当前位置：首页 > 编程日记 > 正文

Linux下HOOK动态链接库中API的方法

编程日记 2024-12-08 10:30:00

2012年，我写了一篇介绍Windows系统下Ring3层API的hook方案——《一种注册表沙箱的思路、实现——Hook Nt函数》，其在底层使用了微软的Detours库。5年后，我又遇到这么一个问题，但是系统变成了Linux。我最开始的想法是找一个Linux下的Detours库，于是找到了subhook。其原理是：修改被Hook函数起始地址处的汇编代码，让执行流程跳到我们定义的函数中。但是在实际使用中，我发现通过该库调用原始函数有错误——地址违例，导致进程崩溃，所以最终放弃了subhook的方案。（转载请指明出于breaksoftware的csdn博客）

后来发现，Linux用户层Hook非常简单。我们只要定义一个和被Hook的API相同名称、参数、返回值的函数即可。比如我们需要Hook获取用户UID的函数getuid(原来是在libc.so中实现的)，则需要定义如下函数：

uid_t getuid(void) {return 800;
}

我们在main函数中调用之

int main() {printf("get_uid:%d\n", getuid());
}

函数返回

我使用work账户登录的，其真实uid是502。而我们重写了程序中的getuid，则返回的是我们“指定”的800。

如果我们希望在被hook中的函数中调用原始函数，怎么做呢？这儿有个比较尴尬的问题，那就是我们定义的getuid地址将对应于符号getuid，那么原始的getuid（以后称libc中的getuid）地址将对应什么符号？我们怎么找到它？

可以想象libc中的getuid对应的符号不会因为我们的程序而被改变，那么就意味着程序运行中，将有两个getuid。事实也的确如此。

第一个getuid就是我们重定义的hook的函数体，第二个是动态链接库libc.so中的。于是我们在重定义的函数体中，使用

dlsym(RTLD_NEXT, "getuid")

就可以获得原始的函数地址。

所以这种方案的精髓就是RTLD_NEXT参数。我们看下dlsym函数参数的说明：

There are two special pseudo-handles, RTLD_DEFAULT and RTLD_NEXT. The former will find the first occurrence of the desired symbol using the default library search order. The latter will find the next occurrence of a function in the search order after the current library. This allows one to provide a wrapper around a function in another shared library.
这段文字意思是：在默认的库查找顺序下，RTLD_DEFAULT是用于查找第一个符号匹配的函数地址，RTLD_NEXT是用于查找第二个符号匹配的函数地址。这种方式就提供了一种针对动态链接库中函数替换的功能。

以我们例子，RTLD_DEFAULT将找到我们自己定义的getuid，而RTLD_NEXT将找到libc.so中的。
为了方便使用这种方式，我封装了相关调用

#ifndef HOOK_BASE
#define HOOK_BASE#ifndef _GNU_SOURCE
#define _GNU_SOURCE
#endif#include <dlfcn.h>#define HOOK_FUNC_TEMPLATE(function_name) function_name##_func_t#define HOOK_FUNC_ORI_NAME(function_name) function_name##_ori#define HOOK_FUNC_INIT(function_name) static HOOK_FUNC_TEMPLATE(function_name) HOOK_FUNC_ORI_NAME(function_name);#define HOOK_FUNC(function_name) \if (!HOOK_FUNC_ORI_NAME(function_name)) {\HOOK_FUNC_ORI_NAME(function_name) = (HOOK_FUNC_TEMPLATE(function_name)) dlsym(RTLD_NEXT, #function_name);\}\#define ORIGINAL_FUNC(function_name) ((HOOK_FUNC_TEMPLATE(function_name)) HOOK_FUNC_ORI_NAME(function_name))#endif

我们只要关注HOOK_FUNC_INIT、HOOK_FUNC和ORIGINAL_FUNC三个宏。HOOK_FUNC_INIT方法声明了一个全局函数指针变量，其在HOOK_FUNC宏中被指定为被HOOK函数的原始地址。ORIGINAL_FUNC则是将这个指针进行类型转换，从而方便调用。

下一步我们要定义被HOOK的函数的类型

#ifndef HOOK_DEF
#define HOOK_DEF#include "hook_base.h"
#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>typedef uid_t (*HOOK_FUNC_TEMPLATE(getuid))(void);
#endif

然后重定义我们要HOOK的函数

#include "hook_def.h"
#include <stdio.h>
#include <sys/types.h>HOOK_FUNC_INIT(getuid);uid_t getuid(void) {HOOK_FUNC(getuid);int uid = ORIGINAL_FUNC(getuid)();printf("getuid original:%d\n", uid);return 800;
}

这段代码，我们先调用原始的getuid函数，并打印出它的值。最后才返回一个我们定义的值——800。

在main函数中，我们只调用getuid。并使用 gcc src/*.c -ldl -o main 编译

#include <stdio.h>
#include <unistd.h>
#include <sys/types.h>
#include "hook_def.h"int main() {printf("get_uid:%d\n", getuid());return 0;
}

其返回结果如下

https://www.dkcj.cn/info/30913.html

Linux下HOOK动态链接库中API的方法

相关文章：

NAT的配置与相关概念的理解

AAAI 2020论文解读：商汤科技发布新视频语义分割和光流联合学习算法

互联网+和创业潮，互联网+前提条件是什么？互联网+做什么？

C++拾趣——C++11的语法糖auto

“数学不行，啥都干不好！”骨灰级程序员：这比努力重要1000倍

跳槽你准备好了吗

C++：常类型Const

JQuery制作的toolTip，针对图片预览效果

29篇计算机视觉领域论文，篇篇惊艳！内附链接！

绑定CPU逻辑核心的利器——taskset

IDE set arguments

2020年AI如何走？Jeff Dean和其他四位“大神”已做预测！

zookeeper快速入门——简介

为TextMate扩展全屏功能

hdu1406

zookeeper快速入门——部署

2020，人工智能和深度学习未来的五大趋势

电脑常见故障 1

linux常用命令-date-clock-hwclock-type-whois--help-man-info-cal

内存、性能问题分析的利器——valgraind

这是我见过最卡通的 Python 算法了，通俗易懂

WebService（Axis2）视频教程与QQ交流群发布

fragment类onresume里面刷新操作处理

内存问题分析的利器——valgrind的memcheck

类项目中的配置文件app.config在打包安装后的信息获取的问题

AAAI 2020论文解读：商汤科技提出新弱监督目标检测框架

20135306黄韧信息安全系统设计基础期中学习总结

使用SQL Server维护计划实现数据库定时自动备份

AI 医疗公司“战疫”在前线

动态执行流程分析和性能瓶颈分析的利器——valgrind的callgrind