arm64 内核 inline hook

最新推荐文章于 2025-04-16 09:16:38 发布
原创 最新推荐文章于 2025-04-16 09:16:38 发布 · 2.3k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了Linux4.15和4.19内核版本中SyscallTable的安全性和hook机制。详细分析了4.19版本新增的systable保护措施,以及如何通过替换物理地址指向或使用inlinehook对内核进行更改的方法。深入讲解了Arm64环境下寄存器保存恢复及指令修复执行的技术细节。

linux 内核对于安全可能是比较重要的一环。

关于syscall table 表替换的问题

这里以linux 4.15和4.19为代表的说明我遇到的问题。

syscall hook 4.15 4.19
拥有可读写状态 hook成功 hook失败

这里似乎到4.19添加了对systable的保护。

如果非要对systable进行hook,可能替换这页表,改变物理地址指向是一种解决办法。

还有就是直接inline hook对内核进行更改。

inline hook的实现

一、寄存器的保存和恢复

STP X1, X0, [SP, #-0x10]
LDR X0, 8
BR X0
[TARGET_
ADDRESS] (64bit)
LDR X0, [SP, -0x8]

这里简化了,实际上我们需要将所有的寄存器进行保存和恢复。

Android-Native-Hook-Practice-Arm64

BR指令是对绝对跳转
B 指令是相对于pc寄存器的跳转
LR是用于保存函数调用的返回地址的link register。

最低0.47元/天 解锁文章
ARM64汇编0C - inlinehook
a5right的博客
06-20 1221
本文是ARM64汇编系列的完结篇,主要利用前面学过的知识做一个小实验完整系列博客地址:https://www.lyldalek.top/article/arm这里只讨论 ARM64 下的 inlinehook,做一个简单的demo,只是抛砖引玉,有兴趣了解更多细节的可以去查找资料,看开源项目。ARM64 相比 ARMinlinehook 要麻烦不少,因为有很多指令都没了,且无法直接访问 PC 寄存器。
arm64 平台 linux/android 系统 c语言hook例子
qq_49820448的博客
07-03 455
当然有个问题就是x8的值可能有用我们可以先储存起来之后再恢复我们先不考虑再就是addr 的值是不固定的那机器码如何构建呢?我们只需要将此函数汇编码的前几个指令换成跳转到我们自定义的指令就可以了,但运行代码段的内存权限是r+x 的我们首先要将其改为rwx 才可以读写。write_code_ 函数就能把hook_fun 的地址首指令改为跳转到to 的地址。这个是个inline hook 也就是把函数的汇编代码的头部跳转到自己写的函数区域。很简单就是运行zhuang 函数我们看它的汇编码。我们看段c 语言代码。
Android_Inline_Hook_ARM64,建立一个.so文件,自动执行android本地钩子的工作。支持ARM64!有了这个,像xposed这样的工具就可以实现android原生hook。.zip
09-25
这是ARM64版本的Android内联挂钩。我强烈建议您首先查看android内联钩子。
And64InlineHook:适用于Android CC ++的轻量级ARMv8-A(ARM64,AArch64,Little-Endian)内联挂钩库
04-30
And64InlineHook 适用于Android C / C ++的轻量级ARMv8-A(ARM64,AArch64,Little-Endian)内联挂钩库 参考
实现Android ARM64平台下Inline Hook框架
热门推荐
Rprop
09-23 6万+
Android阵营新出机型的cpu基本都是64位了,虽然可以向下兼容armeabi-v7a,但是使用32位的so毕竟不能充分发挥64位cpu的潜力,所以以后arm64-v8a用的会越来越多。但是整个安卓生态圈似乎还没有开源发布的ARM64内联HOOK方案,所以自己动手写了个,姑且取名And64InlineHook吧,需要注意的是仍然是Alpha版。         关于Inline Hook的背
Windows内核API HOOKInline Hook
daiwen的专栏
04-18 1522
名字起得好,Inline hook,乍一听,似乎很高深。此处的Inline,我以为,意指将汇编代码直接写入内核API的内存区域。Inline Hook不像用户态Hook或SSDT hook(用C语言就足够),它需要在程序中嵌入汇编代码(Inline Assembly)以操作堆栈和执行内核API对应的部分汇编指令。当然,这些都须以驱动的形式进行。所谓API Hook,就是用自己写的函数去替代系统AP
简单linux 下 x64任意地址的inlinehook
liutianheng654的博客
03-25 1727
相对主流工具frida,更加快速的inlinehook,代码简单,可以针对性进行修改
linux arm64 inline hook
最新发布
05-14
嗯,用户问的是在Linux ARM64架构下如何实现inline hook的技术或方法。首先,我得回忆一下inline hook的基本概念。Inline hook通常是指通过修改目标函数的机器码,插入跳转指令,从而拦截或重定向函数执行流程。这...
详谈内核三步走Inline Hook实现
ivan240的专栏
11-30 1348
 http://www.cppblog.com/sleepwom/archive/2009/10/17/98819.html?opt=admin 详谈内核三步走Inline Hook实现(一)Inline hook原理Inline hook通俗的说就是对函数执行流程进行修改,达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inline
【亲测免费】 探秘Android Inline Hook ARM64:高效而隐蔽的动态 hook 解决方案
gitblog_00038的博客
05-26 1322
探秘Android Inline Hook ARM64:高效而隐蔽的动态 hook 解决方案 在移动安全和应用调试领域,对于原生代码的动态监控与操控是一项至关重要的技能。今天,我们要介绍的是一款专为Android平台设计的高效、无痕的内联挂钩库——Android Inline Hook ARM64。它基于作者GToad的Android Inline Hook,并针对ARM64架构进行了优化。 项目...
驱动开发:内核InlineHook挂钩函数
LYSHARK
10-31 1万+
在上一章中,LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度,本章将在此基础之上实现内联函数挂钩,内核中的InlineHook函数挂钩其实与应用层一致,都是使用劫持执行流并跳转到我们自己的函数上来做处理,唯一的不同的是内核Hook只针对内核API函数,但由于其身处在最底层所以一旦被挂钩其整个应用层都将会受到影响,这就直接决定了在内核层挂钩的效果是应用层无法比拟的,对于安全从业者来说学会使用内核挂钩也是很重要。挂钩的原理可以总结为,通过得到原函数地址,然后保存该函数的前15。
ARM INLINE HOOK (一)
jiang_lostcode的专栏
12-29 2089
运行在ARM指令集的CPU上(比如Android手机),通过HOOK机制,对一些关键的方法进行监控,从而达到一些特殊目的,比如性能监控、安全等。 常用的HOOK方法有:GOT表HookInline Hook。而inline hook具有更广泛的适用性,几乎可以Hook任何函数(当然也有特殊情况无法进行inline hook,后面会提到)。相较于GOT表hookinline hook由于需要能...
【亲测免费】 And64InlineHook:轻量级ARM64 Inline Hook库助力Android开发
gitblog_00207的博客
04-16 952
And64InlineHook:轻量级ARM64 Inline Hook库助力Android开发 项目介绍 And64InlineHook 是一款面向Android平台,针对ARMv8-A(ARM64, AArch64, Little-Endian)架构的轻量级 Inline Hook 库。它为Android平台上的C/C++开发者提供了一种高效、稳定的方法来拦截和修改函数调用,无需修改原有代码,...
Android Arm Inline Hook
云守护的专栏
06-07 3133
http://ele7enxxh.com/Android-Arm-Inline-Hook.html 本文将结合本项目的源代码,详细阐述Android Arm Inline Hook的原理与实现过程。 什么是Inline Hook Inline Hook即内部跳转Hook,通过替换函数开始处的指令为跳转指令,使得原函数跳转到自己的函数,通常还会保留原函数的调用接口。与GOT表H
360内核 inline Hook 分析
09-09 627
今天下载了360的最新的版本,想看下最近360在内核的钩子与以前有没有变化! 与以前一样还是通过分析找到360下钩子的地方。结果发现与以前没有什么变化。 Hook之前: kd> u nt!KiFastCallEntry+0xe1 nt!KiFastCallEntry+0xe1: 8053e621 2be1 sub esp,ecx 8053e623 c1e9...
NT内核下的inline hook
04-29 1235
inline hook原理大概如下:     修改被HOOK函数A的头5个字节,使其跳转到我们自定义的函数B,函数B的类型与函数A要相同。因为我们是使用JMP直接跳转到函数B, 而不是使用正常的CALL指令。在函数B内,我们可以检查函数参数,然后可以直接返回。也可以再调用函数A的一个副本。这个副本在HOOK动作发生的同时,就保存下来了。     代码非常简单,工程打包供大家学习。高手飘过/* * 
c++ hook例子_ARM平台linux系统内核HOOK常见问题探讨二
weixin_39795325的博客
11-12 592
上一次我们针对内核HOOK常见问题讲了只读内存问题以及为了避免操作被打断如何阻塞其它CPU核心,还有ARM64的参数及内存布局等基础问题。在这些问题上,已经能基本满足我们日常做HOOK的需求。本节主要讲述另外几个HOOK相关问题。首先是HOOK的方式。除了上节讲过的系统调用表的HOOK和各种inline HOOK外,这里再介绍几种相对兼容性、稳定性更有保障的做法。最核心、最灵活的当然就是...
x64 内核 InlineHook
qq_41490873的博客
06-27 973
需要使用LDE反汇编引擎 #include<ntddk.h> #include"LDE.h" #define kmalloc(_s) ExAllocatePoolWithTag(NonPagedPool, _s, 'SYSW') #define kfree(_p) ExFreePool(_p) KIRQL WPOFFx64() { KIRQL irql = KeRaiseIrqlToDpcLevel(); UINT64 cr0 = __readcr0(); cr0 &= 0xff
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值