<ins id="pjuwb"></ins>
<blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>
<noscript id="pjuwb"></noscript>
<sup id="pjuwb"><pre id="pjuwb"></pre></sup>
<dd id="pjuwb"></dd>
<abbr id="pjuwb"></abbr>
一年十二月 誰主春秋
關(guān)注:基礎(chǔ)系統(tǒng)工程 密碼學(xué) 人工智能
C++博客
首頁
新隨筆
聯(lián)系
聚合
管理
隨筆-162 評論-223 文章-30 trackbacks-0
淺談Linux共享庫庫函數(shù)掛鉤檢測
Linux共享庫庫函數(shù)掛鉤主流兩種方法。一是替換函數(shù)對應(yīng)的GOT/PLT條目,GOT/PLT原理類似Windows的IAT;二是inline掛鉤,即替換函數(shù)序言的幾個(gè)字節(jié)(x86是5或7字節(jié))為jmp/call,若發(fā)現(xiàn)稍遠(yuǎn)處有jmp或call(前提在
入口基本塊
內(nèi),若不在入口基本塊內(nèi)要修改分支控制條件,這有點(diǎn)復(fù)雜也無必要),則其目標(biāo)地址可被替換,這樣就不用替換序言的幾字節(jié)了。Windows的IAT掛鉤檢測很方便,因?yàn)閐ll的baseaddr及size可通過API VirtualQueryEx(
https://learn.microsoft.com/zh-cn/windows/win32/api/memoryapi/nf-memoryapi-virtualqueryex
)或toolhelp庫的Module32First/Module32Next(
https://learn.microsoft.com/zh-cn/windows/win32/api/tlhelp32/nf-tlhelp32-module32first
)接口來獲取。同理linux也可以拿到有兩種方法,一種是讀/proc/pid/maps(這里pid為實(shí)際目標(biāo)進(jìn)程號(hào))獲取so庫代碼段的baseaddr和size,另一種用dl_iterate_phdr(
https://man7.org/linux/man-pages/man3/dl_iterate_phdr.3.html
)拿到代碼段(pt_load類型+可執(zhí)行標(biāo)志)的baseaddr及size。只要模塊(代碼段)的baseaddr及size確定了,檢測方法同IAT,即看替換函數(shù)地址是否不在代碼段空間內(nèi),若不在或地址不是原函數(shù)則認(rèn)為被掛鉤了,否則需進(jìn)一步用針對inline掛鉤法的檢測處理,見下文描述。另外dladdr(
https://man7.org/linux/man-pages/man3/dladdr.3.html
)判斷一個(gè)地址是否跟一個(gè)so庫及符號(hào)相關(guān),因此也可用于檢測掛鉤。如果是inline掛鉤法,那么分析函數(shù)入口基本塊內(nèi)(不管替換序言幾字節(jié)還是已有jmp/call目標(biāo)地址,都在入口基本塊)jmp/call的目標(biāo)地址(最好用成熟的反匯編引擎分析,比如llvm的mc庫反匯編功能,或
https://salsa.debian.org/debian/distorm3
),看是否超出so庫的代碼段空間
posted on 2023-09-26 16:47
春秋十二月
閱讀(2161)
評論(0)
編輯
收藏
引用
所屬分類:
System
只有注冊用戶
登錄
后才能發(fā)表評論。
【推薦】100%開源!大型工業(yè)跨平臺(tái)軟件C++源碼提供,建模,組態(tài)!
相關(guān)文章:
Windows異常分發(fā)與子系統(tǒng)圖表集 -- 摘自Windows內(nèi)核原理與實(shí)現(xiàn)
淺談Linux共享庫庫函數(shù)掛鉤檢測
kretprobe探究思考
基于Rust構(gòu)建WebAssembly
基于VSS可傳輸卷影拷貝的備份架構(gòu)
Shell(11): 創(chuàng)建和刪除so庫軟鏈接
關(guān)于make依賴文件的自動(dòng)生成
Shell應(yīng)用(10):支持開源庫編譯的Makefile
Shell應(yīng)用(9):自動(dòng)化批量編譯
一種攔截Linux動(dòng)態(tài)庫API的方法及裝置
網(wǎng)站導(dǎo)航:
博客園
IT新聞
BlogJava
博問
Chat2DB
管理
本博客所有隨筆均為原創(chuàng),因?yàn)椴欢ㄆ诰S護(hù)更新,所以轉(zhuǎn)載請注明出處,如有問題和建議,請留言或評論,發(fā)表您的寶貴意見,藉此平臺(tái)以分享交流、共同進(jìn)步。
聯(lián)系方式:微信math-engineer
<
2009年4月
>
日
一
二
三
四
五
六
29
30
31
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
1
2
3
4
5
6
7
8
9
常用鏈接
我的隨筆
我的評論
我參與的隨筆
留言簿
(78)
給我留言
查看公開留言
查看私人留言
隨筆分類
(161)
Algorithm(49)
C/C++(24)
Compiler(25)
Compute Theory(5)
Database(4)
Network(17)
Opensrc(13)
System(24)
隨筆檔案
(162)
2025年7月 (1)
2025年6月 (2)
2025年4月 (2)
2024年12月 (1)
2024年11月 (1)
2024年9月 (1)
2024年8月 (2)
2024年6月 (1)
2024年5月 (1)
2024年4月 (1)
2024年3月 (2)
2024年2月 (2)
2023年12月 (1)
2023年11月 (2)
2023年10月 (2)
2023年9月 (37)
2021年12月 (1)
2021年10月 (1)
2021年9月 (1)
2021年2月 (1)
2020年5月 (3)
2020年4月 (1)
2019年11月 (4)
2019年7月 (1)
2018年11月 (1)
2017年12月 (1)
2016年12月 (1)
2016年11月 (2)
2016年10月 (1)
2016年9月 (1)
2016年8月 (3)
2016年7月 (4)
2016年5月 (1)
2015年10月 (2)
2015年9月 (1)
2015年6月 (2)
2015年5月 (3)
2015年2月 (1)
2015年1月 (1)
2014年12月 (2)
2014年4月 (2)
2014年3月 (1)
2014年1月 (1)
2013年10月 (1)
2013年9月 (1)
2013年8月 (3)
2013年5月 (1)
2013年3月 (1)
2012年11月 (1)
2012年9月 (3)
2012年8月 (1)
2012年7月 (1)
2012年6月 (5)
2012年5月 (3)
2011年12月 (5)
2011年11月 (1)
2011年10月 (5)
2011年8月 (7)
2011年7月 (6)
2011年6月 (6)
2010年6月 (1)
2009年12月 (1)
2009年8月 (1)
2009年7月 (1)
2009年6月 (1)
2009年4月 (3)
文章分類
(30)
詩詞作品集(30)
關(guān)注的開源項(xiàng)目
LLVM
編譯系統(tǒng)
nginx
高性能Web服務(wù)器
OpenSSL
密碼學(xué)庫
suricata
網(wǎng)絡(luò)IPS引擎
最新隨筆
1.?關(guān)于分圓域的一般結(jié)論
2.?一個(gè)歐拉數(shù)整除問題的兩種證法
3.?有限域上的特征與指數(shù)和之?dāng)U展
4.?二元二次型的相似變換、正定性與正交分解
5.?關(guān)于群的一些結(jié)論及應(yīng)用
6.?不定方程的代數(shù)數(shù)論解法
7.?關(guān)于橢圓曲線的驗(yàn)證計(jì)算
8.?不可約多項(xiàng)式判別算法的改正
9.?論證有限域上平方根的求解
10.?求解離散對數(shù)問題的Terr算法
積分與排名
積分 - 419547
排名 - 56
最新評論
1.?re: 一種攔截Linux原始套接字IO的方法[未登錄]
很有前途和很有錢途啊。
--chipset
2.?re: 一種攔截Linux原始套接字IO的方法[未登錄]
@chipset
是的
--春秋十二月
3.?re: 一種攔截Linux原始套接字IO的方法[未登錄]
工作是做網(wǎng)絡(luò)安全?
--chipset
4.?re: 一種使用函數(shù)指針實(shí)現(xiàn)狀態(tài)機(jī)的方法
函數(shù)指針實(shí)現(xiàn)狀態(tài)機(jī)
--linda
5.?re: 多標(biāo)簽視圖類CTabView的設(shè)計(jì)實(shí)現(xiàn)
為啥代碼缺少一些呢,給新手個(gè)完整點(diǎn)的啊
--pekingliu
6.?re: 工作線程與消息循環(huán)
從消息隊(duì)列取出消息 mark了
--mmocake
7.?re: 一種簡單的跨平臺(tái)套接字管道
評論內(nèi)容較長,點(diǎn)擊標(biāo)題查看
--IT搬運(yùn)工
8.?re: 一種簡單的跨平臺(tái)套接字管道
windows僅支持af_init和af_init6地址族有錯(cuò)別字么?
af_init和af_init6
--IT搬運(yùn)工
9.?re: Shell應(yīng)用(8):使用awk定位反匯編輸出[未登錄]
厲害
--Chipset
10.?re: TCP分組丟失時(shí)的狀態(tài)變遷
不錯(cuò)
--Binky
閱讀排行榜
1.?基于OpenSSL實(shí)現(xiàn)的安全連接(14033)
2.?字符串16進(jìn)制顯示(12900)
3.?基于boost asio實(shí)現(xiàn)的ssl socket框架(12351)
4.?Linux套接字與虛擬文件系統(tǒng)(1):初始化和創(chuàng)建(8701)
5.?關(guān)于數(shù)據(jù)庫的一些學(xué)習(xí)研究心得(8137)
6.?使用CString GetBuffer自適應(yīng)獲取計(jì)算機(jī)名稱(7992)
7.?使用正則表達(dá)式解析URL(7958)
8.?basic_string內(nèi)存泄露問題之分析解決(7767)
9.?Shell應(yīng)用(4): 使用sed刪除行尾的^M字符(7700)
10.?nginx iocp(1):tcp異步連接(7671)
評論排行榜
1.?basic_string內(nèi)存泄露問題之分析解決(19)
2.?求單向鏈表倒序第m個(gè)元素(11)
3.?基于順序存儲(chǔ)實(shí)現(xiàn)的多叉樹(1):深度優(yōu)先存儲(chǔ)(9)
4.?字符大小寫轉(zhuǎn)換(7)
5.?字符串16進(jìn)制顯示(6)
6.?面向?qū)ο箧i框架的設(shè)計(jì)與實(shí)現(xiàn)(6)
7.?Shell應(yīng)用(4): 使用sed刪除行尾的^M字符(5)
8.?使用正則表達(dá)式解析URL(5)
9.?工作線程與消息循環(huán)(5)
10.?十進(jìn)制整數(shù)千位分隔符(4)
Powered by:
博客園
模板提供:
滬江博客
Copyright ©2025 春秋十二月
日产精品久久久一区二区
|
欧美日韩精品久久免费
|
国产欧美久久久精品
|
国产精自产拍久久久久久蜜
|
美女久久久久久
|
亚洲∧v久久久无码精品
|
老司机国内精品久久久久
|
亚洲国产小视频精品久久久三级
|
久久无码高潮喷水
|
9999国产精品欧美久久久久久
|
97香蕉久久夜色精品国产
|
国产一区二区三区久久
|
久久久黄色大片
|
国产激情久久久久影院小草
|
香蕉久久夜色精品升级完成
|
狠狠色综合久久久久尤物
|
久久99国产综合精品免费
|
久久久久人妻一区精品
|
久久青草国产精品一区
|
亚洲精品tv久久久久久久久
|
久久精品亚洲福利
|
97精品伊人久久大香线蕉app
|
久久久久国产
|
一本久久a久久精品综合夜夜
|
国产—久久香蕉国产线看观看
|
五月丁香综合激情六月久久
|
精品久久综合1区2区3区激情
|
性色欲网站人妻丰满中文久久不卡
|
国内精品久久久久久久久
|
麻豆一区二区99久久久久
|
久久久精品久久久久影院
|
久久天天躁狠狠躁夜夜2020
|
精品久久久久久无码人妻蜜桃
|
久久国产乱子伦免费精品
|
合区精品久久久中文字幕一区
|
亚洲成人精品久久
|
久久免费视频网站
|
久久高潮一级毛片免费
|
久久久久国产精品麻豆AR影院
|
久久国产精品免费一区
|
色婷婷综合久久久久中文字幕
|