hook

1ming0

hook

1ming0

解释我想hook掉usb_match_id换成new_usb_match_id（自己的函数）

然后返回 现在把usb_match_id前五个字节改成jmp (unsigned int)new_usb_match_id了

关键是new怎么返回 继续下走啊？？

vupiggy

你有两种选择：
1. 真正称为 inline hook 的方法，就是找到： call usb_match_id 这条指令，objdump 内核的映像，这段应该长得像这样：e8 XX XX XX XX，这里的 XX XX XX XX 如果用一个 unsigned int * 指向它，得到的值应该是 usb_match_id() 函数相对这条指令的下一条指令的偏移，你要做的是就是：1) 算出你的 new_usb_match_id() 函数相对偏移 YY YY YY YY，2) 用这个 32 位的偏移值替换那条 e8 指令的操作数，使之成为 e8 YY YY YY YY，从此每次都调用你的函数袅，3) 在你的 new_usb_match_id() 中别忘了调用原始的 usb_match_id()，4) 从 new_usb_match_id 返回，自然会回到 usb_device_match 中正确的位置去，好像什么没有发生一样。

2. 插入 jmp 这个方法也可行，但是复杂一些，很容易死，能不用就不用，大意是自己写一段要 jmp 过去的汇编代码，头部留一些空间，把 usb_device_match() 函数合理的几个字节拷贝过去，再根据实际情况保存几个寄存器的值，在这段汇编中调用你的 new_usb_match_id，最后再用一个jmp 回到 usb_device_match 合理的位置，整个过程挺绕的，实在需要再跟你解释，就先试方法1吧，95% 的情况可以解决问题。

瀚海书香

回复 3# vupiggy
多谢分享！

1ming0

我用第二种方式就是为了不用找usb_match_id的父函数（因为他的父函数没有导出 还得查找） 呵呵，现在为了赶进度，只能先用第一种了

谢谢  vupiggy

1ming0

回复 3# vupiggy


    谢谢

tempname2

jprobe拦下usb_match_id，然后把参数换掉。

vupiggy

1ming0 发表于 2011-12-29 01:42
我用第二种方式就是为了不用找usb_match_id的父函数（因为他的父函数没有导出 还得查找） 呵呵，现在为了赶 ...

好吧,给个大概思路,现在没空写代码

1. 
   
2.   380430:       55                      push   %rbp
   
3.   380431:       48 89 e5              mov    %rsp,%rbp
   
4.   380434:       41 56                   push   %r14
   
5.   380436:       41 55                   push   %r13
   
6.   380438:       41 54                   push   %r12
   
7.   38043a:       53                      push   %rbx
   

复制代码

观察objdump出来的2.6.18 x86_64内核usb_match_id函数的开始部分,这一段因内核,编译器而异,要写好一个hook要能够正确解码,另外写一段汇编:

1. 
   
2. ENTRY(my_usb_match_id)
   
3. nop; nop; nop; nop; nop; nop; nop; nop;
   
4. nop; nop; nop; nop; nop; nop; nop; nop;
   
5. nop; nop; nop; nop; nop; nop; nop; nop;
   
6. nop; nop; nop; nop; nop; nop; nop; nop;
   
7. push %rdi
   
8. push %rsi
   
9. call new_usb_match_id
   
10. pop %rsi
    
11. pop %rdi
    
12. jmp *back_point
    
13. END(my_usb_match_id)
    

复制代码

把上面列出来的 55 48 89 e5 ... 53 共11个字节拷贝到上面这段代码的地址 (i.e, 覆盖掉 11 个 nop -- 0x90), 然后把 push %rdi push %rsi ... jmp *back_point 那些代码 (不出意外,有16个字节) 拷贝到 my_usb_match_id 的第12字节处.

back_point, 应该是 usb_match_id + 12. 到此, 准备工作完成,把 你的 jmp my_usb_match_id 用一条 xchg 语句插入.

大抵如此,多试试看就能成功

1ming0

多谢指点  
我刚试了一下 jmp其实可以自动返回的
new_usb_match_id执行完会返回到usb_match_id函数的返回地址的（返回地址之前已经进栈了）

但是jmp的hook有个不好  如果函数多个地方被用就不太好控制， 还是找父函数call更精确。