linux内核hook技术之跳转指令偏移值

2024-09-02 01:08

本文主要是介绍linux内核hook技术之跳转指令偏移值,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

    在另一篇博文中提到了指令覆盖和指令注入的hook方式,使用覆盖和注入方式完成内核函数hook,需要有很多的注意事项,而且容易被检测工具检测。这篇博文则聊一下如何通过替换跳转指令偏移值来完成内核函数的hook,这种hook技术也可以称为inline hook。

    事先做个准备工作,手头正好有centos 6系列操作系统,还有一个热腾腾刚出锅的vmlinux。通过 gdb  vmlinux,所示如下:

    如图片所示,sys_open通过call指令调用了do_sys_open函数,我们通过 cat /proc/kallsyms | grep sys_open   cat /proc/kallsyms | grep do_sys_open可以找到函数的真实地址。

    其中call指令的指令码是0xe8,call指令后面的4字节是偏移值offset。

    offset =  要跳转的函数地址  -  call指令当前地址 + 5,其中5表示call指令占用了5个字节。

    也就是说 offset = 要跳转的函数地址  -  call指令下一条指令的地址

如何hook

    我们可以通过kallsyms_lookup_name找到sys_open和do_sys_open的函数地址,则可以从sys_open开始逐字节查找指令码,从而找到call do_sys_open的指令位置,将call后面的偏移值替换称新的偏移值即可完成do_sys_open函数的hook功能。

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/kallsyms.h>
#include <linux/types.h>
#include <linux/cpu.h>
#include <linux/stop_machine.h>#define HOOK0_HOOK_FIRST_NAME  "sys_open"
#define HOOK0_HOOK_SECOND_NAME  "do_sys_open"typedef unsigned long (* kallsyms_lookup_name_t)(const char *name);
typedef long (* hook0_do_sys_open_t)(int dfd, const char __user *filename, int flags, int mode);static ulong kallsyms_lookup_name_address;
static void *hook0_function_first;
static void *hook0_function_second;static kallsyms_lookup_name_t hook0_lookup_name;
static ulong g_wpbit_val = 0;/**钩子函数* 通俗点说就是想为所欲为的地方* */
static long hook0_new_function(int dfd, const char __user *filename, int flags, int mode)
{hook0_do_sys_open_t p_orig_func;/*将do_sys_open函数地址赋值给p_orig_func*/p_orig_func = (hook0_do_sys_open_t)hook0_function_second;printk("this is hook body\n");/*做完自己想做的事情,记得把系统原有的工作也完成一下*/return p_orig_func(dfd, filename, flags, mode);
}/**写保护关闭函数* */
static void hook0_clear_wpbit(void)
{ulong val = read_cr0();g_wpbit_val = val;val &= 0xfffffffffffeffff;write_cr0(val);
}/** 写保护位恢复函数* */
static void hook0_recover_wpbit(void)
{write_cr0(g_wpbit_val);
}/**钩子函数注入的地方*此处主要通过修改偏移值来实现的* */
static int hook0_do_hijack(void *arg)
{unsigned char *pins_code;int maxsize = 128, i;long tmp_offset, real_offset, new_offset = 0;/**hook0_function_first是sys_open的地址* */pins_code = hook0_function_first;hook0_clear_wpbit();for (i = 0; i < maxsize; i++) {/**查找调用do_sys_open的位置*通过gdb vmlinux发现sys_open中调用do_sys_open使用了call指令* call指令的指令码值是e8,后面存储偏移量* eg: call offset 等同于 e8 offset* */if ((unsigned char)pins_code[i] == 0xe8) {/*发现跳转指令call*/tmp_offset = *((int *)(pins_code + i + 1));real_offset = (long)hook0_function_second - ((long)pins_code + i + 5);/*比较当前跳转指令后的偏移值是否是do_sys_open的偏移值*/if (tmp_offset == real_offset) {/*找到调用do_sys_open的指令位置*offset调整为距hook0_new_function的偏移,来完成hook0_new_function的调用*/new_offset = (long)hook0_new_function - ((long)pins_code + i + 5);*((int *)((long)pins_code + i + 1)) = new_offset;break;}}}hook0_recover_wpbit();return 0;
}static int hook0_recover_hijack(void *arg)
{unsigned char *pins_code;int maxsize = 128, i;long tmp_offset, real_offset, new_offset = 0;/**hook0_function_first是sys_open的地址* */pins_code = hook0_function_first;hook0_clear_wpbit();for (i = 0; i < maxsize; i++) {/**查找调用hook0_new_function的位置* 参照hook0_do_hijack * */if ((unsigned char)pins_code[i] == 0xe8) {/*发现跳转指令call*/tmp_offset = *((int *)(pins_code + i + 1));real_offset = (long)hook0_new_function - ((long)pins_code + i + 5);/*比较当前跳转指令后的偏移值是否是hook0_new_function的偏移值*/if (tmp_offset == real_offset) {/*找到调用hook0_new_function的指令位置*offset调整为距原有函数do_sys_open的偏移,来完成恢复的调用*/new_offset = (long)hook0_function_second - ((long)pins_code + i + 5);*((int *)((long)pins_code + i + 1)) = new_offset;break;}}}return 0;
}static int hook0_init(void)
{/** kallsyms_lookup_name函数的地址,*在insmod装载时由参数kallsyms_lookup_name_address传递*/hook0_lookup_name = (kallsyms_lookup_name_t)kallsyms_lookup_name_address;/** 查找将要劫持的函数地址,此处使用内核提供的kallsyms_lookup_name函数*/hook0_function_first = (void *)hook0_lookup_name(HOOK0_HOOK_FIRST_NAME);hook0_function_second = (void *)hook0_lookup_name(HOOK0_HOOK_SECOND_NAME);stop_machine(hook0_do_hijack, NULL, 0);return 0;
}static void hook0_exit(void)
{stop_machine(hook0_recover_hijack, NULL, 0);return;
}module_init(hook0_init);
module_exit(hook0_exit);
module_param(kallsyms_lookup_name_address, ulong, 0644);
MODULE_LICENSE("GPL");

    该代码也是在centos 6系列的系统上编译和测试过,使用其他系统的朋友可能需要进行一些微调整。

一些思考

    整体来看,替换跳转指令偏移的hook方式比代码覆盖和注入的方式更友好一些,至少不用担心堆栈平衡的问题,操作起来也更为简单。不过使用这种方式hook的注入点,对传统意义上的hook检测工具就没有这么友好了。

这篇关于linux内核hook技术之跳转指令偏移值的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1128568

相关文章

这15个Vue指令,让你的项目开发爽到爆

1. V-Hotkey 仓库地址: github.com/Dafrok/v-ho… Demo: 戳这里 https://dafrok.github.io/v-hotkey 安装: npm install --save v-hotkey 这个指令可以给组件绑定一个或多个快捷键。你想要通过按下 Escape 键后隐藏某个组件,按住 Control 和回车键再显示它吗?小菜一碟: <template

linux-基础知识3

打包和压缩 zip 安装zip软件包 yum -y install zip unzip 压缩打包命令: zip -q -r -d -u 压缩包文件名 目录和文件名列表 -q:不显示命令执行过程-r:递归处理,打包各级子目录和文件-u:把文件增加/替换到压缩包中-d:从压缩包中删除指定的文件 解压:unzip 压缩包名 打包文件 把压缩包从服务器下载到本地 把压缩包上传到服务器(zip

【专题】2024飞行汽车技术全景报告合集PDF分享(附原数据表)

原文链接: https://tecdat.cn/?p=37628 6月16日,小鹏汇天旅航者X2在北京大兴国际机场临空经济区完成首飞,这也是小鹏汇天的产品在京津冀地区进行的首次飞行。小鹏汇天方面还表示,公司准备量产,并计划今年四季度开启预售小鹏汇天分体式飞行汽车,探索分体式飞行汽车城际通勤。阅读原文,获取专题报告合集全文,解锁文末271份飞行汽车相关行业研究报告。 据悉,业内人士对飞行汽车行业

Linux 网络编程 --- 应用层

一、自定义协议和序列化反序列化 代码: 序列化反序列化实现网络版本计算器 二、HTTP协议 1、谈两个简单的预备知识 https://www.baidu.com/ --- 域名 --- 域名解析 --- IP地址 http的端口号为80端口,https的端口号为443 url为统一资源定位符。CSDNhttps://mp.csdn.net/mp_blog/creation/editor

【Python编程】Linux创建虚拟环境并配置与notebook相连接

1.创建 使用 venv 创建虚拟环境。例如,在当前目录下创建一个名为 myenv 的虚拟环境: python3 -m venv myenv 2.激活 激活虚拟环境使其成为当前终端会话的活动环境。运行: source myenv/bin/activate 3.与notebook连接 在虚拟环境中,使用 pip 安装 Jupyter 和 ipykernel: pip instal

内核启动时减少log的方式

内核引导选项 内核引导选项大体上可以分为两类:一类与设备无关、另一类与设备有关。与设备有关的引导选项多如牛毛,需要你自己阅读内核中的相应驱动程序源码以获取其能够接受的引导选项。比如,如果你想知道可以向 AHA1542 SCSI 驱动程序传递哪些引导选项,那么就查看 drivers/scsi/aha1542.c 文件,一般在前面 100 行注释里就可以找到所接受的引导选项说明。大多数选项是通过"_

金融业开源技术 术语

金融业开源技术  术语 1  范围 本文件界定了金融业开源技术的常用术语。 本文件适用于金融业中涉及开源技术的相关标准及规范性文件制定和信息沟通等活动。

Linux_kernel驱动开发11

一、改回nfs方式挂载根文件系统         在产品将要上线之前,需要制作不同类型格式的根文件系统         在产品研发阶段,我们还是需要使用nfs的方式挂载根文件系统         优点:可以直接在上位机中修改文件系统内容,延长EMMC的寿命         【1】重启上位机nfs服务         sudo service nfs-kernel-server resta

【Linux 从基础到进阶】Ansible自动化运维工具使用

Ansible自动化运维工具使用 Ansible 是一款开源的自动化运维工具,采用无代理架构(agentless),基于 SSH 连接进行管理,具有简单易用、灵活强大、可扩展性高等特点。它广泛用于服务器管理、应用部署、配置管理等任务。本文将介绍 Ansible 的安装、基本使用方法及一些实际运维场景中的应用,旨在帮助运维人员快速上手并熟练运用 Ansible。 1. Ansible的核心概念