溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本篇內容介紹了“Linux hook技術之如何理解Ring3下動態鏈接庫”的有關知識,在實際案例的操作過程中,不少人都會遇到這樣的困境,接下來就讓小編帶領大家學習一下如何處理這些情況吧!希望大家仔細閱讀,能夠學有所成!
Unix操作系統中,程序運行時會按照一定的規則順序去查找依賴的動態鏈接庫,當查找到指定的so文件時,動態鏈接器(/lib/ld-linux.so.X)會將程序所依賴的共享對象進行裝載和初始化,而為什么可以使用so文件進行函數的劫持呢?
這與LINUX的特性有關,先加載的so中的全局符號會屏蔽掉后載入的符號,也就是說如果程序先后加載了兩個so文件,兩個so文件定義了同名函數,程序中調用該函數時,會調用先加載的so中的函數,后加載的將會屏蔽掉;所以要實現劫持,必須要搶得先機。
環境變量LD_PRELOAD以及配置文件/etc/ld.so.preload就可以讓我們取得這種先機,它們可以影響程序的運行時的鏈接(Runtime linker),它允許你定義在程序運行前優先加載的動態鏈接庫,我們只要在通過LD_PRELOAD加載的.so中編寫我們需要hook的同名函數,即可實現劫持!從下圖中我們使用strace可以看到,優先加載了LD_PRELOAD指明的.so
劫持普通函數當然沒有什么意思了!我們要劫持的是系統函數!我們知道,Unix操作系統中對于GCC而言,默認情況下,所編譯的程序中對標準C函數(fopen、printf、execv家族等等函數)的鏈接,都是通過動態鏈接方式來鏈接libc.so.6這個函數庫的,我們只要在加載libc.so.6之前加載我們自己的so文件就可以劫持這些函數了。
我們從一個簡單的c程序(sample.c)開始
下面的代碼標準調用fopen函數,并檢查返回值
#include <stdio.h>
int main(void) {
printf("Calling the fopen() function...\n");
FILE *fd = fopen("test.txt","r");
if (!fd) {
printf("fopen() returned NULL\n");
return 1;
}
printf("fopen() succeeded\n");
return 0;
}編譯執行
$ gcc -o sample sample.c $ ./sample Calling the fopen() function... fopen() returned NULL $ touch test.txt $ ./sample Calling the fopen() function... fopen() succeeded
開始編寫我們自己的so動態庫
#include <stdio.h>
FILE *fopen(const char *path, const char *mode) {
printf("This is my fopen!\n");
return NULL;
}編譯成.so
gcc -Wall -fPIC -shared -o myfopen.so myfopen.c
設置環境變量后執行sample程序,我們可以看到成功劫持了fopen函數,并返回了NULL
$ LD_PRELOAD=./myfopen.so ./sample Calling the fopen() function... This is my fopen! fopen() returned NULL
當然 ,使fopen始終返回null是不明智的,我們應該在假的fopen函數中還原真正fopen的行為,看下面代碼 這回輪到 dlfcn.h 出場,來對動態庫進行顯式調用,使用dlsym函數從c標準庫中調用原始的fopen函數,并保存原始函數的地址以便最后返回 恢復現場
#define _GNU_SOURCE
#include <stdio.h>
#include <dlfcn.h>
FILE *fopen(const char *path, const char *mode) {
printf("In our own fopen, opening %s\n", path);
FILE *(*original_fopen)(const char*, const char*);
original_fopen = dlsym(RTLD_NEXT, "fopen");
return (*original_fopen)(path, mode);
}Tips: 如果dlsym或dlvsym函數的第一個參數的值被設置為RTLD_NEXT,那么該函數返回下一個共享對象中名為NAME的符號(函數)的運行時地址。 下一個共享對象是哪個,依賴于共享庫被加載的順序。dlsym查找共享庫順序如下: ①環境變量LD_LIBRARY_PATH列出的用分號間隔的所有目錄。 ②文件/etc/ld.so.cache中找到的庫的列表,由ldconfig命令刷新。 ③目錄usr/lib。 ④目錄/lib。 ⑤當前目錄。 編譯:
gcc -Wall -fPIC -shared -o myfopen.so myfopen.c -ldl
執行:調用原始函數,劫持成功!
$ LD_PRELOAD=./myfopen.so ./sample Calling the fopen() function... In our own fopen, opening test.txt fopen() succeeded
1.so文件加載及函數劫持的順序。
在很多情況下,在你進行劫持之前,系統中已經有其他組件也對該函數進行了劫持,那么就要特別注意so加載的順序,一定要在其他組件的so庫加載前加載自己的so庫,否則你的hook函數將會被忽略。
2.保持原本函數的完備性與業務的兼容性。被hook的函數一定要hook結束時進行返回,返回前自己的執行邏輯中不能過度延時,過度延時可能造成原有的業務邏輯失敗。使用RTLD_NEXT 句柄,維持原有的共享庫調用鏈。
劫持libc庫
優點: 性能較好, 比較穩定, 相對于LKM更加簡單, 適配性也很高, 通常對抗web層面的入侵.
缺點: 對于靜態編譯的程序束手無策, 存在一定被繞過的風險.
已經有多種惡意軟件應用了此技術,常見的有cub3、vlany、bdvl等
“Linux hook技術之如何理解Ring3下動態鏈接庫”的內容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業相關的知識可以關注億速云網站,小編將為大家輸出更多高質量的實用文章!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
