前言

说到hook，传统意义上，大家都会觉得跟注入和劫持挂钩。在linux内核中，也可以通过指令覆盖和注入的方式进行hook，来完成自己的业务逻辑，实现自己的功能需求。

一部分人喜欢称这种hook技术为inline hook。

如何hook

具体hook细节在以下编写的驱动例子程序中给出了，例子中标注了详细的注释，大家可对照着代码查看。

例子程序在centos 6系统上编译并测试通过了，如果换成其他系统，部分代码可能需要进行微调，想要尝试的朋友，自己写个简单的makefile文件编译即可。

例子程序中以check_kill_permission内核函数为例进行了hook，装载时需要给驱动传递kallsyms_lookup_name函数地址作为参数。

eg： insmod **.ko kallsyms_lookup_name=0x*******，具体地址0x*****可通过指令 cat /proc/kallsyms | grep kallsyms_lookup_name获取。

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/kallsyms.h>
#include <linux/types.h>
#include <linux/cpu.h>
#include <asm/siginfo.h>
#include <asm/insn.h>
#include <linux/stop_machine.h>/*使用check_kill_permission函数来进行hook测试*/
#define HOOK0_SYS_OPEN_NAME  "check_kill_permission"#define HOOK0_INSN_INIT_NAME    "insn_init"
#define HOOK0_INSN_GET_LENGTH_NAME  "insn_get_length"typedef unsigned long (* kallsyms_lookup_name_t)(const char *name);
typedef void (* insn_get_length_t)(struct insn *insn);
typedef void (* insn_init_t)(struct insn *insn,const void *kaddr,int x86_64);
typedef int (* hook0_stub_t) (int sig,struct siginfo *info,struct task_struct *t);static ulong kallsyms_lookup_name_address;
static void *origin_function_head;
static void *origin_function_next;static kallsyms_lookup_name_t hook0_lookup_name;
static insn_init_t hook0_insn_init;
static insn_get_length_t hook0_insn_get_length;
static hook0_stub_t p_hook0_stub;static uint hook0_insn_len = 0;
static ulong g_wpbit_val = 0;/**占位函数*函数体里面的代码用来占位,无其他意义*do_stub稍后会被其他指令覆盖,用来跳转会原函数* */
static int do_stub(int sig,struct siginfo *info,struct task_struct *t)
{int c0, c1, c2;c0 = 10;c1 = 10;c2 = c0 + c1;return c2;
}/**钩子函数* 通俗点说就是想为所欲为的地方* */
static int hook0_new_function(int sig,struct siginfo *info,struct task_struct *t)
{printk("this is hook body\n");/*p_hook0_stub其实指向的是do_stub*当为所欲为完成之后,可以再将原函数重新执行一遍* */return p_hook0_stub(sig, info, t);
}/**写保护关闭函数* */
static void hook0_clear_wpbit(void)
{ulong val = read_cr0();g_wpbit_val = val;val &= 0xfffffffffffeffff;write_cr0(val);
}/** 写保护位恢复函数* */
static void hook0_recover_wpbit(void)
{write_cr0(g_wpbit_val);
}/**获取指令长度* */
static int hook0_get_length(char *pc_addr)
{struct insn insn;int x86_64 = 1;char *p = pc_addr;hook0_insn_init(&insn, p, x86_64);hook0_insn_get_length(&insn);return insn.length;
}/**钩子函数注入的地方*此处主要通过注入jmp命令来实现的* */
static int hook0_do_hijack(void *arg)
{char *p, *p_stub;int insn_len, offset0, offset1;p = origin_function_head;p_stub = (char *)do_stub;insn_len = 0;/**计算原地址入口出,* */while (insn_len < 5)insn_len += hook0_get_length(p + insn_len);hook0_insn_len = insn_len;/*计算hook0_new_function的跳转偏移*/origin_function_next = p + insn_len;offset0 = (long)hook0_new_function - (long)origin_function_head - 5;/*保存原函数指令的前几个字节,稍后在原函数的开始位置植入jmp调转*/memcpy(p_stub, origin_function_head, hook0_insn_len);p_stub += hook0_insn_len;/*计算占位函数的偏移,占位函数前几个字字节存放的原函数的前几个字节,*稍后存入jmp指令,跳转到origin_function_next*origin_function_next指向原函数保存字节之后的剩余部分指令* */offset1 = (long)origin_function_next - (long)p_stub  - 5;/*关闭写保护位 [16bit]*/hook0_clear_wpbit();/**hijack do_stub *e9(后面的4字节表示偏移值) eb(后面的2字节表示偏移值) => jmp *e8 => call*/*p_stub++ = 0xe9;*((int *)p_stub) = offset1;p_hook0_stub = do_stub;/*内存屏障,保障do_stub先跳转先植入*/barrier();/**hijack origin check_kill_permission *e9(后面的4字节表示偏移值) eb(后面的2字节表示偏移值) => jmp *e8 => call*/*p++ = 0xe9;*((int *)p) = offset0;/*写保护复原*/hook0_recover_wpbit();return 0;
}static int hook0_recover_hijack(void *arg)
{hook0_clear_wpbit();/*将原函数开头被植入的jmp指令复原*/memcpy(origin_function_head, do_stub, hook0_insn_len);hook0_recover_wpbit();return 0;
}static int hook0_init(void)
{/** kallsyms_lookup_name函数的地址,*在insmod装载时由参数kallsyms_lookup_name_address传递*/hook0_lookup_name = (kallsyms_lookup_name_t)kallsyms_lookup_name_address;/** 查找将要劫持的函数地址,此处使用内核提供的kallsyms_lookup_name函数*/origin_function_head = hook0_lookup_name(HOOK0_SYS_OPEN_NAME);/**查找insn_init和insn_get_length函数地址*函数用来计算某指令地址的长度 */hook0_insn_init = (insn_init_t)hook0_lookup_name(HOOK0_INSN_INIT_NAME);hook0_insn_get_length = (insn_get_length_t)hook0_lookup_name(HOOK0_INSN_GET_LENGTH_NAME);stop_machine(hook0_do_hijack, NULL, 0);return 0;
}static void hook0_exit(void)
{stop_machine(hook0_recover_hijack, NULL, 0);return;
}module_init(hook0_init);
module_exit(hook0_exit);
module_param(kallsyms_lookup_name_address, ulong, 0644);
MODULE_LICENSE("GPL");

一些感想

使用指令注入等hook技术时候，有几点可能需要注意下：

写保护的问题，代码区的内存空间是只读的，想进行指令注入需要放开写保护位。
执行权限问题，以上演示的hook技术中使用了do_stub占位函数，本身已经具有了执行权限，如果选择自己开辟内存空间，放入跳转等指令的话，是需要给该内存空间加上执行权限的，例如set_memory_x。
指令长度问题，将jmp植入check_kill_permission原函数的开头时，需要将开头的指令进行备份，以上演示例子中备份到了do_stub函数空间。而我们需要注意的是备份长度问题，所以我们可以借助insn的api来计算指令长度，而拷贝的指令长度需要大于等于要注入的jmp指令长度（jmp指令长度为5）。
堆栈平衡问题，不能随意注入指令，要考虑注入指令之后对内核堆栈的影响。

对这类注入的检测手段主要是在函数入口点进行jmp和call等跳转指令检测，从而判断函数是不是已经被污染了。

linux内核hook技术之指令覆盖与注入相关推荐

Linux内核Hook系统调用execve
资源下载地址:linux内核hook系统调用execve函数-Linux文档类资源-CSDN下载 (已在内核为 4.19.0-amd64-desktop版本uos编译通过,并成功达到目的) 在Linu ...
深入Linux内核IO技术栈
这是<Linux系统调用那些事>高级部分的第一章<聊聊Linux IO>.高级部分的文章均假设读者完整的学习过Linux系统基础以及Linux系统编程相关的内容,并已有一定的工 ...
首本深入讲解Linux内核观测技术BPF的书上市！
新书速递导读:BPF通过一种软件定义的方式,将内核的行为和数据暴露给用户空间,开发者可以通过在用户空间编写BPF程序,加载到内核空间执行,进而实现对内核行为的灵活管理和控制. 在计算机系统中,包过滤 ...
linux内核调试技术 kprobe使用与实现
Linux kprobes调试技术是内核开发者们专门为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术.利用kprobes技术,内核开发人员可以在内核的绝大多数指定函数中动态的插入探测点来收集 ...
linux arm 虚拟机,ARM平台上实现Linux内核虚拟机技术研究
摘要: 虚拟机技术可以简化计算机系统管理,提高系统的可移植性.可靠性和安全性,已经成为计算机技术研究和应用领域的一个重要方向.嵌入式系统向非专用计算平台方向的发展使它们要面对与普通计算机系统相同的需求 ...
Linux内核调试技术指南
前两天,完成了ucos在2440上的移植,以及boot的修改.今天突然想到,我在linux下,该如何来编写,调试比较复杂的驱动.我想这个问题应该从如何调试内核入手,先转载两个文字,待西西看来. 系统搭 ...
Linux 内核观测技术 eBPF 中文入门指南
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux ! 很早前就想写一篇关于 eBPF 的文章,但是迟迟没有动手,这两天有点时间,所以就来写一篇.这文章主要还是简单的介绍 ...
Linux 内核观测技术BPF
BPF简介 BPF,全称是Berkeley Packet Filter(伯克利数据包过滤器)的缩写.其诞生于1992年,最初的目的是提升网络包过滤工具的性能.后面,随着这个工具重新实现BPF的内核补丁 ...
linux 内核 hook函数介绍
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数.现在来看看linux是如何实现hook函数的. 先介绍一个结构体: struct nf_hook_ops,这个结构体是实现钩子函数 ...

linux内核hook技术之指令覆盖与注入

前言

如何hook

一些感想

linux内核hook技术之指令覆盖与注入相关推荐

最新文章

热门文章