linux内核hook技术之指令覆盖与注入
作者:互联网
前言
说到hook,传统意义上,大家都会觉得跟注入和劫持挂钩。在linux内核中,也可以通过指令覆盖和注入的方式进行hook,来完成自己的业务逻辑,实现自己的功能需求。
一部分人喜欢称这种hook技术为inline hook。
如何hook
具体hook细节在以下编写的驱动例子程序中给出了,例子中标注了详细的注释,大家可对照着代码查看。
例子程序在centos 6系统上编译并测试通过了,如果换成其他系统,部分代码可能需要进行微调,想要尝试的朋友,自己写个简单的makefile文件编译即可。
例子程序中以check_kill_permission内核函数为例进行了hook,装载时需要给驱动传递kallsyms_lookup_name函数地址作为参数。
eg: insmod **.ko kallsyms_lookup_name=0x*******,具体地址0x*****可通过指令 cat /proc/kallsyms | grep kallsyms_lookup_name获取。
#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/kallsyms.h>
#include <linux/types.h>
#include <linux/cpu.h>
#include <asm/siginfo.h>
#include <asm/insn.h>
#include <linux/stop_machine.h>
/*使用check_kill_permission函数来进行hook测试*/
#define HOOK0_SYS_OPEN_NAME "check_kill_permission"
#define HOOK0_INSN_INIT_NAME "insn_init"
#define HOOK0_INSN_GET_LENGTH_NAME "insn_get_length"
typedef unsigned long (* kallsyms_lookup_name_t)(const char *name);
typedef void (* insn_get_length_t)(struct insn *insn);
typedef void (* insn_init_t)(struct insn *insn,
const void *kaddr,
int x86_64);
typedef int (* hook0_stub_t) (int sig,
struct siginfo *info,
struct task_struct *t);
static ulong kallsyms_lookup_name_address;
static void *origin_function_head;
static void *origin_function_next;
static kallsyms_lookup_name_t hook0_lookup_name;
static insn_init_t hook0_insn_init;
static insn_get_length_t hook0_insn_get_length;
static hook0_stub_t p_hook0_stub;
static uint hook0_insn_len = 0;
static ulong g_wpbit_val = 0;
/*
*占位函数
*函数体里面的代码用来占位,无其他意义
*do_stub稍后会被其他指令覆盖,用来跳转会原函数
* */
static int do_stub(int sig,
struct siginfo *info,
struct task_struct *t)
{
int c0, c1, c2;
c0 = 10;
c1 = 10;
c2 = c0 + c1;
return c2;
}
/*
*钩子函数
* 通俗点说就是想为所欲为的地方
* */
static int hook0_new_function(int sig,
struct siginfo *info,
struct task_struct *t)
{
printk("this is hook body\n");
/*p_hook0_stub其实指向的是do_stub
*当为所欲为完成之后,可以再将原函数重新执行一遍
* */
return p_hook0_stub(sig, info, t);
}
/*
*写保护关闭函数
* */
static void hook0_clear_wpbit(void)
{
ulong val = read_cr0();
g_wpbit_val = val;
val &= 0xfffffffffffeffff;
write_cr0(val);
}
/*
* 写保护位恢复函数
* */
static void hook0_recover_wpbit(void)
{
write_cr0(g_wpbit_val);
}
/*
*获取指令长度
* */
static int hook0_get_length(char *pc_addr)
{
struct insn insn;
int x86_64 = 1;
char *p = pc_addr;
hook0_insn_init(&insn, p, x86_64);
hook0_insn_get_length(&insn);
return insn.length;
}
/*
*钩子函数注入的地方
*此处主要通过注入jmp命令来实现的
* */
static int hook0_do_hijack(void *arg)
{
char *p, *p_stub;
int insn_len, offset0, offset1;
p = origin_function_head;
p_stub = (char *)do_stub;
insn_len = 0;
/*
*计算原地址入口出,
* */
while (insn_len < 5)
insn_len += hook0_get_length(p + insn_len);
hook0_insn_len = insn_len;
/*计算hook0_new_function的跳转偏移*/
origin_function_next = p + insn_len;
offset0 = (long)hook0_new_function - (long)origin_function_head - 5;
/*保存原函数指令的前几个字节,稍后在原函数的开始位置植入jmp调转*/
memcpy(p_stub, origin_function_head, hook0_insn_len);
p_stub += hook0_insn_len;
/*计算占位函数的偏移,占位函数前几个字字节存放的原函数的前几个字节,
*稍后存入jmp指令,跳转到origin_function_next
*origin_function_next指向原函数保存字节之后的剩余部分指令
* */
offset1 = (long)origin_function_next - (long)p_stub - 5;
/*关闭写保护位 [16bit]*/
hook0_clear_wpbit();
/*
*hijack do_stub
*e9(后面的4字节表示偏移值) eb(后面的2字节表示偏移值) => jmp
*e8 => call
*/
*p_stub++ = 0xe9;
*((int *)p_stub) = offset1;
p_hook0_stub = do_stub;
/*内存屏障,保障do_stub先跳转先植入*/
barrier();
/*
*hijack origin check_kill_permission
*e9(后面的4字节表示偏移值) eb(后面的2字节表示偏移值) => jmp
*e8 => call
*/
*p++ = 0xe9;
*((int *)p) = offset0;
/*写保护复原*/
hook0_recover_wpbit();
return 0;
}
static int hook0_recover_hijack(void *arg)
{
hook0_clear_wpbit();
/*将原函数开头被植入的jmp指令复原*/
memcpy(origin_function_head, do_stub, hook0_insn_len);
hook0_recover_wpbit();
return 0;
}
static int hook0_init(void)
{
/*
* kallsyms_lookup_name函数的地址,
*在insmod装载时由参数kallsyms_lookup_name_address传递
*/
hook0_lookup_name = (kallsyms_lookup_name_t)kallsyms_lookup_name_address;
/*
* 查找将要劫持的函数地址,此处使用内核提供的kallsyms_lookup_name函数
*/
origin_function_head = hook0_lookup_name(HOOK0_SYS_OPEN_NAME);
/*
*查找insn_init和insn_get_length函数地址
*函数用来计算某指令地址的长度
*/
hook0_insn_init = (insn_init_t)hook0_lookup_name(HOOK0_INSN_INIT_NAME);
hook0_insn_get_length = (insn_get_length_t)hook0_lookup_name(HOOK0_INSN_GET_LENGTH_NAME);
stop_machine(hook0_do_hijack, NULL, 0);
return 0;
}
static void hook0_exit(void)
{
stop_machine(hook0_recover_hijack, NULL, 0);
return;
}
module_init(hook0_init);
module_exit(hook0_exit);
module_param(kallsyms_lookup_name_address, ulong, 0644);
MODULE_LICENSE("GPL");
一些感想
使用指令注入等hook技术时候,有几点可能需要注意下:
- 写保护的问题,代码区的内存空间是只读的,想进行指令注入需要放开写保护位。
- 执行权限问题,以上演示的hook技术中使用了do_stub占位函数,本身已经具有了执行权限,如果选择自己开辟内存空间,放入跳转等指令的话,是需要给该内存空间加上执行权限的,例如set_memory_x。
- 指令长度问题,将jmp植入check_kill_permission原函数的开头时,需要将开头的指令进行备份,以上演示例子中备份到了do_stub函数空间。而我们需要注意的是备份长度问题,所以我们可以借助insn的api来计算指令长度,而拷贝的指令长度需要大于等于要注入的jmp指令长度(jmp指令长度为5)。
- 堆栈平衡问题,不能随意注入指令,要考虑注入指令之后对内核堆栈的影响。
标签:name,hook0,insn,stub,hook,static,内核,linux,lookup 来源: https://blog.csdn.net/u013250169/article/details/114284812