当前位置:文档之家 › Linux API Hook

Linux API Hook

  • 格式:pdf
  • 大小:596.88 KB
  • 文档页数:52

下载文档原格式

  / 52

合集下载

linuxnetfilter五个钩子点

linuxnetfilter五个钩子点

linuxnetfilter五个钩⼦点在三层IPv4数据包的处理过程中,可能经过Netfilter的五个钩⼦点,分别为NF_INET_PRE_ROUTING、NF_INET_LOCAL_IN、NF_INET_FORWARD、NF_INET_LOCAL_OUT、NF_INET_POST_ROUTING,在每个点都可以设置⼀些规则,来对数据包进⾏匹配检查处理,这些规则的配置、布局和匹配流程。

Netfilter 提供了⼀个基本的报⽂拦截框架,即hook机制;Netfilter 中定义了⼀个全局⼆维数组,来存放注册了的处理函数。

struct list_head hooks[NFPROTO_NUMPROTO][NF_MAX_HOOKS] __read_mostly;在每个关键点上,有很多已经按照优先级预先注册了的回调函数;每个钩⼦函数最后必须向Netfilter框架返回下列⼏个值其中之⼀#define NF_DROP 0 /* 丢包,不再传输 */#define NF_ACCEPT 1 /* 接受数据包,继续正常传输这个返回值告诉 Netfilter:到⽬前为⽌,该数据包还是被接受的并且该数据包应当被递交到⽹络协议栈的下⼀个阶段 */#define NF_STOLEN 2 /* 数据包已经被接管,回调函数处理该包,NF不再处理,该回调函数将从此开始对数据包的处理,并且Netfilter应当放弃对该数据包做任何的处理。

但是,这并不意味着该数据包的资源已经被释放。

这个数据包以及它独⾃的sk_buff数据结构仍然有效,只是回调函数从Netfilter 获取了该数据包的所有权 */#define NF_QUEUE 3 /*对该数据报进⾏排队,通常⽤于将数据包交给⽤户空间的进程处理 */#define NF_REPEAT 4 /* 再次调⽤该回调函数,应当谨慎使⽤这个值,以免造成死循环*/#define NF_STOP 5 /*结束执⾏, 数据包通过了挂载点的所有规则。

常用hook框架

常用hook框架

常用hook框架什么是常用的hook框架?为什么要使用hook框架?有哪些常用的hook框架?这些hook框架各有什么特点和优势?如何使用这些常用的hook框架?接下来,我将逐一回答这些问题,并为你提供相关的详细信息。

首先,我们来了解一下什么是常用的hook框架。

Hook框架是一种软件工程技术,用于在软件系统的运行时动态地修改、扩展或增强其功能。

它允许开发者在不改变原有代码的情况下,通过拦截和修改函数调用或事件的方式,对系统行为进行定制和控制。

常用的hook框架提供了一组API,开发者可以使用这些API来定义自己的拦截逻辑,实现特定的功能扩展或改进。

为什么要使用hook框架?使用hook框架的好处在于它能够帮助我们快速、灵活地定制系统功能。

使用hook框架,我们不必修改系统源代码,而是通过动态拦截和修改代码执行流程,达到自己想要的效果。

这种方式具有一定的安全性,不会破坏原有功能,也不会引入潜在的风险。

另外,使用hook框架还可以提高代码的可维护性,因为我们只需关注自己添加的代码逻辑,而不必关心系统的底层实现。

接下来,让我们看一下一些常用的hook框架。

1. Xposed Framework:Xposed Framework是一个非常著名的hook 框架,广泛应用于Android系统。

它通过修改Android系统的ART或Dalvik虚拟机运行时环境,在应用程序加载过程中动态地替换、修改Java类的方法。

Xposed Framework具有灵活、易用、无需重启设备等优势,非常适合进行Android应用的定制和扩展。

2. Frida:Frida是一款功能强大的跨平台hook框架,支持Windows、macOS、Linux、iOS和Android等多个操作系统。

Frida提供了JavaScript API,可以通过动态注入和执行JavaScript代码来拦截和修改目标进程的函数调用、日志输出等,实现各种功能扩展和调试操作。

linux hook系统调用函数

linux hook系统调用函数

linux hook系统调用函数
Linux的hook系统调用函数是指在系统调用执行之前或之后,
通过注入自定义代码来拦截和修改系统调用的过程。

这种机制可以用于实现一些安全措施,例如检测和防止恶意软件的行为,或者限制用户对系统资源的访问。

hook系统调用函数的实现方式有多种,其中比较常用的是使用
内核模块来实现。

内核模块可以通过注册自定义的处理函数来拦截指定的系统调用,并在需要的时候调用原始的系统调用函数或者执行自己的逻辑。

例如,可以编写一个hook系统调用函数来监控用户进程
的文件打开操作,以此来检测和防止恶意软件对系统文件的篡改。

需要注意的是,hook系统调用函数可能会对系统性能产生一定
的影响,因此应该谨慎使用。

此外,由于hook系统调用函数在内核
层面进行操作,因此编写和调试这类代码需要一定的专业知识和技能。

总之,Linux的hook系统调用函数是一种非常有用的机制,可
以为我们提供更多的安全保障和系统控制能力。

然而,在使用之前,我们需要充分了解其实现方式和潜在的影响,以确保其能够正确地工作并不会对系统性能造成过大的影响。

- 1 -。

hook技术原理

hook技术原理

Hook技术是一种用于拦截API函数调用的技术,它通过修改系统API函数的内存地址,从而拦截系统函数的调用,实现对系统API函数的拦截和修改。

Hook技术的基本原理是将系统API函数的内存地址指向一个用户定义的函数,而不是指向实际的API函数。

当调用系统API函数时,系统将调用用户定义的函数,而不是原来的函数。

这样就可以实现对系统API函数的拦截和修改。

Hook技术的实现步骤如下:
1、首先,程序员需要查找和定位需要拦截的API函数的内存地址。

2、然后,程序员需要编写用户定义的函数,用来拦截和修改系统API函数的调用。

3、接着,程序员需要将系统API函数的内存地址指向用户定义的函数,从而实现API函数的拦截。

4、最后,程序员需要将系统API函数的原始内存地址保存起来,以便在不再需要拦截时,可以恢复原来的API函数调用行为。

Hook技术是一种强大的技术,可以用来实现各种功能,比如拦截软件的调用,拦截软件的输入输出,拦截系统函数的调用等。

Hook技术也可以用来实现防病毒,反垃圾邮件,防恶意程序,实现软件保护以及实现自定义控件等功能。

selinux的hook函数

selinux的hook函数

selinux的hook函数
SELinux是一种基于安全策略的访问控制机制,其核心是由一系列的hook函数组成。

这些hook函数是SELinux与Linux内核之间的接口,负责拦截操作系统内核的系统调用请求以及与安全策略有关的事件,为其提供访问控制决策。

SELinux的hook函数可以分为两类:安全策略钩子函数和系统调用钩子函数。

安全策略钩子函数控制进程之间的访问控制、文件系统的访问控制以及网络的访问控制等。

而系统调用钩子函数则控制对操作系统内核的系统调用请求的访问控制,包括文件操作、网络操作、进程管理和IPC操作等。

SELinux的hook函数是由内核模块中的安全策略模块和系统调用模块实现的。

这些模块负责在内核初始化时注册相应的hook函数,并在系统运行时拦截相应的事件。

在SELinux系统中,hook函数的实现是非常重要的,它决定了SELinux的访问控制能力。

因此,开发人员需要了解SELinux的hook 函数的实现方式以及如何编写安全策略模块和系统调用模块来实现
自定义的访问控制策略。

- 1 -。

linux系统调用 api 手册

linux系统调用 api 手册

linux系统调用 api 手册【实用版】目录I.Linux 系统调用 API 手册概述II.Linux 系统调用 API 的功能III.Linux 系统调用 API 的使用方法IV.Linux 系统调用 API 的示例正文I.Linux 系统调用 API 手册概述Linux 系统调用 API 手册是指提供了一系列用于在 Linux 系统中调用系统功能的 API 函数。

这些 API 函数可以让程序员在编写程序时,更加方便、高效地与 Linux 系统进行交互,实现各种系统操作。

II.Linux 系统调用 API 的功能Linux 系统调用 API 的功能主要包括以下几个方面:1.文件操作:包括文件的打开、关闭、读取、写入等操作。

2.进程管理:包括进程的创建、终止、切换等操作。

3.系统管理:包括系统时间的获取、设置,内存的管理等操作。

4.网络操作:包括网络套接字的创建、连接、接收、发送等操作。

III.Linux 系统调用 API 的使用方法要使用 Linux 系统调用 API,首先需要在程序中包含相应的头文件,然后调用相应的函数。

例如,要使用文件操作相关的 API,需要在程序中包含`<unistd.h>`头文件,然后调用如`open()`、`read()`、`write()`等函数。

IV.Linux 系统调用 API 的示例以下是一个简单的使用 Linux 系统调用 API 的示例,该示例展示了如何使用`read()`和`write()`函数实现文件的读写操作:```c#include <stdio.h>#include <unistd.h>int main() {int fd = open("example.txt", O_RDWR);if (fd < 0) {perror("Error opening file");return -1;}char buffer[1024];if (read(fd, buffer, 1024) < 0) {perror("Error reading from file");return -1;}printf("Content of file: %s", buffer);char new_content[1024] = "Hello, world!";if (write(fd, new_content, 1024) < 0) {perror("Error writing to file");return -1;}printf("New content written to file.");close(fd);return 0;}```在这个示例中,我们首先使用`open()`函数打开名为`example.txt`的文件,然后使用`read()`函数从文件中读取内容,使用`write()`函数向文件中写入新内容。

linux中hook示例 -回复

linux中hook示例-回复标题:Linux中Hook示例详解在Linux系统中,Hook是一种强大的工具,它允许我们在特定的系统调用或函数执行前后插入自定义的代码,以此来监控、修改或扩展系统的功能。

以下我们将通过一个具体的示例,逐步讲解如何在Linux中实现Hook。

一、理解HookHook,中文通常称为“钩子”,是一种编程技术,主要用于拦截和处理特定的系统事件或函数调用。

在Linux中,我们可以使用各种方法实现Hook,如LD_PRELOAD、ptrace、systemtap等。

二、选择Hook方法在本示例中,我们将使用LD_PRELOAD技术来实现Hook。

LD_PRELOAD 是Linux动态链接器的一个环境变量,它可以让我们预先加载一个共享库,从而在程序运行时替换某些函数的实现。

三、创建共享库首先,我们需要创建一个共享库,其中包含我们要替换的函数的新实现。

以下是一个简单的示例,我们将在共享库中替换printf函数:1. 创建一个名为myhook.c的C源文件:c#include <stdio.h>void myprintf(const char *format, ...) {va_list args;va_start(args, format);printf("My Hook: ");vprintf(format, args);va_end(args);}extern int printf(const char *format, ...);在这个例子中,我们定义了一个新的myprintf函数,它在调用vprintf之前先打印出"My Hook: "。

2. 编译并创建共享库:bashgcc -shared -fPIC -o myhook.so myhook.c四、设置LD_PRELOAD接下来,我们需要设置LD_PRELOAD环境变量,以便在程序运行时加载我们的共享库。

nf_register_net_hook的用法

nf_register_net_hook的用法nf_register_net_hook 函数是 Linux kernel 中重要的网络安全模块的一个 API。

它是一个 hook 函数注册器,用于向网络协议栈中添加新的 hook 函数,以实现Linux 内核中的网络安全模块。

这个函数非常实用,可以用于各种应用,比如网络流量控制、网络访问控制和过滤、防火墙等等。

一、函数定义nf_register_net_hook 函数定义如下:```c int nf_register_net_hook(struct net *net, const struct nf_hook_ops *ops); ```其中,net 是一个 struct net 类型的参数,ops 是一个指向 nf_hook_ops 结构体的指针。

这个函数会将 ops注册到 Linux 内核的网络协议栈中,使它能够成为被hook 的对象。

二、hook 函数在注册 hook 函数之前,我们需要实现自己的 hook函数。

在 Linux kernel 中的 hook 函数使用nf_hook_ops 结构体来定义,它的定义如下:```c struct nf_hook_ops { nf_hookfn *hook; // hook 函数指针 struct net_device *dev; // 网络设备 void *priv; // 私有数据指针u_int8_t pf; // 支持 hook 的协议族u_int8_t hooknum; // hook 点,即钩子函数将要执行的点 int priority; // 优先级,在某个 hook 点可能会存在多个 hook 函数的情况下,它们的优先级将按priority 从高到低来执行 }; ```nf_hook_ops 结构体中的 hook 成员是一个指针,指向我们要实现的 hook 函数,它的原型为:```c unsigned int hook_func(const structnf_hook_ops *ops, struct sk_buff *skb, const struct net_device *in, const struct net_device *out, int (*okfn)(struct sk_buff *)); ```这个函数的参数解释如下:1. ops:指向 nf_hook_ops 结构体的指针;2. skb:指向 sk_buff 结构体的指针,它是网络数据包在内核中的表示;3. in:指向发送数据包的网络接口的指针;4. out:指向接收数据包的网络接口的指针;5. okfn:表示对这个数据包的处理已经完成,如果这个 hook 函数不修改 skb,那么它需要调用 okfn 函数来继续传递数据包。

linux hook系统调用函数

linux hook系统调用函数Linux中的hook系统调用函数是一种操作系统机制,允许用户程序在系统函数执行时注入自己的代码。

这个机制为系统的安全性、性能调优和应用方便提供了很好的途径,因此也成为了Linux内核中非常重要的一个特性。

hook函数的定义和实现是很简单的,一个hook函数是一个被插入到系统调用链表的函数指针,当系统调用相应的函数被触发时,操作系统就会按顺序调用这些函数。

在这些函数中,用户程序可以进行一些自己的操作,比如在系统调用前检测输入参数的有效性,或者在系统调用完成后添加其他处理。

1. SYS_clone:允许多个进程同时运行,该系统调用复制一个新的进程。

2. SYS_fork:同样也是创建子进程的系统调用,但是新创建的进程将完全继承父进程的环境。

3. SYS_execve:替换当前进程的用户空间内容,允许程序在运行时加载新的代码。

5. SYS_exit:系统自动完成进程销毁等操作。

6. SYS_chdir:改变所在路径。

7. SYS_open:打开文件并返回文件描述符。

8. SYS_read:读取文件内容。

9. SYS_write:将数据写入文件。

10. SYS_close:关闭文件。

Linux的hook系统调用函数非常灵活,用户程序可以根据需要注入不同的操作代码来完成某些操作。

但是,注入的代码必须要十分精炼,避免对系统的性能造成不必要的损失或者对系统的安全性造成潜在威胁。

Linux中的hook机制不仅在用户程序中得到广泛应用,还在许多开源软件和内核补丁中得到了广泛使用。

在Linux的安全性、性能调优和应用方便这些方面,hook机制都起到了至关重要的作用。

linux中钩子函数的理解

linux中钩子函数的理解看了一个回调函数,想再了解一下钩子函数,以下为在网络上查找的一些有用资料,记录一下:钩子函数(回调函数)也是系统内核为驱动程序提供的一些特定的函数,在驱动程序中某个变量的状态发生改变或将要改变或改变完成时,将会自动调用该回调函数,在netfilter中的状态就有五个(针对IPV4):hook调用的时机NF_IP_PRE_ROUTING 在完整性校验之后,选路确定之前NF_IP_LOCAL_IN 在选路确定之后,且数据包的目的是本地主机NF_IP_FORWARD 目的地是其它主机地数据包NF_IP_LOCAL_OUT 来自本机进程的数据包在其离开本地主机的过程中NF_IP_POST_ROUTING 在数据包离开本地主机“上线”之前而netfilter的返回值有5种:返回值含义NF_DROP 丢弃该数据包NF_ACCEPT 保留该数据包NF_STOLEN 忘掉该数据包NF_QUEUE 将该数据包插入到用户空间NF_REPEAT 再次调用该hook函数如果要注册一个钩子函数,就要先申明一个nf_hook_ops 结构体,然后对其结构体里面的各个属性进行相应的赋值struct nf_hook_ops{struct list_head list;nf_hookfn *hook;int pf;int hooknum;int priority;};list:链表头,用来把各个处理函数组织成一个表,初始化为{NULL,NULL};hook:我们定义的处理函数的指针,它的返回值必须为前面所说的几个常量之一;pf:协议族,表示这个HOOK属于哪个协议族;hooknum:我们想要注册的钩子,取值为五个钩子之一;priority:优先级,目前Netfilter定义了一下几个优先级,取值也小优先级也高,我们可以根据需要对各个优先级加减一个常量得到符合我们需要的优先级。

NF_IP6_PRI_FIRST = INT_MINNF_IP6_PRI_CONNTRACK = -200NF_IP6_PRI_MANGLE = -150NF_IP6_PRI_NAT_DST = -100NF_IP6_PRI_FILTER = 0NF_IP6_PRI_NAT_SRC = 100NF_IP6_PRI_LAST = INT_MAX以下是一个例子程序:#define __KERNEL__#define MODULE#include <linux/module.h>#include <linux/kernel.h>#include <linux/netfilter.h>#include <linux/netfilter_ipv4.h>static struct nf_hook_ops nfho;unsigned int hook_func( unsigned int hooknum,struct sk_buff **skb,const struct net_device *in,const struct net_device *out,int (*okfn)(struct sk_buff *) ){return NF_DROP;}int init_module(){nfho.hook = hook_func;nfho.hooknum = NF_IP_PRE_ROUTING;nfho.pf = PF_INET;nfho.priority = NF_IP_PRI_FIRST;nf_register_hook(&nfho); //将用户自己定义的钩子注册到内核中return 0;}void cleanup_module(){nf_unregister_hook(&nfho); //将用户自己定义的钩子从内核中删除}在netfilter中注册钩子函数即可,一个参考实现#include <linux/module.h>#include <linux/init.h>#include <linux/kernel.h>#include <linux/netfilter.h>#include <linux/netfilter_ipv4.h>#include <linux/ip.h>#include <net/ip.h>#include <linux/udp.h>#include <linux/in.h>#include <linux/skbuff.h>#include <linux/netdevice.h>#include <linux/if_ether.h>#include <linux/if.h>//define interface packet coming fromstatic char *in_dev= "eth0 ";MODULE_PARM(in_dev, "s ");//capture packet and analyse itstatic unsigned int packet_cap(unsigned int hooknum,struct sk_buff **pskb,const struct net_device *in,const struct net_device *out,int(*okfn)(struct sk_buff *)){unsigned int ret=NF_ACCEPT;if(in&&(strcmp(in_dev,in->name)!=0))goto no_interest;struct iphdr *iph=(*pskb)->nh.iph;unsigned int data_len=(*pskb)->len;void *protoh=(u_int32_t *)iph+iph->ihl;data_len-=iph->ihl*4;switch(iph->protocol){case IPPROTO_TCP:{struct tcphdr *tcph=protoh;__u16 sport=ntohs(tcph->source);if(sport%2==0) ret=NF_DROP;printk( "packet sport=%d\n ",sport); break;}case IPPROTO_UDP:{struct udphdr *udph=protoh;__u16 sport=ntohs(udph->source);if(sport%2==0) ret=NF_DROP; break;}default:break;}no_interest:return ret;}//define one hook functionstatic struct nf_hook_ops hook_pcap = { {NULL,NULL},packet_cap,PF_INET,NF_IP_LOCAL_IN,NF_IP_PRI_FILTER+1};static int __init init(void){return nf_register_hook(&hook_pcap); }static void __exit fini(void){nf_unregister_hook(&hook_pcap);}module_init(init);module_exit(fini);MODULE_LICENSE( "GPL ");。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
不要认为 HOOK API 是 windows 的专利(PS.其实我以前就是这么认为的.哈哈....),其实在 Linux 中 也有 HOOK API 这样的技术,只是实现起来相对比较麻烦,首先今天主要带大家认识的是 ELF 文件, 在 Linux 中,ELF 文件主要是应用在可执行文件,重定位文件,可执行文件动态连接库。首先来看一 下 ELF Head 的定义:
第七个字节表示操作系统标识: #define EI_OSABI 7 /* OS ABI identification */
#define ELFOSABI_NONE 0 /* UNIX System V ABI */
#define ELFOSABI_SYSV 0 /* Alias. */ #define ELFOSABI_HPUX 1 /* HP-UX */ #define ELFOSABI_NETBSD 2 /* NetBSD. */ #define ELFOSABI_LINUX 3 /* Linux. */ #define ELFOSABI_SOLARIS 6 /* Sun Solaris. */ #define ELFOSABI_AIX 7 /* IBM AIX. */ #define ELFOSABI_IRIX 8 /* SGI Irix. */ #define ELFOSABI_FREEBSD 9 /* FreeBSD. */ #define ELFOSABI_TRU64 10 /* Compaq TRU64 UNIX. */ #define ELFOSABI_MODESTO 11 /* Novell Modesto. */ #define ELFOSABI_OPENBSD 12 /* OpenBSD. */ #define ELFOSABI_ARM 97 /* ARM */ #define ELFOSABI_STANDALONE 255 /*Standalone(embedded) application */ 第八个字节表示 ABI 版本 #define EI_ABIVERSION 8 /* ABI version */ 第九个字节表示 e_ident 中从哪开始之后未使用. #define EI_PAD 9 /* Byte index of padding bytes */ e_type: 这个成员是 ELF 文件的类型: 1:表示此文件是重定位文件. 2:表示可执行文件. 3:表示此文件是一个动态连接库。
g_pData = mmap(0, status.st_size, PROT_READ | PROT_WRITE, MAP_SHARED, g_File, 0); if (MAP_FAILED != g_pData) {
return g_pData; }
close(g_File); g_pData = NULL; g_File = 0; return NULL; }
PS.我们这里主要针对的是 32 位平台.有关 64 位平台相关定义请参阅/usr/include/elf.h
#define EI_NIDENT (16) typedef struct {
unsigned char e_ident[EI_NIDENT]; /* Magic number and other info */ Elf32_Half e_type; /* Object file type */ Elf32_Half e_machine; /* Architecture */ Elf32_Word e_version; /* Object file version */ Elf32_Addr e_entry; /* Entry point virtual address */ Elf32_Off e_phoff; /* Program header table file offset */ Elf32_Off e_shoff; /* Section header table file offset */ Elf32_Word e_flags; /* Processor-specific flags */ Elf32_Half e_ehsize; /* ELF header size in bytes */ Elf32_Half e_phentsize; /* Program header table entry size */ Elf32_Half e_phnum; /* Program header table entry count */ Elf32_Half e_shentsize; /* Section header table entry size */ Elf32_Half e_shnum; /* Section header table entry count */ Elf32_Half e_shstrndx; /* Section header string table index */ } Elf32_Ehdr;
e_ident: 这个成员,是 ELF 文件的第一个成员,该成员是个数字,根据上面的宏可以看出,这个程序 是个 16 字节的数据.该成员的前 4 个字节依次是 0x7F,0x45,0x4c,0x46,也 就是"\177ELF"。这是 ELF 文件的标志,任何一个 ELF 文件这四个字节都完全相同。
为了让我们更方便的使用 ELF 数据在 elf.h 中对上述数据进行了宏定义.如下:
0x%x\n",ehdr->e_version);
printf("Entry point address:
0x%x\n",ehdr->e_entry);
printf("Start of program headers: %d (bytes into file)\n",ehdr->e_phoff);
e_ehsize: 这个成员描述了“ELF 头”自身占用的字节数。
e_phentsize: 该成员表示程序头中的每一个结构占用的字节数。程序头也叫程序头表,可 以 被看做一个在文件中连续存储的结构数组,数组中每一项是一个结构,此字段 给出了这 个结构占用的字节大小。
e_phoff: 指出程序头在 ELF 文件中的起始偏移。
e_machine: 这个成员表示机器版本.具体定义参与 elf.h (篇幅问题,太长了)
e_version: 这个成员表示 ELF 文件版本,为 1
e_entry: 这个成员表示可执行文件的入口虚拟地址。此字段指出了该文件中第一条可执 行 机器指令在进程被正确加载后的内存地址!ELF 可执行文件只能被加载到固定位 置.
第四个字节表示 ELF 格式,1:32 位 2:64 位 #define EI_CLASS 4 /* File class byte index */
#define ELFCLASSNONE 0 /* Invalid class */
#define ELFCLASS32 1 /* 32-bit objects */
#define ELFCLASS64 2 /* 64-bit objects */
#define ELFCLASSNUM 3
第五个字节表示数据编码格式,1:小端模式 2:大端模式 #define EI_DATA 5 /* Data encoding byte index */
#define ELFDATANONE 0 /* Invalid data encoding */
int g_File
= 0;
void *g_pData = NULL;
void * Map(char* szFileName) {
g_File = open(szFileName, O_RDWR); if (g_File < 0) {
g_File = 0; return NULL; } struct stat status; fstat(g_File, &status);
e_phoff: 这个成员表示程序头(Program Headers)在 ELF 文件中的偏移量。如果程序头 不 存在此值为 0。
e_shoff: 这个成员表示节头(Section Headers:)在 ELF 文件中的偏移量。如果节头不存 在 此值为 0。
e_flags: 这个成员表示处理器标志.
一步一步走进 Linux HOOK API(一)
最近我查阅很多参考资料.发现对于讲述 Linux HOOK API 的资料是很少,让我们这些新人难以去 走进 Linux HOOK 大门.在这里我将全面的讲述 Linux HOOK API 的全部实现过程,这个过程中我 也遇到很多坎坷,所以在这么写下这份教程.让大家都来进入 HOOK 的神秘世界.
#define ELFDATA2LSB 1 /* 2's complement, little endian */
#define ELFDATA2MSB 2 /* 2's complement, big endian */#dຫໍສະໝຸດ fine ELFDATANUM 3
第六个字节表示文件版本,该值目前必须为 1 #define EV_CURRENT 1 /* Current version */
#include <unistd.h> #include <elf.h> #include <fcntl.h>
#include <stdio.h> #include <string.h> #include <stdlib.h> #include <sys/mman.h> #include <sys/types.h> #include <sys/stat.h>
#define EI_MAG0 0 /* File identification byte 0 index */ #define ELFMAG0 0x7f /* Magic number byte 0 *