Inline Hook Syscall詳解
1. hook一般syscall
在安全、性能分析等領域,經常會需要對系統調用syscall進行hook。有些模塊在kernel代碼中已經預先hook,例如syscall trace event。
通常syscall使用sys_call_table[]數組來間接調用:
kernelarchx86kernelentry_64.S:ENTRY(system_call)call *sys_call_table(,%rax,8) # XXX: rip relative
sys_call_table[]數組中保存的是所有系統調用的函數指針:
const sys_call_ptr_t sys_call_table[__NR_syscall_max+1] = {__SYSCALL(__NR_read, sys_read)__SYSCALL(__NR_write, sys_write)__SYSCALL(__NR_open, sys_open)__SYSCALL(__NR_close, sys_close)...};
對于其他沒有預置代碼的模塊來說,需要在運行的時候動態hook,通常我們使用inline hook。inline hook的好處是hook完以后,運行時零開銷。
實例代碼:
void syscallxxx_hook_init(void){unsigned long *sct;void ** g_syscall_table;g_syscall_table = (void **)kallsyms_lookup_name("sys_call_table");make_kernel_page_readwrite();preempt_disable();/* (1) 備份原有g_syscall_table[]數組中的函數指針 */orig_syscallxxx = (void *)g_syscall_table[__NR_syscallxxx];/* (2) 把g_syscall_table[]數組值改為新的函數指針 */sct[__NR_syscallxxx] = (unsigned long)new_syscallxxx;preempt_enable();make_kernel_page_readonly();}↓asmlinkage long new_syscallxxx(...){long rc;/* (2.1) 做一些hook增加的事情 */rc = do_something(...);if (0 != rc)return rc;/* (2.2) 調用原有的syscall處理 */return orig_syscallxxx(....);}
這種hook方式在大部分情況下工作正常,但是某些特殊的系統調用會工作異常。
2. hook stub syscall
2.1 stub_xxx 原理
在4.5版本及以下的內核中,x86架構對某些系統調用有特殊處理。我們可以在sys_call_table[]數組中看到的函數不是sys_xxx而是stub_xxx:
const sys_call_ptr_t sys_call_table[__NR_syscall_max+1] = {__SYSCALL(__NR_rt_sigreturn, stub_rt_sigreturn)__SYSCALL(__NR_clone, stub_clone)__SYSCALL(__NR_fork, stub_fork)__SYSCALL(__NR_vfork, stub_vfork)__SYSCALL(__NR_execve, stub_execve)__SYSCALL(__NR_sigaltstack, stub_sigaltstack)__SYSCALL(__NR_iopl, stub_iopl)...};
這有點出乎我們的意料,字面上理解是一些樁函數,我們看看其具體做了些什么:
:/*Certain special system calls that need to save a complete full stack frame.*/PTREGSCALL label,func,argENTRY(label)PARTIAL_FRAME 1 8 /* offset 8: return address */subq $REST_SKIP, %rspCFI_ADJUST_CFA_OFFSET REST_SKIPcall save_restDEFAULT_FRAME -2 8 /* offset 8: return address */leaq 8(%rsp), arg /* pt_regs pointer */call func /* (1.1) 調用實際的系統調用sys_xxx()函數 */jmp ptregscall_commonCFI_ENDPROCEND(label).endm(1) stub_clone/fork/vfork/sigaltstack/iopl 函數的定義 */PTREGSCALL stub_clone, sys_clone, %r8PTREGSCALL stub_fork, sys_fork, %rdiPTREGSCALL stub_vfork, sys_vfork, %rdiPTREGSCALL stub_sigaltstack, sys_sigaltstack, %rdxPTREGSCALL stub_iopl, sys_iopl, %rsiENTRY(ptregscall_common)DEFAULT_FRAME 1 8 /* offset 8: return address */RESTORE_TOP_OF_STACK %r11, 8movq_cfi_restore R15+8, r15movq_cfi_restore R14+8, r14movq_cfi_restore R13+8, r13movq_cfi_restore R12+8, r12movq_cfi_restore RBP+8, rbpmovq_cfi_restore RBX+8, rbxret $REST_SKIP /* pop extended registers */CFI_ENDPROCEND(ptregscall_common)(2) stub_execve函數的定義 */ENTRY(stub_execve)CFI_STARTPROCaddq $8, %rspPARTIAL_FRAME 0SAVE_RESTFIXUP_TOP_OF_STACK %r11movq %rsp, %rcxcall sys_execve /* (2.1) 調用實際的系統調用sys_execve()函數 */RESTORE_TOP_OF_STACK %r11movq %rax,RAX(%rsp)RESTORE_RESTjmp int_ret_from_sys_callCFI_ENDPROCEND(stub_execve)/*sigreturn is special because it needs to restore all registers on return.This cannot be done with SYSRET, so use the IRET return path instead.*/(3) stub_rt_sigreturn函數的定義 */ENTRY(stub_rt_sigreturn)CFI_STARTPROCaddq $8, %rspPARTIAL_FRAME 0SAVE_RESTmovq %rsp,%rdiFIXUP_TOP_OF_STACK %r11call sys_rt_sigreturn /* (3.1) 調用實際的系統調用sys_rt_sigreturn()函數 */movq %rax,RAX(%rsp) # fixme, this could be done at the higher layerRESTORE_RESTjmp int_ret_from_sys_callCFI_ENDPROCEND(stub_rt_sigreturn)
為什么系統要對這幾個系統調用做stub_xxx的特殊處理?
注釋中的一段話說明了大概原因:
/** Certain special system calls that need to save a complete full stack frame.* 某些特殊的系統調用需要保存完整的完整堆棧幀。*/
針對這類特殊的系統調用,我們有兩種方法來進行hook。
2.2 方法1:hook stub_xxx
第一種方法我們還是繼續替換sys_call_table[]數組中函數指針,但是要自己處理hook函數的棧平衡。
寫一段自己的stub_new_syscallxxx函數來替換原有的stub_syscallxxx函數:
stub_new_syscallxxx:/**(1.1) 保存寄存器狀態, 保證之后調用原來的stub_syscallxxx的時候CPU執行環境一致其中rdi,rsi,rdx,rcx,rax,r8,r9,r10,r11保存sysenter的參數,rbx作為臨時變量*/pushq %rbxpushq %rdipushq %rsipushq %rdxpushq %rcxpushq %raxpushq %r8pushq %r9pushq %r10pushq %r11(1.2) 調用自己的hook函數 */call new_syscallxxxtest %rax, %raxmovq %rax, %rbx(1.3) 恢復寄存器狀態 */pop %r11pop %r10pop %r9pop %r8pop %raxpop %rcxpop %rdxpop %rsipop %rdijz new_syscallxxx_done(2.1) new_syscallxxx返回值為非0時 */movq %rbx, %raxpop %rbxret /* 這里不一定要jmp int_ret_from_sys_call,反正syscallxxx已經被我們攔截了 */(2.2) new_syscallxxx返回值為0時 */new_syscallxxx_done:pop %rbxjmp*orig_sys_call_table(,%rax,8)/*調用原始的stub_syscallxxx*/
這種方法要小心處理調用堆棧,在我們hook函數運行之前要小心的保護堆棧,在hook函數運行完成后要完全恢復堆棧。而且不方便實現post hook。
2.3 方法2:hook call sys_xxx
另一種方法我們替換stub_syscallxxx函數中的call sys_syscallxxx語句。例如:
ENTRY(stub_execve)CFI_STARTPROCaddq $8, %rspPARTIAL_FRAME 0SAVE_RESTFIXUP_TOP_OF_STACK %r11movq %rsp, %rcxcall sys_execve // 替換call語句中的sys_execve為new_sys_execveRESTORE_TOP_OF_STACK %r11movq %rax,RAX(%rsp)RESTORE_RESTjmp int_ret_from_sys_callCFI_ENDPROCEND(stub_execve)
查看原始指令碼:
(gdb) disassemble /r stub_execveDump of assembler code for function stub_execve:0xffffffff8146f7e0 <+0>: 48 83 c4 08 add $0x8,%rsp...0xffffffff8146f847 <+103>: e8 74 b2 b9 ff callq 0xffffffff8100aac0// call sys_execve ...0xffffffff8146f890 <+176>: e9 77 fd ff ff jmpq 0xffffffff8146f60cEnd of assembler dump.(gdb) p sys_execve$2={long(constchar*,constchar*const*,constchar*const*,structpt_regs*)}0xffffffff8100aac0
我們可以看到call sys_execve對應的命令碼為e8 74 b2 b9 ff,其中:
-
e8對應call指令。
-
ffb9b274表示被調用函數和當前pc的偏移:
被call函數地址 - 當前地址 - 當前指令長度 = offset0xffffffff8100aac0-0xffffffff8146f847-5=0xFFFFFFFFFFB9B274&0xFFFFFFFF=0xFFB9B274
所以我們只要定義個參數完全一致的新函數new_sys_execve(),把sys_execve()的對應偏移ffb9b274替換成new_sys_execve()的相對偏移即可。
static asmlinkage long new_sys_execve(const char __user * filename,const char __user * const __user * argv,const char __user * const __user * envp, struct pt_regs *regs) {size_t exec_line_size;char * exec_str = NULL;char ** p_argv = (char **) argv;long ret = 0;/* (1) pre hook 點 *//* Finally, call the original sys_execve *//* (2) 調用原始系統調用 */ret = orig_sys_execve_fn(filename, argv, envp, regs);/* (3) post hook 點 */printk("orig_sys_execve_fn ret = %d ", ret);return ret;}
具體代碼放在inlinehook_syscall_example。
參考文檔:
1.x86平臺inline hook原理和實現
2.execmon
3.Linux x64下hook系統調用execve的正確方法
審核編輯 :李倩
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
模塊
+關注
關注
7文章
2718瀏覽量
47560 -
代碼
+關注
關注
30文章
4801瀏覽量
68735 -
inline
+關注
關注
0文章
4瀏覽量
1642
原文標題:Inline Hook Syscall 詳解
文章出處:【微信號:LinuxDev,微信公眾號:Linux閱碼場】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
請問static inline有什么作用?
弱弱的問一下 static inline 有什么作用?1. uboot的arch\arm\include\asm\arch下的s3c2400.h中:static inline struct
發表于 04-28 06:56
linux的類似hook函數
hook在windows下可以說是知名度相當高的一種"高級“技術想在linux下面實現像windows下的那種hook的功能,不過網上的資料很少(LD_PRELOAD 也可以做類似的事)
發表于 07-25 07:48
怎樣去使用RT-Thread系統中的Hook功能呢
1、綜述? 從4.1.0版本開始,RT-Thread在保證向前兼容的基礎上對原有的HOOK方式進行了改進,實現了如下的效果:與原有使用函數指針進行“運行時刻”HOOK的方式兼容,依賴原有方式進行代碼
發表于 06-14 10:34
講講Hook技術的攻防對抗思路
,一類是針對Native層,即系統層的Hook框架,使用PLT/GOTHook或inline-Hook的框架,如bhook、xhook、yahfa等,一類是針對Java層的Hook框架,如Xposed
發表于 09-28 11:12
利用Hook技術實現進程控制
Windows 系統是基于消息,建立在事件驅動基礎上的操作系統。Hook 是Windows 系統消息處理機制中的一個監視點。Hook 機制允許應用程序截獲消息并進行處理,它為我們實現進程的控制
發表于 09-12 16:08
?10次下載
Linux下的網絡HOOK實現
最近瘋狂的研究Linux的種種功能,也頗有心得,這里講述一下Linux下的Net的Hook,使用net的Hook可以實現很多很多非常底層的功能
發表于 05-14 10:27
?5154次閱讀
基于NDIS-HOOK的個人防水墻設計
為了解決網絡數據泄露的問題,討論了防水墻的概念和NDIS概念結構,研究了NDIS數據包發送流程和NDIS-HOOK數據包發送流程,并簡要分析了NDIS-HOOK技術在防水墻數據包處理中的應用,討論
發表于 07-06 15:34
?0次下載
在嵌入式設備中使用Malloc Hook的試驗
在嵌入式設備中,計劃使用malloc hook來進行內存跟蹤,以便測試程序的內存使用。 試驗1: 在程序開始,增加了mtrace函數,定義環境變量MALLOC_TRACE。 發現了
發表于 04-02 14:37
?699次閱讀
內核級HOOK的幾種實現方法與應用說明
實現內核級HOOK 對于攔截、分析、跟蹤系統內核起著致關重要的作用。實現的方法不同意味著應用側重點的不同。如想要攔截NATIVE API 那么可能常用的就是HOOKSERVICE TABLE 的方法
發表于 11-10 17:35
?5次下載
使用內核三步實現InlineHook的詳細分析
Inline hook.通俗的說就是對函數執行流程進行修改。達到控制函數過濾操作的目的。理論上我們可以在函數任何地方把原來指令替換成我們的跳轉指令,也確實有些人在inline Hook
發表于 02-01 09:58
?5次下載
RTOS操作系統中HOOK函數有什么用途?
在很多操作系統中,都存在這樣一類API(函數接口):HOOK函數,也叫鉤子函數。 比如:Windows桌面系統、μC/OS、 FreeRTOS等RTOS中,都可以看見HOOK函數的存在。 下面結合
C++基礎語法之inline 內聯函數
上節我們分析了C++基礎語法的const,static以及 this 指針,那么這節內容我們來看一下 inline 內聯函數吧! inline 內聯函數 特征 相當于把內聯函數里面的內容寫在調用內聯
C++語法中的inline內聯函數詳解
上節我們分析了C++基礎語法的const,static以及 this 指針,那么這節內容我們來看一下 inline 內聯函數吧! inline 內聯函數 特征 相當于把內聯函數里面的內容寫在調用內聯
工商網監
評論