<ins id="pjuwb"></ins>
<blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>
<noscript id="pjuwb"></noscript>
<sup id="pjuwb"><pre id="pjuwb"></pre></sup>
<dd id="pjuwb"></dd>
<abbr id="pjuwb"></abbr>
<pre id="q8ig6"></pre>
<abbr id="q8ig6"><table id="q8ig6"></table></abbr>
<strike id="q8ig6"><dd id="q8ig6"></dd></strike>
一年十二月 誰主春秋
關注:基礎系統工程 密碼學 人工智能
C++博客
首頁
新隨筆
聯系
聚合
管理
隨筆-162 評論-223 文章-30 trackbacks-0
淺談Linux共享庫庫函數掛鉤檢測
Linux共享庫庫函數掛鉤主流兩種方法。一是替換函數對應的GOT/PLT條目,GOT/PLT原理類似Windows的IAT;二是inline掛鉤,即替換函數序言的幾個字節(x86是5或7字節)為jmp/call,若發現稍遠處有jmp或call(前提在
入口基本塊
內,若不在入口基本塊內要修改分支控制條件,這有點復雜也無必要),則其目標地址可被替換,這樣就不用替換序言的幾字節了。Windows的IAT掛鉤檢測很方便,因為dll的baseaddr及size可通過API VirtualQueryEx(
https://learn.microsoft.com/zh-cn/windows/win32/api/memoryapi/nf-memoryapi-virtualqueryex
)或toolhelp庫的Module32First/Module32Next(
https://learn.microsoft.com/zh-cn/windows/win32/api/tlhelp32/nf-tlhelp32-module32first
)接口來獲取。同理linux也可以拿到有兩種方法,一種是讀/proc/pid/maps(這里pid為實際目標進程號)獲取so庫代碼段的baseaddr和size,另一種用dl_iterate_phdr(
https://man7.org/linux/man-pages/man3/dl_iterate_phdr.3.html
)拿到代碼段(pt_load類型+可執行標志)的baseaddr及size。只要模塊(代碼段)的baseaddr及size確定了,檢測方法同IAT,即看替換函數地址是否不在代碼段空間內,若不在或地址不是原函數則認為被掛鉤了,否則需進一步用針對inline掛鉤法的檢測處理,見下文描述。另外dladdr(
https://man7.org/linux/man-pages/man3/dladdr.3.html
)判斷一個地址是否跟一個so庫及符號相關,因此也可用于檢測掛鉤。如果是inline掛鉤法,那么分析函數入口基本塊內(不管替換序言幾字節還是已有jmp/call目標地址,都在入口基本塊)jmp/call的目標地址(最好用成熟的反匯編引擎分析,比如llvm的mc庫反匯編功能,或
https://salsa.debian.org/debian/distorm3
),看是否超出so庫的代碼段空間
posted on 2023-09-26 16:47
春秋十二月
閱讀(2161)
評論(0)
編輯
收藏
引用
所屬分類:
System
只有注冊用戶
登錄
后才能發表評論。
【推薦】100%開源!大型工業跨平臺軟件C++源碼提供,建模,組態!
相關文章:
Windows異常分發與子系統圖表集 -- 摘自Windows內核原理與實現
淺談Linux共享庫庫函數掛鉤檢測
kretprobe探究思考
基于Rust構建WebAssembly
基于VSS可傳輸卷影拷貝的備份架構
Shell(11): 創建和刪除so庫軟鏈接
關于make依賴文件的自動生成
Shell應用(10):支持開源庫編譯的Makefile
Shell應用(9):自動化批量編譯
一種攔截Linux動態庫API的方法及裝置
網站導航:
博客園
IT新聞
BlogJava
博問
Chat2DB
管理
本博客所有隨筆均為原創,因為不定期維護更新,所以轉載請注明出處,如有問題和建議,請留言或評論,發表您的寶貴意見,藉此平臺以分享交流、共同進步。
聯系方式:微信math-engineer
<
2011年12月
>
日
一
二
三
四
五
六
27
28
29
30
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
1
2
3
4
5
6
7
常用鏈接
我的隨筆
我的評論
我參與的隨筆
留言簿
(78)
給我留言
查看公開留言
查看私人留言
隨筆分類
(161)
Algorithm(49)
C/C++(24)
Compiler(25)
Compute Theory(5)
Database(4)
Network(17)
Opensrc(13)
System(24)
隨筆檔案
(162)
2025年7月 (1)
2025年6月 (2)
2025年4月 (2)
2024年12月 (1)
2024年11月 (1)
2024年9月 (1)
2024年8月 (2)
2024年6月 (1)
2024年5月 (1)
2024年4月 (1)
2024年3月 (2)
2024年2月 (2)
2023年12月 (1)
2023年11月 (2)
2023年10月 (2)
2023年9月 (37)
2021年12月 (1)
2021年10月 (1)
2021年9月 (1)
2021年2月 (1)
2020年5月 (3)
2020年4月 (1)
2019年11月 (4)
2019年7月 (1)
2018年11月 (1)
2017年12月 (1)
2016年12月 (1)
2016年11月 (2)
2016年10月 (1)
2016年9月 (1)
2016年8月 (3)
2016年7月 (4)
2016年5月 (1)
2015年10月 (2)
2015年9月 (1)
2015年6月 (2)
2015年5月 (3)
2015年2月 (1)
2015年1月 (1)
2014年12月 (2)
2014年4月 (2)
2014年3月 (1)
2014年1月 (1)
2013年10月 (1)
2013年9月 (1)
2013年8月 (3)
2013年5月 (1)
2013年3月 (1)
2012年11月 (1)
2012年9月 (3)
2012年8月 (1)
2012年7月 (1)
2012年6月 (5)
2012年5月 (3)
2011年12月 (5)
2011年11月 (1)
2011年10月 (5)
2011年8月 (7)
2011年7月 (6)
2011年6月 (6)
2010年6月 (1)
2009年12月 (1)
2009年8月 (1)
2009年7月 (1)
2009年6月 (1)
2009年4月 (3)
文章分類
(30)
詩詞作品集(30)
關注的開源項目
LLVM
編譯系統
nginx
高性能Web服務器
OpenSSL
密碼學庫
suricata
網絡IPS引擎
最新隨筆
1.?關于分圓域的一般結論
2.?一個歐拉數整除問題的兩種證法
3.?有限域上的特征與指數和之擴展
4.?二元二次型的相似變換、正定性與正交分解
5.?關于群的一些結論及應用
6.?不定方程的代數數論解法
7.?關于橢圓曲線的驗證計算
8.?不可約多項式判別算法的改正
9.?論證有限域上平方根的求解
10.?求解離散對數問題的Terr算法
積分與排名
積分 - 419562
排名 - 56
最新評論
1.?re: 一種攔截Linux原始套接字IO的方法[未登錄]
很有前途和很有錢途啊。
--chipset
2.?re: 一種攔截Linux原始套接字IO的方法[未登錄]
@chipset
是的
--春秋十二月
3.?re: 一種攔截Linux原始套接字IO的方法[未登錄]
工作是做網絡安全?
--chipset
4.?re: 一種使用函數指針實現狀態機的方法
函數指針實現狀態機
--linda
5.?re: 多標簽視圖類CTabView的設計實現
為啥代碼缺少一些呢,給新手個完整點的啊
--pekingliu
6.?re: 工作線程與消息循環
從消息隊列取出消息 mark了
--mmocake
7.?re: 一種簡單的跨平臺套接字管道
評論內容較長,點擊標題查看
--IT搬運工
8.?re: 一種簡單的跨平臺套接字管道
windows僅支持af_init和af_init6地址族有錯別字么?
af_init和af_init6
--IT搬運工
9.?re: Shell應用(8):使用awk定位反匯編輸出[未登錄]
厲害
--Chipset
10.?re: TCP分組丟失時的狀態變遷
不錯
--Binky
閱讀排行榜
1.?基于OpenSSL實現的安全連接(14033)
2.?字符串16進制顯示(12900)
3.?基于boost asio實現的ssl socket框架(12351)
4.?Linux套接字與虛擬文件系統(1):初始化和創建(8701)
5.?關于數據庫的一些學習研究心得(8137)
6.?使用CString GetBuffer自適應獲取計算機名稱(7992)
7.?使用正則表達式解析URL(7958)
8.?basic_string內存泄露問題之分析解決(7767)
9.?Shell應用(4): 使用sed刪除行尾的^M字符(7700)
10.?nginx iocp(1):tcp異步連接(7671)
評論排行榜
1.?basic_string內存泄露問題之分析解決(19)
2.?求單向鏈表倒序第m個元素(11)
3.?基于順序存儲實現的多叉樹(1):深度優先存儲(9)
4.?字符大小寫轉換(7)
5.?字符串16進制顯示(6)
6.?面向對象鎖框架的設計與實現(6)
7.?Shell應用(4): 使用sed刪除行尾的^M字符(5)
8.?使用正則表達式解析URL(5)
9.?工作線程與消息循環(5)
10.?十進制整數千位分隔符(4)
Powered by:
博客園
模板提供:
滬江博客
Copyright ©2025 春秋十二月
亚洲精品综合久久
|
亚洲AV成人无码久久精品老人
|
久久久九九有精品国产
|
99久久人人爽亚洲精品美女
|
日韩AV毛片精品久久久
|
亚洲人成网亚洲欧洲无码久久
|
91久久婷婷国产综合精品青草
|
久久国产成人
|
a高清免费毛片久久
|
久久久久久久波多野结衣高潮
|
91精品国产高清久久久久久国产嫩草
|
亚洲精品97久久中文字幕无码
|
伊人久久精品无码二区麻豆
|
99精品久久久久久久婷婷
|
色综合久久中文字幕无码
|
久久精品二区
|
精品一区二区久久
|
蜜臀久久99精品久久久久久小说
|
人妻系列无码专区久久五月天
|
久久亚洲国产欧洲精品一
|
无码人妻久久一区二区三区免费
|
亚洲国产成人久久综合一区77
|
欧美激情精品久久久久
|
国内精品人妻无码久久久影院
|
久久久久久综合网天天
|
欧美日韩精品久久久久
|
伊人久久大香线蕉AV一区二区
|
久久国产精品一区
|
久久99精品国产麻豆蜜芽
|
99久久精品免费观看国产
|
久久综合九色综合久99
|
久久精品成人国产午夜
|
91精品国产91久久
|
99久久婷婷国产一区二区
|
99久久精品免费国产大片
|
91久久精品国产91性色也
|
久久久久无码专区亚洲av
|
亚洲人成电影网站久久
|
精品人妻伦九区久久AAA片69
|
亚洲中文久久精品无码
|
国产91色综合久久免费
|