<ins id="pjuwb"></ins>
<blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>
<noscript id="pjuwb"></noscript>
<sup id="pjuwb"><pre id="pjuwb"></pre></sup>
<dd id="pjuwb"></dd>
<abbr id="pjuwb"></abbr>
一年十二月 誰主春秋
關(guān)注:基礎(chǔ)系統(tǒng)工程 密碼學(xué) 人工智能
C++博客
首頁
新隨筆
聯(lián)系
聚合
管理
隨筆-162 評論-223 文章-30 trackbacks-0
淺談Linux共享庫庫函數(shù)掛鉤檢測
Linux共享庫庫函數(shù)掛鉤主流兩種方法。一是替換函數(shù)對應(yīng)的GOT/PLT條目,GOT/PLT原理類似Windows的IAT;二是inline掛鉤,即替換函數(shù)序言的幾個(gè)字節(jié)(x86是5或7字節(jié))為jmp/call,若發(fā)現(xiàn)稍遠(yuǎn)處有jmp或call(前提在
入口基本塊
內(nèi),若不在入口基本塊內(nèi)要修改分支控制條件,這有點(diǎn)復(fù)雜也無必要),則其目標(biāo)地址可被替換,這樣就不用替換序言的幾字節(jié)了。Windows的IAT掛鉤檢測很方便,因?yàn)閐ll的baseaddr及size可通過API VirtualQueryEx(
https://learn.microsoft.com/zh-cn/windows/win32/api/memoryapi/nf-memoryapi-virtualqueryex
)或toolhelp庫的Module32First/Module32Next(
https://learn.microsoft.com/zh-cn/windows/win32/api/tlhelp32/nf-tlhelp32-module32first
)接口來獲取。同理linux也可以拿到有兩種方法,一種是讀/proc/pid/maps(這里pid為實(shí)際目標(biāo)進(jìn)程號(hào))獲取so庫代碼段的baseaddr和size,另一種用dl_iterate_phdr(
https://man7.org/linux/man-pages/man3/dl_iterate_phdr.3.html
)拿到代碼段(pt_load類型+可執(zhí)行標(biāo)志)的baseaddr及size。只要模塊(代碼段)的baseaddr及size確定了,檢測方法同IAT,即看替換函數(shù)地址是否不在代碼段空間內(nèi),若不在或地址不是原函數(shù)則認(rèn)為被掛鉤了,否則需進(jìn)一步用針對inline掛鉤法的檢測處理,見下文描述。另外dladdr(
https://man7.org/linux/man-pages/man3/dladdr.3.html
)判斷一個(gè)地址是否跟一個(gè)so庫及符號(hào)相關(guān),因此也可用于檢測掛鉤。如果是inline掛鉤法,那么分析函數(shù)入口基本塊內(nèi)(不管替換序言幾字節(jié)還是已有jmp/call目標(biāo)地址,都在入口基本塊)jmp/call的目標(biāo)地址(最好用成熟的反匯編引擎分析,比如llvm的mc庫反匯編功能,或
https://salsa.debian.org/debian/distorm3
),看是否超出so庫的代碼段空間
posted on 2023-09-26 16:47
春秋十二月
閱讀(2161)
評論(0)
編輯
收藏
引用
所屬分類:
System
只有注冊用戶
登錄
后才能發(fā)表評論。
【推薦】100%開源!大型工業(yè)跨平臺(tái)軟件C++源碼提供,建模,組態(tài)!
相關(guān)文章:
Windows異常分發(fā)與子系統(tǒng)圖表集 -- 摘自Windows內(nèi)核原理與實(shí)現(xiàn)
淺談Linux共享庫庫函數(shù)掛鉤檢測
kretprobe探究思考
基于Rust構(gòu)建WebAssembly
基于VSS可傳輸卷影拷貝的備份架構(gòu)
Shell(11): 創(chuàng)建和刪除so庫軟鏈接
關(guān)于make依賴文件的自動(dòng)生成
Shell應(yīng)用(10):支持開源庫編譯的Makefile
Shell應(yīng)用(9):自動(dòng)化批量編譯
一種攔截Linux動(dòng)態(tài)庫API的方法及裝置
網(wǎng)站導(dǎo)航:
博客園
IT新聞
BlogJava
博問
Chat2DB
管理
本博客所有隨筆均為原創(chuàng),因?yàn)椴欢ㄆ诰S護(hù)更新,所以轉(zhuǎn)載請注明出處,如有問題和建議,請留言或評論,發(fā)表您的寶貴意見,藉此平臺(tái)以分享交流、共同進(jìn)步。
聯(lián)系方式:微信math-engineer
<
2009年4月
>
日
一
二
三
四
五
六
29
30
31
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
1
2
3
4
5
6
7
8
9
常用鏈接
我的隨筆
我的評論
我參與的隨筆
留言簿
(78)
給我留言
查看公開留言
查看私人留言
隨筆分類
(161)
Algorithm(49)
C/C++(24)
Compiler(25)
Compute Theory(5)
Database(4)
Network(17)
Opensrc(13)
System(24)
隨筆檔案
(162)
2025年7月 (1)
2025年6月 (2)
2025年4月 (2)
2024年12月 (1)
2024年11月 (1)
2024年9月 (1)
2024年8月 (2)
2024年6月 (1)
2024年5月 (1)
2024年4月 (1)
2024年3月 (2)
2024年2月 (2)
2023年12月 (1)
2023年11月 (2)
2023年10月 (2)
2023年9月 (37)
2021年12月 (1)
2021年10月 (1)
2021年9月 (1)
2021年2月 (1)
2020年5月 (3)
2020年4月 (1)
2019年11月 (4)
2019年7月 (1)
2018年11月 (1)
2017年12月 (1)
2016年12月 (1)
2016年11月 (2)
2016年10月 (1)
2016年9月 (1)
2016年8月 (3)
2016年7月 (4)
2016年5月 (1)
2015年10月 (2)
2015年9月 (1)
2015年6月 (2)
2015年5月 (3)
2015年2月 (1)
2015年1月 (1)
2014年12月 (2)
2014年4月 (2)
2014年3月 (1)
2014年1月 (1)
2013年10月 (1)
2013年9月 (1)
2013年8月 (3)
2013年5月 (1)
2013年3月 (1)
2012年11月 (1)
2012年9月 (3)
2012年8月 (1)
2012年7月 (1)
2012年6月 (5)
2012年5月 (3)
2011年12月 (5)
2011年11月 (1)
2011年10月 (5)
2011年8月 (7)
2011年7月 (6)
2011年6月 (6)
2010年6月 (1)
2009年12月 (1)
2009年8月 (1)
2009年7月 (1)
2009年6月 (1)
2009年4月 (3)
文章分類
(30)
詩詞作品集(30)
關(guān)注的開源項(xiàng)目
LLVM
編譯系統(tǒng)
nginx
高性能Web服務(wù)器
OpenSSL
密碼學(xué)庫
suricata
網(wǎng)絡(luò)IPS引擎
最新隨筆
1.?關(guān)于分圓域的一般結(jié)論
2.?一個(gè)歐拉數(shù)整除問題的兩種證法
3.?有限域上的特征與指數(shù)和之?dāng)U展
4.?二元二次型的相似變換、正定性與正交分解
5.?關(guān)于群的一些結(jié)論及應(yīng)用
6.?不定方程的代數(shù)數(shù)論解法
7.?關(guān)于橢圓曲線的驗(yàn)證計(jì)算
8.?不可約多項(xiàng)式判別算法的改正
9.?論證有限域上平方根的求解
10.?求解離散對數(shù)問題的Terr算法
積分與排名
積分 - 419547
排名 - 56
最新評論
1.?re: 一種攔截Linux原始套接字IO的方法[未登錄]
很有前途和很有錢途啊。
--chipset
2.?re: 一種攔截Linux原始套接字IO的方法[未登錄]
@chipset
是的
--春秋十二月
3.?re: 一種攔截Linux原始套接字IO的方法[未登錄]
工作是做網(wǎng)絡(luò)安全?
--chipset
4.?re: 一種使用函數(shù)指針實(shí)現(xiàn)狀態(tài)機(jī)的方法
函數(shù)指針實(shí)現(xiàn)狀態(tài)機(jī)
--linda
5.?re: 多標(biāo)簽視圖類CTabView的設(shè)計(jì)實(shí)現(xiàn)
為啥代碼缺少一些呢,給新手個(gè)完整點(diǎn)的啊
--pekingliu
6.?re: 工作線程與消息循環(huán)
從消息隊(duì)列取出消息 mark了
--mmocake
7.?re: 一種簡單的跨平臺(tái)套接字管道
評論內(nèi)容較長,點(diǎn)擊標(biāo)題查看
--IT搬運(yùn)工
8.?re: 一種簡單的跨平臺(tái)套接字管道
windows僅支持af_init和af_init6地址族有錯(cuò)別字么?
af_init和af_init6
--IT搬運(yùn)工
9.?re: Shell應(yīng)用(8):使用awk定位反匯編輸出[未登錄]
厲害
--Chipset
10.?re: TCP分組丟失時(shí)的狀態(tài)變遷
不錯(cuò)
--Binky
閱讀排行榜
1.?基于OpenSSL實(shí)現(xiàn)的安全連接(14033)
2.?字符串16進(jìn)制顯示(12900)
3.?基于boost asio實(shí)現(xiàn)的ssl socket框架(12351)
4.?Linux套接字與虛擬文件系統(tǒng)(1):初始化和創(chuàng)建(8701)
5.?關(guān)于數(shù)據(jù)庫的一些學(xué)習(xí)研究心得(8137)
6.?使用CString GetBuffer自適應(yīng)獲取計(jì)算機(jī)名稱(7992)
7.?使用正則表達(dá)式解析URL(7958)
8.?basic_string內(nèi)存泄露問題之分析解決(7767)
9.?Shell應(yīng)用(4): 使用sed刪除行尾的^M字符(7700)
10.?nginx iocp(1):tcp異步連接(7671)
評論排行榜
1.?basic_string內(nèi)存泄露問題之分析解決(19)
2.?求單向鏈表倒序第m個(gè)元素(11)
3.?基于順序存儲(chǔ)實(shí)現(xiàn)的多叉樹(1):深度優(yōu)先存儲(chǔ)(9)
4.?字符大小寫轉(zhuǎn)換(7)
5.?字符串16進(jìn)制顯示(6)
6.?面向?qū)ο箧i框架的設(shè)計(jì)與實(shí)現(xiàn)(6)
7.?Shell應(yīng)用(4): 使用sed刪除行尾的^M字符(5)
8.?使用正則表達(dá)式解析URL(5)
9.?工作線程與消息循環(huán)(5)
10.?十進(jìn)制整數(shù)千位分隔符(4)
Powered by:
博客園
模板提供:
滬江博客
Copyright ©2025 春秋十二月
青青青青久久精品国产h久久精品五福影院1421
|
久久综合噜噜激激的五月天
|
日本强好片久久久久久AAA
|
久久国产免费观看精品
|
无码8090精品久久一区
|
狠狠色丁香婷婷综合久久来
|
久久这里只有精品视频99
|
97精品依人久久久大香线蕉97
|
亚洲乱码精品久久久久..
|
国产毛片久久久久久国产毛片
|
性做久久久久久久久久久
|
亚洲午夜久久久久妓女影院
|
久久久国产精品
|
国产精品美女久久久久久2018
|
亚洲午夜福利精品久久
|
日韩亚洲欧美久久久www综合网
|
久久综合久久美利坚合众国
|
久久综合综合久久97色
|
精品久久久久久成人AV
|
久久九九兔免费精品6
|
国产A级毛片久久久精品毛片
|
a高清免费毛片久久
|
国产成人无码精品久久久性色
|
99久久国产综合精品成人影院
|
久久天堂AV综合合色蜜桃网
|
久久精品中文字幕大胸
|
一本久久a久久精品综合香蕉
|
中文字幕无码久久精品青草
|
激情久久久久久久久久
|
狠狠色综合网站久久久久久久
|
色综合久久久久久久久五月
|
一本色道久久88—综合亚洲精品
|
91精品国产9l久久久久
|
无码人妻久久一区二区三区
|
久久综合久久美利坚合众国
|
四虎影视久久久免费观看
|
久久精品无码专区免费
|
久久精品国产影库免费看
|
久久综合综合久久狠狠狠97色88
|
成人亚洲欧美久久久久
|
伊人久久大香线焦综合四虎
|