linux hook hook抓包

大家好，关于linux hook很多朋友都还不太明白，不过没关系，因为今天小编就来为大家分享关于hook抓包的知识点，相信应该可以解决大家的一些困惑和问题，如果碰巧可以解决您的问题，还望关注下本站哦，希望对各位有所帮助！

30分钟看懂linux内核钩子--khook

理解Linux内核钩子——khook

钩子是一个在内核函数执行路径中插入点的概念，允许我们拦截并执行自定义代码，监控或修改函数执行流程。khook是一种实现此目的的工具。通过使用khook，我们可以定义一个函数来监控或控制内核中特定函数的执行。

要使用khook，首先引入相应的头文件，并在kbuild/makefile中添加链接控制脚本，以对挂钩引擎进行初始化和注销。khook提供两种使用模式：对于已知原型的函数，可以直接定义一个钩子函数；对于原型未知的函数，则需要通过参数所用结构体定义的位置来定义。

为了更直观地理解khook的工作原理，可以参考作者GitHub上的两张示意图。在未加入钩子的情况下，执行流程按照原函数定义进行。加入钩子后，通过替换函数前的几个字节并插入一个跳转指令，执行流程首先跳转到自定义的钩子函数，执行完毕后返回并继续执行原函数的剩余代码。通过这种方式，我们可以在不修改原代码的情况下实现功能的扩展或修改。

khook的核心结构体包括khook和STUB。khook定义了钩子函数的格式和位置，而STUB则负责实现钩子的逻辑，包括跳转到用户自定义的钩子函数和保存并恢复原函数的执行流程。在实现过程中，需要通过内核指令操作函数获取地址和指令长度，以及查找内核符号表以获取函数地址并进行映射操作。

khook初始化流程包括分配内存、查找符号表并建立虚拟地址映射、以及最后设置STUB的跳转逻辑。整个过程依赖于内核指令操作函数、查找符号表、以及符号执行内存的分配与初始化。

总之，khook提供了一种灵活的机制，允许开发者在Linux内核中实现功能扩展或修改，而无需修改原有代码。通过掌握khook的使用方法和工作原理，开发者能够更深入地理解内核架构并实现更丰富的功能。

linux的系统调用hook

在求职过程中，经常会遇到一个技术概念——Linux系统调用hook，它涉及到系统调用的劫持技术，主要用于安全防护的目的。首先，理解这一技术需要对编译过程有所了解，比如在C++中，生成可执行文件的过程中，会生成目标文件（.o），其中包含符号表，是链接阶段进行特定链接的关键。要hook一个系统调用，就是通过修改内核的符号表来实现劫持。

在Intel CPU中，执行级别分为Ring0、Ring1、Ring2、Ring3，内核运行在Ring0级别。在Linux中，普通程序运行在Ring3，需要通过系统调用进行文件读写等操作时，CPU会从Ring3切换到Ring0。例如，利用0x80软中断来引导到system_call，通过修改sys_call_table的基地址，达到跳转到自定义函数的目的。

另一种hook方法是利用LD_PRELOAD，这是一种动态链接机制，允许用户在程序运行前加载自定义库，以覆盖程序的链接需求。通过预先定义库中的同名符号，可以实现对系统调用的替换。例如，可以创建一个strcmp的同名函数，替换程序中的系统调用。

针对一些实际的系统调用hook，如malloc，可以创建动态库来劫持内存分配，对cpp代码中的new和malloc进行观察。同时，通过hook命令，如ls，可以看到它底层依赖的系统调用。值得注意的是，hook过程中需要确保不影响命令的正常执行，只做简单的参数检测和输出。

最后，推荐一个在线资源，它提供C++语法糖的详细解释，以及代码到汇编码的转换服务，这对于理解底层技术和语法糖非常有帮助。

Linux内核-hook系统调用

内核符号表的修改是实现系统调用劫持的关键。系统调用通过触发0x80软中断并跳转到system_call()函数来执行，该函数根据系统调用号跳转到内核函数的入口地址。修改内核符号表，使其跳转到自定义函数，即实现了系统调用劫持。

获取系统调用表是hook系统调用的第一步。以下是几种获取系统调用表地址的方法：

（1）调用内核导出函数kallsyms_lookup_name获取

（2）读取system.map文件获取

（3）从PAGE_OFFSET开始遍历查找__NR_close系统调用首地址

（注：PAGE_OFFSET为内核空间与用户空间的分界地址，不同体系结构有所不同。）

获取系统调用表后，可以将系统调用替换为自定义接口。以下以sys_open为例，展示拦截系统调用的内核模块代码编写过程：

（1）找到sys_open的声明（在内核源代码路径下）

（2）在hook.h文件中声明要hook的系统调用函数指针和自定义的替换系统调用函数

（3）获取系统调用表地址

（4）获取sys_open指针，将其指向自定义的open函数

在修改系统调用表指向时，需先关闭内核写保护机制，修改完毕后重新启用。

x86_64 CPU中，控制寄存器的bit16控制写保护标志。通过内核提供的接口或内联汇编代码修改bit16标志。

（5）实现myhook_open函数

（6）卸载模块时，还原系统调用指向

（7）编写Makefile文件，编译代码

6、加载模块及日志打印

ending!!!

以上是hook系统调用sys_open的讲解，其他系统调用的hook方法类似。