Linux hook技術(shù)之如何理解Ring3下動(dòng)態(tài)鏈接庫(kù)

本篇內(nèi)容介紹了“Linux hook技術(shù)之如何理解Ring3下動(dòng)態(tài)鏈接庫(kù)”的有關(guān)知識(shí)，在實(shí)際案例的操作過(guò)程中，不少人都會(huì)遇到這樣的困境，接下來(lái)就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧！希望大家仔細(xì)閱讀，能夠?qū)W有所成！

一、動(dòng)態(tài)鏈接庫(kù)函數(shù)劫持原理

Unix操作系統(tǒng)中，程序運(yùn)行時(shí)會(huì)按照一定的規(guī)則順序去查找依賴的動(dòng)態(tài)鏈接庫(kù)，當(dāng)查找到指定的so文件時(shí)，動(dòng)態(tài)鏈接器(/lib/ld-linux.so.X)會(huì)將程序所依賴的共享對(duì)象進(jìn)行裝載和初始化，而為什么可以使用so文件進(jìn)行函數(shù)的劫持呢？

這與LINUX的特性有關(guān)，先加載的so中的全局符號(hào)會(huì)屏蔽掉后載入的符號(hào)，也就是說(shuō)如果程序先后加載了兩個(gè)so文件，兩個(gè)so文件定義了同名函數(shù)，程序中調(diào)用該函數(shù)時(shí)，會(huì)調(diào)用先加載的so中的函數(shù)，后加載的將會(huì)屏蔽掉；所以要實(shí)現(xiàn)劫持，必須要搶得先機(jī)。

環(huán)境變量LD_PRELOAD以及配置文件/etc/ld.so.preload就可以讓我們?nèi)〉眠@種先機(jī)，它們可以影響程序的運(yùn)行時(shí)的鏈接（Runtime linker），它允許你定義在程序運(yùn)行前優(yōu)先加載的動(dòng)態(tài)鏈接庫(kù),我們只要在通過(guò)LD_PRELOAD加載的.so中編寫我們需要hook的同名函數(shù)，即可實(shí)現(xiàn)劫持！從下圖中我們使用strace可以看到，優(yōu)先加載了LD_PRELOAD指明的.so

劫持普通函數(shù)當(dāng)然沒(méi)有什么意思了！我們要劫持的是系統(tǒng)函數(shù)！我們知道，Unix操作系統(tǒng)中對(duì)于GCC而言，默認(rèn)情況下，所編譯的程序中對(duì)標(biāo)準(zhǔn)C函數(shù)（fopen、printf、execv家族等等函數(shù)）的鏈接，都是通過(guò)動(dòng)態(tài)鏈接方式來(lái)鏈接libc.so.6這個(gè)函數(shù)庫(kù)的，我們只要在加載libc.so.6之前加載我們自己的so文件就可以劫持這些函數(shù)了。

二、Demo

我們從一個(gè)簡(jiǎn)單的c程序（sample.c）開(kāi)始

下面的代碼標(biāo)準(zhǔn)調(diào)用fopen函數(shù)，并檢查返回值

#include <stdio.h>
int main(void) {
    printf("Calling the fopen() function...\n");
    FILE *fd = fopen("test.txt","r");
    if (!fd) {
        printf("fopen() returned NULL\n");
        return 1;
    }
    printf("fopen() succeeded\n");
    return 0;
}

編譯執(zhí)行

$ gcc -o sample sample.c
$ ./sample
Calling the fopen() function...
fopen() returned NULL
$ touch test.txt
$ ./sample
Calling the fopen() function...
fopen() succeeded

開(kāi)始編寫我們自己的so動(dòng)態(tài)庫(kù)

#include <stdio.h>
FILE *fopen(const char *path, const char *mode) {
    printf("This is my fopen!\n");
    return NULL;
}

編譯成.so

gcc -Wall -fPIC -shared -o myfopen.so myfopen.c

設(shè)置環(huán)境變量后執(zhí)行sample程序，我們可以看到成功劫持了fopen函數(shù)，并返回了NULL

$ LD_PRELOAD=./myfopen.so ./sample
Calling the fopen() function...
This is my fopen!
fopen() returned NULL

當(dāng)然 ，使fopen始終返回null是不明智的，我們應(yīng)該在假的fopen函數(shù)中還原真正fopen的行為，看下面代碼 這回輪到 dlfcn.h 出場(chǎng)，來(lái)對(duì)動(dòng)態(tài)庫(kù)進(jìn)行顯式調(diào)用，使用dlsym函數(shù)從c標(biāo)準(zhǔn)庫(kù)中調(diào)用原始的fopen函數(shù)，并保存原始函數(shù)的地址以便最后返回 恢復(fù)現(xiàn)場(chǎng)  

#define _GNU_SOURCE
#include <stdio.h>
#include <dlfcn.h>
FILE *fopen(const char *path, const char *mode) {
    printf("In our own fopen, opening %s\n", path);
    FILE *(*original_fopen)(const char*, const char*);
    original_fopen = dlsym(RTLD_NEXT, "fopen");
    return (*original_fopen)(path, mode);
}

Tips： 如果dlsym或dlvsym函數(shù)的第一個(gè)參數(shù)的值被設(shè)置為RTLD_NEXT，那么該函數(shù)返回下一個(gè)共享對(duì)象中名為NAME的符號(hào)（函數(shù)）的運(yùn)行時(shí)地址。 下一個(gè)共享對(duì)象是哪個(gè)，依賴于共享庫(kù)被加載的順序。dlsym查找共享庫(kù)順序如下： ①環(huán)境變量LD_LIBRARY_PATH列出的用分號(hào)間隔的所有目錄。 ②文件/etc/ld.so.cache中找到的庫(kù)的列表，由ldconfig命令刷新。 ③目錄usr/lib。 ④目錄/lib。 ⑤當(dāng)前目錄。   編譯：

gcc -Wall -fPIC -shared -o myfopen.so myfopen.c -ldl

執(zhí)行：調(diào)用原始函數(shù)，劫持成功！

$ LD_PRELOAD=./myfopen.so ./sample
Calling the fopen() function...
In our own fopen, opening test.txt
fopen() succeeded

三、需要注意的問(wèn)題以及LD_PRELOAD hook的應(yīng)用

需要注意的問(wèn)題

1.so文件加載及函數(shù)劫持的順序。

在很多情況下，在你進(jìn)行劫持之前，系統(tǒng)中已經(jīng)有其他組件也對(duì)該函數(shù)進(jìn)行了劫持，那么就要特別注意so加載的順序，一定要在其他組件的so庫(kù)加載前加載自己的so庫(kù)，否則你的hook函數(shù)將會(huì)被忽略。

2.保持原本函數(shù)的完備性與業(yè)務(wù)的兼容性。被hook的函數(shù)一定要hook結(jié)束時(shí)進(jìn)行返回，返回前自己的執(zhí)行邏輯中不能過(guò)度延時(shí)，過(guò)度延時(shí)可能造成原有的業(yè)務(wù)邏輯失敗。使用RTLD_NEXT 句柄，維持原有的共享庫(kù)調(diào)用鏈。

應(yīng)用一：HIDS入侵檢測(cè)系統(tǒng)

劫持libc庫(kù)

優(yōu)點(diǎn): 性能較好, 比較穩(wěn)定, 相對(duì)于LKM更加簡(jiǎn)單, 適配性也很高, 通常對(duì)抗web層面的入侵.

缺點(diǎn): 對(duì)于靜態(tài)編譯的程序束手無(wú)策, 存在一定被繞過(guò)的風(fēng)險(xiǎn).

應(yīng)用二：rootkit惡意軟件

已經(jīng)有多種惡意軟件應(yīng)用了此技術(shù)，常見(jiàn)的有cub3、vlany、bdvl等

“Linux hook技術(shù)之如何理解Ring3下動(dòng)態(tài)鏈接庫(kù)”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識(shí)可以關(guān)注億速云網(wǎng)站，小編將為大家輸出更多高質(zhì)量的實(shí)用文章！