一年十二月  谁主春秋
关注:基础系统工程 密码学 人工智能
C++博客
首页
新随笔
联系
聚合
管理
随笔-156 评论-223 文章-30 trackbacks-0
浅谈Linux共享库库函数挂钩检测
Linux共享库库函数挂钩主流两种方法。一是替换函数对应的GOT/PLT条目,GOT/PLT原理类似Windows的IAT;二是inline挂钩,即替换函数序言的几个字节(x86是5或7字节)为jmp/call,若发现稍远处有jmp或call(前提在
入口基本块
内,若不在入口基本块内要修改分支控制条件,这有点复杂也无必要),则其目标地址可被替换,这样就不用替换序言的几字节了。Windows的IAT挂钩检测很方便,因为dll的baseaddr及size可通过API VirtualQueryEx(
https://learn.microsoft.com/zh-cn/windows/win32/api/memoryapi/nf-memoryapi-virtualqueryex
)或toolhelp库的Module32First/Module32Next(
https://learn.microsoft.com/zh-cn/windows/win32/api/tlhelp32/nf-tlhelp32-module32first
)接口来获取。同理linux也可以拿到有两种方法,一种是读/proc/pid/maps(这里pid为实际目标进程号)获取so库代码段的baseaddr和size,另一种用dl_iterate_phdr(
https://man7.org/linux/man-pages/man3/dl_iterate_phdr.3.html
)拿到代码段(pt_load类型+可执行标志)的baseaddr及size。只要模块(代码段)的baseaddr及size确定了,检测方法同IAT,即看替换函数地址是否不在代码段空间内,若不在或地址不是原函数则认为被挂钩了,否则需进一步用针对inline挂钩法的检测处理,见下文描述。另外dladdr(
https://man7.org/linux/man-pages/man3/dladdr.3.html
)判断一个地址是否跟一个so库及符号相关,因此也可用于检测挂钩。如果是inline挂钩法,那么分析函数入口基本块内(不管替换序言几字节还是已有jmp/call目标地址,都在入口基本块)jmp/call的目标地址(最好用成熟的反汇编引擎分析,比如llvm的mc库反汇编功能,或
https://salsa.debian.org/debian/distorm3
),看是否超出so库的代码段空间
posted on 2023-09-26 16:47
春秋十二月
阅读(2129)
评论(0)
编辑
收藏
引用
所属分类:
System
只有注册用户
登录
后才能发表评论。
【推荐】100%开源!大型工业跨平台软件C++源码提供,建模,组态!
相关文章:
Windows异常分发与子系统图表集 -- 摘自Windows内核原理与实现
浅谈Linux共享库库函数挂钩检测
kretprobe探究思考
基于Rust构建WebAssembly
基于VSS可传输卷影拷贝的备份架构
Shell(11): 创建和删除so库软链接
关于make依赖文件的自动生成
Shell应用(10):支持开源库编译的Makefile
Shell应用(9):自动化批量编译
一种拦截Linux动态库API的方法及装置
网站导航:
博客园
IT新闻
BlogJava
博问
Chat2DB
管理
本博客所有随笔均为原创,因为不定期维护更新,所以转载请注明出处,如有问题和建议,请留言或评论,发表您的宝贵意见,藉此平台以分享交流、共同进步。
联系方式:微信theory-math
<
2023年9月
>
日
一
二
三
四
五
六
27
28
29
30
31
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
1
2
3
4
5
6
7
常用链接
我的随笔
我的评论
我参与的随笔
留言簿
(65)
给我留言
查看公开留言
查看私人留言
随笔分类
(155)
Algorithm(43)
C/C++(24)
Compiler(25)
Compute Theory(5)
Database(4)
Network(17)
Opensrc(13)
System(24)
随笔档案
(156)
2024年11月 (1)
2024年9月 (1)
2024年8月 (2)
2024年6月 (1)
2024年5月 (1)
2024年4月 (1)
2024年3月 (2)
2024年2月 (2)
2023年12月 (1)
2023年11月 (2)
2023年10月 (2)
2023年9月 (37)
2021年12月 (1)
2021年10月 (1)
2021年9月 (1)
2021年2月 (1)
2020年5月 (3)
2020年4月 (1)
2019年11月 (4)
2019年7月 (1)
2018年11月 (1)
2017年12月 (1)
2016年12月 (1)
2016年11月 (2)
2016年10月 (1)
2016年9月 (1)
2016年8月 (3)
2016年7月 (4)
2016年5月 (1)
2015年10月 (2)
2015年9月 (1)
2015年6月 (2)
2015年5月 (3)
2015年2月 (1)
2015年1月 (1)
2014年12月 (2)
2014年4月 (2)
2014年3月 (1)
2014年1月 (1)
2013年10月 (1)
2013年9月 (1)
2013年8月 (3)
2013年5月 (1)
2013年3月 (1)
2012年11月 (1)
2012年9月 (3)
2012年8月 (1)
2012年7月 (1)
2012年6月 (5)
2012年5月 (3)
2011年12月 (5)
2011年11月 (1)
2011年10月 (5)
2011年8月 (7)
2011年7月 (6)
2011年6月 (6)
2010年6月 (1)
2009年12月 (1)
2009年8月 (1)
2009年7月 (1)
2009年6月 (1)
2009年4月 (3)
文章分类
(30)
诗词作品集(30)
关注的开源项目
LLVM
编译系统
nginx
高性能Web服务器
OpenSSL
密码学库
suricata
网络IPS引擎
最新随笔
1. 关于椭圆曲线的验证计算
2. 不可约多项式判别算法的改正
3. 论证有限域上平方根的求解
4. 求解离散对数问题的Terr算法
5. 简单私钥加密构造的验证及安全性分析
6. 二元有限域及其扩域上的计算
7. 简单连分数攻击RSA的迭代次数分析
8. 有限循环群的结构及生成元的判定
9. 混合线性同余发生器的引理验证
10. Blum数的基本定理及应用
积分与排名
积分 - 404602
排名 - 57
最新评论
1. re: 一种拦截Linux原始套接字IO的方法[未登录]
很有前途和很有钱途啊。
--chipset
2. re: 一种拦截Linux原始套接字IO的方法[未登录]
@chipset
是的
--春秋十二月
3. re: 一种拦截Linux原始套接字IO的方法[未登录]
工作是做网络安全?
--chipset
4. re: 一种使用函数指针实现状态机的方法
函数指针实现状态机
--linda
5. re: 多标签视图类CTabView的设计实现
为啥代码缺少一些呢,给新手个完整点的啊
--pekingliu
6. re: 工作线程与消息循环
从消息队列取出消息 mark了
--mmocake
7. re: 一种简单的跨平台套接字管道
评论内容较长,点击标题查看
--IT搬运工
8. re: 一种简单的跨平台套接字管道
windows仅支持af_init和af_init6地址族有错别字么?
af_init和af_init6
--IT搬运工
9. re: Shell应用(8):使用awk定位反汇编输出[未登录]
厉害
--Chipset
10. re: TCP分组丢失时的状态变迁
不错
--Binky
阅读排行榜
1. 基于OpenSSL实现的安全连接(13815)
2. 字符串16进制显示(12816)
3. 基于boost asio实现的ssl socket框架(12214)
4. Linux套接字与虚拟文件系统(1):初始化和创建(8567)
5. 关于数据库的一些学习研究心得(8054)
6. 使用CString GetBuffer自适应获取计算机名称(7928)
7. 使用正则表达式解析URL(7852)
8. basic_string内存泄露问题之分析解决(7650)
9. Shell应用(4): 使用sed删除行尾的^M字符(7598)
10. nginx iocp(1):tcp异步连接(7516)
评论排行榜
1. basic_string内存泄露问题之分析解决(19)
2. 求单向链表倒序第m个元素(11)
3. 基于顺序存储实现的多叉树(1):深度优先存储(9)
4. 字符大小写转换(7)
5. 字符串16进制显示(6)
6. 面向对象锁框架的设计与实现(6)
7. Shell应用(4): 使用sed删除行尾的^M字符(5)
8. 工作线程与消息循环(5)
9. 使用正则表达式解析URL(5)
10. 十进制整数千位分隔符(4)