代码注入技术(linux).ppt

代码注入技术 温圣召 北京邮电大学 目的：在不修改源码且不重启系统（进程）的情况下，改变系统（进程）的功能。 作用：系统升级、加固。黑客非法应用。 系统：本次讲解所用系统为Android及linux，其他系统是否可用，有待测试 所用技术：函数重定向，动态库加载（__dlopen()）。 知识： 进程虚拟内存（深入理解计算机系统） elf文件格式（程序猿的自我修养：链接、装载与库） ptrace工具（linux man 手册） 代码注入 进程是以虚拟内存的方式在内存中加载（而非按照实际物理内存加载），每个进程都有4G(系统决定)的虚拟内存，切各虚拟内存互不影响。 进程虚拟内存 Kernel 加载部分引导 只读的代码和数据 读写数据 运行时堆 （malloc） 共享库存储区 （so库） 用户栈 （运行时创建） 内核虚拟存储区 地址递增 用户代码不可见，用于陷入内核 从可执行文件加载进来的 1G空间 8M空间 3G空间 加载基地址在proc文件中记载 每一个进程的内存空间都是单独的，互补影响。改变特定进程在虚拟内存中的内容，不会影响到其他进程 可以方便的找到可执行文件在内存中加载地址（0x8000）。 每一个共享库加载时的基地址都在proc文件中有记载，可以通过proc文件找到动态库的加载地址。 通过ptrace，可方便的读取出内存中elf文件的内容，并根据elf文件格式进行解析。 虚拟内存应用 #include sys/ptrace.h int ptrace(int request, int pid, int addr, int data) ptrace 提供了一种父进程可以控制子进程运行，并可以检查和改变它的核心image。父进程可以终止、继续子进程，并在子进程终止的条件下对其内存、寄存器进行读写。 具体功能由request参数决定（太多，不介绍，自己查找）。 Ptrace工具 进 程 p 进 程 C ptrace attach 附着进程c，使其变为子进程 ptrace W/R 读写子进程内存/寄存器 ptrace cont继续子进程 Ptrace detach结束对子进程附着，子进程脱离 比较：windows生成PE文件，linux生成elf文件 分类： 可重定位的目标文件（Relocatable，或者Object File） 可执行文件（Executable） 共享库（Shared Object，或者Shared Library） 两种视角： 链接器把ELF文件看成是Section的集合 加载器把ELF文件看成是Segment的集合 ELF文件介绍 Elf文件视图 ELF文件介绍 ELF Header：描述体系结构、操作系统等信息，指出Section Header Table和Program Header Table在文件中位置 Program Header Table在链接过程中用不到可有可无 Section Header Table：保存了所有Section的描述信息，通过Section Header Table可以找到每个Section在文件中的位置 Section Header Table在加载过程中用不到可有可无 一个Segment由一个或多个Section组成 有些Section只对链接器有意义，在运行时用不到，也不需要加载到内存，不属于任何Segment 目标文件需要链接器做进一步处理，一定有Section Header Table；可执行文件需要加载运行，一定有Program Header Table；而共享库既要加载运行，又要在加载时做动态链接，所以既有Section Header Table又有Program Header Table。 主要节区介绍： .data：初始化了的数据，出现在程 序的内存映像中。 .dynamic：包含动态链接信息 .dynstr：包含用于动态链接的字符串 .dynsym：包含了动态链接符号表 .got：包含全局偏移表 .strtab：包含代表与符号表项 相关的名称字符串 .symtab ：包含一个符号表，用于加载 .text ：包含程序的可执行指令 注入时主要是查找got表中目标函数的全局偏移地址，修改该地址为我们要注入的函数地址，实现对程序修改 Elf文件介绍 代码注入过程 inject inject.so toinject toinject Inject.so 1 2 3 4 5 1：ptrace控制toinject进程 2：获得toinject进程中，要修改函数的源地址（为以后返回用） 3：通过shellcode.s（__dlopen()）加载目标库，并活的目标库中新函数地址。 4：查找toinject进程中got表，获得原函数地址表项，修改该地址为新函数地址