Linux Ring3 HOOK

最新推荐文章于 2023-06-22 01:14:41 发布
最新推荐文章于 2023-06-22 01:14:41 发布
阅读量436 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全研发 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SHELLCODE_8BIT/article/details/122324034

1.前言
    Linux hook技术一直是linux技术爱好者们研究的一个热点问题,Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3,   ring0是指CPU的运行级别,ring0是最高级别,ring1次之,ring2更次之,以此类推。

  拿Linux+x86来说, 操作系统(内核)的代码运行在最高运行级别ring0上,可以使用特权指令,控制中断、修改页表、访问设备等等。  应用程序的代码运行在最低运行级别上ring3上,不能做受控操作。如果要做,比如要访问磁盘,写文件,那就要通过执行系统调用(函数),执行系统调用的时候,CPU的运行级别会发生从ring3到ring0的切换,并跳转到系统调用对应的内核代码位置执行,这样内核就为你完成了设备访问,完成之后再从ring0返回ring3。这个过程也称作用户态和内核态的切换。

  Linux的hook一般发生在ring0和ring3层,其中ring0层通常是hook Linux系统调用表中的系统调用,而ring3层则一般hook的动态链接库中的函数,接下来我们将会分类讨论。

2.ring3 hook
2.1inject
  当我们需要hook某个应用程序时,我们需要往目标程序中添加自己的代码,这种添加代码的方式就被称之为inject,inject方式又一般分为两种:

动态注入
静态注入
 所谓静态注入就是在程序还未运行时,去修改其so文件,以达到注入函数的目的,由于没具体研究过,所以此处仅提一下,有兴趣的同学可以看一些这个项目,而动态注入一般是使用ptrace来实现的,一般流程为:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
linux应用hook实例(含源码分析)
啊渊的专栏
08-12 2988
函数地址替换是最简单的hook方式,在开发的时候发现C开发的程序和C++开发的程序hook还是有差别的。C开发的程序函数几乎是可以直接使用readelf查看,因此在查找函数偏移量的时候相对简单一些,但是如果是C++开发无法直接使用readelf命令查看函数地址,因此需要动态跟踪函数地址,找到函数偏移量然后针对该函数地址进行hook。..............................
Linux/C/C++ 文件监控和网络监控的简单实现(利用hook技术)
weixin_45646368的博客
12-19 2949
file_filter.c #include <stdio.h> #include <string.h> #include <stdlib.h> #include <sys/stat.h> #include <unistd.h> #include <dlfcn.h> #define STRMAXLEN 301 const char path[] = "/home/changun/test"; // 受监控的目录 const cha
Linux应用层hook技术总结与实例
qq_33838877的博客
01-20 3144
1.前言 LINUX hook技术一直是linux技术爱好者们研究的一个热点问题,Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3ring0是指CPU运行级别,ring0是最高级别,ring1次之,ring2更次之,以此类推。 拿Linux+x86来说,操作系统(内核)的代码运行在最高运行级ring0上,可以使用特权指令,控制中断、修改页表、访问设备等等。 应用程序的代码运行在最低运行级别上ring3上,不能做受控操作。如果要做,比...
Linux Hook 笔记
weixin_34212189的博客
02-21 158
相信很多人对"Hook"都不会陌生,其中文翻译为"钩子".在编程中, 钩子表示一个可以允许编程者插入自定义程序的地方,通常是打包好的程序中提供的接口. 比如,我们想要提供一段代码来分析程序中某段逻辑路径被执行的频率,或者想要在其中 插入更多功能时就会用到钩子. 钩子都是以固定的目的提供给用户的,并且一般都有文档说明. 通过Hook,我们可以暂停系统调用,或者通过改变系统调用的参数来改变正常的输出结...
linux 中的hook
faithsws的专栏
09-28 6581
相信熟悉windows编程的高手们都知道,windows为我们提供一些api,这些api用于hook 键盘,鼠标,消息等事件。windows的运行是来源于这些事件驱动的,所以一旦我们截获了这些事件,就可以篡改程序本来的功能了。但是在Linux中,并不存在这样的api。要抓获内核中的input事件,就必须另外编辑驱动进行额外的处理。 这是以前我在工作中遇到的一个需求:在用户按下某个功能键
Linux利用hook技术实现文件监控和网络过滤
jinking01的专栏
09-06 1489
linux下利用hook技术实现文件过滤和网络连接过滤(黑名单、白名单)
Inline Hook(ring3)的简单C++实现方法
12-31
C++的Inline Hook代码,采用了备份dll的方法,因此在自定义的函数中可以直接调用在内存中备份的dll代码,而不需要把函数头部改来改去。用SetWindowsHookEx程序的稳定性应该会增加许多。 需要注意的是,例子中没有把...
Linux x64下hook系统调用execve的正确方法
weixin_33881753的博客
01-16 1155
为什么80%的码农都做不了架构师?>>> ...
修改MSR对syscall指令HOOK
12-12
3. **恢复原状**:在HOOK完成后,应将LSTAR恢复为原始值,以免影响其他正常运行的系统调用。 4. **调试与测试**:内核模式的调试比用户模式更为复杂,需要使用如WinDbg这样的工具进行调试,并进行充分的测试,以...
linux_GOT_hook
weixin_34293246的博客
04-24 332
源码:https://github.com/haidragon/ELF-Hook 转载于:https://blog.51cto.com/haidragon/2383808
Linux API Hook
03-01
Linux HOOKAPI方面的资料甚少,新人很难走进Linuxhook的大门,本文全面讲解Linuxhookapi的全部实现过程,包括分析过程,涉及inject,相关技术也可以用在Android上。
Linux GOT Hijack
12-30
一份学习linux缓冲区的资料。讲elf的got表在缓冲区溢出中的利用
简单Linux hook demo
07-07
最近对hook感兴趣,在网上看了些hook的栗子,记录下!
一步一步走进Linux HOOK API(七)
LvAppの嵌入式
04-03 4801
一步一步走进Linux HOOK API(七)  我又来啦,今天是本系列介绍ELF文件的最后一篇教程.跟随大家一起了解了ELF文件的大致结构.整个结构其实是很明朗的,根据ELF头,程序头,节头.从节头里提取不同的类型,到不同的节表内去获取不同的信息,今天这里主要介绍重定位表.也是常用的节表之一. 有了符号名和动态库的名字操作系统就可以为我们引入函数了,但在我们的程序中是谁会用这些外部函数呢,系
linux 子进程hook,Linux Hook技术(五)
weixin_34564735的博客
04-30 253
今天咱们来点实战的话题,对于前面我们研究的那么多知识,做一次总结.来看看这些节表之间是怎么联系起来的.最后我们将经过一个简单的拦截printf函数,修改它的参数,来输出我指定的字符串,这样就达到简单的hook api的目的.好了废话不多说.先看看test5.c里面的代码.#include #include int main(){while (1){getchar();printf("hello")...
linux hook
08-23 476
  https://blog.youkuaiyun.com/cncnlg/article/details/45892399
linux 下的hook
助跑。。。。。。跳
04-02 4693
◆ 如何修改动态库符号表 作者:wangdb (mailto:wangdb@nsfocus.com) 主页:http://www.nsfocus.com/ 日期:2000-10-14 一、ELF 文件和有关术语Unix 系统的可执行文件和动态库文件是以 ELF 格式存放的。为使下面的叙述清晰而没有伎义,先简要介绍一下 ELF 文件格式,并约定一些术语。
linux 系统调用hook
jack的博客
06-22 438
都引流到某乎上了,不准备在这继续发展了。
Linux Hook (目录)
pwl999的博客
03-04 1483
Hook技术是性能优化和安全加固的基础。 1、内核态 1.1、LSM Hook 1.2、Ftrace Hook (LivePatch) 1.3、Inline Hook Syscall 2、用户态 2.1、PLT Hook & Inline Hook
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信安成长日记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值