本篇內(nèi)容介紹了“Linux hook技術之如何理解Ring3下動態(tài)鏈接庫”的有關知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領大家學習一下如何處理這些情況吧！希望大家仔細閱讀，能夠?qū)W有所成！

創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供水富網(wǎng)站建設、水富做網(wǎng)站、水富網(wǎng)站設計、水富網(wǎng)站制作等企業(yè)網(wǎng)站建設、網(wǎng)頁設計與制作、水富企業(yè)網(wǎng)站模板建站服務，10年水富做網(wǎng)站經(jīng)驗，不只是建網(wǎng)站，更提供有價值的思路和整體網(wǎng)絡服務。

一、動態(tài)鏈接庫函數(shù)劫持原理

Unix操作系統(tǒng)中，程序運行時會按照一定的規(guī)則順序去查找依賴的動態(tài)鏈接庫，當查找到指定的so文件時，動態(tài)鏈接器(/lib/ld-linux.so.X)會將程序所依賴的共享對象進行裝載和初始化，而為什么可以使用so文件進行函數(shù)的劫持呢？

這與LINUX的特性有關，先加載的so中的全局符號會屏蔽掉后載入的符號，也就是說如果程序先后加載了兩個so文件，兩個so文件定義了同名函數(shù)，程序中調(diào)用該函數(shù)時，會調(diào)用先加載的so中的函數(shù)，后加載的將會屏蔽掉；所以要實現(xiàn)劫持，必須要搶得先機。

環(huán)境變量LD_PRELOAD以及配置文件/etc/ld.so.preload就可以讓我們?nèi)〉眠@種先機，它們可以影響程序的運行時的鏈接（Runtime linker），它允許你定義在程序運行前優(yōu)先加載的動態(tài)鏈接庫,我們只要在通過LD_PRELOAD加載的.so中編寫我們需要hook的同名函數(shù)，即可實現(xiàn)劫持！從下圖中我們使用strace可以看到，優(yōu)先加載了LD_PRELOAD指明的.so

劫持普通函數(shù)當然沒有什么意思了！我們要劫持的是系統(tǒng)函數(shù)！我們知道，Unix操作系統(tǒng)中對于GCC而言，默認情況下，所編譯的程序中對標準C函數(shù)（fopen、printf、execv家族等等函數(shù)）的鏈接，都是通過動態(tài)鏈接方式來鏈接libc.so.6這個函數(shù)庫的，我們只要在加載libc.so.6之前加載我們自己的so文件就可以劫持這些函數(shù)了。

二、Demo

我們從一個簡單的c程序（sample.c）開始

下面的代碼標準調(diào)用fopen函數(shù)，并檢查返回值

#include <stdio.h>
int main(void) {
    printf("Calling the fopen() function...\n");
    FILE *fd = fopen("test.txt","r");
    if (!fd) {
        printf("fopen() returned NULL\n");
        return 1;
    }
    printf("fopen() succeeded\n");
    return 0;
}

編譯執(zhí)行

$ gcc -o sample sample.c
$ ./sample
Calling the fopen() function...
fopen() returned NULL
$ touch test.txt
$ ./sample
Calling the fopen() function...
fopen() succeeded

開始編寫我們自己的so動態(tài)庫

#include <stdio.h>
FILE *fopen(const char *path, const char *mode) {
    printf("This is my fopen!\n");
    return NULL;
}

編譯成.so

gcc -Wall -fPIC -shared -o myfopen.so myfopen.c

設置環(huán)境變量后執(zhí)行sample程序，我們可以看到成功劫持了fopen函數(shù)，并返回了NULL

$ LD_PRELOAD=./myfopen.so ./sample
Calling the fopen() function...
This is my fopen!
fopen() returned NULL

當然 ，使fopen始終返回null是不明智的，我們應該在假的fopen函數(shù)中還原真正fopen的行為，看下面代碼 這回輪到 dlfcn.h 出場，來對動態(tài)庫進行顯式調(diào)用，使用dlsym函數(shù)從c標準庫中調(diào)用原始的fopen函數(shù)，并保存原始函數(shù)的地址以便最后返回 恢復現(xiàn)場  

#define _GNU_SOURCE
#include <stdio.h>
#include <dlfcn.h>
FILE *fopen(const char *path, const char *mode) {
    printf("In our own fopen, opening %s\n", path);
    FILE *(*original_fopen)(const char*, const char*);
    original_fopen = dlsym(RTLD_NEXT, "fopen");
    return (*original_fopen)(path, mode);
}

Tips： 如果dlsym或dlvsym函數(shù)的第一個參數(shù)的值被設置為RTLD_NEXT，那么該函數(shù)返回下一個共享對象中名為NAME的符號（函數(shù)）的運行時地址。 下一個共享對象是哪個，依賴于共享庫被加載的順序。dlsym查找共享庫順序如下： ①環(huán)境變量LD_LIBRARY_PATH列出的用分號間隔的所有目錄。 ②文件/etc/ld.so.cache中找到的庫的列表，由ldconfig命令刷新。 ③目錄usr/lib。 ④目錄/lib。 ⑤當前目錄。   編譯：

gcc -Wall -fPIC -shared -o myfopen.so myfopen.c -ldl

執(zhí)行：調(diào)用原始函數(shù)，劫持成功！

$ LD_PRELOAD=./myfopen.so ./sample
Calling the fopen() function...
In our own fopen, opening test.txt
fopen() succeeded

三、需要注意的問題以及LD_PRELOAD hook的應用

需要注意的問題

1.so文件加載及函數(shù)劫持的順序。

在很多情況下，在你進行劫持之前，系統(tǒng)中已經(jīng)有其他組件也對該函數(shù)進行了劫持，那么就要特別注意so加載的順序，一定要在其他組件的so庫加載前加載自己的so庫，否則你的hook函數(shù)將會被忽略。

2.保持原本函數(shù)的完備性與業(yè)務的兼容性。被hook的函數(shù)一定要hook結(jié)束時進行返回，返回前自己的執(zhí)行邏輯中不能過度延時，過度延時可能造成原有的業(yè)務邏輯失敗。使用RTLD_NEXT 句柄，維持原有的共享庫調(diào)用鏈。

應用一：HIDS入侵檢測系統(tǒng)

劫持libc庫

優(yōu)點: 性能較好, 比較穩(wěn)定, 相對于LKM更加簡單, 適配性也很高, 通常對抗web層面的入侵.

缺點: 對于靜態(tài)編譯的程序束手無策, 存在一定被繞過的風險.

應用二：rootkit惡意軟件

已經(jīng)有多種惡意軟件應用了此技術，常見的有cub3、vlany、bdvl等

“Linux hook技術之如何理解Ring3下動態(tài)鏈接庫”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關的知識可以關注創(chuàng)新互聯(lián)網(wǎng)站，小編將為大家輸出更多高質(zhì)量的實用文章！

當前標題：Linuxhook技術之如何理解Ring3下動態(tài)鏈接庫
標題URL：http://chinadenli.net/article6/jsieig.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供動態(tài)網(wǎng)站、定制網(wǎng)站、網(wǎng)站導航、微信公眾號、商城網(wǎng)站、網(wǎng)站營銷

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)