欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

linux内核hook技术之函数地址替换

程序员文章站 2024-01-23 17:08:22
...

前言

    函数地址替换是一种更为简单、常见的hook方式,比如对security_ops、sys_call_table等结构中的函数进行替换,来完成自己的安全权限控制。

    其中security_ops是LSM框架中所使用的,sys_call_table是系统调用表结构。当然了,这些结构目前在内核中都已经是只读数据结构了,如果想直接进行函数替换的话,首先就是考虑解决关闭写保护的问题。在下面的模块例子中,演示了重置cr0寄存器写保护位 及其 修改内存页表项属性值两种关闭写保护方式,有兴趣的朋友可对照代码进行查阅。

    除此之外,linux内核还提供了一些注册函数,允许直接注册自己的钩子函数来实现各种功能,比如netfilter框架下的注册函数nf_register_hook等。

    接下来以替换sys_call_table中的sys_open为例来写了一个小模块,说明下如何进行函数地址替换以及写保护关闭。该模块已在centos6 系列系统编译并测试过,使用其他系统的朋友可能需要进行一些微调。

    使用insmod装载时,需要加上kallsyms_lookup_name_address参数,eg: insmod   **.ko   kallsyms_lookup_name_address=0x***,其中kallsyms_lookup_name_address的值可通过 cat /proc/kallsyms | grep kallsyms_lookup_name获取。

如何hook

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/kallsyms.h>
#include <linux/types.h>
#include <linux/cpu.h>
#include <linux/stop_machine.h>
#include <asm/unistd_64.h>
#include <asm/cacheflush.h>

#define HOOK_HOOK_TABLE_NAME "sys_call_table"

typedef void (*sys_call_ptr_t)(void);
typedef unsigned long (* kallsyms_lookup_name_t)(const char *name);
typedef long (* hook_sys_open_t)(const char __user *filename, int flags, int mode);

static ulong kallsyms_lookup_name_address;
static kallsyms_lookup_name_t hook_lookup_name;
static ulong g_wpbit_val = 0;
static pgprot_t g_orig_pgprot;

static ulong hook_table_addr;
static ulong orig_sys_open_addr;

/*
 *要替换的钩子函数
 * */
long hook_new_sys_open(const char __user *filename, int flags, int mode)
{
    hook_sys_open_t p_orig;
    p_orig = (hook_sys_open_t)orig_sys_open_addr;

    printk("this is hook body !\n");

    return p_orig(filename, flags, mode);
}

/*
 *通过寄存器关闭写保护
 * */
static void hook_clear_wpbit1(void)
{
    ulong val = read_cr0();
    g_wpbit_val = val;
    val &= 0xfffffffffffeffff;
    write_cr0(val);
}
/*
 * 写保护位恢复函数
 * */
static void hook_recover_wpbit1(void)
{
    write_cr0(g_wpbit_val);
}

/*
 *关闭内存页写保护标记
 * */
static void hook_clear_wpbit2(void)
{
    pte_t *kpte, new_pte, old_pte;
    unsigned int level;
    unsigned long pfn;
    pgprot_t new_prot;
    /*根据线性地址查询页表项地址*/
    kpte = lookup_address(hook_table_addr, &level);
    if (kpte) {
        old_pte = *kpte;
        new_prot = pte_pgprot(old_pte);
        /*根据页表项值获的页表框号*/
        pfn = pte_pfn(old_pte);
        /*保存页表属性值*/
        g_orig_pgprot = new_prot;
        /*修改页表属性值*/
        new_prot.pgprot |= _PAGE_RW;
        /*使用页框号和新的页表属性值合成新的页表项值*/
        new_pte = pfn_pte(pfn, canon_pgprot(new_prot));
        /*发生变化,重新设置页表项值*/
        if (pte_val(old_pte) != pte_val(new_pte)) {
            set_pte_atomic(kpte, new_pte);
        }
    }
}

/*
 *恢复内存页写保护标记
 * */
static void hook_recover_wpbit2(void)
{
    pte_t *kpte, new_pte, old_pte;
    unsigned int level;
    unsigned long pfn;
    /*根据线性地址查询页表项地址*/
    kpte = lookup_address(hook_table_addr, &level);
    if (kpte) {
        old_pte = *kpte;
        pfn = pte_pfn(old_pte);
        new_pte = pfn_pte(pfn, canon_pgprot(g_orig_pgprot));

        if (pte_val(old_pte) != pte_val(new_pte)) {
            /*发生变化,恢复原有页表项值*/
            set_pte_atomic(kpte, new_pte);
        }
    }
}

/*
 *钩子函数注入的地方
 *此处通过对系统调用表,进行函数地址替换
 * */
static int hook_do_hijack1(void *arg)
{
    sys_call_ptr_t *p_call = (sys_call_ptr_t *)hook_table_addr;
    orig_sys_open_addr = (ulong)p_call[__NR_open];
    /*
     *进行函数地址替换
     * */
    hook_clear_wpbit1();
    p_call[__NR_open] = (sys_call_ptr_t)hook_new_sys_open;
    hook_recover_wpbit1();

    return 0;
}
static int hook_do_hijack2(void *arg)
{
    sys_call_ptr_t *p_call = (sys_call_ptr_t *)hook_table_addr;
    orig_sys_open_addr = (ulong)p_call[__NR_open];
    /*
     *进行函数地址替换
     * */
    hook_clear_wpbit2();
    p_call[__NR_open] = (sys_call_ptr_t)hook_new_sys_open;
    hook_recover_wpbit2();

    return 0;
}


static int hook_recover_hijack1(void *arg)
{
    sys_call_ptr_t *p_call = (sys_call_ptr_t *)hook_table_addr;
    /*
     *进行函数地址恢复
     * */
    hook_clear_wpbit1();
    p_call[__NR_open] = (sys_call_ptr_t)orig_sys_open_addr;
    hook_recover_wpbit1();

    return 0;
}

static int hook_recover_hijack2(void *arg)
{
    sys_call_ptr_t *p_call = (sys_call_ptr_t *)hook_table_addr;
    /*
     *进行函数地址恢复
     * */
    hook_clear_wpbit2();
    p_call[__NR_open] = (sys_call_ptr_t)orig_sys_open_addr;
    hook_recover_wpbit2();

    return 0;
}

static int hook0_init(void)
{
    /*
     * kallsyms_lookup_name函数的地址,
     *在insmod装载时由参数kallsyms_lookup_name_address传递
     */
    hook_lookup_name = (kallsyms_lookup_name_t)kallsyms_lookup_name_address;
    /*
     * 查找将要劫持的函数地址,此处使用内核提供的kallsyms_lookup_name函数
     */
    hook_table_addr = (ulong)hook_lookup_name(HOOK_HOOK_TABLE_NAME);
    /*
     *使用设置寄存器wp写保护位的方式来放开写保护,进行只读区域的hook
     * */
    stop_machine(hook_do_hijack1, NULL, 0);
    /*
     * 设置页表项中的可写位(第1位writeable),来进行只读区域的hook
     * 两种方法都可行
     * */
    //stop_machine(hook_do_hijack2, NULL, 0);

    return 0;
}

static void hook0_exit(void)
{
    /*
     *使用设置寄存器wp写保护位的方式来放开写保护,进行只读区域的hook
     * */
    stop_machine(hook_recover_hijack1, NULL, 0);
    /*
     * 设置页表项中的可写位(第1位writeable),来进行只读区域的hook
     * 两种方法都可行
     * */
    //stop_machine(hook_recover_hijack2, NULL, 0);
}

module_init(hook0_init);
module_exit(hook0_exit);
module_param(kallsyms_lookup_name_address, ulong, 0644);
MODULE_LICENSE("GPL");

一些思考

  •  推荐使用设置cr0寄存器的方式来关闭写保护功能。
  • 在arm等体系架构中,没有cr0寄存器的情况下,可以尝试使用重置页表属性值中的可写位来完成。上述模块中,已经通过该方式成功将sys_call_table写入。不过该方法未必是万能的,还是需要根据具体的hook位置来做进一步尝试。