hookso是一个Linux动态链接库的注入修改查找工具,用来修改其他进程的动态链接库行为。
功能让某个进程执行系统调用让某个进程执行.so的某个函数给某个进程挂接新的.so卸载某个进程的.so把旧.so的函数替换为新.so的函数复原.so的函数替换查找.so的函数地址编译gitclone代码,运行脚本,生成hookso以及测试程序
#./build.sh#cdtest&&./build.sh示例启动test目录下的测试程序先看下测试代码,代码很简单,test.cpp不停的调用libtest.so的libtest函数
intn=0;while(1){if(libtest(n++)){break;}sleep(1);}而libtest.so的libtest函数只是打印到标准输出
extern"C"boollibtest(intn){charbuff[128]={0};snprintf(buff,sizeof(buff),"libtest%d",n);puts(buff);returnfalse;}这时候,test是没有加载libtestnew.so的,后面会用hookso来注入,libtestnew.cpp的代码如下
extern"C"boollibtestnew(intn){charbuff[128]={0};snprintf(buff,sizeof(buff),"libtestnew%d",n);puts(buff);returnfalse;}extern"C"boolputsnew(constchar*str){charbuff[128]={0};snprintf(buff,sizeof(buff),"putsnew%s",str);puts(buff);returnfalse;}libtestnew.cpp定义了两个函数,一个用来替换libtest.so的puts函数,一个用来替换libtest.so的libtest函数
现在我们开始编译并运行它
#cdtest#./build.sh#./testlibtest1libtest2...libtest10程序开始运行,可以看到,不停的打印到输出,假设test的pid是11234
示例1:让test在屏幕上打印一句话#./hooksosyscall112341i=1s="haha"i=44注意这里的输出4,表示是系统调用的返回值。然后观察test的输出,可以看到haha输出
libtest12699libtest12700hahalibtest12701libtest12702libtest12703这里的几个参数说明:1是系统调用的号码,1表示的是write,i=1意思是一个int类型值为1的参数,s="haha"则为字符串内容为haha
所以这里等价于C语言调用了write(1,"haha",4),也就是在标准输出打印一句话
示例2:让test调用libtest.so的libtest函数#./hooksocall11234libtest.solibtesti=12340这里的参数和返回值,和示例1syscall同理。然后观察test的输出,可以看到输出
libtest12713libtest12714libtest12715libtest1234libtest12716libtest12717libtest1234则为我们插入的一次调用输出结果
示例3:让test加载libtestnew.so#./hooksodlopen11234./test/libtestnew.so13388992注意这里的输出13388992,表示是dlopen的handle,这个handle后面卸载so会用到。然后查看系统/proc/11234/maps
#cat/proc/11234/maps00400000-00401000r-xp00000000fc:01678978/home/project/hookso/test/test00600000-00601000r--p00000000fc:01678978/home/project/hookso/test/test00601000-00602000rw-p00001000fc:01678978/home/project/hookso/test/test01044000-01076000rw-p0000000000:000[heap]7fb351aa9000-7fb351aaa000r-xp00000000fc:01678977/home/project/hookso/test/libtestnew.so7fb351aaa000-7fb351ca9000---p00001000fc:01678977/home/project/hookso/test/libtestnew.so7fb351ca9000-7fb351caa000r--p00000000fc:01678977/home/project/hookso/test/libtestnew.so7fb351caa000-7fb351cab000rw-p00001000fc:01678977/home/project/hookso/test/libtestnew.so可以看到libtestnew.so已经成功加载
示例4:让test卸载libtestnew.so#./hooksodlclose112341338899213388992这个13388992是示例3dlopen返回的handle值(多次dlopen的值是一样,并且dlopen多次就得dlclose多次才能真正卸载掉)。然后查看系统/proc/11234/maps
#cat/proc/16992/maps00400000-00401000r-xp00000000fc:01678978/home/project/hookso/test/test00600000-00601000r--p00000000fc:01678978/home/project/hookso/test/test00601000-00602000rw-p00001000fc:01678978/home/project/hookso/test/test01044000-01076000rw-p0000000000:000[heap]7fb3525ab000-7fb352765000r-xp00000000fc:0125054/usr/lib64/libc-2.17.so7fb352765000-7fb352964000---p001ba000fc:0125054/usr/lib64/libc-2.17.so7fb352964000-7fb352968000r--p001b9000fc:0125054/usr/lib64/libc-2.17.so7fb352968000-7fb35296a000rw-p001bd000fc:0125054/usr/lib64/libc-2.17.so可以看到已经没用libtestnew.so了
示例5:让test加载libtestnew.so,执行libtestnew,然后卸载libtestnew.so#./hooksodlcall11234./test/libtestnew.solibtestnewi=12340同理,这里的输出0为函数返回值。然后观察test的输出,可以看到libtestnew.so的libtestnew函数输出
libtest151libtest152libtest153libtestnew1234libtest154libtest155libtestnew1234就是libtestnew.so的函数libtestnew输出,dlcall相当于执行了前面的dlopen、call、dlclose三步操作
示例6:让test加载libtestnew.so,并把libtest.so的puts函数调用,修改为调用libtestnew.so的putsnew#./hooksoreplace11234libtest.soputs./test/libtestnew.soputsnew13388992140573454638880注意这里的输出结果13388992表示handle,140573454638880表示替换之前的旧值,后面我们复原会用到。然后观察test的输出,可以看到已经调用到了libtestnew.so的putsnew方法
libtest3313libtest3314libtest3315libtest3316libtest3317putsnewlibtest3318putsnewlibtest3319putsnewlibtest3320现在开始,libtest.so内部调用puts函数,就变成了调用libtestnew.so的putsnew函数了,libtest.so之外调用puts函数,还是以前的没有变
示例7:让test的libtest.so的puts函数,恢复到之前,这里的140573454638880就是之前示例6replace输出的backup旧值#./hooksosetfunc11234libtest.soputs140573454638880140573442652001注意这里的setfunc也会输出旧值140573442652001,方便下次再还原。然后观察test的输出,可以看到又重新回到了puts方法
putsnewlibtest44putsnewlibtest45putsnewlibtest46libtest47libtest48libtest49注意这时候libnewtest.so仍然在内存中,如果不需要可以用dlclose卸载它,这里不再赘述
示例8:让test加载libtestnew.so,并把libtest.so的libtest函数,跳转到libtestnew的libtestnew,这个和示例6的区别是libtest是libtest.so内部实现的函数,puts是libtest.so调用的外部函数#./hooksoreplace2936libtest.solibtest./test/libtestnew.solibtestnew1338899210442863786053945429这里的输出和示例6同理。然后观察test的输出,可以看到调用了libtestnew.so的libtestnew函数
libtest31714libtest31715libtest31716libtest31717libtest31718libtestnew31719libtestnew31720libtestnew31721libtestnew31722libtestnew31723现在整个进程所有调用libtest的地方,都跳转到了libtestnew函数
示例9:让test的libtest.so的libtest函数,恢复到之前,这里的10442863786053945429就是之前示例8replace输出的替换旧值#./hooksosetfunc11234libtest.solibtest104428637860539454291092601523177然后观察test的输出,可以看到又回到了libtest.so的libtest函数
libtestnew26libtestnew27libtestnew28libtestnew29libtest30libtest31libtest32示例10:查找test的libtest.so的libtest函数地址#./hooksofind11234libtest.solibtest0x7fd9cfb916681405734696443920x7fd9cfb91668即为地址,140573469644392是地址转成了uint64_t的值
QA
为什么就一个1500行的main.cpp?
因为东西简单,减少无谓的封装,增加可读性
这东西实际有什么作用?
典型的用法是来监控某些进程的底层函数,打打日志,不用修改原始代码。或者拿来做c++的热更新补丁也可以
函数调用有什么限制?
syscall、call、dlcall只支持最大6个参数的函数调用,并且参数只能支持整形、字符replace不受限制,但是必须确保新的函数和旧函数,参数一致,不然会core掉
有些so的函数会报错?
某些so太大无法被全部load进内存,导致无法解析,运行失败,如
#./hooksofind11234libstdc++.so.6.0.28__dynamic_cast[ERROR][2020.4.28,14:26:55,161]main.cpp:172,remote_process_read:remote_process_readfail0x7fc3757147605Input/outputerror把so参数修改成文件路径,这样就会从文件读取so信息
#./hooksofind11234/usr/local/lib64/libstdc++.so.6.0.28__dynamic_cast[INFO][2020.4.28,14:26:47,274]main.cpp:1529,program_find:/usr/local/lib64/libstdc++.so.6.0.28__dynamic_cast=0x7fc37475cea0140477449227936可以看到,find命令已成功执行,对于其他的命令如call、dlopen、replace同理
评论