linux内核hook技术之指令覆盖与注入

最新推荐文章于 2025-07-05 11:27:22 发布
原创 最新推荐文章于 2025-07-05 11:27:22 发布 · 置顶 · 1.8k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #内核 #驱动程序 #hooks #堆栈

前言

    说到hook,传统意义上,大家都会觉得跟注入和劫持挂钩。在linux内核中,也可以通过指令覆盖和注入的方式进行hook,来完成自己的业务逻辑,实现自己的功能需求。

    一部分人喜欢称这种hook技术为inline hook。

如何hook

    具体hook细节在以下编写的驱动例子程序中给出了,例子中标注了详细的注释,大家可对照着代码查看。

    例子程序在centos 6系统上编译并测试通过了,如果换成其他系统,部分代码可能需要进行微调,想要尝试的朋友,自己写个简单的makefile文件编译即可。

    例子程序中以check_kill_permission内核函数为例进行了hook,装载时需要给驱动传递kallsyms_lookup_name函数地址作为参数。

    eg: insmod **.ko kallsyms_lookup_name=0x*******,具体地址0x*****可通过指令 cat /proc/kallsyms | grep kallsyms_lookup_name获取。

 

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/kallsyms.h>
#include <linux/types.h>
#include <linux/cpu.h>
#include <asm/siginfo.h>
#include <asm/insn.h>
#include <linux/stop_machine.h>

/*使用check_kill_permission函数来进行hook测试*/
#define HOOK0_SYS_OPEN_NAME  "check_kill_permission"

#define HOOK0_INSN_INIT_NAME
最低0.47元/天 解锁文章

200万优质内容无限畅学
Hook技术简介
武天旭的博客
10-21 1215
# 一、Hook原理 Hook技术的本质就是劫持函数调用。但是由于处于Linux用户态,每个进程都有自己独立的进程空间,因此要实现Hook就必须先注入到所要Hook的进程空间,然后修改其内存中的进程代码,替换其过程表的符号地址。在Android中,一般是通过ptrace函数附加进程,然后向远程进程注人so库,从而达到监控以及远程进程关键函数挂钩。
Linux内核】eBPF基础篇
qq_43840665的博客
10-21 2759
系列综述:💞目的:本系列是个人整理为了学习ebpf机制的,整理期间苛求每个知识,平衡理解简易度深入程度。🥰来源:材料主要源于–知乎ebpf专栏文章–进行的,每个知识的修正和深入主要参考各平台大佬的文章,其中也可能含有少量的个人实验自证。🤭结语:如果有帮到你的地方,就和!!!!,后续继续完善和扩充👍(●’◡’●)
linux内核钩子--khook
weixin_30897233的博客
06-03 1170
简介 本文介绍github上的一个项目khook,一个可以在内核中增加钩子函数的框架,支持x86。项目地址在这里:https://github.com/milabs/khook 本文先简单介绍钩子函数,分析这个工具的用法,然后再分析代码,探究实现原理 钩子 假设在内核中有一个函数,我们想截断他的执行流程,比如说对某文件的读操作。这样就可以监控对这个文件的读操作。这就是钩子。通过插...
Android——Hook(钩子函数)动态注入代码
热门推荐
chice的博客
11-10 1万+
背景介绍很多时候系统处于安全考虑,将很多东西对外隐藏,而有时我们偏偏又不得不去使用这些隐藏的东西。甚至,我们希望向系统中注入一些自己的代码,以提高程序的灵活性。刚好有这么一种特殊的回调模式,Hook模式可以实现上述愿景。Hook动态注入代码Hook机制是回调机制的一种,普通的回调是静态的,我们必须提前写好回调接口;而Hook机制在Java中则可以利用反射,针对切入(通常是一个成员变量),采用替换的
聊一聊 Linux 上对函数进行 hook 的两种方式
最新发布
weixin_42361018的博客
07-05 21
这里给大家总结的两种注入方式,LD_PRELOAD 虽然简单,但粒度粗,适合简单的无侵入场景,如果希望更细粒度,建议使用活跃的 funchook 吧,虽然是一个岛国大佬实现的。原创作者: huangxincheng转载于: https://www.cnblogs.com/huangxincheng/p/18925152。
Linux Hook 笔记
weixin_34212189的博客
02-21 161
相信很多人对"Hook"都不会陌生,其中文翻译为"钩子".在编程中, 钩子表示一个可以允许编程者插入自定义程序的地方,通常是打包好的程序中提供的接口. 比如,我们想要提供一段代码来分析程序中某段逻辑路径被执行的频率,或者想要在其中 插入更多功能时就会用到钩子. 钩子都是以固定的目的提供给用户的,并且一般都有文档说明. 通过Hook,我们可以暂停系统调用,或者通过改变系统调用的参数来改变正常的输出结...
linux hook
cncnlg的专栏
05-21 4264
目录 1. 系统调用Hook简介 2. Ring3中Hook技术 3. Ring0中Hook技术 4. 后记 1. 系统调用Hook简介 系统调用属于一种软中断机制(内中断陷阱),它有操作系统提供的功能入口(sys_call)以及CPU提供的硬件支持(int 3 trap)共同完成。 我们必须要明白,Hook技术是一个相对较宽的话题,因为操作系统从ring3
Linux系统下的HOOK
蛇矛实验室
04-10 982
Linux系统下的HOOK
linux 中的hook
faithsws的专栏
09-28 6587
相信熟悉windows编程的高手们都知道,windows为我们提供一些api,这些api用于hook 键盘,鼠标,消息等事件。windows的运行是来源于这些事件驱动的,所以一旦我们截获了这些事件,就可以篡改程序本来的功能了。但是在Linux中,并不存在这样的api。要抓获内核中的input事件,就必须另外编辑驱动进行额外的处理。 这是以前我在工作中遇到的一个需求:在用户按下某个功能键
Linux中的注入Hook技术详解
Linux内核研究者
12-04 2662
本文详细介绍了Linux中的注入Hook技术注入是指将代码或共享库植入目标进程,以影响其执行流程,常见方式包括使用LD_PRELOAD环境变量、ptrace系统调用等。Hook则是通过在程序的关键节插入自定义逻辑来改变行为,实现方式有函数劫持、内联Hook及修改PLT/GOT表等。
内核hook技术:理解hook在操作系统内核中的实现
内核hook技术是一种在操作系统内核中修改和拦截系统调用、中断、异常等内核事件的方法。通过在内核中插入hook函数,可以修改内核行为或者拦截内核事件,从而实现对操作系统的某些功能进行扩展或者限制。 ### 1.2 ...
Linux API Hook
03-01
Linux HOOKAPI方面的资料甚少,新人很难走进Linuxhook的大门,本文全面讲解Linuxhookapi的全部实现过程,包括分析过程,涉及inject,相关技术也可以用在Android上。
linux x86平台elf 进程注入so并且实现基于rel的hook ubuntu14.01测试通过
08-21
linux x86平台elf 进程注入so并且实现基于rel的hook ubuntu14.01测试通过
Linux利用hook技术实现文件监控和网络过滤
jinking01的专栏
09-06 1509
linux下利用hook技术实现文件过滤和网络连接过滤(黑名单、白名单)
linux 系统调用hook
jack的博客
06-22 439
都引流到某乎上了,不准备在这继续发展了。
linux hook技术
欢迎来到《技术探索》,这是一个专注于游戏开发技术的博客。在这里,我们将深入探讨游戏引擎、图形渲染、人工智能、物理模拟等领域的最新技术和最佳实践。无论您是初学者还是经验丰富的开发者,我们都希望为您提供有价值的见解和实用的技巧。
11-28 1071
通过结合LD_PRELOAD和,开发者可以在程序启动时实现对特定函数的 hook。通过不同的方法获取函数地址,能够灵活地对静态和动态链接的程序进行修改。这种技术在调试、性能监控和安全防护等领域有着广泛的应用。LD_PRELOAD允许用户在运行时替换程序中的函数,提供了灵活的动态链接机制。使得开发者能够在程序启动时自动执行初始化代码,便于设置 Hook 或其他初始化操作。这两者结合使用,为开发者提供了强大的工具来修改和扩展程序的行为,而无需直接修改源代码。希望这些信息能帮助您更好地理解这两个概念!
linux 下的hook
助跑。。。。。。跳
04-02 4695
◆ 如何修改动态库符号表 作者:wangdb (mailto:[email protected]) 主页:http://www.nsfocus.com/ 日期:2000-10-14 一、ELF 文件和有关术语Unix 系统的可执行文件和动态库文件是以 ELF 格式存放的。为使下面的叙述清晰而没有伎义,先简要介绍一下 ELF 文件格式,并约定一些术语。
Linux hook函数简单实践
marvel的专栏
09-27 1741
#起因 最近对hook函数比较感兴趣,希望能捕获所有某种系统调用,看网上有一篇文章(http://opensourceforu.com/2011/08/lets-hook-a-library-function/) 介绍hook malloc函数,但可能内核实现不同,4.4.0上有问题。特写一篇文章进行更新。 原文中,hook函数中调用printf,其实printf、fprintf等函数都会...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值