Linux Kernel 学习笔记10:hook函数

最新推荐文章于 2024-05-20 10:32:12 发布
原创 最新推荐文章于 2024-05-20 10:32:12 发布 · 939 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

inux 内核中有一套hook函数机制,可在不同hook点位置监控网络数据包,并执行丢弃、修改等操作。网络防火墙就是通过此机制实现的。

注册注销hook函数:

linux/netfilter.h

注册钩子函数:
int nf_register_hook(struct nf_hook_ops *reg);
注销:
void nf_unregister_hook(struct nf_hook_ops *reg);

struct nf_hook_ops数据结构:
[cpp]  view plain  copy
  1. struct nf_hook_ops {  
  2.     struct list_head    list;  
  3.   
  4.     /* User fills in from here down. */  
  5.     nf_hookfn       *hook;          //hook处理函数  
  6.     struct net_device   *dev;         
  7.     void            *priv;  
  8.     u_int8_t        pf;         //协议类型  
  9.     unsigned int        hooknum;        //hook点  
  10.     /* Hooks are ordered in ascending priority. */  
  11.     int         priority;       //优先级  
  12. };  

list:链表结构,被注册的nf_hook_ops实际是以链表节点的形式存储在nf_hooks中的,nf_hooks是一个二维数组,后面详细介绍;
hook:hook处理函数,当接收到一个数据包后,调用此函数进行处理;
pf:协议类型,ipv4就选PF_INET;
hooknum:hook点,linux 网络协议栈中包含5个hook,在不同的情况下对数据包进行监控,后面详细介绍;
priority:优先级(越小优先级越高)

HOOK点:
linux网络协议栈中有5个hook点:
之间的关系如下图:


PRE_ROUTING: 所有进入协议栈的数据包都会经过PRE_ROUTING;
LOCAL_IN:经过路由判决,确认是发给本机的数据包会经过LOCAL_IN;
FORWARD:若经路由判决不是发送本机,而且经本机转发的报文会经过FORWARD;
LOCAL_OUT:由本机进程发送出去数据包经过LOCAL_OUT;
POST_ROUTING:所有数据包在离开本机前会经过POST_ROUTING;

linux/netfilter_bridge.h中定义了相关hook点:
[cpp]  view plain  copy
  1. /* Bridge Hooks */  
  2. /* After promisc drops, checksum checks. */  
  3. #define NF_BR_PRE_ROUTING   0  
  4. /* If the packet is destined for this box. */  
  5. #define NF_BR_LOCAL_IN      1  
  6. /* If the packet is destined for another interface. */  
  7. #define NF_BR_FORWARD       2  
  8. /* Packets coming from a local process. */  
  9. #define NF_BR_LOCAL_OUT     3  
  10. /* Packets about to hit the wire. */  
  11. #define NF_BR_POST_ROUTING  4  

nf_hooks结构:
struct list_head nf_hooks[NFPROTO_NUMPROTO][NF_MAX_HOOKS];
这是一个二维数组,NFPROTO_NUMPROTO表示相关协议,NF_MAX_HOOKS表示hook点位置。被注册的hook操作节点按照优先级接在在这个二位数据后面,如下图:


linux/netfilter_ipv4.h中定义了优先级信息(越小优先级越高):
[cpp]  view plain  copy
  1. enum nf_ip_hook_priorities {  
  2.     NF_IP_PRI_FIRST = INT_MIN,  
  3.     NF_IP_PRI_CONNTRACK_DEFRAG = -400,  
  4.     NF_IP_PRI_RAW = -300,  
  5.     NF_IP_PRI_SELINUX_FIRST = -225,  
  6.     NF_IP_PRI_CONNTRACK = -200,  
  7.     NF_IP_PRI_MANGLE = -150,  
  8.     NF_IP_PRI_NAT_DST = -100,  
  9.     NF_IP_PRI_FILTER = 0,  
  10.     NF_IP_PRI_SECURITY = 50,  
  11.     NF_IP_PRI_NAT_SRC = 100,  
  12.     NF_IP_PRI_SELINUX_LAST = 225,  
  13.     NF_IP_PRI_CONNTRACK_HELPER = 300,  
  14.     NF_IP_PRI_CONNTRACK_CONFIRM = INT_MAX,  
  15.     NF_IP_PRI_LAST = INT_MAX,  
  16. };  

回调函数:
回调函数结构如下:
[cpp]  view plain  copy
  1. unsigned int nf_hookfn(void *priv,  
  2.         struct sk_buff *skb,  
  3.             const struct nf_hook_state *state);  
每监控到一条数据包,就会调用一次次函数,数据包信息存储在sk_buff结构中,参考sk_buff相关介绍。这个函数的返回值决定了函数结束后此数据包的走向,有如下几种返回值:
1. NF_ACCEPT继续正常传输数据报。这个返回值告诉Netfilter:到目前为止,该数据包还是被接受的并且该数据包应当被递交到网络协议栈的下一个阶段。
2. NF_DROP丢弃该数据报,不再传输。
3. NF_STOLEN模块接管该数据报,告诉Netfilter“忘掉”该数据报。该回调函数将从此开始对数据包的处理,并且Netfilter应当放弃对该数据包做任何的处理。但是,这并不意味着该数据包的资源已经被释放。这个数据包以及它独自的sk_buff数据结构仍然有效,只是回调函数从Netfilter获取了该数据包的所有权。
4. NF_QUEUE对该数据报进行排队(通常用于将数据报给用户空间的进程进行处理)
5. NF_REPEAT 再次调用该回调函数,应当谨慎使用这个值,以免造成死循环。

例:
此例程用于捕捉来自192.168.31.4的ping包:
[cpp]  view plain  copy
  1. #include <linux/init.h>  
  2. #include <linux/module.h>  
  3. #include <linux/netfilter.h>  
  4. #include <linux/netfilter_bridge.h>  
  5. #include <linux/netfilter_ipv4.h>  
  6. #include <linux/ip.h>  
  7.   
  8. static void  
  9. IP2Str(char *ipaddr, int size, uint32_t ip)  
  10. {  
  11.         snprintf(ipaddr, size, "%d.%d.%d.%d", ( ip >> 24 ) & 0xff  
  12.                                         , ( ip >> 16 ) & 0xff  
  13.                                         , ( ip >> 8 ) & 0xff  
  14.                                         , ip & 0xff);  
  15. }  
  16.   
  17. unsigned int  
  18. my_hook_fun(void *priv, struct sk_buff *skb, const struct nf_hook_state *state)  
  19. {  
  20.         struct iphdr *iph;  
  21.         char ipaddr[17];  
  22.   
  23.         if( unlikely(!skb) ) {  
  24.                 return NF_ACCEPT;  
  25.         }  
  26.   
  27.         iph = ip_hdr(skb);  
  28.         if( unlikely(!iph) ) {  
  29.                 return NF_ACCEPT;  
  30.         }  
  31.   
  32.         if( likely(iph->protocol != IPPROTO_ICMP) ) {  
  33.                 return NF_ACCEPT;  
  34.         }  
  35.   
  36.         memset(ipaddr, 0, sizeof(ipaddr));  
  37.         IP2Str(ipaddr, sizeof(ipaddr), ntohl(iph->saddr));  
  38.         if( strcmp(ipaddr, "192.168.31.4") == 0 ) {  
  39.                 printk(KERN_INFO "receive ping from 192.168.31.4\n");  
  40.         }  
  41.   
  42.         return NF_ACCEPT;  
  43. }  
  44.   
  45. static struct nf_hook_ops my_hook_ops = {  
  46.         .hook           = my_hook_fun,          //hook处理函数  
  47.         .pf             = PF_INET,              //协议类型  
  48.         .hooknum        = NF_BR_PRE_ROUTING,    //hook注册点  
  49.         .priority       = NF_IP_PRI_FIRST,      //优先级  
  50. };  
  51.   
  52. static void  
  53. hello_cleanup(void)  
  54. {  
  55.         nf_unregister_hook(&my_hook_ops);  
  56. }  
  57.   
  58. static __init int hello_init(void)  
  59. {  
  60.   
  61.         if ( nf_register_hook(&my_hook_ops) != 0 ) {  
  62.                 printk(KERN_WARNING "register hook error!\n");  
  63.                 goto err;  
  64.         }  
  65.         printk(KERN_ALERT "hello init success!\n");  
  66.         return 0;  
  67.   
  68. err:  
  69.         hello_cleanup();  
  70.         return -1;  
  71. }  
  72.   
  73. static __exit void hello_exit(void)  
  74. {  
  75.         hello_cleanup();  
  76.         printk(KERN_WARNING "helloworld exit!\n");  
  77. }  
  78.   
  79. module_init(hello_init);  
  80. module_exit(hello_exit);  
  81.   
  82. MODULE_LICENSE("GPL");  
  83. MODULE_AUTHOR("Stone");  
DemonHunter211
关注
PyTorch学习笔记(七):PyTorch可视化
专注大数据与人工智能技术分享,欢迎私信加群互相学习!
03-22 5216
本次任务,主要介绍了PyTorch可视化,包括可视化网络结构、CNN卷积层可视化和使用TensorBoard可视化训练过程。 打印模型基础信息:使用print()函数,只能打印出基础构件的信息,不能显示每一层的shape和对应参数量的大小
linux应用hook实例(含源码分析)
啊渊的专栏
08-12 3009
函数地址替换是最简单的hook方式,在开发的时候发现C开发的程序和C++开发的程序hook还是有差别的。C开发的程序函数几乎是可以直接使用readelf查看,因此在查找函数偏移量的时候相对简单一些,但是如果是C++开发无法直接使用readelf命令查看函数地址,因此需要动态跟踪函数地址,找到函数偏移量然后针对该函数地址进行hook。..............................
linux kernel中的ingress hook简介
最新发布
toyijiu的专栏
05-20 811
Linux内核中,Ingress Hook是Netfilter框架中的一个钩子(Hook),用于对进入网络接口的数据包进行处理。它位于数据包接收的早期阶段,在数据包被路由或转发之前。
Linux系统下的HOOK
蛇矛实验室
04-10 987
Linux系统下的HOOK
Linux API Hook
03-01
Linux HOOKAPI方面的资料甚少,新人很难走进Linuxhook的大门,本文全面讲解Linuxhookapi的全部实现过程,包括分析过程,涉及inject,相关技术也可以用在Android上。
Hook内核函数ZwSetValueKey
05-11
给初学驱动的人的一个简单例子,Hook掉内核函数ZwSetValueKey,实现一个在IE或者注册表调用SetValueKey函数的时候附加了一个修改主页的操作。代码内还提供了一个简单的获取默认浏览器的功能,另外还有其他小惊喜
Linux下系统调用的hook机制
lxb122435677的博客
03-15 1532
Linux下系统调用的hook机制 [http://blog.youkuaiyun.com/sdulibh/article/details/42078681] http://0pointer.de/blog/projects/mutrace.html http://0pointer.de/blog/projects/mutrace.html – 对mutex进行trace的hook https:...
linux钩子函数和回调函数,Linux Kernel 学习笔记10hook函数
weixin_39608478的博客
05-03 1034
(本章基于:Linux-4.4.0-37)linux 内核中有一套hook函数机制,可在不同hook点位置监控网络数据包,并执行丢弃、修改等操作。网络防火墙就是通过此机制实现的。注册注销hook函数linux/netfilter.h注册钩子函数:int nf_register_hook(struct nf_hook_ops *reg);注销:void nf_unregister_hook(str...
【学习札记NO.00004】Linux Kernel Pwn学习笔记 I:一切开始之前
arttnba3的博客
02-25 800
【学习札记NO.00004】Linux Kernel Pwn学习笔记 I:一切开始之前[GITHUB BLOG ADDR](https://arttnba3.cn/2021/02/21/NOTE-0X02-LINUX-KERNEL-PWN-PART-I/)0x00.Linux Kernel Basic Knowledge一、内核内核架构:微内核 & 宏内核(单内核)宏内核(Monolithic Kernel,又叫单内核)微内核(Micro Kernel)二、分级保护域Intel Ring Model
pytorch学习笔记五:模型的创建
Dear_learner的博客
02-14 1325
在上一节中整理了数据模块的知识点,在本节中主要围绕如何用pytorch构建一个模型来展开,最后用pytorch实现Alexnet网络结构的搭建。 下面基于上面的框架来探索每一个模块的实现细节。 一、模型的创建 上面是LetNet的网络图,由边和节点组成,节点表示输入的数据大小,而边就是数据之间的运算。从上面的LetNet的网络中可以看出,网络接受一个输入,然后经过运算得到一个输出,在网络结构的内部,又分为多个子网络层进行拼接组成,这些子网络层之间的拼接 配合,最终得到我们想要的输出。 所以通过上面的分析
Linux内核学习笔记(一) 虚拟文件系统VFS
胡LiuJia@BLOG
04-20 4639
什么是VFS Vritual Filesystem 是给用户空间程序提供统一的文件和文件系统访问接口的内核子系统。借助VFS,即使文件系统的类型不同(比如NTFS和ext3),也可以实现文件系统之间交互(移动、复制文件等), 从用户空间程序的角度来看,VFS提供了一个统一的抽象、接口。这使得用户空间程序可以对不同类型的文件系统发起统一的系统调用,而不需要关心底层的文件系统类型。 从文件系统的...
简单Linux hook demo
07-07
最近对hook感兴趣,在网上看了些hook的栗子,记录下!
linux内核netfilter模块HOOKs点的注册及调用
04-19
详细介绍了linux下防火墙之netfilter模块的hooks注册、调用、测试等情况。
linux内核hook技术之函数地址替换
快乐时光
03-04 2405
前言 函数地址替换是一种更为简单、常见的hook方式,比如对security_ops、sys_call_table等结构中的函数进行替换,来完成自己的安全权限控制。 其中security_ops是LSM框架中所使用的,sys_call_table是系统调用表结构。当然了,这些结构目前在内核中都已经是只读数据结构了,如果想直接进行函数替换的话,首先就是考虑解决关闭写保护的问题。在下面的模块例子中,演示了重置cr0寄存器写保护位及其 修改内存页表项属性值两种关闭写保护方式,有兴趣的朋友可对...
linux内核hook技术之指令覆盖与注入
快乐时光
03-02 1865
前言 说到hook,传统意义上,大家都会觉得跟注入和劫持挂钩。在linux内核中,也可以通过指令覆盖和注入的方式进行hook,来完成自己的业务逻辑,实现自己的功能需求。 一部分人喜欢称这种hook技术为inline hook。 如何hook 具体hook细节在以下编写的驱动例子程序中给出了,例子中标注了详细的注释,大家可对照着代码查看。 例子程序在centos 6系统上编译并测试通过了,如果换成其他系统,部分代码可能需要进行微调,想要尝试的朋友,自己写个简单的mak...
linux内核协议栈 netfilter 之 hook 机制概述
10-29 6571
1 netfilter介绍 Linuxnetfilter就是借助一整套的hook函数的管理机制,实现数据包在三层以上的过滤、地址转换(SNAT、DNAT)、基于协议的连接跟踪。我们所说的内核的netfilter,应该包括二层数据的filter操作,以及对三层及三层以上数据的filter等操作。 只不过二层的filter实现与三层及三层也上的filter实现有所不同。其中二层的filter与应用层程序ebtables结合使用,而三层及以上的filter结合iptables使用。但是二层filter与...
Netfilter——Netfilter中的HOOK机制
Windeal
04-20 9717
Netfilter 是 Linux网络内核协议栈提供了报文过滤(防火墙)框架,HOOK机制是Netfilter的核心。一、如何在协议栈中调用钩子函数  在协议栈中相应位置嵌入Netfilter的函数NF_HOOK,来拦截报文送到Netfilter中进行处理。  协议栈中的五条内置链我们知道Linux网络内核内置了5条链PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUT
FridaHook学习笔记:掌握Hook技术与脚本编写
资源摘要信息:"FridaHook是一个关于学习和实践Frida Hook技术的资料集合,它详细记录了学习Frida Hook的关键知识点,并附带了一些实用的脚本示例。Frida是一个动态代码插桩工具,广泛用于应用程序的安全研究和逆向...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值