devbox
我家自动化
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

Linux HOOK机制与Netfilter HOOK_linux钩子

作者:我家自动化 | 2024-07-24 22:38:29

linux钩子

一. 什么是HOOK(钩子)

        在计算机中基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流。

二. Linux常见HOOK方式

1、修改函数指针。

2、用户态动态库拦截

        利用环境变量LD_PRELOAD和预装载机制进行HOOK;
        利用函数ptrace可实现对已运行的程序进行HOOK

3、内核态系统调用拦截

        通过修改全局系统调用表sys_ call _table,对系统调用进行劫持;

4、堆栈式文件系统拦截。

5、LSM(Linux Security Modules)

        Linux安全模块(Linux Secrity Module,简称LSM一种轻量级通用访问控制框架适合于多种访问控制模型它上面以内核可加载模块的形实现。用户可以根据自己的需求选择合适的安全模块加载到内核上实现

6、Netfilter HOOK   

三. Netfilter HOOK

NetfilterLinux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能

Netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理

Iptables是一个工具,可以用来在Netfilter中增加、修改、删除数据包处理规则Netfilter IP 协议栈是无缝契合的,是一种免费的软件防火墙。

1. Nefilter在linux内核中的位置

2. 四表五链

Netfilter中有三个主要的概念:规则、表、链,等级依次递增。

  • 规则是对特定报文的处理说明,包括匹配字段和action
  • 链是一组规则的集合。
  • 表是链中相同功能的规则集合

iptables包括“四表五链”。

  • Filter用于过滤数据包,是iptables的默认表
  • NAT用于对数据包的网络地址转换
  • Mangle用于修改数据包,也用于给数据包添加一些标记,从而便于后续其它模块对数据包进行处理;
  • Raw用于连接跟踪

五个HOOK点(链)分别是:

        PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING

下图更直观的体现了五条链

四. 参考连接

Hook技术--⑥Netfilter_netfilter hook-CSDN博客文章浏览阅读276次。Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是一套融入到linux内核网络协议栈的框架,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构中,在报文流经的关键位置处,基于不同协议(ipv4/ipv6)的hook方式,使用hook列表中对应的钩子函数匹配处理,以实现过滤、修改报文、跟踪等功能;_netfilter hookhttps://blog.csdn.net/m0_53485135/article/details/134136255深入解析Linux内核中的Netfilter:保护你的网络安全icon-default.png?t=N7T8https://zhuanlan.zhihu.com/p/674127640

linux系统下的各种hook方式\Linux内核hook系统调用_linux hook-CSDN博客文章浏览阅读1.1w次,点赞6次,收藏72次。文章目录一、linux系统下的各种hook方式1. 函数指针hook2. 动态库劫持3. Linux系统调用劫持 hook4. 堆栈式文件系统5. LSM二、Linux内核hook系统调用一、linux系统下的各种hook方式在计算机中,基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流,Linux平台上常见的拦截:修改函数指针。用户态动态库拦截。内核态系统调用拦截。堆栈式文件系统拦截。LSM(Linux Security Modules)1. 函数_linux hookhttps://blog.csdn.net/inthat/article/details/119931358

两种linux系统下常见的HOOK方法 - 嵌入式技术 - 电子发烧友网两种linux系统下常见的HOOK方法-Linux提供了一个名为LD_PRELOAD的环境变量。这个环境变量允许用户指定一个或多个共享链接库文件的路径。当程序启动时,动态加载器会在加载C语言运行库之前,首先加载LD_PRELOAD所指定的共享链接库。这种加载方式被称为预装载。icon-default.png?t=N7T8https://www.elecfans.com/emb/202404082662361.html

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/我家自动化/article/detail/877057
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号