协程6 --- HOOK

news2024/12/23 9:51:07

文章目录

  • HOOK 概述
    • 链接
    • 运行时动态链接
  • linux上的常见HOOK方式
    • 修改函数指针
    • 用户态动态库拦截
      • getpid
      • malloc 第一版
      • malloc 第二版
      • malloc/free通过指针获取到空间大小
      • malloc 第三版
      • strncmp
    • 内核态系统调用拦截
    • 堆栈式文件系统
  • 协程的HOOK

HOOK 概述

原理:修改符号指向
我们可以通过 HOOK 系统的socket函数族来实现无需修改代码的异步化改造。

链接

  • 编译器可以将我们编写的代码编译成为目标代码,而链接器则负责将多个目标代码收集起来并组合成为一个单一的文件。
  • 链接过程可以执行于编译时(compile time),也可以执行于加载时(load time),甚至可以执行于运行时(run time)。
  • 执行于编译时的链接被称为静态链接,而执行于加载时和运行时被称为动态链接。

运行时动态链接

可以通过共享库的方式来让引用程序在下次运行时执行不同的代码,Unix-like 系统提供了 dlopendlsym系列函数来供程序在运行时操作外部的动态链接库,从而获取动态链接库中的函数或者功能调用。

例如:微信后台的 c/c++ 协程库 libco。 libco 使用动态链接 Hook 系统函数,最大的特点是将系统中的关于网络操作的阻塞函数全部进行相应的非侵入式改造,对于 readwrite 等阻塞函数,libco 均定义了自己的版本,然后通过 LD_PRELOAD 进行运行时地解析,从而来达到阻塞时自动让出协程,并在 IO 事件发生时唤醒协程的目的。

linux上的常见HOOK方式

修改函数指针

通过函数指针来指向不同的函数地址控制执行流,通常运用于编程中。

比如说glic提供__malloc_hook, __realloc_hook, __free_hook可以实现hook自定义malloc/free函数

用户态动态库拦截

LD_PRELOAD可以影响程序的运行时链接,允许用户在运行前优先加载指定库。
可以通过这个指定我们预定义的库,指定库中符号为程序动态链接所需库的同名符号,这样就能实现覆盖,使得程序只访问我们指定符号。
一般情况下,动态库加载加载顺序为:LD_PRELOAD>LD_LIBRARY_PATH>/etc/ld.so.cache>/lib>/usr/lib

getpid

测试程序:

#include <stdio.h>
#include <unistd.h>
#include <sys/types.h>

int main()
{
    printf("my uid is %d\n", getpid());
    return 0;
}

HOOK程序:

#include <unistd.h>
#include <sys/types.h>

pid_t getpid()
{
    return 0;
}

命令:

gcc demo1.c -o demo1
gcc -fPIC -shared hook1.c -o hook1.so
./demo1
LD_PRELOAD=./hook1.so ./demo1

运行:
在这里插入图片描述

malloc 第一版

测试程序:

#include <stdio.h>
#include <stdlib.h>

int main()
{
    char *a = (char*)malloc(sizeof(char) * 8);
    char *b = (char*)malloc(sizeof(char) * 16);
    char *c = (char*)malloc(sizeof(char) * 32);
    char *d = (char*)malloc(sizeof(char) * 64);

    free(d);
    free(c);
    free(b);
    free(a);
    return 0;
}

HOOK程序:

#include <stdio.h>
#include <stdlib.h>

static size_t allocSize = 0;

void *malloc(size_t size)
{
    void *res = __libc_malloc(size);
    allocSize += *(int*)((char*)res - sizeof(size_t)) & ~((0x1) | (0x2) | (0x4));
    printf("malloc allocSize: %ld\n", allocSize);
    return res;
}

void free(void *ptr)
{
    __libc_free(ptr);
    allocSize -= *(int*)((char*)ptr - sizeof(size_t)) & ~((0x1) | (0x2) | (0x4));
    printf("free allocSize: %ld\n", allocSize);
}

命令:

gcc demo2.c -o demo2
gcc -fPIC -shared hook2.c -o hook2.so -w
./demo2
LD_PRELOAD=./hook2.so ./demo2

执行:
在这里插入图片描述

malloc 第二版

这边问题在于printf会调用malloc,产生了递归调用,最终core掉。
HOOK程序:

#include <stdio.h>
#include <stdlib.h>

static size_t allocSize = 0;

static int enableMallocHook = 1;
static int enableFreeHook = 1;

void *malloc(size_t size)
{
    if (enableMallocHook)
    {
        enableMallocHook = 0;
        void *res = __libc_malloc(size);
        allocSize += *(int*)((char*)res - sizeof(size_t)) & ~((0x1) | (0x2) | (0x4));
        printf("malloc allocSize: %ld\n", allocSize);
        enableMallocHook = 1;
        return res;
    }
    else
    {
        return __libc_malloc(size);
    }
}

void free(void *ptr)
{
    if (enableMallocHook)
    {
        enableMallocHook = 0;
        __libc_free(ptr);
        allocSize -= *(int*)((char*)ptr - sizeof(size_t)) & ~((0x1) | (0x2) | (0x4));
        printf("free allocSize: %ld\n", allocSize);
        enableMallocHook = 1;
    }
    else
    {
        __libc_free(ptr);
    }
}

命令:

gcc demo2.c -o demo2
gcc -fPIC -shared hook2.c -o hook2.so -w
./demo2
LD_PRELOAD=./hook2.so ./demo2

执行:
在这里插入图片描述

试一下ls命令:
在这里插入图片描述
直接挂掉了,这次问题出现在了我们没处理free空指针

malloc/free通过指针获取到空间大小

我们可以看到allocSize += *(int*)((char*)res - sizeof(size_t)) & ~((0x1) | (0x2) | (0x4));,并且

  • 申请8 计算得到32(8+16 后16字节对齐)
  • 申请16 计算得到32(8+16 后16字节对齐)
  • 申请32 计算得到48(8+32 后16字节对齐)
  • 申请64 计算得到80(8+64 后16字节对齐)

malloc_chunk的基础结构:
在这里插入图片描述

  • mchunk_prev_size:该字段记录物理相邻的前一个chunk的大小(低地址chunk)。如果前一个chunk处于空闲,则该字段记录前一个chunk大小;如果前一个chunk已经被使用,则该字段空间可以被前一个chunk的用户数据空间复用。
  • mchunk_size:该字段是chunk的大小。该字段的低三个比特位对 chunk 的大小没有影响,所以被复用为标志位。
    • A:NON_MAIN_ARENA的缩写,指所用arena是不是main arena的flag
    • M:IS_MMAPPED的缩写,指所用chunk是不是经由mmap分配所得
    • P:PREV_INUSE的缩写,指当前chunk的前一个chunk是不是allocated chunk,是的话这个bit为1,否则为0
  • fdbk:当chunk空闲的时候,会放置到bins上双向链表管理。fd 指向下一个(非物理相邻)空闲的 chunk。bk 指向上一个(非物理相邻)空闲的 chunk。由于只有chunk空闲的时候,才会放置到bins上进行空闲管理,所以fd和bk占用的是用户数据区域user data
  • fd_nextsizebk_nextsize:用于管理large块的时候的空闲chunk双向链表的管理。一般空闲的 large chunk 在 fd 的遍历顺序中,按照由大到小的顺序排列。这样做可以避免在寻找合适 chunk 时挨个遍历,也是复用用户数据区域。large chunk的空间肯定装的下。

最小的空间:mchunk_prev_size字段 + mchunk_size字段 + fd字段 + bk字段 所需要的空间。64位需要16字节,32位需要8字节。
chunk对齐规则:按照2*SIZE_SZ进行对齐,64位系统是16字节,32位系统是8字节。
chunk的size:(chunk的mchunk_size字段空间 + 用户数据区域(最小16))& 对齐字节(2*SIZE_SZ)。

搞个程序gdb看一下:

#include <stdio.h>
#include <stdlib.h>
#include <malloc.h>
int main()
{
    char *p = malloc(100);
    *p = 'A'; // 0x41
    char *h = p - 8;
    printf("%d\n", malloc_usable_size(p));                  // 104
    printf("%d\n", *((int *)h) & ~((0x1) | (0x2) | (0x4))); // 112
    printf("%d", *((int *)h));                              // 113
}

运行:

gcc testmalloc.c -o testmalloc -g

在这里插入图片描述
我们可以看到malloc大小100的空间,指针h指向了header,为113,去掉低3位为112。
100+8后16字节对齐是112。

malloc 第三版

demo3.c和demo2.c一模一样
HOOK程序:

#define _GNU_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <dlfcn.h>

static void* (*sysMalloc)(size_t size) = NULL;
static void (*sysFree)(void *ptr) = NULL;

static int allocSize = 0;
static int enableMallocHook = 1;
static int enableFreeHook = 1;

void init()
{
    sysMalloc = dlsym(RTLD_NEXT, "malloc");
    sysFree = dlsym(RTLD_NEXT, "free");
}

void *malloc(size_t size)
{
    if (sysMalloc)
    {
        init();
    }

    if (enableMallocHook)
    {
        enableMallocHook = 0;
        void *res = sysMalloc(size);
        allocSize += malloc_usable_size(res);
        printf("malloc allocSize: %ld\n", allocSize);
        enableMallocHook = 1;
        return res;
    }
    else
    {
        return sysMalloc(size);
    }
}

void free(void *ptr)
{
    if (enableMallocHook)
    {
        enableMallocHook = 0;
        sysFree(ptr);
        allocSize -= malloc_usable_size(ptr);
        printf("free allocSize: %ld\n", allocSize);
        enableMallocHook = 1;
    }
    else
    {
        sysFree(ptr);
    }
}

命令:

gcc demo3.c -o demo3
gcc -fPIC -shared hook3.c -o hook3.so -ldl -w
./demo3
LD_PRELOAD=./hook3.so ./demo3

执行:
在这里插入图片描述
再试一下ls命令:
在这里插入图片描述
在这里插入图片描述

strncmp

测试程序:

#include <stdio.h>
#include <string.h>

int main()
{
    int res = strncmp("test", "aaa", 4);
    printf("%d\n", res);
    return 0;
}

HOOK程序:

#define _GNU_SOURCE
#include <stdio.h>
#include <string.h>
#include <dlfcn.h>
#include <stdlib.h>

static int (*sysStrncmp)(const char *__s1, const char *__s2, size_t __n) = NULL;

void init()
{
    sysStrncmp = dlsym(RTLD_NEXT, "strncmp");
}

extern int strncmp(const char *__s1, const char *__s2, size_t __n)
{
    if (!sysStrncmp)
    {
        init();
    }
    printf("参数:%s, %s, %ld\n", __s1, __s2, __n);
    return sysStrncmp(__s1, __s2, __n);
}

命令:

gcc demo4.c -o demo4
gcc -fPIC -shared hook4.c -o hook4.so -ldl -w
./demo4
LD_PRELOAD=./hook4.so ./demo4
LD_PRELOAD=./hook4.so ls

运行:
在这里插入图片描述
自己的程序没成功,但是ls却成功了。
在这里插入图片描述
自己写的程序里面没有strncmp的动态符号
汇编看一下,发现已经被编译器优化变成纯汇编了,并没有函数调用:

objdump -d demo4

0000000000401122 <main>:
  401122:       55                      push   %rbp
  401123:       48 89 e5                mov    %rsp,%rbp
  401126:       48 83 ec 10             sub    $0x10,%rsp
  40112a:       c7 45 fc 13 00 00 00    movl   $0x13,-0x4(%rbp)
  401131:       8b 45 fc                mov    -0x4(%rbp),%eax
  401134:       89 c6                   mov    %eax,%esi
  401136:       bf 04 20 40 00          mov    $0x402004,%edi
  40113b:       b8 00 00 00 00          mov    $0x0,%eax
  401140:       e8 eb fe ff ff          callq  401030 <printf@plt>
  401145:       b8 00 00 00 00          mov    $0x0,%eax
  40114a:       c9                      leaveq 
  40114b:       c3                      retq   
  40114c:       0f 1f 40 00             nopl   0x0(%rax)

内核态系统调用拦截

Linux内核中所有的系统调用都是放在一个叫做sys_call_table的内核数组中,数组的值就表示这个系统调用服务程序的入口地址。

sys_call_table
在实模式下叫中断向量表
在保护模式中IDT,又称中断描述符表

当用户态发起一个系统调用时,会通过80软中断进入到syscall_hander,进而进入全局的系统调用表sys_call_table去查找具体的系统调用,那么如果我们将这个数组中的地址改成我们自己的程序地址,就可以实现系统调用劫持。
在这里插入图片描述
问题:

  • sys_call_table的符号没有导出,不能直接获取。(grep sys_call_table /boot/ -r)
  • sys_call_table所在的内存页是只读属性的,无法直接进行修改。(清除CR0寄存器的WP控制位)
  • Linux大概从4.8开始加入了保护机制,每次开机sys_call_table的地址都会变化

堆栈式文件系统

Linux通过vfs虚拟文件系统来统一抽象具体的磁盘文件系统,从上到下的IO栈形成了一个堆栈式。
内核中采用了很多c语言形式的面向对象,也就是函数指针的形式,例如read是vfs提供用户的接口,具体底下调用的是ext2的read操作。我们只要实现VFS提供的各种接口,就可以实现一个堆栈式文件系统。
在这里插入图片描述

协程的HOOK

使用用户态动态库拦截,dlsym,在不改造业务代码的情况下,使用协程,如libgo中代码:

unsigned int sleep(unsigned int seconds)
{
    // 如果没初始化则初始化hook
    if (!sleep_f) initHook();

    // 获取当前调度任务
    Task* tk = Processer::GetCurrentTask();
    DebugPrint(dbg_hook, "task(%s) hook sleep(seconds=%u). %s coroutine.",
            tk->DebugInfo(), seconds,
            Processer::IsCoroutine() ? "In" : "Not in");

    // 如果没有任务,则调用真正的sleep
    if (!tk)
        return sleep_f(seconds);

    // 挂起当前协程, 并在指定时间后自动唤醒
    Processer::Suspend(std::chrono::seconds(seconds));
    Processer::StaticCoYield();
    return 0;
}

其中initHook中:

sleep_f = (sleep_t)dlsym(RTLD_NEXT, "sleep");

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2238593.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

[0342].第12节:加载与存储指令及算数指令

我的后端学习大纲 JVM学习大纲 一、加载与存储指令&#xff1a; 加载&#xff1a;主要是指的将数据压入到操作数栈中&#xff0c;那么这个数据可能来源于常量池也可能来自于局部变量表 1.iload_0占1个字节。iload 0 占3个字节。 2.因为操作码数量有限&#xff0c;只有256个&…

spark的学习-06

SparkSQL读写数据的方式 1&#xff09;输入Source 方式一&#xff1a;给定读取数据源的类型和地址 spark.read.format("json").load(path) spark.read.format("csv").load(path) spark.read.format("parquet").load(path) 方式二&#xff1a…

ODOO学习笔记(5):ODOO开发规范

一、代码结构与布局 模块结构&#xff1a; 每个ODOO模块应具有清晰的结构&#xff0c;通常包含以下目录和文件&#xff1a; models&#xff1a;存放业务逻辑相关的模型类定义&#xff0c;如定义数据库表结构、业务规则等。views&#xff1a;用于放置各种视图文件&#xff0c;包…

【性能测试】linux服务器性能监控常用命令

CPU 性能监控指令 top 命令 基本功能&#xff1a;top 命令是 Linux 系统中最常用的性能监控工具之一。它可以实时显示系统中各个进程的资源占用情况&#xff0c;包括 CPU 使用率、内存使用量、进程状态等信息。在性能测试监控服务器性能时&#xff0c;通过 top 命令可以快速查…

ROS2humble版本使用colcon构建包

colcon与与catkin相比&#xff0c;没有 devel 目录。 创建工作空间 首先&#xff0c;创建一个目录 ( ros2_example_ws ) 来包含我们的工作区: mkdir -p ~/ros2_example_ws/src cd ~/ros2_example_ws 此时&#xff0c;工作区包含一个空目录 src : . └── src1 directory, …

VUE使用TS开发打包时发现校验问题无法打包

解决办法&#xff1a; 找到 tsconfig.app.json 这个文件&#xff0c;把他的include改为一个实际存在的空文件即可

vscode+EIDE开发环境搭建

嵌入式知识框架目录篇章&#xff1a;返回请点我 热门优质文章 文章标题等级&#xff1a;低中高推荐指数5√最佳vscode安装配置使用调试【保姆级教程】中√√√[VSCODE]基于EIDE插件搭建vscode下的STM32单片机开发环境中√√√官方安装高√√√√VScode利用EIDE和cortex-debug…

kafka面试题解答(四)

5、消费者组和分区数之间的关系是怎样的&#xff1f; 消费者组数小于等于分区数&#xff0c;消费者组内每个消费者负责消费不同分区的数据&#xff0c;一个分区只能由一个组内消费者消费。 6、kafka如何知道哪个消费者消费哪个分区&#xff1f; 生产者把数据发送给各个分区&…

C#入门 020 事件(类型成员)

初步了解事件 定义:单词Event&#xff0c;译为“事件” 《牛津词典》中的解释是“a thing that happens, especially something important通顺的解释就是“能够发生的什么事情” 角色:使对象或类具备通知能力的成员 事件(event)是一种使对象或类能够提供通知的成员对象O拥有…

单链表算法题(数据结构)

1. 反转链表 https://leetcode.cn/problems/reverse-linked-list/description/ 题目&#xff1a; 看到这个题目的时候我们怎么去想呢&#xff1f;如果我们反应快的话&#xff0c;应该可以想到我们可以从1遍历到5然后依次头插&#xff0c;但是其实我们还有更好的办法&#xff…

Python 如何通过 cron 或 schedule 实现爬虫的自动定时运行

Python 如何通过 cron 或 schedule 实现爬虫的自动定时运行 自动定时运行爬虫是很多数据采集项目的基本需求。例如&#xff0c;每天采集一次新闻数据&#xff0c;或每小时更新股票行情数据等。通过 Python 实现定时任务&#xff0c;可以保证数据采集的高效和持续性。本文将带大…

初学mongoDB

MongoDB 是一个开源的 NoSQL 数据库&#xff0c;由 C 语言编写。它与传统的关系型数据库不同&#xff0c;MongoDB 使用的是一种基于文档的存储模型&#xff0c;不需要定义固定的表结构&#xff0c;可以灵活地存储和管理大量的非结构化数据。下面是 MongoDB 的一些核心特性&…

Ubuntu 的 ROS 操作系统turtlebot3环境搭建

引言 本文介绍如何在Ubuntu系统中为TurtleBot3配置ROS环境&#xff0c;包括安装和配置ROS Noetic的步骤&#xff0c;为PC端控制TurtleBot3提供操作指南。 安装和配置的过程分为PC设置、系统安装、依赖安装等部分&#xff0c;并在最后进行网络配置&#xff0c;确保PC端能够顺利…

图像增强的100种方法

文章目录 什么是图像增强 &#xff1f;一、亮度和对比度调整1.1、线性方法1.1.1、灰度反转&#xff08;Gray Inversion&#xff09;1.1.2、对比度拉伸&#xff08;Contrast Stretching&#xff09;1.1.3、对比度和亮度增强&#xff08;Contrast and Brightness&#xff09; 1.2…

Android Kotlin Flow 冷流 热流

在 Android 开发中&#xff0c;Flow 是 Kotlin 协程库的一部分&#xff0c;用于处理异步数据流的一个组件。本质上&#xff0c;Flow 是一个能够异步生产多个值的数据流&#xff0c;与 suspend 函数返回单个值的模式相对应。Flow 更类似于 RxJava 中的 Observable&#xff0c;但…

Web服务器nginx实验2修改端口、默认目录、默认文件访问web页面

修改默认目录、默认文件&#xff1a; 创建配置文件&#xff1a; 里面写&#xff1a;&#xff08;访问的位置是/haha目录里面的haha.html&#xff09; 把haha里面的index.html改名为haha.html&#xff1a; 重启服务&#xff1a; 关闭防火墙、改宽松模式&#xff1a; 用Windows访…

Maven最佳实践

文章目录 1.摘要 本文主要介绍Maven使用&#xff0c;作为Maven使用手册来记录。 2.介绍 Maven是项目管理工具&#xff0c;将项目开发和管理过程抽象成一个项目对象模型&#xff0c;使用pom.xml 文件进行依赖管理和项目构建。 Maven 中pom.xml 是根据坐标信息来定位资源的位置&a…

el-table 纵向垂直表头处理

项目中表格展示会遇到需要纵向垂直表头情况&#xff0c;下面&#xff0c;我们基于el-table组件来实现这种表格。 以下是这次需要用到的数据表格&#xff0c;已知左侧违章名称是固定的&#xff0c;而月份是不固定的&#xff0c;在后端返回数据格式已确定的情况下&#xff0c;需…

Android OpenGL ES详解——纹理:纹理过滤GL_NEAREST和GL_LINEAR的区别

目录 一、概念 1、纹理过滤 2、邻近过滤 3、线性过滤 二、邻近过滤和线性过滤的区别 三、源码下载 一、概念 1、纹理过滤 当纹理被应用到三维物体上时&#xff0c;随着物体表面的形状和相机视角的变化&#xff0c;会导致纹理在渲染过程中出现一些问题&#xff0c;如锯齿…

超市11-12月生鲜重点商品配置

11月份&#xff1a;应季商品很多,特别是与季节相对应的蔬菜大量上市。宜推荐对预防感冒等相应的特殊食谱,推荐对于常外出的人方便又省事、省时的食谱&#xff0c;推荐多种花样的火锅&#xff0c;推荐便于保存的应季食品原料。 生活特性&#xff1a;大众食谱宜以炖菜、红焖、火锅…