当前快讯:一种inlineHook检测方案

(相关资料图)

定义

inlinehook是修改内存中的机器码来实现hook的方式

我们用frida查看一个函数hook之前和hook之后的机器码，这里以open函数为例：

let bytes_count = 32let address = Module.getExportByName("libc.so","open")let before = ptr(address)console.log("")console.log("[*] before hook: ")console.log(hexdump(before, {    offset: 0,    length: bytes_count,    header: true,    ansi: true  }));let isOutput = falseInterceptor.attach(address, {onEnter:function(args){        if(isOutput) return;let after = ptr(address)        console.log("")console.log("[*] after hook: ")        console.log(hexdump(after, {            offset: 0,            length: bytes_count,            header: true,            ansi: true        }))        isOutput = true},onLeave:function(retv){}});

hook之前：

hook之后：

可见，hook之后，函数开头的字节被修改了

思考

inlinehook只修改了内存中的机器码，而内存中的机器码是从文件加载而来的，所以我们可以将函数在内存中字节和本地对应的字节进行比较，如果不一致，那么可以认为内存中的字节被修改了，即被inlinehook了。

实现

#ifdef __LP64__    const char *lib_path = "/system/lib64/libc.so";#else    const char *lib_path = "/system/lib/libc.so";#endif#define CMP_COUNT 8    const char *sym_name = "open";    struct local_dlfcn_handle *handle = static_cast(local_dlopen(lib_path));    off_t offset = local_dlsym(handle,sym_name);    FILE *fp = fopen(lib_path,"rb");    char file_bytes[CMP_COUNT] = {0};    if(fp != NULL){        fseek(fp,offset,SEEK_SET);        fread(file_bytes,1,CMP_COUNT,fp);        fclose(fp);    }    void *dl_handle = dlopen(lib_path,RTLD_NOW);    void *sym = dlsym(dl_handle,sym_name);    int is_hook = memcmp(file_bytes,sym,CMP_COUNT) != 0;    local_dlclose(handle);    dlclose(dl_handle);    char text[128] = {0};    snprintf(text,128,"Function \"%s\" is Hook: %s",sym_name,is_hook ? "true" : "false");

这里local_开头的函数是读取本地符号偏移库，库代码：https://github.com/luoyesiqiu/local_dlfcn

用frida hook测试demo:frida-trace -U -i "open" -f com.luoye.localdlfcn

关键词： 从文件加载

• 

  当前快讯:一种inlineHook检测方案

  inlinehook是修改内存中的机器码来实现hook的方式

  来源： 2023-01-07
• 

  今日快讯：拖死锤子 罗永浩回应遭郑刚炮轰获圈内人士力挺：喜欢乱搞小三关系

  拖死锤子罗永浩回应遭郑刚炮轰获圈内人士力挺：喜欢乱搞小三关系

  来源： 2023-01-07
• 

  国产屏真香！苹果也喜欢：iPhone 15/15 Plus要用京东方屏

  国产屏真香！苹果也喜欢：iPhone15 15Plus要用京东方屏

  来源： 2023-01-07
• 

  一加11砍掉8GB丐版！员工：一加用户都喜欢大内存版本

  一加11砍掉8GB丐版！员工：一加用户都喜欢大内存版本

  来源： 2023-01-07

• 当前快讯:一种inlineHook检测方案

• 今日快讯：拖死锤子 罗永浩回应遭郑刚炮轰获圈内人士力挺：喜欢乱搞小三关系

• 国产屏真香！苹果也喜欢：iPhone 15/15 Plus要用京东方屏

• 一加11砍掉8GB丐版！员工：一加用户都喜欢大内存版本

• HTML超文本标记语言1

• 环球快资讯丨复刻iPhone 14 Pro！乐视手机S1 Pro入网：搭载国产芯 这真不卡

• 世界速读：Mini LED屏加入高端笔记本阵营！硬刚OLED

• 环球观焦点：NOI2003 文本编辑器 题解

• 世界热讯:特斯拉股东要求董事会做好接班准备：以防失去马斯克

• 全球观察：投资人郑刚炮轰罗永浩拖死了锤子 罗永浩回应：严重失实

• 能流畅用4年不卡的骁龙8系手机来了！一加11下周首销：3999元

• 热讯：老雷筹拍《角斗士2》

• 靳东宋佳主演电视剧《纵有疾风起》热播：moto razr折叠屏抢镜

• 即时：普及150W秒充 真我GT Neo3手机12GB大内存版直降600元

• 天天速看：女子表白领导被拒后每天在公司摸鱼 还免被裁引热议：网友吐槽道德绑架

• [Docker]使用Docker开启一个MariaDB服务并在宿主机里访问服务

• 当前速读：小鹏P7喜提开年首次OTA：新增“神仙级”NGP车道定位功能

• 极其反常！欧洲多国冬天像夏天：多处滑雪胜地闹雪荒

• 专业鼻腔护理 海元素生理性盐水鼻腔喷雾器60ml 12.23元包邮

• 特斯拉再降价！Model3创历史新低：你还等“Model 2”吗？

• 专家建议不要生吃可生食鸡蛋：有健康风险

• 全球微资讯！以小见大：由低代码的发展，窥企业数智化转型之路

• 关注：阿凡达2回本！卡梅隆确认拍续集：剧透《阿凡达3/4/5》剧情/进度

• 【天天报资讯】e平台3.0首车 比亚迪海豚12月热销2.6万：本田飞度彻底被打趴

• 最新消息：投资人郑刚炮轰罗永浩：拖死锤子、不懂感恩，将联合发起回购

• 宝岛眼镜旗舰店抄底：镜框+防蓝光近视镜片99元包邮

• 开五天 一天降一万老车主泪奔维权！特斯拉国产车降价为冲量 拒绝补偿

• 当前快讯:全球变暖加剧：专家称本世纪末全球三分之二冰川或消失

• 全球简讯:21岁网红庄慕卿车祸身亡 逆向行驶还翘头致两车相撞4人遇难：网友称禁止摩托车

• 环球微速讯：Codeforces Round #842 (Div. 2) A-E

• 焦点速读：使用KVM创建OEL虚拟机

• 别只用来发电了 太阳能制氢突破！10倍效率 成本还更低

• 全球即时看！全球首个全功能无线底座问世：干掉线缆 满足4K/60Hz带宽

• 今头条！豆瓣9.6分 《中国奇谭》凭什么让国漫再次封神？

• 全球要闻：Intel Arc A750显卡深入测试：性能RTX 3060、功耗RTX 3070

• 今日快讯：内网渗透-PTH&PTK&PTT哈希票据传递

• 天天微速讯：官方批准ARJ21国产客机改货机！最大运力10吨

• 天天微资讯！3.2K/165hz屏！联想第四代ThinkBook 16P发布： 配独特触点接口

• 每日速讯：汤姆·汉克斯谈好莱坞裙带关系：本就是家族产业

• 【天天播资讯】雷蛇灵刃18游戏本发布：18寸240Hz大屏、RTX 4090显卡替代台式机

• 特斯拉再降价 Model 3创历史新低！老车主亏哭了 山顶买车血亏6万

• 耗资两亿的《三体》 在《中国奇谭》面前毫无价值

• 内网信息收集

• 今日观点!day03-模块化编程

• 今日最新！vue中$children的理解

• 每日焦点！TCL华星展示最新带鱼屏模组：暗处无限接近0nit

• 天天热议:矿卡的阴影已经过去了 板卡一哥华硕率先表态：显卡库存已正常

• 全球观速讯丨遇到查酒驾猛打方向盘 结果巧了：直接一步到位

• 全球快资讯：无视油车 特斯拉Model Y成英国12月最畅销汽车

• 世界播报:售价超2万元！世界首款真无线电视现身CES：电池供电不插线

• 记录--微信调用jssdk全流程详解

• 最新：LaTeX 进阶语法

• 世界观热点：国人不再迷信日本车 日产2022年累计销量105万：同比暴跌超1/5

• 当前热讯：又见白菜价 梅捷2TB SSD硬盘到手554元（每GB不到3毛）

• HTC Vive XR眼镜发布：双2K屏、配有可拆卸电池

• 最资讯丨四川一地再现土坑酸菜 工人用脚踩 网友无奈：眼不见为净

• 每日视讯：Redmi K60/K60 Pro对比拆解：做工用料良心！性价比刚刚的

• 【吐槽贴】项目经理的进阶日常：项目要收尾了，我却慌了

• 当前滚动:三亚民宿老板称一个月赚回三年亏损：20万一晚酒店已售罄

• 焦点关注：谁说微星不做AMD显卡了！RX 7900终于亮相 只是有点敷衍

• 天天快播：红魔8 Pro系列即将再次开卖：3999元起 首销曾被抢购一空

• 云南发现2.44亿年前“奇异罗平龙”化石：身长超半米 像蜥蜴

• 马化腾服不服？李彦宏：百度研发强度、投入国内最牛 比腾讯高

• 通讯！Git管理版本详细教程

• 世界快播：手工实现一个ORM小框架

• 【天天播资讯】AIRIOT答疑第5期|如何使用低代码业务流引擎？

• 亲测有效！ Bypass V1.15.5 12306分流抢票助手 for Windows

• 每日视讯：比亚迪仰望：那年我翻山跨海 横扫车圈无对手

• 信息：联想Yoga Book 9i双屏笔记本发布：两块13寸2.8K触摸屏

• 当前视讯！AMD锐龙7000智酷版上架！6核不过1549元 可能有惊喜

• 天天观焦点：女子吐槽智能电视会员乱象：看什么都收费

• 环球速递！国产秀肌肉！全球首款8K激光电视来了：海信打造、画质细数毛

• 【世界快播报】保存用户登录状态之Session和JWT

• 【世界热闻】three.js场景地形导出到物理引擎

• 网站变更检测、监控、警报丨WebSite-Watcher功能简介

• 基于Python的K-Means遥感影像聚类

• 苹果iOS app上架流程

• 世界观察：《阿凡达2》接招！国产科幻大片走出国门 《流浪地球2》将在澳新上映

• 消息！特斯拉国产车型大幅降价 副总裁陶琳回应：坚持以成本定价

• Win11 2023开年更新Build 25272发布：干掉中文版大BUG！更加流畅稳定

• 特斯拉降价 网友翻出蔚来李斌2年前视频：价格稳定是对用户负责

• 天天新消息丨智能电视视频会员一充再充！体验太差了

• 全球即时：gget: 一款强大的基因组参考数据库的高效查询工具

• 学习笔记——过滤器链；监听器；Servlet、Filter、Listener的注解方式开发

• Model 3要破20万节奏！特斯拉国产车型大幅降价 老车主晒图被割韭菜

• redhat 9.1 安装docker

• 天天通讯！nginx: [error] CreateFile() “D:\nginx1.20.1/logs/nginx.pid“ failed (2: The

• 学习笔记——过滤器的匹配规则

• 国产特斯拉大幅降价被业内看好 带火供应链：大批概念股飞涨

• 【天天播资讯】特斯拉 2023第一个交易日：市值缩水一个推特

• 天天播报:CDPR赔偿1267万！《赛博朋克2077》集体诉讼案终于告一段落

• 当前热点-汽车博主为小米汽车打抱不平：部分媒体只会道听途说

• 北斗授时产品（GPS北斗授时设备）加NTP时间服务器设计思路

• 世界最资讯丨学习笔记——过滤器、过滤器的HelloWord、过滤器生命周期

• 【全球新要闻】A. Greatest Convex【Codeforces Round #842 (Div. 2)】

• 【天天速看料】如何安全的保存用户密码

• 焦点热讯:灵雀云入选2022 EDGE AWARDS「创新场景50」年度最佳场景实践榜单

• 全球播报:联想ThinkPhone真机亮相：经典ThinkPad涂装抢眼

• 【世界独家】恒驰5首次OTA升级来了！低温续航性能提升

• 当前消息！超越日本！印度成全球第三大汽车市场 平均千人36辆