代码注入技术[linux].pptVIP

代码注入技术;目的：在不修改源码且不重启系统（进程）的情况下，改变系统（进程）的功能。 作用：系统升级、加固。黑客非法应用。 系统：本次讲解所用系统为Android及linux，其他系统是否可用，有待测试 所用技术：函数重定向，动态库加载（__dlopen()）。 知识： 进程虚拟内存（深入理解计算机系统） elf文件格式（程序猿的自我修养：链接、装载与库） ptrace工具（linux man 手册）;进程是以虚拟内存的方式在内存中加载（而非按照实际物理内存加载），每个进程都有4G(系统决定)的虚拟内存，切各虚拟内存互不影响。 ;每一个进程的内存空间都是单独的，互补影响。改变特定进程在虚拟内存中的内容，不会影响到其他进程 可以方便的找到可执行文件在内存中加载地址（0x8000）。 每一个共享库加载时的基地址都在proc文件中有记载，可以通过proc文件找到动态库的加载地???。 通过ptrace，可方便的读取出内存中elf文件的内容，并根据elf文件格式进行解析。;#include sys/ptrace.h int ptrace(int request, int pid, int addr, int data) ptrace 提供了一种父进程可以控制子进程运行，并可以检查和改变它的核心image。父进程可以终止、继续子进程，并在子进程终止的条件下对其内存、寄存器进行读写。 具体功能由request参数决定（太多，不介绍，自己查找）。;比较：windows生成PE文件，linux生成elf文件 分类： 可重定位的目标文件（Relocatable，或者Object File） 可执行文件（Executable） 共享库（Shared Object，或者Shared Library） 两种视角： 链接器把ELF文件看成是Section的集合 加载器把ELF文件看成是Segment的集合;Elf文件视图;主要节区介绍： .data：初始化了的数据，出现在程 序的内存映像中。 .dynamic：包含动态链接信息 .dynstr：包含用于动态链接的字符串 .dynsym：包含了动态链接符号表 .got：包含全局偏移表 .strtab：包含代表与符号表项 相关的名称字符串 .symtab ：包含一个符号表，用于加载 .text ：包含程序的可执行指令 注入时主要是查找got表中目标函数的全局偏移地址，修改该地址为我们要注入的函数地址，实现对程序修改;代码注入过程;谢谢大家