淺析一下Linux上對(duì)函數(shù)進(jìn)行hook的兩種方式

更新時(shí)間：2025年06月13日 09:35:44 作者：一線碼農(nóng)

這篇文章主要來(lái)和大家聊一聊如何在 Linux 上對(duì)函數(shù)進(jìn)行hook,這里介紹兩種方式,輕量級(jí)的 LD_PRELOAD 攔截和funchook 攔截,有需要的小伙伴可以了解下

一、背景

1. 講故事

前兩篇我們介紹了 Minhook 在 Windows 平臺(tái)上的強(qiáng)大功效，這一篇我們來(lái)聊一聊如何在 Linux 上對(duì)函數(shù)進(jìn)行hook，這里介紹兩種方式。

1.輕量級(jí)的 LD_PRELOAD 攔截

LD_PRELOAD是一種共享庫(kù)攔截，這種方式的優(yōu)點(diǎn)在于不需要對(duì)源程序做任何修改，達(dá)到無(wú)侵入的功效，這是windows平臺(tái)上不可想象的。

2.funchook 攔截

在 github 有很多可用于 linux 上的函數(shù) hook，我發(fā)現(xiàn)輕量級(jí)的，活躍的，開源的要屬 funchook 吧。

二、兩種攔截方式

1. LD_PRELOAD 如何實(shí)現(xiàn)攔截

要想明白 LD_PRELOAD 如何實(shí)現(xiàn)攔截？需要你對(duì) linux 上的進(jìn)程初始化時(shí)的鏈接器 ld.so 的工作過(guò)程有一個(gè)了解，簡(jiǎn)單來(lái)說(shuō)就是它的加載順序?yàn)?nbsp;主程序的可執(zhí)行文件 -> LD_PRELOAD 指定的庫(kù) -> glibc 標(biāo)準(zhǔn)庫(kù) -> 其他依賴庫(kù) 。

由于 LD_PRELOAD 指定的 so 文件優(yōu)于 glibc.so 解析，所以可以利用這種先入為主的方式覆蓋后續(xù)的同名符號(hào)方法，那 ld.so 長(zhǎng)啥樣呢？在我的ubuntu上就是 ld-linux-x86-64.so.2。

root@ubuntu2404:/data2# cat /proc/5322/maps
60c0f8687000-60c0f8688000 r--p 00000000 08:03 1966089                    /data2/main
60c0f8688000-60c0f8689000 r-xp 00001000 08:03 1966089                    /data2/main
60c0f8689000-60c0f868a000 r--p 00002000 08:03 1966089                    /data2/main
60c0f868a000-60c0f868b000 r--p 00002000 08:03 1966089                    /data2/main
60c0f868b000-60c0f868c000 rw-p 00003000 08:03 1966089                    /data2/main
60c1266de000-60c1266ff000 rw-p 00000000 00:00 0                          [heap]
7efd5c600000-7efd5c628000 r--p 00000000 08:03 2242169                    /usr/lib/x86_64-linux-gnu/libc.so.6
7efd5c628000-7efd5c7b0000 r-xp 00028000 08:03 2242169                    /usr/lib/x86_64-linux-gnu/libc.so.6
7efd5c7b0000-7efd5c7ff000 r--p 001b0000 08:03 2242169                    /usr/lib/x86_64-linux-gnu/libc.so.6
7efd5c7ff000-7efd5c803000 r--p 001fe000 08:03 2242169                    /usr/lib/x86_64-linux-gnu/libc.so.6
7efd5c803000-7efd5c805000 rw-p 00202000 08:03 2242169                    /usr/lib/x86_64-linux-gnu/libc.so.6
7efd5c805000-7efd5c812000 rw-p 00000000 00:00 0 
7efd5c964000-7efd5c967000 rw-p 00000000 00:00 0 
7efd5c977000-7efd5c979000 rw-p 00000000 00:00 0 
7efd5c979000-7efd5c97d000 r--p 00000000 00:00 0                          [vvar]
7efd5c97d000-7efd5c97f000 r-xp 00000000 00:00 0                          [vdso]
7efd5c97f000-7efd5c980000 r--p 00000000 08:03 2242166                    /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2
7efd5c980000-7efd5c9ab000 r-xp 00001000 08:03 2242166                    /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2
7efd5c9ab000-7efd5c9b5000 r--p 0002c000 08:03 2242166                    /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2
7efd5c9b5000-7efd5c9b7000 r--p 00036000 08:03 2242166                    /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2
7efd5c9b7000-7efd5c9b9000 rw-p 00038000 08:03 2242166                    /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2
7ffe03c95000-7ffe03cb6000 rw-p 00000000 00:00 0                          [stack]
ffffffffff600000-ffffffffff601000 --xp 00000000 00:00 0                  [vsyscall]

說(shuō)了這么多，接下來(lái)我們演示下如何對(duì) openat 進(jìn)行攔截，首先定義一個(gè) LD_PRELOAD 需要加載的共享庫(kù)，代碼如下：

#define _GNU_SOURCE
#include <dlfcn.h>
#include <stdio.h>
#include <fcntl.h>
#include <stdarg.h>
#include <unistd.h>
#include <sys/types.h>

static int (*real_openat)(int, const char *, int, ...) = NULL;

int openat(int dirfd, const char *pathname, int flags, ...)
{
    mode_t mode = 0;
    pid_t pid = getpid();
    pid_t tid = gettid();

    printf("hooked openat: PID=%d, TID=%d, path=%s\n", pid, tid, pathname);

    if (!real_openat)
    {
        real_openat = dlsym(RTLD_NEXT, "openat");
    }

    if (flags & O_CREAT)
    {
        return real_openat(dirfd, pathname, flags, mode);
    }
    else
    {
        return real_openat(dirfd, pathname, flags);
    }
}

將上面的 hook_openat.c 做成動(dòng)態(tài)鏈接庫(kù)，其中的 -ldl 表示對(duì)外提供加載該庫(kù)的api，比如(dlopen,dlsym)，參考如下：

root@ubuntu2404:/data2# gcc -shared -fPIC -o libhookopenat.so hook_openat.c -ldl
root@ubuntu2404:/data2# ls -lh
total 24K
-rw-r--r-- 1 root root 688 Jun 12 09:14 hook_openat.c
-rwxr-xr-x 1 root root 16K Jun 12 09:20 libhookopenat.so
-rw-r--r-- 1 root root 782 Jun 12 09:18 main.c

共享庫(kù)搞定之后，接下來(lái)就是寫 C 代碼來(lái)調(diào)用了，這里我們通過(guò) openat 打開文件，然后讓 libhookopenat.so 攔截，參考代碼如下：

#define _GNU_SOURCE
#include <fcntl.h> 
#include <unistd.h> 
#include <stdio.h>  
#include <stdlib.h> 
#include <string.h> 

int main()
{
    // 在當(dāng)前目錄下創(chuàng)建一個(gè)新文件
    int fd = openat(AT_FDCWD, "example.txt", O_WRONLY | O_CREAT | O_TRUNC, 0644);
    if (fd == -1)
    {
        perror("openat failed");
        exit(EXIT_FAILURE);
    }

    // 寫入一些內(nèi)容到文件
    const char *text = "This is a test file created with openat!\n";
    ssize_t bytes_written = write(fd, text, strlen(text));
    if (bytes_written == -1)
    {
        perror("write failed");
        close(fd);
        exit(EXIT_FAILURE);
    }

    // 關(guān)閉文件
    close(fd);
    printf("File created and written successfully! Wrote %zd bytes.\n", bytes_written);

    return 0;
}

root@ubuntu2404:/data2# gcc -o main ./main.c
root@ubuntu2404:/data2# LD_PRELOAD=./libhookopenat.so ./main
hooked openat: PID=4646, TID=4646, path=example.txt
File created and written successfully! Wrote 41 bytes.

從卦中可以清晰的看到 hook 成功！

2. funchook 如何實(shí)現(xiàn)攔截

LD_PRELOAD 這種共享庫(kù)的粒度還是太大，如果粒度再小一點(diǎn)就更加靈活了，比如函數(shù)級(jí)，這就是本節(jié)要介紹到的 funchook，源碼在github上：https://github.com/kubo/funchook ，唯一麻煩一點(diǎn)的就是你需要通過(guò)源碼編譯來(lái)生成對(duì)應(yīng)的頭文件,靜態(tài)鏈接文件,動(dòng)態(tài)鏈接庫(kù) ，參考如下：

root@ubuntu2404:/data4# sudo apt install -y git gcc cmake make
root@ubuntu2404:/data4# git clone https://github.com/kubo/funchook.git
root@ubuntu2404:/data4# cd funchook
root@ubuntu2404:/data4# mkdir build && cd build
root@ubuntu2404:/data4# cmake ..
root@ubuntu2404:/data4# make
root@ubuntu2404:/data4/funchook/build# sudo make install
[ 25%] Built target distorm
[ 42%] Built target funchook-shared
[ 60%] Built target funchook-static
[ 71%] Built target funchook_test
[ 85%] Built target funchook_test_shared
[100%] Built target funchook_test_static
Install the project...
-- Install configuration: ""
-- Installing: /usr/local/include/funchook.h
-- Installing: /usr/local/lib/libfunchook.so.2.0.0
-- Installing: /usr/local/lib/libfunchook.so.2
-- Installing: /usr/local/lib/libfunchook.so
-- Installing: /usr/local/lib/libfunchook.a

root@ubuntu2404:/data4/funchook/build# ldconfig

由于默認(rèn)安裝在了 /usr/local/lib 下，一定要記得用 ldconfig 命令刷新下，否則程序可能找不到新庫(kù)，最后就是 C 的調(diào)用代碼，參考如下：

#define _GNU_SOURCE
#include <stdio.h>
#include <dlfcn.h>
#include <fcntl.h>
#include <unistd.h>
#include <funchook.h>

// 原始函數(shù)指針
static int (*orig_openat)(int dirfd, const char *pathname, int flags, mode_t mode);

// 鉤子函數(shù)
int hooked_openat(int dirfd, const char *pathname, int flags, mode_t mode)
{
    printf("Hooked openat called: path=%s, flags=0x%x\n", pathname, flags);

    // 調(diào)用原始函數(shù)
    return orig_openat(dirfd, pathname, flags, mode);
}

int main()
{
    // 獲取原始 openat 函數(shù)地址
    orig_openat = dlsym(RTLD_NEXT, "openat");
    if (!orig_openat)
    {
        fprintf(stderr, "Failed to find openat: %s\n", dlerror());
        return 1;
    }

    // 創(chuàng)建 funchook 實(shí)例
    funchook_t *funchook = funchook_create();
    if (!funchook)
    {
        perror("funchook_create failed");
        return 1;
    }

    // 準(zhǔn)備 Hook
    int rv = funchook_prepare(funchook, (void **)&orig_openat, hooked_openat);
    if (rv != 0)
    {
        fprintf(stderr, "Prepare failed: %s\n", funchook_error_message(funchook));
        return 1;
    }

    // 安裝 Hook
    rv = funchook_install(funchook, 0);
    if (rv != 0)
    {
        fprintf(stderr, "Install failed: %s\n", funchook_error_message(funchook));
        return 1;
    }

    // 測(cè)試調(diào)用
    printf("=== Testing openat hook ===\n");
    int fd = openat(AT_FDCWD, "/etc/passwd", O_RDONLY);
    if (fd >= 0)
    {
        printf("Successfully opened file, fd=%d\n", fd);
        close(fd);
    }
    else
    {
        perror("openat failed");
    }

    // 清理
    funchook_uninstall(funchook, 0);
    funchook_destroy(funchook);
    return 0;
}

接下來(lái)就是編譯執(zhí)行了。

root@ubuntu2404:/data2# gcc -o main main.c -lfunchook -ldl
root@ubuntu2404:/data2# ./main
=== Testing openat hook ===
Hooked openat called: path=/etc/passwd, flags=0x0
Successfully opened file, fd=3

一切都是美好的，當(dāng)然如果你想可視化的單步調(diào)試，可以配置到 vs 的 tasks.json 中，參考如下:

{
    "tasks": [
        {
            "type": "cppbuild",
            "label": "C/C++: gcc build active file",
            "command": "/usr/bin/gcc",
            "args": [
                "-fdiagnostics-color=always",
                "-g",
                "${file}",
                "-o",
                "${fileDirname}/${fileBasenameNoExtension}",
                "-lfunchook",
                "-L/usr/local/lib"
            ],
            "options": {
                "cwd": "${fileDirname}"
            },
            "problemMatcher": [
                "$gcc"
            ],
            "group": {
                "kind": "build",
                "isDefault": true
            },
            "detail": "Task generated by Debugger."
        }
    ],
    "version": "2.0.0"
}