Структура elf header, Shared Object hook и symbol lookup

gcc, hook, reverse engineering, shared library

0

2

Доброго ВС!

Файл first.c

#include <stdio.h>

void firsh(void)
{
printf("First function...\n");
}

собран _> gcc ./first.c -fPIC -shared -o libfirst.so

main.c

int
main(int argc, char **argv)
{
  firsh();  
}

собран _> gcc maic.c ./libfirst.so

./a.out Выводит First function...

Теперь я изменяю first.c (название функции firsh стало first)

#include <stdio.h>

void first(void)
{
printf("First function...\n");
}

Предварительно переименовав libfirst.so в libfirsh.so, собираю libfirst.so еще раз

Тоесть в директории у меня находятся файлы

libfirst.so 
libfirsh.so 
a.out 
main.c 
first.c

Затем открываю hexEditor и меняю в файле libfirst.so названия first на firsh (их будет 2: symtab и dynsym). Пытаюсь выполнить

#./a.out
./a.out: symbol lookup error: ./a.out: undefined symbol: firsh

Ок смотрим, чем отличаются libfirst.so и libfirsh.so: 1) ID сборки по адресу 0x472 2) 512,514,548 байты

От ID сборки результат выполнения никак не зависит. Методом тыка определяю, что за работоспособность программы отвечают 512 и 548 байты: У меня в libfirsh.so было 0x512=0x8A 0x548=0x81

libfirst.so: 0x512=0x88 0x548=0x8D

После изменения даных байтов в libfirst.so на те, что находятся в libfirsh.so

# ./a.out 
First function...

Вопрос в том, что это такое, как их вычислить, и поправить при подобных манипуляциях.

Ссылка

←	Чем через открытый дескриптор определить физическую потерю устройства на которое он указывает?

Ищу плагин для Gradle/Maven для сборки докера

→

Вопрос в том, что это такое, как их вычислить, и поправить при подобных манипуляциях.

Вероятно кроме изменения имени нужно ещё пересчитать хеш таблицу которая используется для ускорения лукапа. См.

readelf -S libfirst.so | grep hash

anonymous
(07.11.17 19:06:45 MSK)

reverse engineering ... у мамкиных хацкеров не принято документацию читать?

anonymous
(07.11.17 19:23:13 MSK)

Ссылка

К сказанному выше: если нужно перехватить вызов функции между проприетарным экзешником и проприетарной либой в виде so, то в линуксе это можно сделать без танцев с хекс-редактором под бубен. Смотри LD_PRELOAD.

Deleted
(07.11.17 20:51:42 MSK)
Последнее исправление: Deleted 07.11.17 20:52:46 MSK (всего исправлений: 1)

Ответ на: комментарий от Deleted 07.11.17 20:51:42 MSK

Оно у меня уже работает с LD_PRELOAD. Но для полноты картины хотелось бы еще ловить dlsym.

cyber_eagle
(07.11.17 21:53:32 MSK) автор топика

Ответ на: комментарий от cyber_eagle 07.11.17 21:53:32 MSK

Можно попробовать перехватывать и dlsym() тем же способом =).

Deleted
(07.11.17 22:14:41 MSK)
Последнее исправление: Deleted 07.11.17 22:15:15 MSK (всего исправлений: 1)

Ответ на: комментарий от anonymous 07.11.17 19:06:45 MSK

Вот и она:

# echo -n "first" | ./gnu_hash 
val = 0xf704b8d
# echo -n "firsh" | ./gnu_hash 
val = 0xf704b81

Благодарю... мамкин хацкер пошел курить man elf.

cyber_eagle
(07.11.17 22:23:11 MSK) автор топика

Ссылка

Ответ на: комментарий от Deleted 07.11.17 22:14:41 MSK

Дело в том, что при перехвате dlsym таким способом теряется возможность вызова оригинальных функций (dlsym теряется после ее замещения). Поэтому я пытаюсь найти оперативный способ пропатчить dlfcn: изменить имя dlsym, чтобы она осталась доступной для перехватывающей библиотеки.

cyber_eagle
(07.11.17 22:27:15 MSK) автор топика

Ответ на: комментарий от cyber_eagle 07.11.17 22:27:15 MSK

https://github.com/apitrace/apitrace/blob/master/wrappers/dlsym.cpp - вот нагуглилось.

Deleted
(07.11.17 22:51:47 MSK)

Ответ на: комментарий от Deleted 07.11.17 22:51:47 MSK

Очень похоже. На самом деле решений этой задачи немало. На худой конец ptrace никто не запрещал...однако сначала попытаюсь прокатится на своем велосипеде, а дальше... как поедет =)

cyber_eagle
(07.11.17 23:28:28 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Чем через открытый дескриптор определить физическую потерю устройства на которое он указывает?

Development

Ищу плагин для Gradle/Maven для сборки докера

→

Похожие темы