隨筆-162 評論-223 文章-30 trackbacks-0

Linux共享庫庫函數掛鉤主流兩種方法。一是替換函數對應的GOT/PLT條目，GOT/PLT原理類似Windows的IAT；二是inline掛鉤，即替換函數序言的幾個字節（x86是5或7字節）為jmp/call，若發現稍遠處有jmp或call（前提在入口基本塊內，若不在入口基本塊內要修改分支控制條件，這有點復雜也無必要），則其目標地址可被替換，這樣就不用替換序言的幾字節了。Windows的IAT掛鉤檢測很方便，因為dll的baseaddr及size可通過API VirtualQueryEx（https://learn.microsoft.com/zh-cn/windows/win32/api/memoryapi/nf-memoryapi-virtualqueryex）或toolhelp庫的Module32First/Module32Next（https://learn.microsoft.com/zh-cn/windows/win32/api/tlhelp32/nf-tlhelp32-module32first）接口來獲取。同理linux也可以拿到有兩種方法，一種是讀/proc/pid/maps（這里pid為實際目標進程號）獲取so庫代碼段的baseaddr和size，另一種用dl_iterate_phdr（https://man7.org/linux/man-pages/man3/dl_iterate_phdr.3.html）拿到代碼段（pt_load類型+可執行標志）的baseaddr及size。只要模塊(代碼段)的baseaddr及size確定了，檢測方法同IAT，即看替換函數地址是否不在代碼段空間內，若不在或地址不是原函數則認為被掛鉤了，否則需進一步用針對inline掛鉤法的檢測處理，見下文描述。另外dladdr（https://man7.org/linux/man-pages/man3/dladdr.3.html）判斷一個地址是否跟一個so庫及符號相關，因此也可用于檢測掛鉤。如果是inline掛鉤法，那么分析函數入口基本塊內（不管替換序言幾字節還是已有jmp/call目標地址，都在入口基本塊）jmp/call的目標地址（最好用成熟的反匯編引擎分析，比如llvm的mc庫反匯編功能，或https://salsa.debian.org/debian/distorm3），看是否超出so庫的代碼段空間

posted on 2023-09-26 16:47 春秋十二月閱讀(2161) 評論(0) 編輯收藏引用所屬分類: System

只有注冊用戶登錄后才能發表評論。
【推薦】100%開源！大型工業跨平臺軟件C++源碼提供，建模，組態！

相關文章: Windows異常分發與子系統圖表集 -- 摘自Windows內核原理與實現淺談Linux共享庫庫函數掛鉤檢測 kretprobe探究思考基于Rust構建WebAssembly 基于VSS可傳輸卷影拷貝的備份架構 Shell（11）: 創建和刪除so庫軟鏈接關于make依賴文件的自動生成 Shell應用（10）：支持開源庫編譯的Makefile Shell應用（9）：自動化批量編譯一種攔截Linux動態庫API的方法及裝置

網站導航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

本博客所有隨筆均為原創，因為不定期維護更新，所以轉載請注明出處，如有問題和建議，請留言或評論，發表您的寶貴意見，藉此平臺以分享交流、共同進步。 聯系方式：微信math-engineer

<

2025年9月

>

日

一

二

三

四

五

六

31

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

1

2

3

4

5

6

7

8

9

10

11

常用鏈接

留言簿(79)

隨筆分類(161)

隨筆檔案(162)

文章分類(30)

詩詞作品集(30)

關注的開源項目

LLVM
編譯系統
nginx
高性能Web服務器
OpenSSL
密碼學庫
suricata
網絡IPS引擎

積分與排名

積分 - 420454
排名 - 56

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

常用鏈接

留言簿(79)

隨筆分類(161)

隨筆檔案(162)

文章分類(30)

關注的開源項目

最新隨筆

積分與排名

最新評論

閱讀排行榜

評論排行榜