本篇內(nèi)容介紹了“Linux hook技術(shù)之如何理解Ring3下動(dòng)態(tài)鏈接庫”的有關(guān)知識(shí)，在實(shí)際案例的操作過程中，不少人都會(huì)遇到這樣的困境，接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧！希望大家仔細(xì)閱讀，能夠?qū)W有所成！

創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供水富網(wǎng)站建設(shè)、水富做網(wǎng)站、水富網(wǎng)站設(shè)計(jì)、水富網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)與制作、水富企業(yè)網(wǎng)站模板建站服務(wù)，10年水富做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

一、動(dòng)態(tài)鏈接庫函數(shù)劫持原理

Unix操作系統(tǒng)中，程序運(yùn)行時(shí)會(huì)按照一定的規(guī)則順序去查找依賴的動(dòng)態(tài)鏈接庫，當(dāng)查找到指定的so文件時(shí)，動(dòng)態(tài)鏈接器(/lib/ld-linux.so.X)會(huì)將程序所依賴的共享對(duì)象進(jìn)行裝載和初始化，而為什么可以使用so文件進(jìn)行函數(shù)的劫持呢？

這與LINUX的特性有關(guān)，先加載的so中的全局符號(hào)會(huì)屏蔽掉后載入的符號(hào)，也就是說如果程序先后加載了兩個(gè)so文件，兩個(gè)so文件定義了同名函數(shù)，程序中調(diào)用該函數(shù)時(shí)，會(huì)調(diào)用先加載的so中的函數(shù)，后加載的將會(huì)屏蔽掉；所以要實(shí)現(xiàn)劫持，必須要搶得先機(jī)。

環(huán)境變量LD_PRELOAD以及配置文件/etc/ld.so.preload就可以讓我們?nèi)〉眠@種先機(jī)，它們可以影響程序的運(yùn)行時(shí)的鏈接（Runtime linker），它允許你定義在程序運(yùn)行前優(yōu)先加載的動(dòng)態(tài)鏈接庫,我們只要在通過LD_PRELOAD加載的.so中編寫我們需要hook的同名函數(shù)，即可實(shí)現(xiàn)劫持！從下圖中我們使用strace可以看到，優(yōu)先加載了LD_PRELOAD指明的.so

劫持普通函數(shù)當(dāng)然沒有什么意思了！我們要劫持的是系統(tǒng)函數(shù)！我們知道，Unix操作系統(tǒng)中對(duì)于GCC而言，默認(rèn)情況下，所編譯的程序中對(duì)標(biāo)準(zhǔn)C函數(shù)（fopen、printf、execv家族等等函數(shù)）的鏈接，都是通過動(dòng)態(tài)鏈接方式來鏈接libc.so.6這個(gè)函數(shù)庫的，我們只要在加載libc.so.6之前加載我們自己的so文件就可以劫持這些函數(shù)了。

二、Demo

我們從一個(gè)簡單的c程序（sample.c）開始

下面的代碼標(biāo)準(zhǔn)調(diào)用fopen函數(shù)，并檢查返回值

#include <stdio.h>
int main(void) {
    printf("Calling the fopen() function...\n");
    FILE *fd = fopen("test.txt","r");
    if (!fd) {
        printf("fopen() returned NULL\n");
        return 1;
    }
    printf("fopen() succeeded\n");
    return 0;
}

編譯執(zhí)行

$ gcc -o sample sample.c
$ ./sample
Calling the fopen() function...
fopen() returned NULL
$ touch test.txt
$ ./sample
Calling the fopen() function...
fopen() succeeded

開始編寫我們自己的so動(dòng)態(tài)庫

#include <stdio.h>
FILE *fopen(const char *path, const char *mode) {
    printf("This is my fopen!\n");
    return NULL;
}

編譯成.so

gcc -Wall -fPIC -shared -o myfopen.so myfopen.c

設(shè)置環(huán)境變量后執(zhí)行sample程序，我們可以看到成功劫持了fopen函數(shù)，并返回了NULL

$ LD_PRELOAD=./myfopen.so ./sample
Calling the fopen() function...
This is my fopen!
fopen() returned NULL

當(dāng)然 ，使fopen始終返回null是不明智的，我們應(yīng)該在假的fopen函數(shù)中還原真正fopen的行為，看下面代碼 這回輪到 dlfcn.h 出場，來對(duì)動(dòng)態(tài)庫進(jìn)行顯式調(diào)用，使用dlsym函數(shù)從c標(biāo)準(zhǔn)庫中調(diào)用原始的fopen函數(shù)，并保存原始函數(shù)的地址以便最后返回 恢復(fù)現(xiàn)場  

#define _GNU_SOURCE
#include <stdio.h>
#include <dlfcn.h>
FILE *fopen(const char *path, const char *mode) {
    printf("In our own fopen, opening %s\n", path);
    FILE *(*original_fopen)(const char*, const char*);
    original_fopen = dlsym(RTLD_NEXT, "fopen");
    return (*original_fopen)(path, mode);
}

Tips： 如果dlsym或dlvsym函數(shù)的第一個(gè)參數(shù)的值被設(shè)置為RTLD_NEXT，那么該函數(shù)返回下一個(gè)共享對(duì)象中名為NAME的符號(hào)（函數(shù)）的運(yùn)行時(shí)地址。 下一個(gè)共享對(duì)象是哪個(gè)，依賴于共享庫被加載的順序。dlsym查找共享庫順序如下： ①環(huán)境變量LD_LIBRARY_PATH列出的用分號(hào)間隔的所有目錄。 ②文件/etc/ld.so.cache中找到的庫的列表，由ldconfig命令刷新。 ③目錄usr/lib。 ④目錄/lib。 ⑤當(dāng)前目錄。   編譯：

gcc -Wall -fPIC -shared -o myfopen.so myfopen.c -ldl

執(zhí)行：調(diào)用原始函數(shù)，劫持成功！

$ LD_PRELOAD=./myfopen.so ./sample
Calling the fopen() function...
In our own fopen, opening test.txt
fopen() succeeded

三、需要注意的問題以及LD_PRELOAD hook的應(yīng)用

需要注意的問題

1.so文件加載及函數(shù)劫持的順序。

在很多情況下，在你進(jìn)行劫持之前，系統(tǒng)中已經(jīng)有其他組件也對(duì)該函數(shù)進(jìn)行了劫持，那么就要特別注意so加載的順序，一定要在其他組件的so庫加載前加載自己的so庫，否則你的hook函數(shù)將會(huì)被忽略。

2.保持原本函數(shù)的完備性與業(yè)務(wù)的兼容性。被hook的函數(shù)一定要hook結(jié)束時(shí)進(jìn)行返回，返回前自己的執(zhí)行邏輯中不能過度延時(shí)，過度延時(shí)可能造成原有的業(yè)務(wù)邏輯失敗。使用RTLD_NEXT 句柄，維持原有的共享庫調(diào)用鏈。

應(yīng)用一：HIDS入侵檢測(cè)系統(tǒng)

劫持libc庫

優(yōu)點(diǎn): 性能較好, 比較穩(wěn)定, 相對(duì)于LKM更加簡單, 適配性也很高, 通常對(duì)抗web層面的入侵.

缺點(diǎn): 對(duì)于靜態(tài)編譯的程序束手無策, 存在一定被繞過的風(fēng)險(xiǎn).

應(yīng)用二：rootkit惡意軟件

已經(jīng)有多種惡意軟件應(yīng)用了此技術(shù)，常見的有cub3、vlany、bdvl等

“Linux hook技術(shù)之如何理解Ring3下動(dòng)態(tài)鏈接庫”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識(shí)可以關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編將為大家輸出更多高質(zhì)量的實(shí)用文章！

當(dāng)前標(biāo)題：Linuxhook技術(shù)之如何理解Ring3下動(dòng)態(tài)鏈接庫
標(biāo)題URL：http://www.chinadenli.net/article6/jsieig.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供動(dòng)態(tài)網(wǎng)站、定制網(wǎng)站、網(wǎng)站導(dǎo)航、微信公眾號(hào)、商城網(wǎng)站、網(wǎng)站營銷

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)