Linux hook内核函数

内核函数Hook技术详解
最新推荐文章于 2021-09-13 14:46:20 发布
原创 最新推荐文章于 2021-09-13 14:46:20 发布 · 1.4k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了在内核中Hook函数的三种方法:修改syscalltable、替换对象指针和inline hook。重点介绍了inline hook的实现过程,包括保存原始函数指令、定义跳转回原始函数的stub函数,并详细展示了如何在新函数中调用stub函数,以及具体的代码实现。

在内核中,如果要hook某个函数,有三种方法,

1. 修改syscall table

2.替换对象指针

3. inline hook 只要把函数开头的5个字节替换成call/jmp指令.

前两种比较简单,这里记录下inline hook的实现过程.

步骤

1. 保存orig 函数的前5个字节指令.

2.定义一个stub函数,用于跳转回orig函数.

3.在新函数中,调用stub函数.

 

具体实现

#include<linux/module.h>
#include<linux/printk.h>
#include<linux/kobject.h>
#include<linux/kernel.h>
#include<asm/unistd_64.h>
#include<linux/syscalls.h>
#include<linux/delay.h>
#include<linux/kallsyms.h>
#include<asm/syscall.h>
#include<asm/paravirt.h>
#include <asm/nops.h>
#include <linux/net.h>
#include <linux/in.h>
#include <net/tcp.h>
#include <net/udp.h>
#include <linux/init.h>
#include <asm/insn.h>

typedef void *(*text_poke_t)(void *addr, const void *o
最低0.47元/天 解锁文章
Linux系统下的HOOK
蛇矛实验室
04-10 1083
Linux系统下的HOOK
linux内核中的hook,【Linux内核调试】使用Ftrace来Hook linux内核函数
weixin_32050773的博客
04-29 624
目标:hook几个Linux内核函数调用,如打开文件和启动进程,并利用它来启用系统活动监控并抢先阻止可疑进程。一、方案比较1. 使用Linux安全API方法:内核代码的关键点包含安全函数调用,这些调用可能触发安全模块安装的回调,该模块可以分析特定操作的上下文,并决定是允许还是禁止它。限制:安全模块无法动态加载,所以需要重新编译内核。2. 修改系统调用表方法:所有Linux系统调用处理程序都存储在s...
Hook内核函数ZwSetValueKey
05-11
给初学驱动的人的一个简单例子,Hook内核函数ZwSetValueKey,实现一个在IE或者注册表调用SetValueKey函数的时候附加了一个修改主页的操作。代码内还提供了一个简单的获取默认浏览器的功能,另外还有其他小惊喜
ftrace-hook:在Linux内核中使用ftrace进行函数挂钩
05-04
ftrace-hook Linux内核模块演示了如何使用ftrace框架进行函数挂钩:就像在挂钩函数周围执行任意代码一样。 该代码已根据许可。 如何建造 请考虑使用虚拟机(VirtulBox,VMWare,QEMU等)进行实验。 (不变的)模块是完全无害的,不应影响您的系统稳定性。 但以防万一:您自行承担加载风险。 不要意外杀死自己的机器或生产环境。 确保已为内核安装了GCC和Linux内核标头。 对于基于Debian的系统: $ sudo apt install build-essential linux-headers-$(uname -r) 构建内核模块: $ cd ftrace-hook $ make make -C /lib/modules/4.9.0-5-amd64/build M=/home/ilammy/dev/ftrace-hook modules make[1
linux内核系统调用hook
weixin_33712881的博客
07-10 209
我以前利用0x80中断程序找到system_call然后找到 sys_call_table的方法,现在试下hook系统调用sys_mkdir来阻止创建目录小试牛刀。 #include <linux/init.h> #include <linux/module.h> #include <linux/moduleparam.h> #...
hook Linux 内核函数
m0_46671092的博客
09-03 598
可以尝试使用如下几种方案来拦截Linux内核函数: 使用Linux安全API 修改系统调用表 使用kprobes 拼接 使用ftrace处理程序 使用Linux安全API 从最佳实践的角度来说,我们认为使用Linux安全API的hook函数是最佳选择,因为这个接口就是为此而设计的。 内核代码的关键点包含安全函数调用,这些调用可能导致安全模块安装的回调。该模块可以研究特定操作的上下文,并决定是允许还是禁止它。不幸的是,Linux Security API有两个主要限制: 安全模块无法动态加载,因此我们需
c++钩子函数:copy hook_linux函数hook
12-27
总结来说,"c++钩子函数:copy hook_linux函数hook"是一个C++项目,它在Linux环境下实现了文件复制操作的监控和控制,可能通过内核模块、用户空间钩子或两者结合的方式。项目使用了ATL库来创建COM接口,并提供了类型...
linux内核hook技术之函数地址替换
快乐时光
03-04 2473
前言 函数地址替换是一种更为简单、常见的hook方式,比如对security_ops、sys_call_table等结构中的函数进行替换,来完成自己的安全权限控制。 其中security_ops是LSM框架中所使用的,sys_call_table是系统调用表结构。当然了,这些结构目前在内核中都已经是只读数据结构了,如果想直接进行函数替换的话,首先就是考虑解决关闭写保护的问题。在下面的模块例子中,演示了重置cr0寄存器写保护位及其 修改内存页表项属性值两种关闭写保护方式,有兴趣的朋友可对...
精选资源
linux内核hook系统调用execve函数
12-07
功能:hook系统调用execve函数,在系统调用dpkg命令时返回。 这样系统无法安装软件,以及删除软件。 1.下载后 解压直接 make编译 2. sudo insmod hook.ko 进行安装 3. sudo dmesg --follow 查看内核调试信息 4....
linux内核中的hook函数详解,linux内核中的hook函数详解
weixin_28968285的博客
05-09 1244
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。先介绍一个结构体:struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,其实际的定义为:其中的成员信息为:hook :是一个函数指针,可以将自定义的函数赋值给它,来实现当有数据包到达是调用你自定义的函数。自定义函数的返回值为:owner:是模块的所有者,...
linux内核中的hook函数详解
weixin_34004750的博客
11-29 1054
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。 先介绍一个结构体: struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,其实际的定义为: 其中的成员信息为: hook :是一个函数指针,可以将自定义的函数赋值给它,来实现当有数据包到达是...
Linux Hook 笔记
weixin_34212189的博客
02-21 174
相信很多人对"Hook"都不会陌生,其中文翻译为"钩子".在编程中, 钩子表示一个可以允许编程者插入自定义程序的地方,通常是打包好的程序中提供的接口. 比如,我们想要提供一段代码来分析程序中某段逻辑路径被执行的频率,或者想要在其中 插入更多功能时就会用到钩子. 钩子都是以固定的目的提供给用户的,并且一般都有文档说明. 通过Hook,我们可以暂停系统调用,或者通过改变系统调用的参数来改变正常的输出结...
linux内核中的hook函数详解,linux 内核 hook函数介绍
weixin_34907135的博客
05-09 528
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。typedef unsigned int nf_hookfn(unsigned int hooknum, struct sk_buff *skb, const struct net_device *in, const struct net_d...
c语言hook内核作用,hook内核函数的基本方法(附代码,经测试不蓝屏)
weixin_36447179的博客
05-16 381
该楼层疑似违规已被系统折叠隐藏此楼查看此楼来看看汇编代码和注释:IoCallDriver:nt!IoCallDriver:804f04f2 8bff mov edi,edi804f04f4 55 push ebp804f04f5 8bec mov ebp,esp804f04f7 8b550c ...
linux hook 任意内核函数,linux内核中的hook函数详解
weixin_30247915的博客
05-02 281
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。先介绍一个结构体:struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,其实际的定义为: 其中的成员信息为:hook :是一个函数指针,可以将自定义的函数赋值给它,来实现当有数据包到达是调用你自定义的函数。自定义函数的返回值为: owner:是模块的所有...
Linux Hook方法
vspiders的博客
09-13 1449
linux hook是一个非常常见且成熟的技术,用户态Hook的方法有很多中,本次主要记录下LD_PRELOAD动态链接库劫持方法。 LD_PRELOAD是一个全局变量,linux程序在运行时会优先加载该路径变量下的动态链接库,因此我们只需要通过设置LD_PRELOAD加载我们编写的同名函数,后续的加载过程中就会忽略后面的同名函数,从而完成对系统库的劫持。 一般情况下linux动态加载库的顺序为LD_PRELOAD>LD_LIBRARY_PATH>/etc/ld.so.cache>/l
linux 中的hook
faithsws的专栏
09-28 6619
相信熟悉windows编程的高手们都知道,windows为我们提供一些api,这些api用于hook 键盘,鼠标,消息等事件。windows的运行是来源于这些事件驱动的,所以一旦我们截获了这些事件,就可以篡改程序本来的功能了。但是在Linux中,并不存在这样的api。要抓获内核中的input事件,就必须另外编辑驱动进行额外的处理。 这是以前我在工作中遇到的一个需求:在用户按下某个功能键
ubuntu18.04怎么hook内核函数
05-14
hook内核函数,需要编写一个内核模块。以下是基本步骤: 1. 安装必要的软件包:`sudo apt-get install linux-headers-$(uname -r) build-essential` 2. 编写内核模块代码,其中包括要hook函数的地址和新的函数实现。这个过程需要一定的内核编程知识和经验。 3. 编译内核模块代码:`make` 4. 加载内核模块:`sudo insmod 模块名.ko` 5. 在hook函数被调用时,新的函数实现将被执行。 需要注意的是,hook内核函数可能会有一些风险,因此需要谨慎处理。同时,不同版本的内核可能会有一些差别,因此需要根据实际情况进行调整。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值