<ins id="pjuwb"></ins>
<blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>
<noscript id="pjuwb"></noscript>
<sup id="pjuwb"><pre id="pjuwb"></pre></sup>
<dd id="pjuwb"></dd>
<abbr id="pjuwb"></abbr>
一年十二月 誰主春秋
關注:基礎系統工程 密碼學 人工智能
C++博客
首頁
新隨筆
聯系
聚合
管理
隨筆-159 評論-223 文章-30 trackbacks-0
淺談Linux共享庫庫函數掛鉤檢測
Linux共享庫庫函數掛鉤主流兩種方法。一是替換函數對應的GOT/PLT條目,GOT/PLT原理類似Windows的IAT;二是inline掛鉤,即替換函數序言的幾個字節(x86是5或7字節)為jmp/call,若發現稍遠處有jmp或call(前提在
入口基本塊
內,若不在入口基本塊內要修改分支控制條件,這有點復雜也無必要),則其目標地址可被替換,這樣就不用替換序言的幾字節了。Windows的IAT掛鉤檢測很方便,因為dll的baseaddr及size可通過API VirtualQueryEx(
https://learn.microsoft.com/zh-cn/windows/win32/api/memoryapi/nf-memoryapi-virtualqueryex
)或toolhelp庫的Module32First/Module32Next(
https://learn.microsoft.com/zh-cn/windows/win32/api/tlhelp32/nf-tlhelp32-module32first
)接口來獲取。同理linux也可以拿到有兩種方法,一種是讀/proc/pid/maps(這里pid為實際目標進程號)獲取so庫代碼段的baseaddr和size,另一種用dl_iterate_phdr(
https://man7.org/linux/man-pages/man3/dl_iterate_phdr.3.html
)拿到代碼段(pt_load類型+可執行標志)的baseaddr及size。只要模塊(代碼段)的baseaddr及size確定了,檢測方法同IAT,即看替換函數地址是否不在代碼段空間內,若不在或地址不是原函數則認為被掛鉤了,否則需進一步用針對inline掛鉤法的檢測處理,見下文描述。另外dladdr(
https://man7.org/linux/man-pages/man3/dladdr.3.html
)判斷一個地址是否跟一個so庫及符號相關,因此也可用于檢測掛鉤。如果是inline掛鉤法,那么分析函數入口基本塊內(不管替換序言幾字節還是已有jmp/call目標地址,都在入口基本塊)jmp/call的目標地址(最好用成熟的反匯編引擎分析,比如llvm的mc庫反匯編功能,或
https://salsa.debian.org/debian/distorm3
),看是否超出so庫的代碼段空間
posted on 2023-09-26 16:47
春秋十二月
閱讀(2149)
評論(0)
編輯
收藏
引用
所屬分類:
System
只有注冊用戶
登錄
后才能發表評論。
【推薦】100%開源!大型工業跨平臺軟件C++源碼提供,建模,組態!
相關文章:
Windows異常分發與子系統圖表集 -- 摘自Windows內核原理與實現
淺談Linux共享庫庫函數掛鉤檢測
kretprobe探究思考
基于Rust構建WebAssembly
基于VSS可傳輸卷影拷貝的備份架構
Shell(11): 創建和刪除so庫軟鏈接
關于make依賴文件的自動生成
Shell應用(10):支持開源庫編譯的Makefile
Shell應用(9):自動化批量編譯
一種攔截Linux動態庫API的方法及裝置
網站導航:
博客園
IT新聞
BlogJava
博問
Chat2DB
管理
本博客所有隨筆均為原創,因為不定期維護更新,所以轉載請注明出處,如有問題和建議,請留言或評論,發表您的寶貴意見,藉此平臺以分享交流、共同進步。
聯系方式:微信theory-math
<
2023年9月
>
日
一
二
三
四
五
六
27
28
29
30
31
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
1
2
3
4
5
6
7
常用鏈接
我的隨筆
我的評論
我參與的隨筆
留言簿
(74)
給我留言
查看公開留言
查看私人留言
隨筆分類
(158)
Algorithm(46)
C/C++(24)
Compiler(25)
Compute Theory(5)
Database(4)
Network(17)
Opensrc(13)
System(24)
隨筆檔案
(159)
2025年4月 (2)
2024年12月 (1)
2024年11月 (1)
2024年9月 (1)
2024年8月 (2)
2024年6月 (1)
2024年5月 (1)
2024年4月 (1)
2024年3月 (2)
2024年2月 (2)
2023年12月 (1)
2023年11月 (2)
2023年10月 (2)
2023年9月 (37)
2021年12月 (1)
2021年10月 (1)
2021年9月 (1)
2021年2月 (1)
2020年5月 (3)
2020年4月 (1)
2019年11月 (4)
2019年7月 (1)
2018年11月 (1)
2017年12月 (1)
2016年12月 (1)
2016年11月 (2)
2016年10月 (1)
2016年9月 (1)
2016年8月 (3)
2016年7月 (4)
2016年5月 (1)
2015年10月 (2)
2015年9月 (1)
2015年6月 (2)
2015年5月 (3)
2015年2月 (1)
2015年1月 (1)
2014年12月 (2)
2014年4月 (2)
2014年3月 (1)
2014年1月 (1)
2013年10月 (1)
2013年9月 (1)
2013年8月 (3)
2013年5月 (1)
2013年3月 (1)
2012年11月 (1)
2012年9月 (3)
2012年8月 (1)
2012年7月 (1)
2012年6月 (5)
2012年5月 (3)
2011年12月 (5)
2011年11月 (1)
2011年10月 (5)
2011年8月 (7)
2011年7月 (6)
2011年6月 (6)
2010年6月 (1)
2009年12月 (1)
2009年8月 (1)
2009年7月 (1)
2009年6月 (1)
2009年4月 (3)
文章分類
(30)
詩詞作品集(30)
關注的開源項目
LLVM
編譯系統
nginx
高性能Web服務器
OpenSSL
密碼學庫
suricata
網絡IPS引擎
最新隨筆
1.?二元二次型的相似變換與正定性
2.?關于群的一些結論及應用
3.?不定方程的代數數論解法
4.?關于橢圓曲線的驗證計算
5.?不可約多項式判別算法的改正
6.?論證有限域上平方根的求解
7.?求解離散對數問題的Terr算法
8.?簡單私鑰加密構造的驗證及安全性分析
9.?二元有限域及其擴域上的計算
10.?簡單連分數攻擊RSA的迭代次數分析
積分與排名
積分 - 412879
排名 - 56
最新評論
1.?re: 一種攔截Linux原始套接字IO的方法[未登錄]
很有前途和很有錢途啊。
--chipset
2.?re: 一種攔截Linux原始套接字IO的方法[未登錄]
@chipset
是的
--春秋十二月
3.?re: 一種攔截Linux原始套接字IO的方法[未登錄]
工作是做網絡安全?
--chipset
4.?re: 一種使用函數指針實現狀態機的方法
函數指針實現狀態機
--linda
5.?re: 多標簽視圖類CTabView的設計實現
為啥代碼缺少一些呢,給新手個完整點的啊
--pekingliu
6.?re: 工作線程與消息循環
從消息隊列取出消息 mark了
--mmocake
7.?re: 一種簡單的跨平臺套接字管道
評論內容較長,點擊標題查看
--IT搬運工
8.?re: 一種簡單的跨平臺套接字管道
windows僅支持af_init和af_init6地址族有錯別字么?
af_init和af_init6
--IT搬運工
9.?re: Shell應用(8):使用awk定位反匯編輸出[未登錄]
厲害
--Chipset
10.?re: TCP分組丟失時的狀態變遷
不錯
--Binky
閱讀排行榜
1.?基于OpenSSL實現的安全連接(13956)
2.?字符串16進制顯示(12856)
3.?基于boost asio實現的ssl socket框架(12308)
4.?Linux套接字與虛擬文件系統(1):初始化和創建(8635)
5.?關于數據庫的一些學習研究心得(8086)
6.?使用CString GetBuffer自適應獲取計算機名稱(7973)
7.?使用正則表達式解析URL(7929)
8.?basic_string內存泄露問題之分析解決(7732)
9.?Shell應用(4): 使用sed刪除行尾的^M字符(7647)
10.?nginx iocp(1):tcp異步連接(7625)
評論排行榜
1.?basic_string內存泄露問題之分析解決(19)
2.?求單向鏈表倒序第m個元素(11)
3.?基于順序存儲實現的多叉樹(1):深度優先存儲(9)
4.?字符大小寫轉換(7)
5.?字符串16進制顯示(6)
6.?面向對象鎖框架的設計與實現(6)
7.?Shell應用(4): 使用sed刪除行尾的^M字符(5)
8.?工作線程與消息循環(5)
9.?使用正則表達式解析URL(5)
10.?十進制整數千位分隔符(4)
Powered by:
博客園
模板提供:
滬江博客
Copyright ©2025 春秋十二月
亚洲国产另类久久久精品黑人
|
久久99久久成人免费播放
|
国产成人精品久久亚洲高清不卡 国产成人精品久久亚洲高清不卡 国产成人精品久久亚洲
|
色妞色综合久久夜夜
|
久久99精品久久久久久噜噜
|
欧美va久久久噜噜噜久久
|
综合久久给合久久狠狠狠97色
|
久久久精品国产Sm最大网站
|
九九久久精品无码专区
|
国产真实乱对白精彩久久
|
精品乱码久久久久久夜夜嗨
|
超级碰久久免费公开视频
|
草草久久久无码国产专区
|
理论片午午伦夜理片久久
|
亚洲欧美一级久久精品
|
老男人久久青草av高清
|
新狼窝色AV性久久久久久
|
亚洲国产欧美国产综合久久
|
久久精品亚洲中文字幕无码麻豆
|
日本人妻丰满熟妇久久久久久
|
久久久久亚洲AV无码观看
|
99久久精品免费看国产一区二区三区
|
精品久久久久久久
|
亚洲美日韩Av中文字幕无码久久久妻妇
|
麻豆精品久久久一区二区
|
久久久www免费人成精品
|
中文字幕无码免费久久
|
久久99精品久久久久久久不卡
|
精品久久久久久久
|
欧美成人免费观看久久
|
久久亚洲中文字幕精品有坂深雪
|
精品午夜久久福利大片
|
人妻丰满?V无码久久不卡
|
久久久亚洲欧洲日产国码aⅴ
|
国产激情久久久久影院
|
18岁日韩内射颜射午夜久久成人
|
精品久久人人爽天天玩人人妻
|
久久精品国产亚洲AV久
|
99久久精品午夜一区二区
|
久久国产成人精品国产成人亚洲
|
久久久久久国产精品美女
|