C++成员函数的拦截方法

最新推荐文章于 2022-11-14 15:34:30 发布
最新推荐文章于 2022-11-14 15:34:30 发布
阅读量2k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: C++ ELF 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/bobbypollo/article/details/79891258
  1. 概述
利用preload方式对动态库中C语言函数调用进行拦截,有时候会达到剑走偏锋的效果。例如,在DVB+Dongle的产品中,我们就采用了这种方案,在不需要修改甚至重新编译原中间件及SDK的前提下,截获了SDK库中的部分接口调用,从而轻松抓取到OSD图层数据及解扰后的视频流。
preload原理如下图,
ld_preload.png
图1 注入libhack.so前后的接口调用路径
如图,利用ld_preload向应用的进程空间高地址处插入libhack.so之后,如果应用程序调用的某接口(如图中malloc)也在libhack.so中实现了,那么会被转调用至libhack中。如果要避免影响应用程序的原运行结果,libhack中还可以通过dlsym函数查找到位于进程空间低地址处的libc.so中的相关函数地址,从而可再将调用转至原libc。
  1. 动态库中的C++成员函数
C与C++动态库之间能够相互链接,说明两者基本上遵循同样的ABI标准(特殊情况不考虑)。实际上,无论什么类型的C++成员函数(inline除外),最终在动态库中的呈现形式都是一样的,都是T类型,都存在于动态符号表中(被指定隐藏的符号除外),这包括了static函数,nonstatic函数,private函数,virtual函数,构造析构函数等。也就是说,非内联函数理论上都是可以被拦截的。

  1. 符号的名称修饰
和C语言不同,C++为了实现多态,编译后的符号都是经过命名修饰的,不同的编译器有不同的修饰规则,但就GNU CC来说,经验证,x86、mips、arm下的编译工具链,对相同函数的修饰结果是完全一致的。
例如,如下函数在GCC工具链下,修饰后的名称分别是:
最低0.47元/天 解锁文章

200万优质内容无限畅学
C++ detours实现简单的系统函数拦截
保持对编程的热情!
10-22 2504
哎,将近半年没写了,失踪人口回归,因为博主参加工作了。之前上学的时候,看到很多在学校读书的大牛参加工作之后也很少更新博客,之前不以为意。现在发现确实是工作的空闲时间不如上学的时候,所以也想念以前在大学里面一个人在图书馆一台电脑一瓶矿泉水一天的时光,哈哈。但是呢,有空写写博客,也不是一件坏事呢。 今天实现一个简单的调用detours.lib的静态库实现一个对系统函数(system)的拦截
vc++ hook 拦截自己进程指定的api函数_【Frida 实战】Hook 大法,拦截器的使用
weixin_39641103的博客
12-08 1007
本文是 Frida 实战系列教程的第二篇。第一篇请查看【Frida 实战】在 iOS 上分析应用拦截器(Interceptor)是 Frida 很重要的一个功能,它能够帮助我们 Hook C 函数、Objective-C 方法,在第一篇使用 frida-trace 跟踪 CCCrypt 函数的实例中,frida-trace 实际上也用到了拦截器。Objective-C 数据类型的处理在学...
Linux - 使用dlsym()的RTLD_NEXT来实现库函数拦截
IT基础架构
09-08 1578
Linux下,用户对文件的打开与执行,加上日志收集。
VC++ Interceptor 拦截器 (支持成员函数、全局函数)Ring3 - x86
liulilittle的博客
04-26 573
Linux 在RING3环境下面几乎难以实现一个高效可靠可穿插在任何代码位置的拦截器(C/C++),RING3可用的办法都非常麻烦同时也很消耗性能,例如通过调试器写进程函数机器代码。 拦截器本质原理是通过在函数头插入 JMP 汇编实现的重定向(inline-HOOK),类似像通过C/C++ Linker(连接器)特性覆盖第三方函数的办法其局限性是很大,它不适用于也很难...
c++中函数屏蔽和函数参数屏蔽
沐凡星的博客
11-14 1900
在定义函数入参时屏蔽函数参数b:void Function(int a,int /* b */ =0 );若是不使用函数Function(int,int),可以采用#define Function (void)在函数内将函数参数b作废:(void) b / static_cast(b);若是不使用函数Function()(函数没有入参),可以采用#define Function() 0。在函数Function(a,b)中没有使用参数b时,有部分编译器会告警;
c语言函数拦截方式,信号捕捉(拦截
weixin_29252171的博客
05-20 1366
在一个程序收到某些信号后,程序都会自动去执行默认的操作,但大多的操作都会导致程序异常退出,除了前文我们介绍的阻塞信号以外,我们还可以对信号进行捕获(拦截)处理,让被捕获的信号去执行我们已经编写好的函数中,这样可以帮我们处理太多的问题。C语言库函数中,提供了一个信号捕获函数,如下:typedef void (*sighandler_t)(int)sighandler_t signal(int sig...
APIHook、InlineHook库,使用C++11编写,可将回调函数绑定到类成员函数
11-29
本库利用C++11的新特性,提供了一种优雅的方式来实现这些功能,并允许将回调函数直接绑定到类成员函数。 APIHook技术主要涉及到动态改变API调用的过程。它通常通过在调用API函数之前插入自定义代码来实现,使得原本...
C++Hook(钩子)编程,通过内联汇编,使类成员函数代替全局函数(静态函数).pdf
10-07
总之,C++ Hook编程通过内联汇编使得类成员函数能够在通常仅接受全局函数或静态成员函数的场景下工作,扩展了Hook技术的应用范围,同时也展示了C++编程中底层控制的强大能力。然而,这也需要开发者具备深厚的C++和...
C++实现修改函数代码HOOK的封装方法
09-04
C++中,函数代码HOOK是一种技术,允许程序员在运行时拦截并替换特定函数的执行,通常用于调试、性能分析或注入自定义行为。这里介绍的是一种C++实现的函数HOOK封装方法,它涉及到以下几个核心知识点: 1. **函数...
C++使用LD_PRELOAD劫持(Hook)库函数
~码农小非~的专栏
07-10 2756
更多文章欢迎访问 程序员小非 博客 在调试C++程序的时候,我们并不是每次都能拿到源代码,很多时候我们只能得到一个动态库so,调试时这个动态库就是一个黑匣子,没办法查看修改或者在里面加日志,那么我们是不是就没有任何办法对我们感兴趣的函数和参数进行监控和跟踪了呢? 对于这种情况,我们一般会挂上gdb,然后在我们感兴趣的地方打上断点,然后查看堆栈里的变量的值。但这个过程时比较繁琐的,尤其是在需要了...
c语言hook拦截函数参数,运行时Hook所有Block方法调用的技术实现
weixin_29416037的博客
05-19 1166
1.方法调用的几种Hook机制iOS系统中一共有:C函数、Block、OC类方法三种形式的方法调用。Hook一个方法调用的目的一般是为了监控拦截或者统计一些系统的行为。Hook的机制有很多种,通常良好的Hook方法都是以AOP的形式来实现的。当我们想Hook一个OC类的某些具体的方法时可以通过Method Swizzling技术来实现、当我们想Hook动态库中导出的某个C函数时可以通过修改导入函数...
vc++ hook 拦截自己进程指定的api函数_逆向分析Spotify.app并hook其功能获取数据
weixin_39618173的博客
12-06 300
在开始本文的正式内容之前我想先来吐槽下。大多数的软件开发人员可能都有着这样一个烦恼,就是由于工作和其他责任,不得不搁置自己的一些个人项目甚至是最终完全的遗忘和埋没。而本文的所述的就是一个被我遗忘已久的项目,而我写这篇文章的目的就是希望能迫使我自己最终完成这个项目。好了,介绍就到这了让我们开始吧。项目该项目的目标是构建一个Spotify客户端,让它能够学习我的听曲习惯并跳过一些我通常会跳过...
进程间的七大通信方式(概括总结)
surplus12138的博客
11-18 1078
进程间的七大通信方式 signal、file、pipe、shm、sem、msg、socket 1,signal 信号通信的目的:某某事件发生!此时需要处理什么,进程间(可以是不相关的进程)传递信号 场景:信号又被称之为中断,需要处理什么对应的是中断处理函数,此时设置断点,形参入栈,保存现场信息,然后去执行中断处理函数,当处理完成之后,恢复现场信息,程序继续往下执行 Linux下可以通过kill -l查看其所有信号(其一共64种信号) 发送信号:kill(pid, 信号) //对指定的进程发送什么信号
关于c++类成员方法覆盖或屏蔽
云中孤鹜专栏
06-26 2181
这个是我在调试模版方法模式时得到的结论,与我开始预想的不一样(基本功不扎实) #include "stdafx.h" #include #include using namespace std; class Base { public: virtual void SeeBook(); protected: Base(const string _bookname);
基于C++的Hook 暴力实现!拦截系统api,绝对给100分!
04-28 6061
1、HOOK介绍(钩子,挂钩) 是一种实现Windows平台下类似于中断的机制。HOOK机制允许应用程序拦截并处理Windows消息或指定事件,当指定的消息发出后,HOOK程序就可以在消息到达目标窗口之前将其捕获,从而得到对消息的控制权,进而可以对该消息进行处理或修改,加入我们所需的功能。如果你正在学习C/C++,加群:825414254获取资料与听课权限 ...
C++)构造函数,类成员的屏蔽与作用域,参数初始化列表,访问权限,复制构造函数,深复制与浅复制课堂作业
qq_58788017的博客
10-24 2882
//c++课堂作业,顺手上传一下 1.构造函数 构造函数用于在创建对象时赋给对象初始值,它的函数名与类名相同,没有返回值。它可以被重载,即可以编写多个参数存在一定差异的同名的构造函数。当没有自己编写构造函数时,编译系统将提供一个默认的构造函数,它没有参数,不执行任何语句。 编写的构造函数若没有参数,应如下图student a这样创建对象,调用的是第一个构造函数。注意student a();表示的是声明了一个返回值为student类型的函数a。若有参数,则如主函数中第二...
Detours学习之四:拦截二进制函数
jyl_sh的专栏
10-28 690
拦截二进制函数 Detours库支持拦截函数调用拦截代码在运行时动态应用。Detours将目标函数的前几个指令替换为无条件跳转到用户提供的detour函数。来自目标函数的指令保存在trampoline函数中。trampoline由从目标函数中删除的指令和无条件地转移到目标函数的其余部分组成。 当执行到达目标函数时,控制直接跳转到用户提供的detour函数。detour函数执行任何适当的拦截预处理。detour函数可以将控制权返回给源函数,也可以调用trampoline函...
C++异常处理:拦截exit
aaasssdddd96的博客
08-09 750
在C和C++语言中,exit()代表程序的终止。 然而… … 这个exit()却是可以拦截的!这在别人的代码里面调用了exit(),而又无法修改别人的代码时非常有用。来看这一段代码: #include <stdio.h> #include <stdlib.h> int allow; void intercept(void) { if (!allow) { allow = !allow; throw
类中增加非法拦截,在创建对象时防止对成员变量进行非法赋值
weixin_47876844的博客
05-21 196
第一种:在构造方法中添加 如下代码: public class Person { private String name; private int age; public Person() { } public Person(String name, int age) { this.name = name; //对年龄进行非法拦截 if(age<0||age>150) { Syst
linux c++成员函数劫持
最新发布
04-29
<think>好的,我现在需要帮助用户解决在Linux环境下C++成员函数劫持的问题。用户之前已经询问过相关的内容,我的回答涵盖了实现方式和防御方案,但用户现在想更专注于Linux下的解决方案。需要结合之前的回答和用户提供的引用,但要注意引用中的内容可能不直接相关,需要仔细筛选。 首先,回顾之前的回答,我提到了虚函数表篡改、内存代码注入和编译器特性利用三种方法,以及防御措施。现在用户特别关注Linux下的解决方案,所以需要调整内容,突出Linux特有的工具和技术。 用户提供的引用中,引用3提到了二进制代码的类型恢复工具Lego,这可能与检测劫持有关,但用户的需求是防御和解决劫持,所以可能需要提到逆向工程工具用于检测。引用1和2是关于C++专家的,可能和标准或最佳实践有关,可以引用他们的建议来强调遵循规范的重要性。 接下来,需要确保回答结构清晰,分点列出解决方案,每个方案都要有技术细节和示例代码。同时,用户可能需要了解如何检测劫持,而不仅仅是防御,所以可能需要加入检测方法。 需要检查是否有Linux特有的内存保护机制,如mprotect的使用,或者编译器选项如GCC的-fstrict-vtable-pointers和Clang的CFI。还要考虑ASLR(地址空间布局随机化)和RELRO(重定位只读)等安全机制的影响。 另外,用户可能需要实际示例,比如如何在代码中应用这些防御措施,或者使用工具如GDB进行调试和检测。引用3中的Lego工具可能用于分析二进制,恢复类结构,帮助识别异常,可以作为一个检测手段提到。 需要注意避免提到Windows特有的内容,如__declspec,专注于Linux环境。同时,确保所有代码示例适用于Linux,比如使用dlopen和dlsym来获取函数地址,或者使用ptrace进行注入检测。 最后,生成的相关问题需要围绕Linux环境下的防御、检测工具、编译器支持和实际案例,帮助用户进一步探索。</think>#### Linux环境下C++成员函数劫持的防御与解决方案 以下方案结合Linux系统特性和C++语言机制,提供从底层防护到代码规范的多层次防御体系: --- ### 一、Linux内存保护机制 1. **虚函数表只读保护(VTable RO Protection)** 利用`mprotect`强制虚函数表所在内存页为只读: ```cpp #include <sys/mman.h> void protect_vtable(void* obj) { void** vtable = *(void***)obj; size_t page_size = sysconf(_SC_PAGESIZE); uintptr_t addr = (uintptr_t)vtable; uintptr_t aligned_addr = addr & ~(page_size - 1); mprotect((void*)aligned_addr, page_size, PROT_READ); // 禁止写操作 } ``` *原理*:虚函数表通常位于`.rodata`段,但动态生成的虚表可能位于可写内存[^3] 2. **地址随机化(ASLR)强化** 启用完整ASLR模式增加劫持难度: ```bash echo 2 | sudo tee /proc/sys/kernel/randomize_va_space ``` *效果*:使函数地址、堆栈基址等关键信息在每次运行时随机化 --- ### 二、编译器级防护 1. **控制流完整性(Clang CFI)** 启用Clang的控制流完整性检查: ```bash clang++ -flto -fvisibility=hidden -fsanitize=cfi -fno-sanitize-recover=all ``` *作用*:验证间接函数调用目标地址的合法性[^3] 2. **GCC虚表强化选项** ```bash g++ -fstrict-vtable-pointers -O2 ``` *特性*:标记虚表指针为常量,触发非法修改时的未定义行为 --- ### 三、运行时检测技术 1. **虚函数表校验(VTable Validation)** ```cpp class SecurityChecker { public: virtual ~SecurityChecker() { assert(validate_vtable() && "VTable corrupted!"); } private: bool validate_vtable() const { return *(void**)this == __builtin_vtable_p(this); } }; ``` *实现*:通过GCC内置函数`__builtin_vtable_p`获取原始虚表地址 2. **动态符号拦截检测** 使用`LD_PRELOAD`检测异常符号绑定: ```cpp // hijack_detector.cpp #define _GNU_SOURCE #include <dlfcn.h> #include <iostream> typedef void (*FuncPtr)(void); void original_func() { std::cout << "Legitimate call\n"; } extern "C" void __attribute__((used)) hijacked_func() { std::cerr << "Hijack detected!\n"; exit(EXIT_FAILURE); } __attribute__((constructor)) void init() { FuncPtr* vtable_slot = (FuncPtr*)dlsym(RTLD_DEFAULT, "_ZTV9VictimClass"); if (vtable_slot[1] != original_func) { std::cerr << "VTable hijacking detected!\n"; exit(EXIT_FAILURE); } } ``` 使用方式: ```bash LD_PRELOAD=./hijack_detector.so ./target_program ``` --- ### 四、系统级安全增强 1. **SecComp沙箱限制** 通过Seccomp过滤危险系统调用: ```cpp #include <seccomp.h> void enable_syscall_filter() { scmp_filter_ctx ctx = seccomp_init(SCMP_ACT_ALLOW); seccomp_rule_add(ctx, SCMP_ACT_KILL, SCMP_SYS(mprotect), 1, SCMP_A2(SCMP_CMP_MASKED_EQ, PROT_WRITE, PROT_WRITE)); seccomp_load(ctx); } ``` *作用*:禁止通过`mprotect`修改内存为可写 2. **eBPF实时监控** 使用BPF程序监控关键内存区域: ```c #include <linux/bpf.h> SEC("kprobe/mprotect") int mprotect_monitor(struct pt_regs *ctx) { unsigned long prot = PT_REGS_PARM3(ctx); if (prot & PROT_WRITE) { bpf_printk("Suspicious mprotect(PROT_WRITE) call\n"); } return 0; } ``` 通过`bpftrace`快速部署: ```bash sudo bpftrace -e 'kprobe:mprotect /arg2 & PROT_WRITE/ { printf("PID %d modifying memory to writable\n", pid); }' ``` --- ### 五、代码规范最佳实践 1. **关键类虚函数声明为`final`** ```cpp class CriticalClass { public: virtual void operation() final; // 禁止子类覆盖 }; ``` 2. **使用PImpl惯用法隔离实现** ```cpp // Header class SecureImpl; class PublicInterface { std::unique_ptr<SecureImpl> pimpl; public: void safe_method(); }; // Implementation class SecureImpl { virtual void internal_method(); // 私有虚函数表 }; ``` [^1]: 虚函数表内存布局受ABI规范约束,不同编译器实现可能不同 [^2]: eBPF监控需要Linux 4.4+内核并启用CONFIG_BPF_SYSCALL配置 [^3]: Clang CFI对虚函数调用的保护在LLVM 12+版本中达到生产可用级别
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值