一本久道久久综合狠狠躁AV,午夜精品久久久久久,久久99精品久久久久久hb无码

淺談Linux共享庫庫函數(shù)掛鉤檢測

Linux共享庫庫函數(shù)掛鉤主流兩種方法。一是替換函數(shù)對應的GOT/PLT條目，GOT/PLT原理類似Windows的IAT；二是inline掛鉤，即替換函數(shù)序言的幾個字節(jié)（x86是5或7字節(jié)）為jmp/call，若發(fā)現(xiàn)稍遠處有jmp或call（前提在入口基本塊內(nèi)，若不在入口基本塊內(nèi)要修改分支控制條件，這有點復雜也無必要），則其目標地址可被替換，這樣就不用替換序言的幾字節(jié)了。Windows的IAT掛鉤檢測很方便，因為dll的baseaddr及size可通過API VirtualQueryEx（https://learn.microsoft.com/zh-cn/windows/win32/api/memoryapi/nf-memoryapi-virtualqueryex）或toolhelp庫的Module32First/Module32Next（https://learn.microsoft.com/zh-cn/windows/win32/api/tlhelp32/nf-tlhelp32-module32first）接口來獲取。同理linux也可以拿到有兩種方法，一種是讀/proc/pid/maps（這里pid為實際目標進程號）獲取so庫代碼段的baseaddr和size，另一種用dl_iterate_phdr（https://man7.org/linux/man-pages/man3/dl_iterate_phdr.3.html）拿到代碼段（pt_load類型+可執(zhí)行標志）的baseaddr及size。只要模塊(代碼段)的baseaddr及size確定了，檢測方法同IAT，即看替換函數(shù)地址是否不在代碼段空間內(nèi)，若不在或地址不是原函數(shù)則認為被掛鉤了，否則需進一步用針對inline掛鉤法的檢測處理，見下文描述。另外dladdr（https://man7.org/linux/man-pages/man3/dladdr.3.html）判斷一個地址是否跟一個so庫及符號相關，因此也可用于檢測掛鉤。如果是inline掛鉤法，那么分析函數(shù)入口基本塊內(nèi)（不管替換序言幾字節(jié)還是已有jmp/call目標地址，都在入口基本塊）jmp/call的目標地址（最好用成熟的反匯編引擎分析，比如llvm的mc庫反匯編功能，或https://salsa.debian.org/debian/distorm3），看是否超出so庫的代碼段空間

posted on 2023-09-26 16:47 春秋十二月閱讀(2157) 評論(0) 編輯收藏引用所屬分類: System

只有注冊用戶登錄后才能發(fā)表評論。
【推薦】100%開源！大型工業(yè)跨平臺軟件C++源碼提供，建模，組態(tài)！

相關文章: Windows異常分發(fā)與子系統(tǒng)圖表集 -- 摘自Windows內(nèi)核原理與實現(xiàn) 淺談Linux共享庫庫函數(shù)掛鉤檢測 kretprobe探究思考基于Rust構建WebAssembly 基于VSS可傳輸卷影拷貝的備份架構 Shell（11）: 創(chuàng)建和刪除so庫軟鏈接關于make依賴文件的自動生成 Shell應用（10）：支持開源庫編譯的Makefile Shell應用（9）：自動化批量編譯一種攔截Linux動態(tài)庫API的方法及裝置

網(wǎng)站導航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

常用鏈接

留言簿(76)

隨筆分類(160)

隨筆檔案(161)

文章分類(30)

關注的開源項目

最新隨筆

積分與排名

最新評論

閱讀排行榜

評論排行榜