Linux下实现劫持系统调用的总结

hacktao

lz 厉害！！

Godbach

多谢，有时间一定学习一下

W.Z.T

vupiggy 兄发的代码才是精华， 赞一个。

W.Z.T

截获系统调用的东西都是n久之前的技术了， 楼主加油，继续搞点inline hook的总结出来

vupiggy

原帖由 W.Z.T 于 2009-12-6 09:59 发表
截获系统调用的东西都是n久之前的技术了， 楼主加油，继续搞点inline hook的总结出来

看到你写的关于inline hook的文章, 忘了是米国哪个大学若干年前(32位时代)某门课的一份作业是劫持 page fault 处理就用的是同一思路. 那个老师给的参考代码和你文章里出现的一段代码一样, 我认为有问题, 至少不美.

p[1] = (offset & 0x000000ff); p[2] = (offset & 0x0000ff00) >> 8; p[3] = (offset & 0x00ff0000) >> 16; p[4] = (offset & 0xff000000) >> 24;

建议改成 xchg, 好处嘛...

[ 本帖最后由 vupiggy 于 2009-12-8 02:42 编辑 ]

sdzzzxj

都是牛人，

Godbach

看到你写的关于inline hook的文章,

原来W.Z.T兄已经有inline hook的文章了，可否给出链接？

W.Z.T

原帖由 vupiggy 于 2009-12-8 09:40 发表

看到你写的关于inline hook的文章, 忘了是米国哪个大学若干年前(32位时代)某门课的一份作业是劫持 page fault 处理就用的是同一思路. 那个老师给的参考代码和你文章里出现的一段代码一样, 我认为有问题, 至少 ...

inline hook确实也是几年前的东西了， 最早出现在*inx上， 然后windows将其发扬光大。 大多数inline hook技术都用在win rk上， linux搞也没啥用。 至于怎么inline hook， 方法也很多 ， 加jmp或push, ret指令就ok, linux有源码， 不必在跳转回来了， 重写一个函数就 ok。或者动态修改offset也可以。


BTW： linux rk不在于怎么hook, 只要稳定就好。 系统管理员不会去那么认真查的。

W.Z.T

原帖由 Godbach 于 2009-12-8 10:17 发表

原来W.Z.T兄已经有inline hook的文章了，可否给出链接？

www.debugman.com上有很多inline hook的例子， windows于linux都差不多的。

W.Z.T

原帖由 vupiggy 于 2009-12-8 09:40 发表

看到你写的关于inline hook的文章, 忘了是米国哪个大学若干年前(32位时代)某门课的一份作业是劫持 page fault 处理就用的是同一思路. 那个老师给的参考代码和你文章里出现的一段代码一样, 我认为有问题, 至少 ...

>>米国哪个大学若干年前(32位时代)某门课的一份作业

这个确实不知， 我只知道是从phrack杂志上出来的。兄弟不妨继续爆点料？