<ins id="pjuwb"></ins>
<blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>
<noscript id="pjuwb"></noscript>
<sup id="pjuwb"><pre id="pjuwb"></pre></sup>
<dd id="pjuwb"></dd>
<abbr id="pjuwb"></abbr>
一年十二月 誰(shuí)主春秋
關(guān)注:基礎(chǔ)系統(tǒng)工程 密碼學(xué) 人工智能
C++博客
首頁(yè)
新隨筆
聯(lián)系
聚合
管理
隨筆-159 評(píng)論-223 文章-30 trackbacks-0
淺談Linux共享庫(kù)庫(kù)函數(shù)掛鉤檢測(cè)
Linux共享庫(kù)庫(kù)函數(shù)掛鉤主流兩種方法。一是替換函數(shù)對(duì)應(yīng)的GOT/PLT條目,GOT/PLT原理類(lèi)似Windows的IAT;二是inline掛鉤,即替換函數(shù)序言的幾個(gè)字節(jié)(x86是5或7字節(jié))為jmp/call,若發(fā)現(xiàn)稍遠(yuǎn)處有jmp或call(前提在
入口基本塊
內(nèi),若不在入口基本塊內(nèi)要修改分支控制條件,這有點(diǎn)復(fù)雜也無(wú)必要),則其目標(biāo)地址可被替換,這樣就不用替換序言的幾字節(jié)了。Windows的IAT掛鉤檢測(cè)很方便,因?yàn)閐ll的baseaddr及size可通過(guò)API VirtualQueryEx(
https://learn.microsoft.com/zh-cn/windows/win32/api/memoryapi/nf-memoryapi-virtualqueryex
)或toolhelp庫(kù)的Module32First/Module32Next(
https://learn.microsoft.com/zh-cn/windows/win32/api/tlhelp32/nf-tlhelp32-module32first
)接口來(lái)獲取。同理linux也可以拿到有兩種方法,一種是讀/proc/pid/maps(這里pid為實(shí)際目標(biāo)進(jìn)程號(hào))獲取so庫(kù)代碼段的baseaddr和size,另一種用dl_iterate_phdr(
https://man7.org/linux/man-pages/man3/dl_iterate_phdr.3.html
)拿到代碼段(pt_load類(lèi)型+可執(zhí)行標(biāo)志)的baseaddr及size。只要模塊(代碼段)的baseaddr及size確定了,檢測(cè)方法同IAT,即看替換函數(shù)地址是否不在代碼段空間內(nèi),若不在或地址不是原函數(shù)則認(rèn)為被掛鉤了,否則需進(jìn)一步用針對(duì)inline掛鉤法的檢測(cè)處理,見(jiàn)下文描述。另外dladdr(
https://man7.org/linux/man-pages/man3/dladdr.3.html
)判斷一個(gè)地址是否跟一個(gè)so庫(kù)及符號(hào)相關(guān),因此也可用于檢測(cè)掛鉤。如果是inline掛鉤法,那么分析函數(shù)入口基本塊內(nèi)(不管替換序言幾字節(jié)還是已有jmp/call目標(biāo)地址,都在入口基本塊)jmp/call的目標(biāo)地址(最好用成熟的反匯編引擎分析,比如llvm的mc庫(kù)反匯編功能,或
https://salsa.debian.org/debian/distorm3
),看是否超出so庫(kù)的代碼段空間
posted on 2023-09-26 16:47
春秋十二月
閱讀(2149)
評(píng)論(0)
編輯
收藏
引用
所屬分類(lèi):
System
只有注冊(cè)用戶(hù)
登錄
后才能發(fā)表評(píng)論。
【推薦】100%開(kāi)源!大型工業(yè)跨平臺(tái)軟件C++源碼提供,建模,組態(tài)!
相關(guān)文章:
Windows異常分發(fā)與子系統(tǒng)圖表集 -- 摘自Windows內(nèi)核原理與實(shí)現(xiàn)
淺談Linux共享庫(kù)庫(kù)函數(shù)掛鉤檢測(cè)
kretprobe探究思考
基于Rust構(gòu)建WebAssembly
基于VSS可傳輸卷影拷貝的備份架構(gòu)
Shell(11): 創(chuàng)建和刪除so庫(kù)軟鏈接
關(guān)于make依賴(lài)文件的自動(dòng)生成
Shell應(yīng)用(10):支持開(kāi)源庫(kù)編譯的Makefile
Shell應(yīng)用(9):自動(dòng)化批量編譯
一種攔截Linux動(dòng)態(tài)庫(kù)API的方法及裝置
網(wǎng)站導(dǎo)航:
博客園
IT新聞
BlogJava
博問(wèn)
Chat2DB
管理
本博客所有隨筆均為原創(chuàng),因?yàn)椴欢ㄆ诰S護(hù)更新,所以轉(zhuǎn)載請(qǐng)注明出處,如有問(wèn)題和建議,請(qǐng)留言或評(píng)論,發(fā)表您的寶貴意見(jiàn),藉此平臺(tái)以分享交流、共同進(jìn)步。
聯(lián)系方式:微信theory-math
<
2015年9月
>
日
一
二
三
四
五
六
30
31
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
1
2
3
4
5
6
7
8
9
10
常用鏈接
我的隨筆
我的評(píng)論
我參與的隨筆
留言簿
(74)
給我留言
查看公開(kāi)留言
查看私人留言
隨筆分類(lèi)
(158)
Algorithm(46)
C/C++(24)
Compiler(25)
Compute Theory(5)
Database(4)
Network(17)
Opensrc(13)
System(24)
隨筆檔案
(159)
2025年4月 (2)
2024年12月 (1)
2024年11月 (1)
2024年9月 (1)
2024年8月 (2)
2024年6月 (1)
2024年5月 (1)
2024年4月 (1)
2024年3月 (2)
2024年2月 (2)
2023年12月 (1)
2023年11月 (2)
2023年10月 (2)
2023年9月 (37)
2021年12月 (1)
2021年10月 (1)
2021年9月 (1)
2021年2月 (1)
2020年5月 (3)
2020年4月 (1)
2019年11月 (4)
2019年7月 (1)
2018年11月 (1)
2017年12月 (1)
2016年12月 (1)
2016年11月 (2)
2016年10月 (1)
2016年9月 (1)
2016年8月 (3)
2016年7月 (4)
2016年5月 (1)
2015年10月 (2)
2015年9月 (1)
2015年6月 (2)
2015年5月 (3)
2015年2月 (1)
2015年1月 (1)
2014年12月 (2)
2014年4月 (2)
2014年3月 (1)
2014年1月 (1)
2013年10月 (1)
2013年9月 (1)
2013年8月 (3)
2013年5月 (1)
2013年3月 (1)
2012年11月 (1)
2012年9月 (3)
2012年8月 (1)
2012年7月 (1)
2012年6月 (5)
2012年5月 (3)
2011年12月 (5)
2011年11月 (1)
2011年10月 (5)
2011年8月 (7)
2011年7月 (6)
2011年6月 (6)
2010年6月 (1)
2009年12月 (1)
2009年8月 (1)
2009年7月 (1)
2009年6月 (1)
2009年4月 (3)
文章分類(lèi)
(30)
詩(shī)詞作品集(30)
關(guān)注的開(kāi)源項(xiàng)目
LLVM
編譯系統(tǒng)
nginx
高性能Web服務(wù)器
OpenSSL
密碼學(xué)庫(kù)
suricata
網(wǎng)絡(luò)IPS引擎
最新隨筆
1.?二元二次型的相似變換與正定性
2.?關(guān)于群的一些結(jié)論及應(yīng)用
3.?不定方程的代數(shù)數(shù)論解法
4.?關(guān)于橢圓曲線的驗(yàn)證計(jì)算
5.?不可約多項(xiàng)式判別算法的改正
6.?論證有限域上平方根的求解
7.?求解離散對(duì)數(shù)問(wèn)題的Terr算法
8.?簡(jiǎn)單私鑰加密構(gòu)造的驗(yàn)證及安全性分析
9.?二元有限域及其擴(kuò)域上的計(jì)算
10.?簡(jiǎn)單連分?jǐn)?shù)攻擊RSA的迭代次數(shù)分析
積分與排名
積分 - 412950
排名 - 56
最新評(píng)論
1.?re: 一種攔截Linux原始套接字IO的方法[未登錄](méi)
很有前途和很有錢(qián)途啊。
--chipset
2.?re: 一種攔截Linux原始套接字IO的方法[未登錄](méi)
@chipset
是的
--春秋十二月
3.?re: 一種攔截Linux原始套接字IO的方法[未登錄](méi)
工作是做網(wǎng)絡(luò)安全?
--chipset
4.?re: 一種使用函數(shù)指針實(shí)現(xiàn)狀態(tài)機(jī)的方法
函數(shù)指針實(shí)現(xiàn)狀態(tài)機(jī)
--linda
5.?re: 多標(biāo)簽視圖類(lèi)CTabView的設(shè)計(jì)實(shí)現(xiàn)
為啥代碼缺少一些呢,給新手個(gè)完整點(diǎn)的啊
--pekingliu
6.?re: 工作線程與消息循環(huán)
從消息隊(duì)列取出消息 mark了
--mmocake
7.?re: 一種簡(jiǎn)單的跨平臺(tái)套接字管道
評(píng)論內(nèi)容較長(zhǎng),點(diǎn)擊標(biāo)題查看
--IT搬運(yùn)工
8.?re: 一種簡(jiǎn)單的跨平臺(tái)套接字管道
windows僅支持af_init和af_init6地址族有錯(cuò)別字么?
af_init和af_init6
--IT搬運(yùn)工
9.?re: Shell應(yīng)用(8):使用awk定位反匯編輸出[未登錄](méi)
厲害
--Chipset
10.?re: TCP分組丟失時(shí)的狀態(tài)變遷
不錯(cuò)
--Binky
閱讀排行榜
1.?基于OpenSSL實(shí)現(xiàn)的安全連接(13957)
2.?字符串16進(jìn)制顯示(12856)
3.?基于boost asio實(shí)現(xiàn)的ssl socket框架(12310)
4.?Linux套接字與虛擬文件系統(tǒng)(1):初始化和創(chuàng)建(8637)
5.?關(guān)于數(shù)據(jù)庫(kù)的一些學(xué)習(xí)研究心得(8087)
6.?使用CString GetBuffer自適應(yīng)獲取計(jì)算機(jī)名稱(chēng)(7974)
7.?使用正則表達(dá)式解析URL(7930)
8.?basic_string內(nèi)存泄露問(wèn)題之分析解決(7733)
9.?Shell應(yīng)用(4): 使用sed刪除行尾的^M字符(7647)
10.?nginx iocp(1):tcp異步連接(7625)
評(píng)論排行榜
1.?basic_string內(nèi)存泄露問(wèn)題之分析解決(19)
2.?求單向鏈表倒序第m個(gè)元素(11)
3.?基于順序存儲(chǔ)實(shí)現(xiàn)的多叉樹(shù)(1):深度優(yōu)先存儲(chǔ)(9)
4.?字符大小寫(xiě)轉(zhuǎn)換(7)
5.?字符串16進(jìn)制顯示(6)
6.?面向?qū)ο箧i框架的設(shè)計(jì)與實(shí)現(xiàn)(6)
7.?Shell應(yīng)用(4): 使用sed刪除行尾的^M字符(5)
8.?工作線程與消息循環(huán)(5)
9.?使用正則表達(dá)式解析URL(5)
10.?十進(jìn)制整數(shù)千位分隔符(4)
Powered by:
博客園
模板提供:
滬江博客
Copyright ©2025 春秋十二月
狠狠色噜噜狠狠狠狠狠色综合久久
|
久久国产免费观看精品3
|
日本一区精品久久久久影院
|
人妻少妇久久中文字幕
|
看久久久久久a级毛片
|
久久久久人妻精品一区
|
狠狠久久亚洲欧美专区
|
一本色道久久88精品综合
|
久久久国产打桩机
|
亚洲va国产va天堂va久久
|
久久久久人妻一区精品色
|
97精品伊人久久大香线蕉app
|
国产精品对白刺激久久久
|
欧美激情精品久久久久
|
精品乱码久久久久久夜夜嗨
|
久久九九久精品国产
|
超级97碰碰碰碰久久久久最新
|
日本欧美久久久久免费播放网
|
久久综合噜噜激激的五月天
|
精品永久久福利一区二区
|
91精品国产色综久久
|
欧美粉嫩小泬久久久久久久
|
亚洲国产欧洲综合997久久
|
久久久久亚洲精品天堂
|
亚洲国产二区三区久久
|
无码任你躁久久久久久老妇App
|
无码人妻久久一区二区三区
|
久久综合久久综合亚洲
|
亚洲成色www久久网站夜月
|
9999国产精品欧美久久久久久
|
一本久久综合亚洲鲁鲁五月天
|
996久久国产精品线观看
|
色天使久久综合网天天
|
avtt天堂网久久精品
|
国产精品久久久久久久app
|
欧美综合天天夜夜久久
|
久久综合亚洲色一区二区三区
|
色狠狠久久综合网
|
丰满少妇人妻久久久久久4
|
无码乱码观看精品久久
|
成人a毛片久久免费播放
|