Linux dlopen 注入 和 hook分析

最新推荐文章于 2025-06-20 21:34:02 发布
原创 最新推荐文章于 2025-06-20 21:34:02 发布 · 4k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#adbi #linux #hook #注入

本文详细介绍了Linux环境下动态库注入和函数hook的技术,包括如何获取目标程序函数地址,寻找可执行内存,注入汇编代码以及利用int3断点进行分析。通过示例代码展示了利用dlopen和dlsym获取函数地址,以及如何计算函数偏移地址。文章还对比了adbi和linux-inject两种注入方法的优缺点,并分析了ARM指令在hook流程中的处理,特别是 Thumb 指令的特殊情况。最终,作者计划利用这些技术在Android的dalvik虚拟机中hook函数以研究调用流程和参数。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

http://blog.51cto.com/haidragon/2135226

https://github.com/gaffe23/linux-inject

 

目的:将动态库so注入到目标程序中

核心原理:1、获取目标程序函数(__libc_dlopen_mode、malloc、free)的地址;2、获取一段可执行的内存地址;3、将汇编注入代码写入这段内存地址;4、通过int3断点来查看函数调用返回值和恢复写入内存数据。

1、通过读取(/proc/%d/maps)获取libc的基地址,通过dlopen和dlsym获取当前程序中需要获取的函数(__libc_dlopen_mode、malloc、free)的地址,函数如下:

long getFunctionAddress(char* funcName)

{

void* self = dlopen("libc.so.6", RTLD_LAZY);

void* funcAddr = dlsym(self, funcName);

return (long)funcAddr;

}

因为函数(__libc_dlopen_mode、malloc、free)都在libc库中,所以用获取的地址-基地址=偏移地址;

同样读取目标程序的(/proc/%d/maps)获取libc的基地址,用此基地址+偏移地址=函数地址;

所以:偏移地址 = (当前函数地址)-(当前基地址);

目标函数地址 = (目标库基地址) + (获取的偏移地址)

2、读取目标程序(/proc/%d/maps)一段可执行(属性为x)内存地址,此内存地址需要计算最佳位置:

// find a good address to copy code to

long addr = freespaceaddr(target) + sizeof(long);

 

// now that we have an address to copy code to, set the target's rip to

// it. we have to advance by 2 bytes here because rip gets incremented

// by the size of the current instruction, and the instruction at the

// start of the function to inject always happens to be 2 bytes long.

regs.rip = addr + 2;

,计算注入函数的大小,注入函数的最后一个返回值写为int3用于恢复现场等,将需要写入内存大小的数据保存,写入注入的汇编函数(malloc分配注入so路径大小内存->使用dlopen打开注入的so->free分配内存)

3、写入汇编代码后,运行,在第一个int3中断,向malloc返回值寄存器rax赋值注入so的路径,运行,第二个int3中断,判断寄存器rax返回的dlopen函数打开的so地址是否为空,运行,第三个int3中断,判断free是否成功,运行,中断后恢复写入的内存数据,并恢复原始寄存器值,之后停止附加,退出.

 

注:arm通过raise替换int3 

// call raise(SIGTRAP) to get back control of the target.

asm(

最低0.47元/天 解锁文章

200万优质内容无限畅学
dlopen与dlsym的说明使用-动态拿到函数地址
com360的专栏
06-28 5580
Linux提供了一套API来动态装载库。下面列出了这些API: - dlopen,打开一个库,并为使用该库做些准备。 - dlsym,在打开的库中查找符号的值。 - dlclose,关闭库。 - dlerror,返回一个描述最后一次调用dlopen、dlsym,或dlclose的错误信息的字符串。 通过dlopen动态的打开动态库,动态库加载完成后,返回一个句柄,然后把句
linux内核hook技术之指令覆盖与注入
快乐时光
03-02 1865
前言 说到hook,传统意义上,大家都会觉得跟注入劫持挂钩。在linux内核中,也可以通过指令覆盖注入的方式进行hook,来完成自己的业务逻辑,实现自己的功能需求。 一部分人喜欢称这种hook技术为inline hook。 如何hook 具体hook细节在以下编写的驱动例子程序中给出了,例子中标注了详细的注释,大家可对照着代码查看。 例子程序在centos 6系统上编译并测试通过了,如果换成其他系统,部分代码可能需要进行微调,想要尝试的朋友,自己写个简单的mak...
Android动态库注入技术
键盘的起始页
11-10 1343
本文主要介绍了Android平台动态库注入技术。 关于这方面技术,网上已经有大把的实现。在此,我只是记录下自己的学习过程。 原理 所谓的SO注入就是将代码拷贝到目标进程中,并结合函数重定向等其他技术,最终达到监控或改变目标进程行为的目的。Android是基于Linux内核的操作系统,而在Linux下SO注入基本是基于调试API函数ptrace实现的,同样Android的SO注入也是基于ptr
SO文件注入方法(外挂注入
最新发布
qq_47964024的博客
06-20 521
外挂插入,SO注入
Linux 动态库hook注入
lxb122435677的博客
08-02 3513
由于工作上的需要,之前只是对大概的原理了解,现对此进行详细的分析。 涉及到的关键API以及数据结构: 1. ptrace PTRACE_ATTACH:挂载到指定的pid进程上 PTRACE_GETREGSET:读取目标进程的寄存器 PTRACE_POKETEXT:复制一个word的数据 PTRACE_PEEKTEXT:复制一个word的数据 PTRACE_SETREGSET:设置寄存器 PTRAC...
Linux中的注入Hook技术详解
Linux内核研究者
12-04 2670
本文详细介绍了Linux中的注入Hook技术。注入是指将代码或共享库植入目标进程,以影响其执行流程,常见方式包括使用LD_PRELOAD环境变量、ptrace系统调用等。Hook则是通过在程序的关键节点插入自定义逻辑来改变行为,实现方式有函数劫持、内联Hook及修改PLT/GOT表等。
python eval 转换k m到乘法计算
weixin_43852674的博客
09-28 802
原数据 lambda函数处理 我之前写了各种if substr函数,各种报错 正确到热泪盈眶的函数 data['Followers/Fans'] = data['Followers/Fans'].str.replace('k|K','*1000').str.replace('m|M','*1000000').fillna('0') data['Followers/Fans'] = data['Followers/Fans'].apply(eval) 报错函数 # def trans(x): #
Linux hook系统调用使你文件无法删除
chi's blog
03-19 1460
hook技术在Linux系统安全领域有着广泛的应用,例如通过hook技术可以劫持删除文件的系统调用,从而使用户无法删除特定文件,也可以实现对系统网络,文件,进程等的监控。hook技术即钩子函数,钩子的本质是一段用以处理系统消息的程序,。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理(改变)该消息(如屏幕取词,监视日志,截获键盘/鼠标输入等),也可以不作处理而继续传递该消息,还可以强制结束消息的传递。
linux x86平台elf 进程注入so并且实现基于rel的hook ubuntu14.01测试通过
08-21
总结来说,"linux x86平台elf 进程注入so并且实现基于rel的hook"是一种高级的逆向工程调试技术,它涉及到了Linux系统编程、ELF文件格式、动态链接、内存管理系统调用等多个方面。这一技术在软件调试、安全分析、...
偷梁换柱(Linux下的hook技术)
qq_39827740的博客
10-29 741
如果是自己实现的API,那调试起来还好说,加些打印,加些日志,也能糊弄过去。在Linux端开发服务端程序,经常能遇到某个API被执行了,但是只看到执行后的效果,却不能明确是哪个线程执行的,更不清楚其执行路径。attach上去后,打好断点,然后等着复现,但是最大的问题是,灵活度受限,在必现的问题面前还好,但在偶现的问题面前,就显的力不从心。)的存在,导致不同设备,不同环境上运行相同的程序,加载起来的动态库符号地址都不一样,因此该地址需要进行计算,计算方法(以。实现hook非常的灵活,但有较高的学习门槛。
Linux动态库加载函数dlopen源码梳理(一)
热门推荐
SweeNeil
11-05 1万+
下载了libc的源码,现在就开始libc源码的学习,最近了解到了linux动态库的相关知识,那么就从linux动态库加载函数dlopen进行梳理学习吧。 如果还没下载libc源码,可通过 https://blog.youkuaiyun.com/SweeNeil/article/details/83744069 来查看自己需要的libc版本并进行下载。在这里我使用的是glibc-2.15 一、glibc...
Linuxdlopen、dlsym、dlclose、dlerror函数
LPetitPrince's Blog
04-26 2990
编译时候要加入 -ldl (指定dl库) dlopen 基本定义 功能:打开一个动态链接库 [喝小酒的网摘]http://blog.const.net.cn/a/17154.htm 包含头文件: #include <dlfcn.h> 函数定义: void * dlopen( const char * pathname, int mode ); 函数描述: 在dlopen的()函数以指定...
嵌入式Linux支持dlopen,《嵌入式Linux内存与性能详解》笔记3——动态库内存优化...
weixin_42490217的博客
05-06 994
一、前言在编程中,我们有时会使用到静态库动态库,而静态库是链接到程序之中的,基本上静态库的优化与进程类似。但动态库是加载在内存空间中的,是在运行时链接的。它的优化方式比较不同,本文我们就简单地讲述一下动态库如何优化二、动态库对于 动态库 而言,它仅包括 2 个段:只读的代码段可修改的数据段。堆段 栈段 只有进程中才有。所以,如果你在动态库的函数里分配了一块内存,这段内存将被算在调用该函数的进...
frida_hook_dlopen
SXXYNHHXX的博客
11-28 1221
Frida 脚本用于拦截 Android 应用程序中的dlopen函数。这两个函数用于动态加载共享库,脚本通过拦截这些函数的调用来记录加载的库的路径。
[LINUX]LD_PRELOAD中对于dlopen函数hook
小蜗牛之家
04-08 1143
- LD_PRELOAD的hook方式可以hook大部分的函数,通常需要通过dlopen获取共享库的句柄,然后用dlsym获取对应名称的函数地址, 用于后续调用; - 这种方式对于绝大多数的libc暴露的函数均有效,但是对于dlopen这种机制中需要使用的函数无法进行hook,因为一旦hookdlopen函数,则会在获取共享库句柄的时候,陷入死循环; - 解决方式:自主编译libc,建立一个...
dlopen介绍原理
weixin_42877425的博客
06-22 917
动态库热加载指的是在程序运行时,动态地加载动态库,从而达到不停止程序的情况下,更新程序的功能。C++ 程序在运行时有两种方式加载动态连接库:隐式链接显式链接。使用动态链接可以解决静态链接带来的可执行文件过大的问题(每次都要将静态库编译进可执行二进制文件)、解决版本不兼容问题、减少内存的使用(仅在必要时加载动态库,有点懒加载的味道)。dlopen()函数以指定模式打开指定的动态链接库文件,并返回一个句柄给dlsym()的调用进程用以获取函数地址或者全局变量地址。使用dlclose()来卸载打开的库。
[LINUX]preload hook dlopen
小蜗牛之家
04-20 516
preload hook中需要通过dlopen打开对应的so,查找旧函数地址以便后续调用; 如果需要hook dlopen这个函数,就会出现死循环的情况,因为dlopen中需要调用自身来加载so,获取dlopen函数地址; 可以使用dlmopen代替dlopen加载so的功能,这样dlopen函数也可以被顺利hook了; ...
Android9.0 hook dlopen问题/如何hook dlopen相关函数
DaoDivDiFang的博客
01-02 4320
Android9.0中在activity的onCreate之前hook dlopen函数,如果需要返回值(即修改了LR寄存器),那么会触发:E/libEGL: EGL_ANDROID_blob_cache advertised, but unable to get eglSetBlobCacheFuncsANDROID。不会crash,但是界面不会绘制出来。 是因为dlopen(libEGL_ad...
android 禁用dlsym_Android10 aarch64 dlopen Hook
weixin_32302013的博客
01-15 707
前言[toc]对于自动化hook Il2cpp 的模块来说, dlopenhook相当于一个大门, 没有该大门口, 一切都是纸上谈兵在 armabi-v7a 上hook dlopen, 轻松的不要不要的, 甚至借用一下 virtual 系列app的 va++ 核心提供的 hook_dlopen 函数的接口都行可是到了 aarch64 这里, 找了一圈, 能用的 hook构件 也就一枚 And6...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值