linux 庫函數劫持,Linux hook技術之-Ring3下動態鏈接庫.so函數劫持

劫持普通函數當然沒有什么意思了！我們要劫持的是系統函數！我們知道，Unix操作系統中對于GCC而言，默認情況下，所編譯的程序中對標準C函數(fopen、printf、execv家族等等函數)的鏈接，都是通過動態鏈接方式來鏈接libc.so.6這個函數庫的，我們只要在加載libc.so.6之前加載我們自己的so文件就可以劫持這些函數了。

二、Demo

我們從一個簡單的c程序(sample.c)開始

下面的代碼標準調用fopen函數，并檢查返回值#include

int main(void) {

printf("Calling the fopen() function...\n");

FILE *fd = fopen("test.txt","r");

if (!fd) {

printf("fopen() returned NULL\n");

return 1;

}

printf("fopen() succeeded\n");

return 0;

}編譯執行

$ gcc -o sample sample.c

$ ./sample

Calling the fopen() function...

fopen() returned NULL

$ touch test.txt

$ ./sample

Calling the fopen() function...

fopen() succeeded開始編寫我們自己的so動態庫

#include

FILE *fopen(const char *path, const char *mode) {

printf("This is my fopen!\n");

return NULL;

}編譯成.so

gcc -Wall -fPIC -shared -o myfopen.so myfopen.c設置環境變量后執行sample程序，我們可以看到成功劫持了fopen函數，并返回了NULL

$ LD_PRELOAD=./myfopen.so ./sample

Calling the fopen() function...

This is my fopen!

fopen() returned NULL當然，使fopen始終返回null是不明智的，我們應該在假的fopen函數中還原真正fopen的行為，看下面代碼這回輪到 dlfcn.h 出場，來對動態庫進行顯式調用，使用dlsym函數從c標準庫中調用原始的fopen函數，并保存原始函數的地址以便最后返回恢復現場

#define _GNU_SOURCE

#include

FILE *fopen(const char *path, const char *mode) {

printf("In our own fopen, opening %s\n", path);

FILE *(*original_fopen)(const char*, const char*);

original_fopen = dlsym(RTLD_NEXT, "fopen");

return (*original_fopen)(path, mode);

}Tips：如果dlsym或dlvsym函數的第一個參數的值被設置為RTLD_NEXT，那么該函數返回下一個共享對象中名為NAME的符號(函數)的運行時地址。下一個共享對象是哪個，依賴于共享庫被加載的順序。dlsym查找共享庫順序如下： ①環境變量LD_LIBRARY_PATH列出的用分號間隔的所有目錄。 ②文件/etc/ld.so.cache中找到的庫的列表，由ldconfig命令刷新。 ③目錄usr/lib。 ④目錄/lib。 ⑤當前目錄。 ? 編譯：

gcc -Wall -fPIC -shared -o myfopen.so myfopen.c -ldl執行：調用原始函數，劫持成功！

$ LD_PRELOAD=./myfopen.so ./sample

Calling the fopen() function...

In our own fopen, opening test.txt

fopen() succeeded

三、需要注意的問題以及LD_PRELOAD hook的應用

需要注意的問題

1.so文件加載及函數劫持的順序。

在很多情況下，在你進行劫持之前，系統中已經有其他組件也對該函數進行了劫持，那么就要特別注意so加載的順序，一定要在其他組件的so庫加載前加載自己的so庫，否則你的hook函數將會被忽略。

2.保持原本函數的完備性與業務的兼容性。被hook的函數一定要hook結束時進行返回，返回前自己的執行邏輯中不能過度延時，過度延時可能造成原有的業務邏輯失敗。使用RTLD_NEXT 句柄，維持原有的共享庫調用鏈。

應用一：HIDS入侵檢測系統

劫持libc庫

優點: 性能較好, 比較穩定, 相對于LKM更加簡單, 適配性也很高, 通常對抗web層面的入侵.

缺點: 對于靜態編譯的程序束手無策, 存在一定被繞過的風險.

應用二：rootkit惡意軟件

已經有多種惡意軟件應用了此技術，常見的有cub3、vlany、bdvl等

之后的幾篇文章我將會通過分析以上幾款惡意軟件來揭秘.so共享庫劫持技術的具體應用，敬請期待！

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/news/532248.shtml
繁體地址，請注明出處：http://hk.pswp.cn/news/532248.shtml
英文地址，請注明出處：http://en.pswp.cn/news/532248.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！