一：背景

1. 講故事

前兩篇我們介紹了 Minhook 在 Windows 平臺上的強大功效，這一篇我們來聊一聊如何在 Linux 上對函數進行hook，這里介紹兩種方式。

1. 輕量級的 LD_PRELOAD 攔截

LD_PRELOAD是一種共享庫攔截，這種方式的優點在于不需要對源程序做任何修改，達到無侵入的功效，這是windows平臺上不可想象的。

2. funchook 攔截

在 github 有很多可用于 linux 上的函數 hook，我發現輕量級的，活躍的，開源的 要屬 funchook 吧。

二：兩種攔截方式

1. LD_PRELOAD 如何實現攔截

要想明白 LD_PRELOAD 如何實現攔截？需要你對 linux 上的進程初始化時的鏈接器 ld.so 的工作過程有一個了解，簡單來說就是它的加載順序為 主程序的可執行文件 -> LD_PRELOAD 指定的庫 -> glibc 標準庫 -> 其他依賴庫 。

由于 LD_PRELOAD 指定的 so 文件優于 glibc.so 解析，所以可以利用這種先入為主的方式覆蓋后續的同名符號方法，那 ld.so 長啥樣呢？在我的ubuntu上就是 ld-linux-x86-64.so.2。

root@ubuntu2404:/data2# cat /proc/5322/maps
60c0f8687000-60c0f8688000 r--p 00000000 08:03 1966089                    /data2/main
60c0f8688000-60c0f8689000 r-xp 00001000 08:03 1966089                    /data2/main
60c0f8689000-60c0f868a000 r--p 00002000 08:03 1966089                    /data2/main
60c0f868a000-60c0f868b000 r--p 00002000 08:03 1966089                    /data2/main
60c0f868b000-60c0f868c000 rw-p 00003000 08:03 1966089                    /data2/main
60c1266de000-60c1266ff000 rw-p 00000000 00:00 0                          [heap]
7efd5c600000-7efd5c628000 r--p 00000000 08:03 2242169                    /usr/lib/x86_64-linux-gnu/libc.so.6
7efd5c628000-7efd5c7b0000 r-xp 00028000 08:03 2242169                    /usr/lib/x86_64-linux-gnu/libc.so.6
7efd5c7b0000-7efd5c7ff000 r--p 001b0000 08:03 2242169                    /usr/lib/x86_64-linux-gnu/libc.so.6
7efd5c7ff000-7efd5c803000 r--p 001fe000 08:03 2242169                    /usr/lib/x86_64-linux-gnu/libc.so.6
7efd5c803000-7efd5c805000 rw-p 00202000 08:03 2242169                    /usr/lib/x86_64-linux-gnu/libc.so.6
7efd5c805000-7efd5c812000 rw-p 00000000 00:00 0 
7efd5c964000-7efd5c967000 rw-p 00000000 00:00 0 
7efd5c977000-7efd5c979000 rw-p 00000000 00:00 0 
7efd5c979000-7efd5c97d000 r--p 00000000 00:00 0                          [vvar]
7efd5c97d000-7efd5c97f000 r-xp 00000000 00:00 0                          [vdso]
7efd5c97f000-7efd5c980000 r--p 00000000 08:03 2242166                    /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2
7efd5c980000-7efd5c9ab000 r-xp 00001000 08:03 2242166                    /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2
7efd5c9ab000-7efd5c9b5000 r--p 0002c000 08:03 2242166                    /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2
7efd5c9b5000-7efd5c9b7000 r--p 00036000 08:03 2242166                    /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2
7efd5c9b7000-7efd5c9b9000 rw-p 00038000 08:03 2242166                    /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2
7ffe03c95000-7ffe03cb6000 rw-p 00000000 00:00 0                          [stack]
ffffffffff600000-ffffffffff601000 --xp 00000000 00:00 0                  [vsyscall]

說了這么多，接下來我們演示下如何對 openat 進行攔截，首先定義一個 LD_PRELOAD 需要加載的共享庫，代碼如下：

#define _GNU_SOURCE
#include <dlfcn.h>
#include <stdio.h>
#include <fcntl.h>
#include <stdarg.h>
#include <unistd.h>
#include <sys/types.h>static int (*real_openat)(int, const char *, int, ...) = NULL;int openat(int dirfd, const char *pathname, int flags, ...)
{mode_t mode = 0;pid_t pid = getpid();pid_t tid = gettid();printf("hooked openat: PID=%d, TID=%d, path=%s\n", pid, tid, pathname);if (!real_openat){real_openat = dlsym(RTLD_NEXT, "openat");}if (flags & O_CREAT){return real_openat(dirfd, pathname, flags, mode);}else{return real_openat(dirfd, pathname, flags);}
}

將上面的 hook_openat.c 做成動態鏈接庫，其中的 -ldl 表示對外提供加載該庫的api，比如(dlopen,dlsym)， 參考如下：

root@ubuntu2404:/data2# gcc -shared -fPIC -o libhookopenat.so hook_openat.c -ldl
root@ubuntu2404:/data2# ls -lh
total 24K
-rw-r--r-- 1 root root 688 Jun 12 09:14 hook_openat.c
-rwxr-xr-x 1 root root 16K Jun 12 09:20 libhookopenat.so
-rw-r--r-- 1 root root 782 Jun 12 09:18 main.c

共享庫搞定之后，接下來就是寫 C 代碼來調用了，這里我們通過 openat 打開文件，然后讓 libhookopenat.so 攔截，參考代碼如下：

#define _GNU_SOURCE
#include <fcntl.h> 
#include <unistd.h> 
#include <stdio.h>  
#include <stdlib.h> 
#include <string.h> int main()
{// 在當前目錄下創建一個新文件int fd = openat(AT_FDCWD, "example.txt", O_WRONLY | O_CREAT | O_TRUNC, 0644);if (fd == -1){perror("openat failed");exit(EXIT_FAILURE);}// 寫入一些內容到文件const char *text = "This is a test file created with openat!\n";ssize_t bytes_written = write(fd, text, strlen(text));if (bytes_written == -1){perror("write failed");close(fd);exit(EXIT_FAILURE);}// 關閉文件close(fd);printf("File created and written successfully! Wrote %zd bytes.\n", bytes_written);return 0;
}

root@ubuntu2404:/data2# gcc -o main ./main.c
root@ubuntu2404:/data2# LD_PRELOAD=./libhookopenat.so ./main
hooked openat: PID=4646, TID=4646, path=example.txt
File created and written successfully! Wrote 41 bytes.

從卦中可以清晰的看到 hook 成功！

2. funchook 如何實現攔截

LD_PRELOAD 這種共享庫的粒度還是太大，如果粒度再小一點就更加靈活了，比如函數級，這就是本節要介紹到的 funchook，源碼在github上：https://github.com/kubo/funchook ，唯一麻煩一點的就是你需要通過源碼編譯來生成對應的 頭文件,靜態鏈接文件,動態鏈接庫 ，參考如下：

root@ubuntu2404:/data4# sudo apt install -y git gcc cmake make
root@ubuntu2404:/data4# git clone https://github.com/kubo/funchook.git
root@ubuntu2404:/data4# cd funchook
root@ubuntu2404:/data4# mkdir build && cd build
root@ubuntu2404:/data4# cmake ..
root@ubuntu2404:/data4# make
root@ubuntu2404:/data4/funchook/build# sudo make install
[ 25%] Built target distorm
[ 42%] Built target funchook-shared
[ 60%] Built target funchook-static
[ 71%] Built target funchook_test
[ 85%] Built target funchook_test_shared
[100%] Built target funchook_test_static
Install the project...
-- Install configuration: ""
-- Installing: /usr/local/include/funchook.h
-- Installing: /usr/local/lib/libfunchook.so.2.0.0
-- Installing: /usr/local/lib/libfunchook.so.2
-- Installing: /usr/local/lib/libfunchook.so
-- Installing: /usr/local/lib/libfunchook.aroot@ubuntu2404:/data4/funchook/build# ldconfig

由于默認安裝在了 /usr/local/lib 下，一定要記得用 ldconfig 命令刷新下，否則程序可能找不到新庫，最后就是 C 的調用代碼，參考如下：

#define _GNU_SOURCE
#include <stdio.h>
#include <dlfcn.h>
#include <fcntl.h>
#include <unistd.h>
#include <funchook.h>// 原始函數指針
static int (*orig_openat)(int dirfd, const char *pathname, int flags, mode_t mode);// 鉤子函數
int hooked_openat(int dirfd, const char *pathname, int flags, mode_t mode)
{printf("Hooked openat called: path=%s, flags=0x%x\n", pathname, flags);// 調用原始函數return orig_openat(dirfd, pathname, flags, mode);
}int main()
{// 獲取原始 openat 函數地址orig_openat = dlsym(RTLD_NEXT, "openat");if (!orig_openat){fprintf(stderr, "Failed to find openat: %s\n", dlerror());return 1;}// 創建 funchook 實例funchook_t *funchook = funchook_create();if (!funchook){perror("funchook_create failed");return 1;}// 準備 Hookint rv = funchook_prepare(funchook, (void **)&orig_openat, hooked_openat);if (rv != 0){fprintf(stderr, "Prepare failed: %s\n", funchook_error_message(funchook));return 1;}// 安裝 Hookrv = funchook_install(funchook, 0);if (rv != 0){fprintf(stderr, "Install failed: %s\n", funchook_error_message(funchook));return 1;}// 測試調用printf("=== Testing openat hook ===\n");int fd = openat(AT_FDCWD, "/etc/passwd", O_RDONLY);if (fd >= 0){printf("Successfully opened file, fd=%d\n", fd);close(fd);}else{perror("openat failed");}// 清理funchook_uninstall(funchook, 0);funchook_destroy(funchook);return 0;
}

接下來就是編譯執行了。

root@ubuntu2404:/data2# gcc -o main main.c -lfunchook -ldl
root@ubuntu2404:/data2# ./main
=== Testing openat hook ===
Hooked openat called: path=/etc/passwd, flags=0x0
Successfully opened file, fd=3

一切都是美好的，當然如果你想可視化的單步調試，可以配置到 vs 的 tasks.json 中，參考如下:

{"tasks": [{"type": "cppbuild","label": "C/C++: gcc build active file","command": "/usr/bin/gcc","args": ["-fdiagnostics-color=always","-g","${file}","-o","${fileDirname}/${fileBasenameNoExtension}","-lfunchook","-L/usr/local/lib"],"options": {"cwd": "${fileDirname}"},"problemMatcher": ["$gcc"],"group": {"kind": "build","isDefault": true},"detail": "Task generated by Debugger."}],"version": "2.0.0"
}

三：總結

這里給大家總結的兩種注入方式，LD_PRELOAD 雖然簡單，但粒度粗，適合簡單的無侵入場景，如果希望更細粒度，建議使用活躍的 funchook 吧，雖然是一個島國大佬實現的。