代码注入技术(linux).ppt

代码注入技术,温圣召 北京邮电大学,目的：在不修改源码且不重启系统（进程）的情况下，改变系统（进程）的功能。 作用：系统升级、加固。黑客非法应用。 系统：本次讲解所用系统为Android及linux，其他系统是否可用，有待测试 所用技术：函数重定向，动态库加载（_dlopen()）。 知识： 进程虚拟内存（深入理解计算机系统） elf文件格式（程序猿的自我修养：链接、装载与库） ptrace工具（linux man 手册）,代码注入,进程是以虚拟内存的方式在内存中加载（而非按照实际物理内存加载），每个进程都有4G(系统决定)的虚拟内存，切各虚拟内存互不影响。,进程虚拟内存,Kernel 加载部分引导,只读的代码和数据,读写数据,运行时堆 （malloc）,共享库存储区 （so库）,用户栈 （运行时创建）,内核虚拟存储区,地址递增,用户代码不可见，用于陷入内核,从可执行文件加载进来的,1G空间,8M空间,3G空间,加载基地址在proc文件中记载,每一个进程的内存空间都是单独的，互补影响。改变特定进程在虚拟内存中的内容，不会影响到其他进程 可以方便的找到可执行文件在内存中加载地址（0x8000）。 每一个共享库加载时的基地址都在proc文件中有记载，可以通过proc文件找到动态库的加载地址。 通过ptrace，可方便的读取出内存中elf文件的内容，并根据elf文件格式进行解析。,虚拟内存应用,#include int ptrace(int request, int pid, int addr, int data) ptrace 提供了一种父进程可以控制子进程运行，并可以检查和改变它的核心image。父进程可以终止、继续子进程，并在子进程终止的条件下对其内存、寄存器进行读写。 具体功能由request参数决定（太多，不介绍，自己查找）。,Ptrace工具,进 程 p,进 程 C,ptrace attach 附着进程c，使其变为子进程,ptrace W/R 读写子进程内存/寄存器,ptrace cont继续子进程,Ptrace detach结束对子进程附着，子进程脱离,比较：windows生成PE文件，linux生成elf文件 分类： 可重定位的目标文件（Relocatable，或者Object File） 可执行文件（Executable） 共享库（Shared Object，或者Shared Library） 两种视角： 链接器把ELF文件看成是Section的集合 加载器把ELF文件看成是Segment的集合,ELF文件介绍,Elf文件视图,ELF文件介绍,ELF Header：描述体系结构、操作系统等信息，指出Section Header Table和Program Header Table在文件中位置,Program Header Table在链接过程中用不到可有可无 Section Header Table：保存了所有Section的描述信息，通过Section Header Table可以找到每个Section在文件中的位置,Section Header Table在加载过程中用不到可有可无 一个Segment由一个或多个Section组成 有些Section只对链接器有意义，在运行时用不到，也不需要加载到内存，不属于任何Segment,目标文件需要链接器做进一步处理，一定有Section Header Table；可执行文件需要加载运行，一定有Program Header Table；而共享库既要加载运行，又要在加载时做动态链接，所以既有Section Header Table又有Program Header Table。,主要节区介绍： .data：初始化了的数据，出现在程 序的内存映像中。 .dynamic：包含动态链接信息 .dynstr：包含用于动态链接的字符串 .dynsym：包含了动态链接符号表 .got：包含全局偏移表 .strtab：包含代表与符号表项 相关的名称字符串 .symtab ：包含一个符号表，用于加载 .text ：包含程序的可执行指令 注入时主要是查找got表中目标函数的全局偏移地址，修改该地址为我们要注入的函数地址，实现对程序修改,Elf文件介绍,代码注入过程,inject,inject.so,toinject,toinject,Inject.so,1,2,3,4,5,1：ptrace控制toinject进程 2：获得toinject进程中，要修改函数的源地址（为以后返回用） 3：通过shellcode.s（_dlopen()）加载目标库，并活的目标库中新函数地址。 4：查找toinject进程中got表，获得原函数地址表项，修改该地址为新函数地址。 5：结束ptrace控制 注：我们要实现的新功能被实现在inject.so动态库中