

Linux磁盘分区、格式化和挂载方式

《Linux磁盘分区、格式化和挂载方式》本文详细介绍了Linux系统中磁盘分区、格式化和挂载的基本操作步骤和命令,包括MBR和GPT分区表的区别、fdisk和gdisk命令的使用、常见的文件系统格式以... 目录一、磁盘分区表分类二、fdisk命令创建分区1、交互式的命令2、分区主分区3、创建扩展分区,然后
阅读更多...
Linux中chmod权限设置方式

Linux中chmod权限设置方式

《Linux中chmod权限设置方式》本文介绍了Linux系统中文件和目录权限的设置方法,包括chmod、chown和chgrp命令的使用,以及权限模式和符号模式的详细说明,通过这些命令,用户可以灵活... 目录设置基本权限命令:chmod1、权限介绍2、chmod命令常见用法和示例3、文件权限详解4、ch
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2