当前位置: 首页 > news >正文

聊一聊 Linux 上对函数进行 hook 的两种方式

两种拦截方式

1. LD_PRELOAD 如何实现拦截

要想明白 LD_PRELOAD 如何实现拦截?需要你对 linux 上的进程初始化时的链接器ld.so的工作过程有一个了解,简单来说就是它的加载顺序为主程序的可执行文件 -> LD_PRELOAD 指定的库 -> glibc 标准库 -> 其他依赖库

由于 LD_PRELOAD 指定的 so 文件优于 glibc.so 解析,所以可以利用这种先入为主的方式覆盖后续的同名符号方法,那 ld.so 长啥样呢?在我的ubuntu上就是ld-linux-x86-64.so.2

root@ubuntu2404:/data2# cat /proc/5322/maps 60c0f8687000-60c0f8688000 r--p 00000000 08:03 1966089 /data2/main 60c0f8688000-60c0f8689000 r-xp 00001000 08:03 1966089 /data2/main 60c0f8689000-60c0f868a000 r--p 00002000 08:03 1966089 /data2/main 60c0f868a000-60c0f868b000 r--p 00002000 08:03 1966089 /data2/main 60c0f868b000-60c0f868c000 rw-p 00003000 08:03 1966089 /data2/main 60c1266de000-60c1266ff000 rw-p 00000000 00:00 0 [heap] 7efd5c600000-7efd5c628000 r--p 00000000 08:03 2242169 /usr/lib/x86_64-linux-gnu/libc.so.6 7efd5c628000-7efd5c7b0000 r-xp 00028000 08:03 2242169 /usr/lib/x86_64-linux-gnu/libc.so.6 7efd5c7b0000-7efd5c7ff000 r--p 001b0000 08:03 2242169 /usr/lib/x86_64-linux-gnu/libc.so.6 7efd5c7ff000-7efd5c803000 r--p 001fe000 08:03 2242169 /usr/lib/x86_64-linux-gnu/libc.so.6 7efd5c803000-7efd5c805000 rw-p 00202000 08:03 2242169 /usr/lib/x86_64-linux-gnu/libc.so.6 7efd5c805000-7efd5c812000 rw-p 00000000 00:00 0 7efd5c964000-7efd5c967000 rw-p 00000000 00:00 0 7efd5c977000-7efd5c979000 rw-p 00000000 00:00 0 7efd5c979000-7efd5c97d000 r--p 00000000 00:00 0 [vvar] 7efd5c97d000-7efd5c97f000 r-xp 00000000 00:00 0 [vdso] 7efd5c97f000-7efd5c980000 r--p 00000000 08:03 2242166 /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2 7efd5c980000-7efd5c9ab000 r-xp 00001000 08:03 2242166 /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2 7efd5c9ab000-7efd5c9b5000 r--p 0002c000 08:03 2242166 /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2 7efd5c9b5000-7efd5c9b7000 r--p 00036000 08:03 2242166 /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2 7efd5c9b7000-7efd5c9b9000 rw-p 00038000 08:03 2242166 /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2 7ffe03c95000-7ffe03cb6000 rw-p 00000000 00:00 0 [stack] ffffffffff600000-ffffffffff601000 --xp 00000000 00:00 0 [vsyscall]

说了这么多,接下来我们演示下如何对 openat 进行拦截,首先定义一个 LD_PRELOAD 需要加载的共享库,代码如下:

#define _GNU_SOURCE #include <dlfcn.h> #include <stdio.h> #include <fcntl.h> #include <stdarg.h> #include <unistd.h> #include <sys/types.h> static int (*real_openat)(int, const char *, int, ...) = NULL; int openat(int dirfd, const char *pathname, int flags, ...) { mode_t mode = 0; pid_t pid = getpid(); pid_t tid = gettid(); printf("hooked openat: PID=%d, TID=%d, path=%s\n", pid, tid, pathname); if (!real_openat) { real_openat = dlsym(RTLD_NEXT, "openat"); } if (flags & O_CREAT) { return real_openat(dirfd, pathname, flags, mode); } else { return real_openat(dirfd, pathname, flags); } }

将上面的 hook_openat.c 做成动态链接库,其中的-ldl表示对外提供加载该库的api,比如(dlopen,dlsym), 参考如下:

root@ubuntu2404:/data2# gcc -shared -fPIC -o libhookopenat.so hook_openat.c -ldl root@ubuntu2404:/data2# ls -lh total 24K -rw-r--r-- 1 root root 688 Jun 12 09:14 hook_openat.c -rwxr-xr-x 1 root root 16K Jun 12 09:20 libhookopenat.so -rw-r--r-- 1 root root 782 Jun 12 09:18 main.c

共享库搞定之后,接下来就是写 C 代码来调用了,这里我们通过 openat 打开文件,然后让 libhookopenat.so 拦截,参考代码如下:

#define _GNU_SOURCE #include <fcntl.h> #include <unistd.h> #include <stdio.h> #include <stdlib.h> #include <string.h> int main() { // 在当前目录下创建一个新文件 int fd = openat(AT_FDCWD, "example.txt", O_WRONLY | O_CREAT | O_TRUNC, 0644); if (fd == -1) { perror("openat failed"); exit(EXIT_FAILURE); } // 写入一些内容到文件 const char *text = "This is a test file created with openat!\n"; ssize_t bytes_written = write(fd, text, strlen(text)); if (bytes_written == -1) { perror("write failed"); close(fd); exit(EXIT_FAILURE); } // 关闭文件 close(fd); printf("File created and written successfully! Wrote %zd bytes.\n", bytes_written); return 0; }
root@ubuntu2404:/data2# gcc -o main ./main.c root@ubuntu2404:/data2# LD_PRELOAD=./libhookopenat.so ./main hooked openat: PID=4646, TID=4646, path=example.txt File created and written successfully! Wrote 41 bytes.

从卦中可以清晰的看到 hook 成功!

2. funchook 如何实现拦截

LD_PRELOAD 这种共享库的粒度还是太大,如果粒度再小一点就更加灵活了,比如函数级,这就是本节要介绍到的 funchook,源码在github上:https://github.com/kubo/funchook ,唯一麻烦一点的就是你需要通过源码编译来生成对应的头文件,静态链接文件,动态链接库,参考如下:

root@ubuntu2404:/data4# sudo apt install -y git gcc cmake make root@ubuntu2404:/data4# git clone https://github.com/kubo/funchook.git root@ubuntu2404:/data4# cd funchook root@ubuntu2404:/data4# mkdir build && cd build root@ubuntu2404:/data4# cmake .. root@ubuntu2404:/data4# make root@ubuntu2404:/data4/funchook/build# sudo make install [ 25%] Built target distorm [ 42%] Built target funchook-shared [ 60%] Built target funchook-static [ 71%] Built target funchook_test [ 85%] Built target funchook_test_shared [100%] Built target funchook_test_static Install the project... -- Install configuration: "" -- Installing: /usr/local/include/funchook.h -- Installing: /usr/local/lib/libfunchook.so.2.0.0 -- Installing: /usr/local/lib/libfunchook.so.2 -- Installing: /usr/local/lib/libfunchook.so -- Installing: /usr/local/lib/libfunchook.a root@ubuntu2404:/data4/funchook/build# ldconfig

由于默认安装在了/usr/local/lib下,一定要记得用ldconfig命令刷新下,否则程序可能找不到新库,最后就是 C 的调用代码,参考如下:

#define _GNU_SOURCE #include <stdio.h> #include <dlfcn.h> #include <fcntl.h> #include <unistd.h> #include <funchook.h> // 原始函数指针 static int (*orig_openat)(int dirfd, const char *pathname, int flags, mode_t mode); // 钩子函数 int hooked_openat(int dirfd, const char *pathname, int flags, mode_t mode) { printf("Hooked openat called: path=%s, flags=0x%x\n", pathname, flags); // 调用原始函数 return orig_openat(dirfd, pathname, flags, mode); } int main() { // 获取原始 openat 函数地址 orig_openat = dlsym(RTLD_NEXT, "openat"); if (!orig_openat) { fprintf(stderr, "Failed to find openat: %s\n", dlerror()); return 1; }
http://www.jsqmd.com/news/1112714/

相关文章:

  • CPT外汇:注重效率的使用者更在意的工具可用性,这里做个维度观察
  • 交叉熵损失函数实战指南:原理、陷阱与工业级调优
  • 千万不能忽视!选择防盗门时必须知道的5个关键点
  • 好用的看广告供应商哪个公司好
  • foo2zjs打印机驱动架构解析:从ZJ-Stream协议到企业级部署的完整技术方案
  • Windows10Debloater终极指南:轻松打造纯净高效的Windows 10系统
  • Java毕设选题推荐:基于 SpringBoot 的线上选课学习考核教育平台的设计与实现 智慧远程教育资源发布管理系统【附源码、mysql、文档、调试+代码讲解+全bao等】
  • 三进制太玄经·八十一首(坤至乾·每行一卦标准版)
  • Loki MCP Server -支持Claude Desktop/Claude Code/Cursor 等客户端通过自然语言查询日志
  • 机器学习模型生产化落地:从Notebook到稳定服务的七步实战
  • 从寄存器映射到Modbus TCP组网:硬核拆解工业数据采集卡的通信协议架构
  • WebSocket 重连后 K 线还缺?Python 检测缺口 + REST 回补 + gap_report 留痕**
  • tModCodeAssist:泰拉瑞亚模组开发者的智能代码助手终极指南
  • Java计算机毕设之基于 SpringBoot 的中药饮片采购入库出库管控系统的设计与实现 基于 SpringBoot 的中药材供应商与采购订单管理系统(完整前后端代码+说明文档+LW,调试定制等)
  • ML模型服务化实战:从Notebook到稳定生产的五大关键
  • 2026最新8款平替AI团队编程软件实测 适配多仓库规范统一
  • AI科研效率革命:用Claude技能包重构论文写作与数据分析流程
  • 多维聚合数据操作:维度对齐、度量校准与空值治理实战
  • 数据湖介绍
  • 低算力AI模型的安全挑战与防御策略
  • 强与弱引用与 GC 的具体交互(ThreadLocal)
  • AI岗位需求分析07-零基础也能入行——零基础、程序员、产品经理、应届生:四种背景的AI学习路线图(对号入座版)
  • 向量数据库不是银弹:RAG 检索质量的排查路径
  • 免费图床搭建指南:Gitee + PicGo + Typora + Obsidian 全流程
  • 基于 Doris + LangChain 的 AI 助手升级:Embedding + BM25 混合检索改造
  • 3步掌握Fofa Viewer:网络安全资产探测的高效JavaFX客户端
  • 科技融匠心!康姿百德学生床垫筑牢成长睡眠防线
  • AI对话录2026/7/2-避风港尚未命名
  • Android 7系统日志(七)实战调试与常见问题分析
  • 多维聚合中的数据操纵:维度对齐、层级补全与稀疏填充实战