Linux Hook技术(五)

今天咱们来点实战的话题,对于前面我们研究的那么多知识,做一次总结.来看看这些节表之间是怎么联系起来的.最后我们将经过一个简单的拦截printf函数,修改它的参数,来输出我指定的字符串,这样就达到简单的hook api的目的.好了废话不多说.先看看test5.c里面的代码.

#include <stdio.h>
#include <fcntl.h>
int main()
{
    while (1)
    {
        getchar();
        printf("hello");
        fflush(stdout);
    }
    return 0;
}

这段代码很简单,敲一个回车就输出一个hello,我们的目的就是实现,敲一个hello让他输出我们指定的字符串.

首先先运行这个main程序.在另一个终端里面输入ps -a 查看main 的进程ID.一会我们用GDB手动修改的时候要attach 连接他的进程 ID.

$ ps -a
ps1.png
ps2.png

这里是获取main 程序的进程空间的映射,找到未被使用的空间来写入我们指定的字符串,这里使用的指令是:

cat /proc/3963/maps            (3963为test5的pid)
test5.png

这里我们选用7fca11c2f000-7fca11c33000 rw-p 00000000 00:00 0在下面我们会向这个地址空间.写入我们需要的字符串.(还可以选择7fca11e42000-7fca11e44000 rw-p 00000000 00:00 0 或者7fca11e5c000-7fca11e5d000 rw-p 00000000 00:00 0 )

这里我们上面只是做了个提前预报会使用这个来获取未使用空间,下面我们开始通过手动方式来拦截printf这个函数的参数.
启动我们的调试器GDB(建议使用sudo gdb而不是直接gdb启动)

直接启动gdb可能会因为权限问题无法attach(attach是GDB一种重要的debug模式,在MPI程序debug中发挥重要的作用。)


error.png
success.png
各个区域段的情况
registers.png

code.png

stack.png

首先万事都是从main开始,所以先查看main函数处的代码,距离我们的目标又近了一步,看到printf函数的调用的地方了.根据源代码的分析,这里是唯一一个使用printf的函数调用的地方.

(gdb) disassemble main
main.png

根据ELF文件格式,printf跳转的地址是PLT表内,所以查看PLT内的printf地址处的代码,可见这里jmp跳转的地址就是根据前面介绍的GOT表了.那么理论上,就应该跳转到printf函数内去执行了.但是其实不是的.linux采用了一个叫"懒模式"的加载方式,当某个函数第一次被调用,它才会把真正的地址放到GOT表内去.

(gdb) x/10i 0x555e3b0005d0
printf.png

所以我们查看下GOT表内的数据,发现这个地址很熟悉,这个0x555e3b0005db不正是plt表内的JMP下面的地址嘛.由此可见,当第一次加载函数的时候,其实GOT表内还没有得到真正的函数地址,而是返回去支持PLT表内下面的之类,push跟jmp 然后push会把printf函数的相关偏移数据送入栈,jmp去寻找这个函数的地址,然后修改got表对应的地址处的值,这样,当下次再调用printf的时候,那么GOT表内才是printf真正的函数地址

x/10xw 0x555e3b200fc0
image.png

首先我们对plt表内的0x555e3b0005d0地址下一个断点

x/10b 0x555e3b0005d0
break *0x5579d2f305d0
image.png

然后让程序继续执行.

continue

当你在main程序内输入一个回车的时候,GDB就会收到信号通知,表示我们下的断点起作用了.程序调用了printf函数.

Program received signal SIGTRAP, Trace/breakpoint trap.


image.png

这里查看下eip的值,把eip指向0x5579d2f305d0 printf@plt: jmp *0x5579d3130fc0
这条指令

info register rip
image.png
info register esp
image.png
x/10xw 0x7ffec7ba27e8
image.png

推荐阅读更多精彩内容