hookingsharedelflibs

Transcript

1. Hooking shared ELF libraries @kubo39

2. はなすこと • なにをする方法のはなしか • 動作原理(大雑把に) • ELFの解説はほとんどしない • 応用例

3. なんの話？ • 共有ライブラリを改竄して関数の処理をすげかえる • ELFの構造をもとに手を入れてやることによって実 現

4. ELF is 何？ • Linuxなどの実行ファイルフォーマット • はやい話、a.outの(現在の)内部形式 • gcc/ldとかがはく a.out

   とかをreadelfとかで読んで みるとなんとなくわかる • プログラムの実行に必要な情報が入ってる

5. 例) ELFヘッダ • 全ての ELF ファイルは ELF ヘッダという構造体か らはじまる •

   ELFヘッダはファイルの中身に関するいろいろな情 報が格納 • セクションヘッダ表とかプログラムヘッダ表とか

6. ELFヘッダ • ~$ readelf -h ~/dev/kubo39/bossan/lib/bossan/bossan_ext.so • ELF ヘッダ: •

   マジック: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 • クラス: ELF64 • データ: 2 の補数、リトルエンディアン • バージョン: 1 (current) • OS/ABI: UNIX - System V • ABI バージョン: 0 • 型: DYN (共有オブジェクトファイル) • マシン: Advanced Micro Devices X86-64 • バージョン: 0x1 • エントリポイントアドレス: 0x3a70 • プログラムの開始ヘッダ: 64 (バイト) • セクションヘッダ始点: 439784 (バイト) • フラグ: 0x0 • このヘッダのサイズ: 64 (バイト) • プログラムヘッダサイズ: 56 (バイト) • プログラムヘッダ数: 7 • セクションヘッダ: 64 (バイト) • セクションヘッダサイズ: 37 • セクションヘッダ文字列表索引: 34

7. 本題 • 共有ライブラリの関数をさしかえるには、再配置す るシンボル(参照)の場所が必要

8. 再配置(relocation) • コンパイラは普通0番地を開始アドレスとして共有 ライブラリを生成 • それだと実行時に呼び出すときに都合が悪いので 再配置を行う必要がある

9. .dynsym • Import/exportされるdynamic-link 関数の情報を格 納するテーブル • 置き換える関数名から.dynsymテーブル内のイン デックスを取得(再配置情報から)

10. • readelf -s xxx.so • 番号: 値 サイズ タイプ Bind

    Vis 索引名 • 0: 0000000000000000 0 NOTYPE LOCAL DEFAULT UND • 1: 0000000000003308 0 SECTION LOCAL DEFAULT 9 • 2: 0000000000000000 0 OBJECT GLOBAL DEFAULT UND __timezone@GLIBC_2.2.5 (2) • 3: 0000000000000000 0 NOTYPE GLOBAL DEFAULT UND ruby_snprintf • 4: 0000000000000000 0 FUNC GLOBAL DEFAULT UND free@GLIBC_2.2.5 (2) • 5: 0000000000000000 0 NOTYPE GLOBAL DEFAULT UND rb_eTypeError • 6: 0000000000000000 0 FUNC GLOBAL DEFAULT UND strcasecmp@GLIBC_2.2.5 (2) • 7: 0000000000000000 0 FUNC GLOBAL DEFAULT UND localtime@GLIBC_2.2.5 (2) • 8: 0000000000000000 0 NOTYPE GLOBAL DEFAULT UND rb_raise • 9: 0000000000000000 0 FUNC GLOBAL DEFAULT UND __errno_location@GLIBC_2.2.5 (3) • 10: 0000000000000000 0 FUNC GLOBAL DEFAULT UND unlink@GLIBC_2.2.5 (2) • 11: 0000000000000000 0 NOTYPE WEAK DEFAULT UND _ITM_deregisterTMCloneTab • 12: 0000000000000000 0 FUNC GLOBAL DEFAULT UND writev@GLIBC_2.2.5 (2) • 13: 0000000000000000 0 FUNC GLOBAL DEFAULT UND islower@GLIBC_2.2.5 (2) • 14: 0000000000000000 0 FUNC GLOBAL DEFAULT UND toupper@GLIBC_2.2.5 (2) • 15: 0000000000000000 0 FUNC GLOBAL DEFAULT UND puts@GLIBC_2.2.5 (2) • 16: 0000000000000000 0 NOTYPE GLOBAL DEFAULT UND rb_cObject • 17: 0000000000000000 0 FUNC GLOBAL DEFAULT UND sigaction@GLIBC_2.2.5 (3) • 18: 0000000000000000 0 FUNC GLOBAL DEFAULT UND setsockopt@GLIBC_2.2.5 (2) • 19: 0000000000000000 0 NOTYPE GLOBAL DEFAULT UND rb_require • 20: 0000000000000000 0 FUNC GLOBAL DEFAULT UND fcntl@GLIBC_2.2.5 (3) • 21: 0000000000000000 0 NOTYPE GLOBAL DEFAULT UND rb_enc_str_new •

11. .rela.plt/.rela.dyn • 再配置情報を格納してるテーブル • .dynsymから取得したインデックスをもとに場所を 特定、アドレスをかきかえる • offsetの値自体もテーブルがもってる - 共有ライブラリの先頭から相対アドレス計算

12. 内実 • 実際はテーブル情報から取得したoffset計算をもと にした相対アドレス計算と単純な参照先アドレスの 書き換えだけ

13. 応用 • ブロッキングI/Oな共有ライブラリをノンブロッキング I/Oな処理にすげかえたり(libmysqlclientとか) • libc/libc++の再実装(printfとか) • ｌinux-vdsoの再実装(gettimeofdayとか)

14. 資料 • http://www.codeproject.com/Articles/70302/Redir ecting-functions-in-shared-ELF-libraries • http://www.slideshare.net/hongqn/dae-2902495 2 • https://github.com/shoumikhin/ELF-Hook •

    https://github.com/douban/greenify