<ins id="pjuwb"></ins>
<blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>
<noscript id="pjuwb"></noscript>
<sup id="pjuwb"><pre id="pjuwb"></pre></sup>
<dd id="pjuwb"></dd>
<abbr id="pjuwb"></abbr>
一年十二月 誰主春秋
關注:基礎系統工程 密碼學 人工智能
C++博客
首頁
新隨筆
聯系
聚合
管理
隨筆-159 評論-223 文章-30 trackbacks-0
淺談Linux共享庫庫函數掛鉤檢測
Linux共享庫庫函數掛鉤主流兩種方法。一是替換函數對應的GOT/PLT條目,GOT/PLT原理類似Windows的IAT;二是inline掛鉤,即替換函數序言的幾個字節(x86是5或7字節)為jmp/call,若發現稍遠處有jmp或call(前提在
入口基本塊
內,若不在入口基本塊內要修改分支控制條件,這有點復雜也無必要),則其目標地址可被替換,這樣就不用替換序言的幾字節了。Windows的IAT掛鉤檢測很方便,因為dll的baseaddr及size可通過API VirtualQueryEx(
https://learn.microsoft.com/zh-cn/windows/win32/api/memoryapi/nf-memoryapi-virtualqueryex
)或toolhelp庫的Module32First/Module32Next(
https://learn.microsoft.com/zh-cn/windows/win32/api/tlhelp32/nf-tlhelp32-module32first
)接口來獲取。同理linux也可以拿到有兩種方法,一種是讀/proc/pid/maps(這里pid為實際目標進程號)獲取so庫代碼段的baseaddr和size,另一種用dl_iterate_phdr(
https://man7.org/linux/man-pages/man3/dl_iterate_phdr.3.html
)拿到代碼段(pt_load類型+可執行標志)的baseaddr及size。只要模塊(代碼段)的baseaddr及size確定了,檢測方法同IAT,即看替換函數地址是否不在代碼段空間內,若不在或地址不是原函數則認為被掛鉤了,否則需進一步用針對inline掛鉤法的檢測處理,見下文描述。另外dladdr(
https://man7.org/linux/man-pages/man3/dladdr.3.html
)判斷一個地址是否跟一個so庫及符號相關,因此也可用于檢測掛鉤。如果是inline掛鉤法,那么分析函數入口基本塊內(不管替換序言幾字節還是已有jmp/call目標地址,都在入口基本塊)jmp/call的目標地址(最好用成熟的反匯編引擎分析,比如llvm的mc庫反匯編功能,或
https://salsa.debian.org/debian/distorm3
),看是否超出so庫的代碼段空間
posted on 2023-09-26 16:47
春秋十二月
閱讀(2149)
評論(0)
編輯
收藏
引用
所屬分類:
System
只有注冊用戶
登錄
后才能發表評論。
【推薦】100%開源!大型工業跨平臺軟件C++源碼提供,建模,組態!
相關文章:
Windows異常分發與子系統圖表集 -- 摘自Windows內核原理與實現
淺談Linux共享庫庫函數掛鉤檢測
kretprobe探究思考
基于Rust構建WebAssembly
基于VSS可傳輸卷影拷貝的備份架構
Shell(11): 創建和刪除so庫軟鏈接
關于make依賴文件的自動生成
Shell應用(10):支持開源庫編譯的Makefile
Shell應用(9):自動化批量編譯
一種攔截Linux動態庫API的方法及裝置
網站導航:
博客園
IT新聞
BlogJava
博問
Chat2DB
管理
本博客所有隨筆均為原創,因為不定期維護更新,所以轉載請注明出處,如有問題和建議,請留言或評論,發表您的寶貴意見,藉此平臺以分享交流、共同進步。
聯系方式:微信theory-math
<
2023年9月
>
日
一
二
三
四
五
六
27
28
29
30
31
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
1
2
3
4
5
6
7
常用鏈接
我的隨筆
我的評論
我參與的隨筆
留言簿
(74)
給我留言
查看公開留言
查看私人留言
隨筆分類
(158)
Algorithm(46)
C/C++(24)
Compiler(25)
Compute Theory(5)
Database(4)
Network(17)
Opensrc(13)
System(24)
隨筆檔案
(159)
2025年4月 (2)
2024年12月 (1)
2024年11月 (1)
2024年9月 (1)
2024年8月 (2)
2024年6月 (1)
2024年5月 (1)
2024年4月 (1)
2024年3月 (2)
2024年2月 (2)
2023年12月 (1)
2023年11月 (2)
2023年10月 (2)
2023年9月 (37)
2021年12月 (1)
2021年10月 (1)
2021年9月 (1)
2021年2月 (1)
2020年5月 (3)
2020年4月 (1)
2019年11月 (4)
2019年7月 (1)
2018年11月 (1)
2017年12月 (1)
2016年12月 (1)
2016年11月 (2)
2016年10月 (1)
2016年9月 (1)
2016年8月 (3)
2016年7月 (4)
2016年5月 (1)
2015年10月 (2)
2015年9月 (1)
2015年6月 (2)
2015年5月 (3)
2015年2月 (1)
2015年1月 (1)
2014年12月 (2)
2014年4月 (2)
2014年3月 (1)
2014年1月 (1)
2013年10月 (1)
2013年9月 (1)
2013年8月 (3)
2013年5月 (1)
2013年3月 (1)
2012年11月 (1)
2012年9月 (3)
2012年8月 (1)
2012年7月 (1)
2012年6月 (5)
2012年5月 (3)
2011年12月 (5)
2011年11月 (1)
2011年10月 (5)
2011年8月 (7)
2011年7月 (6)
2011年6月 (6)
2010年6月 (1)
2009年12月 (1)
2009年8月 (1)
2009年7月 (1)
2009年6月 (1)
2009年4月 (3)
文章分類
(30)
詩詞作品集(30)
關注的開源項目
LLVM
編譯系統
nginx
高性能Web服務器
OpenSSL
密碼學庫
suricata
網絡IPS引擎
最新隨筆
1.?二元二次型的相似變換與正定性
2.?關于群的一些結論及應用
3.?不定方程的代數數論解法
4.?關于橢圓曲線的驗證計算
5.?不可約多項式判別算法的改正
6.?論證有限域上平方根的求解
7.?求解離散對數問題的Terr算法
8.?簡單私鑰加密構造的驗證及安全性分析
9.?二元有限域及其擴域上的計算
10.?簡單連分數攻擊RSA的迭代次數分析
積分與排名
積分 - 412879
排名 - 56
最新評論
1.?re: 一種攔截Linux原始套接字IO的方法[未登錄]
很有前途和很有錢途啊。
--chipset
2.?re: 一種攔截Linux原始套接字IO的方法[未登錄]
@chipset
是的
--春秋十二月
3.?re: 一種攔截Linux原始套接字IO的方法[未登錄]
工作是做網絡安全?
--chipset
4.?re: 一種使用函數指針實現狀態機的方法
函數指針實現狀態機
--linda
5.?re: 多標簽視圖類CTabView的設計實現
為啥代碼缺少一些呢,給新手個完整點的啊
--pekingliu
6.?re: 工作線程與消息循環
從消息隊列取出消息 mark了
--mmocake
7.?re: 一種簡單的跨平臺套接字管道
評論內容較長,點擊標題查看
--IT搬運工
8.?re: 一種簡單的跨平臺套接字管道
windows僅支持af_init和af_init6地址族有錯別字么?
af_init和af_init6
--IT搬運工
9.?re: Shell應用(8):使用awk定位反匯編輸出[未登錄]
厲害
--Chipset
10.?re: TCP分組丟失時的狀態變遷
不錯
--Binky
閱讀排行榜
1.?基于OpenSSL實現的安全連接(13956)
2.?字符串16進制顯示(12856)
3.?基于boost asio實現的ssl socket框架(12308)
4.?Linux套接字與虛擬文件系統(1):初始化和創建(8635)
5.?關于數據庫的一些學習研究心得(8086)
6.?使用CString GetBuffer自適應獲取計算機名稱(7973)
7.?使用正則表達式解析URL(7929)
8.?basic_string內存泄露問題之分析解決(7732)
9.?Shell應用(4): 使用sed刪除行尾的^M字符(7647)
10.?nginx iocp(1):tcp異步連接(7625)
評論排行榜
1.?basic_string內存泄露問題之分析解決(19)
2.?求單向鏈表倒序第m個元素(11)
3.?基于順序存儲實現的多叉樹(1):深度優先存儲(9)
4.?字符大小寫轉換(7)
5.?字符串16進制顯示(6)
6.?面向對象鎖框架的設計與實現(6)
7.?Shell應用(4): 使用sed刪除行尾的^M字符(5)
8.?工作線程與消息循環(5)
9.?使用正則表達式解析URL(5)
10.?十進制整數千位分隔符(4)
Powered by:
博客園
模板提供:
滬江博客
Copyright ©2025 春秋十二月
午夜精品久久久久久久无码
|
亚洲va久久久噜噜噜久久狠狠
|
超级97碰碰碰碰久久久久最新
|
狠狠狠色丁香婷婷综合久久五月
|
亚洲人成无码www久久久
|
欧美精品一区二区久久
|
久久人人爽人爽人人爽av
|
国内精品久久久久久久亚洲
|
久久香蕉国产线看观看99
|
99久久精品午夜一区二区
|
国产精品成人99久久久久
|
久久精品国产99久久丝袜
|
模特私拍国产精品久久
|
久久精品中文字幕一区
|
久久国产精品77777
|
欧美与黑人午夜性猛交久久久
|
久久精品国产欧美日韩
|
亚洲AV无码久久
|
久久91这里精品国产2020
|
人妻无码αv中文字幕久久
|
99久久无码一区人妻a黑
|
久久强奷乱码老熟女网站
|
久久久久99精品成人片欧美
|
色综合久久天天综线观看
|
久久国产精品国产自线拍免费
|
久久久一本精品99久久精品88
|
久久精品中文騷妇女内射
|
久久AV高潮AV无码AV
|
久久久久久国产精品美女
|
精品永久久福利一区二区
|
久久国产成人亚洲精品影院
|
9久久9久久精品
|
久久精品人人做人人爽97
|
久久免费视频1
|
国内精品久久久久影院亚洲
|
亚洲精品99久久久久中文字幕
|
久久午夜电影网
|
久久精品国产亚洲AV久
|
亚洲国产精品无码久久
|
看久久久久久a级毛片
|
996久久国产精品线观看
|