Linux hook技术之-Ring3下动态链接库.so函数劫持

二、Demo

#include  int main(void) {     printf("Calling the fopen() function...n");     FILE *fd = fopen("test.txt","r");     if (!fd) {         printf("fopen() returned NULLn");         return 1;     }     printf("fopen() succeededn");     return 0; }

编译执行

$ gcc -o sample sample.c $ ./sample Calling the fopen() function... fopen() returned NULL $ touch test.txt $ ./sample Calling the fopen() function... fopen() succeeded

开始编写我们自己的so动态库

#include  FILE *fopen(const char *path, const char *mode) {     printf("This is my fopen!n");     return NULL; }

编译成.so

gcc -Wall -fPIC -shared -o myfopen.so myfopen.c

设置环境变量后执行sample程序，我们可以看到成功劫持了fopen函数，并返回了NULL

$ LD_PRELOAD=./myfopen.so ./sample Calling the fopen() function... This is my fopen! fopen() returned NULL

当然 ，使fopen始终返回null是不明智的，我们应该在假的fopen函数中还原真正fopen的行为，看下面代码 这回轮到 dlfcn.h 出场，来对动态库进行显式调用，使用dlsym函数从c标准库中调用原始的fopen函数，并保存原始函数的地址以便最后返回 恢复现场  

#define _GNU_SOURCE #include  #include  FILE *fopen(const char *path, const char *mode) {     printf("In our own fopen, opening %sn", path);     FILE *(*original_fopen)(const char*, const char*);     original_fopen = dlsym(RTLD_NEXT, "fopen");     return (*original_fopen)(path, mode); }

Tips： 如果dlsym或dlvsym函数的第一个参数的值被设置为RTLD_NEXT，那么该函数返回下一个共享对象中名为NAME的符号（函数）的运行时地址。 下一个共享对象是哪个，依赖于共享库被加载的顺序。dlsym查找共享库顺序如下： ①环境变量LD_LIBRARY_PATH列出的用分号间隔的所有目录。 ②文件/etc/ld.so.cache中找到的库的列表，由ldconfig命令刷新。 ③目录usr/lib。 ④目录/lib。 ⑤当前目录。   编译：

gcc -Wall -fPIC -shared -o myfopen.so myfopen.c -ldl

执行：调用原始函数，劫持成功！

$ LD_PRELOAD=./myfopen.so ./sample Calling the fopen() function... In our own fopen, opening test.txt fopen() succeeded

三、需要注意的问题以及LD_PRELOAD hook的应用

需要注意的问题

1.so文件加载及函数劫持的顺序。

应用一：HIDS入侵检测系统

劫持libc库

应用二：rootkit恶意软件