应急响应中Linux库文件劫持

最新推荐文章于 2025-02-23 19:06:59 发布
最新推荐文章于 2025-02-23 19:06:59 发布
阅读量2.6k 收藏 8
点赞数 3
分类专栏: 应急响应 文章标签: linux 网络安全 安全 系统安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/youuzi/article/details/129008153
版权
文章介绍了Linux系统中动态链接库预加载机制的概念和原理,以及如何被恶意利用进行攻击,包括更改LD_PRELOAD环境变量、修改/etc/ld.so.preload配置文件和劫持动态链接器三种方式。同时,提供了相应的检测和处置方法,如检查环境变量、文件属性和动态链接器完整性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

在日常的应急工作中,经常遭遇挖矿病毒的案例,但是往往用ps,top等命令是看不到异常的,且即使kill掉进程和计划任务项往往过一会进程就会重新起来。这种情况往往是存在预加载恶意动态链接库的后门,其实网上有很多详细的文章去讲解这个技术,这里笔者也是为了插个眼。

概述

动态链接库预加载机制是系统提供给用户运行自定义动态链接库的一种方式,在可执行程序运行之前就会预先加载用户定义的动态链接库的一种技术。

原理

在网上有大佬已经做了总结,感兴趣的可以去看看:

https://www.freebuf.com/column/162604.html

1.  应用程序在通过系统接口调用内核时会预先加载动态链接库, 即使程序不依赖这些动态链接库,LD_PRELOAD环境变量和/etc/ld.so.preload配置文件中指定的动态链接库依然会被加载。

    2.  这个库里面主要包括两个内容:LD_PRELOAD和/etc/ld.so.preload

    3.  LD_PRELOAD用于预加载环境变量

    4.  /etc/ld.so.preload用于预加载配置文件

    5.  默认情况下LD_PRELOAD和/etc/ld.so.preload无配置

    6.  动态编译:不论程序依赖不依赖动态链接库,都会加载LD_PRELOAD环境变量和/etc/ld.so.preload配置文件中指定的动态链接库依然会被装载,他们的优先级比LD_LIBRARY_PATH环境变量所定义的链接库查找路径的文件优先级高

   
    7.  全局符号:全局符号介入指的是应用程序调用库函数时,调用的库函数如果在多个动态链接库中都存在,即存在同名函数,那么链接器只会保留第一个链接的函数,而忽略后面链接进来的函数,所以只要预加载的全局符号中有和后加载的普通共享库中全局符号重名,那么就会覆盖后装载的共享库以及目标文件里的全局符号。
        注:这也是造成劫持的某种手段

    8.  静态编译:不动态加载系统库文件,直接将程序所需要的各种文件全部集中到该软件平台中,这样就可以解决系统库文件被劫持,中了rootkit等导致连接、网络等被隐藏的情况,常用的工具如busybox
最低0.47元/天 解锁文章
网络安全从入门到精通(特别篇I):Linux安全事件应急响应Linux应急响应基础必备技能
HACKONE的博客
04-10 857
awk 首先将每条日志中的IP抓出来,如日志格式被自定义过,可以 -F 定义分隔符和 print指定列;
Linux应急响应思路和技巧(一):进程分析
WangsuSecurity的博客
05-27 1925
本文总结自网宿安全演武实验室安全应急响应团队日常工作实践
动态库劫持挖矿病毒处理
u010101453的博客
05-20 440
动态库劫持病毒的定位与扫毒
动态链接库劫持--libc
MillionSky的专栏
04-04 3830
动态链接库劫持--libc1 概述动态链接库劫持,本文是做这个题目的笔记:Exploit Exercises - Nebula 15。2 Exploit Exercises - Nebula 152.1 问题描述根据题目的要求,我们需要用strace命令观察flag15的系统调用情况。 最终目标是通过这个程序拿到flag。 整个过程都是在调用一个叫libc.so.6的动态链接库:level15@n...
Linux提权之环境劫持提权(九)
最新发布
2303_78851087的博客
02-23 298
Linux提权之环境劫持提权(九)
Linux 库文件劫持
travelnight的博客
09-09 2524
Linux库文件劫持
Linux 动态链接库 - dll劫持
banmi9580的博客
10-09 392
如何使用动态链接库 Linux下打开使用动态链接库需要三步(实际上和windows下基本一样):1.加载动态链接库,通过调用库函数dlopen()获得链接库的句柄,对应于windows下的 AfxLoadLibrary函数 //参数一filename是.so文件路径 //参数二flag指定解析符号的时间点等 //返回值是链接库的句柄 ...
Linux LD_PRELOAD动态链接库劫持
SHELLCODE_8BIT的博客
12-02 839
【代码】LD_PRELOAD
linux 库函数劫持技术,黑盒测试-动态库劫持-so注入-Dll注入
weixin_28778005的博客
05-09 483
在一些比较复杂的出程序中,特别是被混淆过的程序,要对这种程序进行静态分析是很困难的,这时候黑盒测试就成了分析函数的不二之选,本分将会讲述Windows如何利用Dll注入进行黑盒测试。方法编写注入dll、so进行注入测试举例用IDA查看源程序。mainint __cdecl main(int argc, const char **argv, const char **envp){size_t v3;...
网络安全——应急响应Linux入侵排查
CoffeMilk的博客
11-13 1083
本文主要介绍关于Linux系统被入侵后的应急响应工作流程和排查内容
Linux应急响应技巧整理
liguangyao213的博客
09-27 1221
Linux 平台下的恶意软件威胁以僵尸网络蠕虫和挖矿病毒为主,由于 Linux 大多作为服务器暴露在公网,且 Web 应用的漏洞层出不穷,所以很容易被大范围入侵,如常见的病毒:DDG、systemdMiner、BillGates、watchdogs、XorDDos,在很多 Linux 上都有。最后一个环节往往是大家比较容易遗忘的,Linux 平台下 90% 的病毒是通过网络传播感染的,所以,你的主机之所以会感染病毒,大部分原因也是因为 Web 安全防护不够,赶紧检查一下。
动态链接库劫持生成器
12-25
该动态链接库劫持生成器可以通过劫持dll文件获取相关数据
linux库函数劫持技术
fivedoumi的专栏
10-29 2557
原文地址:linux库函数劫持技术 作者:CUKdd 众所周知,在Windows平台下可以使用挂钩(Hook)技术,将系统中的鼠标、键盘等事件拦截下来,以添加实现自己的功能。同样的,在Linux系统中也有类似的技术,都可以起到挂钩(Hook)拦截的作用。虽然可以实现拦截的功能,但是它们的实现原理是不同的(这点一定要注意)。 目前为止,笔者所知道的Linux系统下的一
Linux提权之环境劫持
mrx56的博客
04-09 3720
前提 具有SUID权限的文件–>所以会root权限运行 文件内容是以root权限执行的system命令–>system函数会继承环境变量,所以可以修改环境变量劫持,而以root运行才能达到提权目的 能本地创建文件–>一般/tmp目录任何用户都可以读写 流程 查看具有SUID权限的文件(必须是二进制文件) find / -perm -u=s -type f 2>/dev/null 发现一个shell文件,cat发现是以root权限执行id命令,当无法查看文件内容时可使用xx
Linux函数调用劫持的方法总结(带图)
weixin_38371073的博客
05-20 3903
参考文章: https://www.cnblogs.com/LittleHann/p/3854977.html https://lwn.net/Articles/132196/ https://blog.csdn.net/andy205214/article/details/77148573 https://www.cnblogs.com/arnoldlu/p/9752061.html 1.概览 Ring3中劫持 基于环境变量LD_PRELOAD的动态库劫持 Ring0中劫持 Kerne.
linux 网络函数调用链,Linux hook技术之-Ring3下动态链接库.so函数劫持
weixin_32597695的博客
05-03 180
劫持普通函数当然没有什么意思了!我们要劫持的是系统函数!我们知道,Unix操作系统中对于GCC而言,默认情况下,所编译的程序中对标准C函数(fopen、printf、execv家族等等函数)的链接,都是通过动态链接方式来链接libc.so.6这个函数库的,我们只要在加载libc.so.6之前加载我们自己的so文件就可以劫持这些函数了。二、Demo我们从一个简单的c程序(sample.c)开始下面的...
linux 库函数 劫持,Linux hook技术之-Ring3下动态链接库.so函数劫持
weixin_34094282的博客
05-04 632
劫持普通函数当然没有什么意思了!我们要劫持的是系统函数!我们知道,Unix操作系统中对于GCC而言,默认情况下,所编译的程序中对标准C函数(fopen、printf、execv家族等等函数)的链接,都是通过动态链接方式来链接libc.so.6这个函数库的,我们只要在加载libc.so.6之前加载我们自己的so文件就可以劫持这些函数了。二、Demo我们从一个简单的c程序(sample.c)开始下面的...
linux 库函数 劫持,Linux下利用动态链接劫持库函数并注入代码
weixin_42332497的博客
05-04 409
关于环境变量$ LD_PRELOAD$LD_PRELOAD是一个环境变量,用于加载动态库,他的优先级是最高的/*优先级顺序:(1)$LD_PRELOAD(2)$LD_LIBRARY_PATH(3)/etc/ld.so.cache(4)/lib(5)/usr/lib*/一个挑战就是,这玩意可以产生一个shell,就像下面这样:$ LP_PRELOAD = ./payload.so /bin/true...
动态链接库的静态链接导致程序的DLL劫持漏洞-借助QQ程序xGraphic32.dll描述
热门推荐
Less Is More
12-19 1万+
动态链接库的静态链接导致程序的DLL劫持漏洞 借助QQ程序xGraphic32.dll描述   不想啰嗦这么多了,直接开题。   一、       库 首先明确一下库的概念,库里存放的都是二进制编码。纵观编程技术的发展路线,可以看到一条清晰的发展脉络:代码>静态库>动态库。 假如我们要编写一个程序叫做Calc.exe,而现在有现成的库,库里面存放的是已经编译好的函数Add(),Sub
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值