隨筆-163 評論-223 文章-30 trackbacks-0

Linux共享庫庫函數掛鉤主流兩種方法。一是替換函數對應的GOT/PLT條目，GOT/PLT原理類似Windows的IAT；二是inline掛鉤，即替換函數序言的幾個字節（x86是5或7字節）為jmp/call，若發現稍遠處有jmp或call（前提在入口基本塊內，若不在入口基本塊內要修改分支控制條件，這有點復雜也無必要），則其目標地址可被替換，這樣就不用替換序言的幾字節了。Windows的IAT掛鉤檢測很方便，因為dll的baseaddr及size可通過API VirtualQueryEx（https://learn.microsoft.com/zh-cn/windows/win32/api/memoryapi/nf-memoryapi-virtualqueryex）或toolhelp庫的Module32First/Module32Next（https://learn.microsoft.com/zh-cn/windows/win32/api/tlhelp32/nf-tlhelp32-module32first）接口來獲取。同理linux也可以拿到有兩種方法，一種是讀/proc/pid/maps（這里pid為實際目標進程號）獲取so庫代碼段的baseaddr和size，另一種用dl_iterate_phdr（https://man7.org/linux/man-pages/man3/dl_iterate_phdr.3.html）拿到代碼段（pt_load類型+可執行標志）的baseaddr及size。只要模塊(代碼段)的baseaddr及size確定了，檢測方法同IAT，即看替換函數地址是否不在代碼段空間內，若不在或地址不是原函數則認為被掛鉤了，否則需進一步用針對inline掛鉤法的檢測處理，見下文描述。另外dladdr（https://man7.org/linux/man-pages/man3/dladdr.3.html）判斷一個地址是否跟一個so庫及符號相關，因此也可用于檢測掛鉤。如果是inline掛鉤法，那么分析函數入口基本塊內（不管替換序言幾字節還是已有jmp/call目標地址，都在入口基本塊）jmp/call的目標地址（最好用成熟的反匯編引擎分析，比如llvm的mc庫反匯編功能，或https://salsa.debian.org/debian/distorm3），看是否超出so庫的代碼段空間

posted on 2023-09-26 16:47 春秋十二月閱讀(2165) 評論(0) 編輯收藏引用所屬分類: System

只有注冊用戶登錄后才能發表評論。


相關文章: Windows異常分發與子系統圖表集 -- 摘自Windows內核原理與實現淺談Linux共享庫庫函數掛鉤檢測 kretprobe探究思考基于Rust構建WebAssembly 基于VSS可傳輸卷影拷貝的備份架構 Shell（11）: 創建和刪除so庫軟鏈接關于make依賴文件的自動生成 Shell應用（10）：支持開源庫編譯的Makefile Shell應用（9）：自動化批量編譯一種攔截Linux動態庫API的方法及裝置

網站導航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理