1.eBPF 程序编写 - libbpf
2.神奇的Linux技术:BPF
3.TerminateProcess HOOK
eBPF 程序编写 - libbpf
eBPF程序编写通过内核的bpf系统调用加载ebpf二进制,实现对MAP的增删改操作。ebpf源代码使用C语言编译生成bpf字节码。eBPF程序能够访问MAP,调用内核函数,访问内核与用户态内存,防红跳转源码并进行计算与分支控制,但需避免死循环。
eBPF程序在加载后,与内核的特定hook点结合,被动执行,如tracepoint、kprobe、uprobe、cgroup等,提供高效的数据通信机制,如输出数据到perf_buffer或ringbuffer。
eBPF程序还能通过修改hook函数的返回值,实现函数劫持。但此功能仅适用于标有ERR_INJECT的函数。
libbpf作为辅助工具简化bpf编程,朔源码撕用户态与内核态逻辑分离,框架负责通信、加载与卸载bpf程序。它提供丰富的helper函数,并实现CO-RE,确保bpf程序跨内核版本运行。
libbpf通过记录relocation信息于bpf程序的.BTF section,配合clang编译bpf后端增加的builtin函数,实现程序跨内核版本运行。编译后,隐蔽js源码bpf程序以用户态可执行二进制形式存在,内核态程序作为ro数据段嵌入其中,形成独立可部署的文件。
libbpf的CORE方式相较于其他工具集有显著优势,例如bcc-tools工具集合采用libbpf重写。编写eBPF程序时,参照libbpf-bootstrap/examples/c模板,通常需要两个文件:BTF记录数据结构信息,确保程序在不同内核版本上运行的兼容性。
神奇的商业外挂源码Linux技术:BPF
面对编程中的性能瓶颈和系统优化难题,通常受限于对内核的深入理解。然而,有一种神奇的技术BPF(Berkeley Packet Filter和eBPF),为了解决这些问题提供了新的视角。BPF最初作为性能极佳的包过滤器,因工作在内核层面而速度飞快。Alexei Starovoitov在年的贡献使其演变成通用执行引擎,BPF也因此得以广泛应用。
BPF的核心功能是当内核或应用遇到特定事件时,能在不改动内核源码的deepspeed源码解读情况下执行预定义的代码。它像一个内核层面的监听器,能监控系统调用、内核函数、用户函数和网络活动等,具有强大的诊断、优化、安全和监控能力。例如,它能实时检测故障、优化网络性能、拦截非法连接,并通过透视内核分析性能瓶颈。
BPF的工作原理是用户编写BPF指令,由内核解释器在内核态运行,避免数据在用户态和内核态间频繁切换,提高了效率。随着Linux 3.0的JIT即时编译器加入,执行速度进一步提升。通过BPF,我们可以观察和优化TCP网络,甚至获得代码的“上帝视野”,实现深入的系统洞察。
BPF与内核模块相比,有安全性和功能限制的优势,如有限的栈空间和调用限制。开发者通常利用C/C++和BPF工具,如BCC(BPF Compiler Collection)和bpftrace,来编写和加载BPF程序。对于初学者,BCC提供了高级编程环境,而bpftrace则适合编写简单脚本。
在使用BPF时,可能遇到的问题如磁盘空间不足、编译错误等,可以通过调整配置或安装相关库来解决。例如,对于找不到BTF文件的问题,可能需要更新内核配置或安装额外的依赖。通过BPF的学习和实践,程序员可以更好地理解并优化系统的运行,提升代码的性能和安全性。
TerminateProcess HOOK
å¦ä½ä¿è¯èªå·±çç¨åºä¸è¢«å ³éï¼
å°±ç®æ¯ä¸äºè¿ç¨è½¯ä»¶ä¹ä¸å¯ä»¥å ³é
samba æå¬è¿æ人éç¨ç¨åºäºç¸çæ§çæ¹æ³æ¥è¾¾å°ç®çã
ä½è¿æ ·å°±ä¼å ç¨ç³»ç»èµæºãä¸ä¸ªä¸å ä»ä¹æ§ä»¶ç纯çªä½é½è¦3å ç¨MBå åï¼
å¦æå ä¸ææ¬æ¥çé£ä¸ªç¨åºï¼å²ä¸æ¯è¦å å»åå MBå åï¼è¿å¯¹äºæé£ä¸ªå°ç¨åºæ¥è®²ä¸ä¸å¯å¿åçã
请é®æä»ä¹æ¯è¾å¥½çæ¹æ³å¯ä»¥è§£å³ï¼æè¿æ¹é¢çæ§ä»¶åï¼å è°¢è¿å¤§å®¶äºï¼
---------------------------------------------------------------
å¨WINDOWSæä½ç³»ç»ä¸ï¼å½æ们æ æ³ç»ææè ä¸ç¥éææ ·ç»æä¸ä¸ªç¨åºçæ¶åï¼æè æ¯æå¾å»æ¾âéåºâæé®çæ¶åï¼é常ä¼æâCTRL+ALT+DELâå¼åºä»»å¡ç®¡çå¨ï¼æ¾å°æ³ç»æçç¨åºï¼ç¹ä¸ä¸âç»æä»»å¡âå°±äºäºäºï¼åµåµï¼è½ç¶æç¹ç²é²ï¼ä½å¤§å¤æ°æ åµä¸é½å¾ææï¼ä¸æ¯åï¼
设æ³ä¸ä¸ï¼å¦ææè¿ä¹ä¸ç§è½¯ä»¶ï¼å®æè¦åçå·¥ä½å°±æ¯å¯¹æ个使ç¨è å¨æå°çµèä¸çæ´»å¨ä½ä¸å®çéå¶ï¼èåä¸è½è¢«ä½¿ç¨è éè¿âç»æä»»å¡âè¿ç§æ¹å¼è½»æå°è§£é¤éå¶ï¼é£è¯¥æä¹åï¼æ éæè¿ä¹ä¸ç§æ¹æ³ï¼1.å±è½âCTRL+ALT+DELâè¿ä¸ªçé®çç»åï¼2.让ç¨åºä¸åºç°å¨ä»»å¡ç®¡çå¨çå表ä¹ä¸ï¼3.让任å¡ç®¡çå¨æ æ³ææè¿ä¸ªä»»å¡ã对äºç¬¬ä¸ç§æ¹æ³ï¼è¿æ ·æªå ä¹å¤ªæ®é ·äºï¼ç¨æ¯äºâç»æä»»å¡âè¿ç§æ¹æ³ç人ä¼å¾ä¸ä¹ æ¯çï¼å¯¹äºç¬¬äºç§æ¹æ³ï¼å¨WINDOWS 9Xä¸å¯ä»¥å¾è½»æå°ä½¿ç¨æ³¨åæå¡è¿ç¨çæ¹æ³å®ç°ï¼ä½æ¯å¯¹äºWINDOWS NTæ¶æçæä½ç³»ç»æ²¡æè¿ä¸ªæ¹æ³äºï¼è¿ç¨å¾é¾è身ï¼è½ç¶ä»ç¶å¯ä»¥å®ç°éèï¼ä½å®ç°æºå¶è¾ä¸ºå¤æï¼å¯¹äºç¬¬ä¸ç§æ¹æ³ï¼å®ç°èµ·æ¥æ¯è¾ç®åï¼æçä½åï¼IPGate ç½åè¿æ»¤å¨ å°±æ¯éç¨çè¿ç§æ¹å¼é²æçï¼æ¥ä¸æ¥æå°±æ¥ä»ç»è¿ç§æ¹æ³ã
ä»»å¡ç®¡çå¨çâç»æä»»å¡âå®é ä¸å°±æ¯å¼ºå¶ç»æ¢è¿ç¨ï¼å®æ使ç¨çææéæ¯ä¸ä¸ªå«åTerminateProcess()çWin APIå½æ°ï¼æ们æ¥ççå®çå®ä¹ï¼
BOOL TerminateProcess(
HANDLE hProcess; // å°è¢«ç»æè¿ç¨çå¥æ
UINT uExitCode; // æå®è¿ç¨çéåºç
);
çå°è¿éï¼æ¯ä¸æ¯è§å¾ä¸å¿ å¾ä¸çé½ç¥éæ¥ä¸æ¥è¦åä»ä¹ï¼Hook TerminateProcess()å½æ°ï¼æ¯æ¬¡TerminateProcess()被è°ç¨çæ¶åå å¤æä¼å¾ç»æçè¿ç¨æ¯å¦æ¯æçè¿ç¨ï¼å¦ææ¯çè¯å°±ç®åå°è¿åä¸ä¸ªé误ç å°±å¯ä»¥äºãççæ¯è¿ä¹ç®ååï¼å æåºä¸ä¸ªé®é¢ï¼å¦ä½æ ¹æ®hProcesså¤æå®æ¯å¦æ¯æçè¿ç¨çå¥æï¼çæ¡æ¯ï¼å¨æçè¿ç¨å½ä¸å è·å¾æçè¿ç¨çå¥æï¼ç¶åéè¿è¿ç¨é´é讯æºå¶ä¼ éç»é©åå½æ°ï¼ä¸hProcessè¿è¡æ¯è¾ä¸å°±è¡äºï¼éï¼å 为å¥ææ¯ä¸ä¸ªè¿ç¨ç¸å ³çå¼ï¼ä¸åè¿ç¨ä¸å¾å°çæçè¿ç¨çå¥æçå¼å¨è¿ç¨é´è¿è¡æ¯è¾æ¯æ æä¹çã
æä¹åï¼æ们æ¥èå¯ä¸ä¸æçhProcesså®æ¯å¦ä½å¾å°çãä¸ä¸ªè¿ç¨åªæå®çè¿ç¨IDæ¯ç¬ä¸æ äºçï¼æä½ç³»ç»éè¿è¿ç¨IDæ¥æ è¯ä¸ä¸ªè¿ç¨ï¼å½æ个ç¨åºè¦å¯¹è¿ä¸ªè¿ç¨è¿è¡è®¿é®çè¯ï¼å®é¦å å¾ç¨OpenProcessè¿ä¸ªå½æ°å¹¶ä¼ å ¥è¦è®¿é®çè¿ç¨IDæ¥è·å¾è¿ç¨çå¥æï¼æ¥ççå®çåæ°ï¼
HANDLE OpenProcess(
DWORD dwDesiredAccess, // å¸æè·å¾ç访é®æé
BOOL bInheritHandle, // æææ¯å¦å¸ææè·å¾çå¥æå¯ä»¥ç»§æ¿
DWORD dwProcessId // è¦è®¿é®çè¿ç¨ID
);
èç»æ¸æ¸æ¾ç°ï¼å¨è°ç¨TerminateProcess()ä¹åï¼å¿ å è°ç¨OpenProcess()ï¼èOpenProcess()çåæ°è¡¨ä¸çdwProcessIdæ¯å¨ç³»ç»èå´å å¯ä¸ç¡®å®çãå¾åºç»è®ºï¼è¦Hookçå½æ°ä¸æ¯TerminateProcess()èæ¯OpenProcess()ï¼å¨æ¯æ¬¡è°ç¨OpenProcess()çæ¶åï¼æ们å æ£æ¥dwProcessIdæ¯å¦ä¸ºæçè¿ç¨çID(å©ç¨è¿ç¨é´é讯æºå¶)ï¼å¦ææ¯çè¯å°±ç®åå°è¿åä¸ä¸ªé误ç å°±å¯ä»¥äºï¼ä»»å¡ç®¡çå¨æ¿ä¸å°æçè¿ç¨çå¥æï¼å®å¦ä½ç»ææçè¿ç¨å¢ï¼
è³æ¤ï¼çå¢å ¨é¨æå¼äºãç±Hook TerminateProcess()å°Hook OpenProcess()çè¿ä¸ªè¿ç¨ï¼ä½ç°äºä¸ä¸ªéåæç»´çææ³ãå ¶å®æå½åé»è¿äºTerminateProcess()çæ»è¡åéå天åºä¹ä¸æ¥ï¼ä½æç»è¿æ¯è¹¦åºäºçµæçç«è±ï¼æ³¨æå转移å°äºOpenProcess()ä¸é¢ï¼å®ç°äºè¿ç¨é²æãåæ¦ä¹ä½ï¼å°è¿å¿å¾ä½ä¼æ¿åºæ¥ä¸å¤§å®¶å享ã
---------------------------------------------------------------
è¦ä¸æç»ä½ ææçå¯æ§è¡æ件çæºä»£ç åå¨æè¿æ¥åºåç»ä½ 好äº
å¨æè¿æ¥åºä½ èªå·±å¯ä»¥æ¢æ
å°±æ¯è¦æ³¨å ¥çé£ä¸ª
ï¼æ³¨å ¥å°çç®æ ç¨åºä½ èªå·±è®¾ç½®
---------------------------------------------------------------
åµåµï¼ææåå®ç°äºï¼ï¼
éè¿setwindowshookex建ç«CBTçHookï¼Hook DLLä¸å è½½APIéå®åï¼å°±å¯ä»¥è¾¾å°å ¨å±ææçAPIHOOKææäºï¼è¿è¦å¯¹MapFileæä½ï¼ä»¥ä¾¿ç»ä¸å ¨å±çåæ°
ä¸è½½å°åï¼/lysoft/projects/API Hook.rar
by Liu Yang
---------------------------------------------------------------
ä¸é¢çä¾åï¼å¾å害çï¼ä¸åªæ¯ä»»å¡ç®¡çå¨ï¼è¿å«ç第ä¸æ¹è½¯ä»¶é½å¥ä½ä¸å¾ï¼
ç¦æ¢ CTRL+ALT+DELETE under XP and Win, çæ¹æ³ï¼ä¸è¿å®¹æç ´è§£
å¦å¤ï¼XPä¸Ginaæ¹æ³æ¯ä¸è¡çï¼ææä¾çDemo就没é®é¢äºãè³äºé£ä¸ªDLLæ¯æä¹åçï¼å°±ä¸ä¾¿å ¬å¼äºãè°ç¨æ¥å£å°±å¨ä»£ç ä¸ï¼åµåµï¼è±äºæ3天å夫ææ好ãæç¹ç´¯äºï¼ä¼æ¯äºã
procedure DisableTaskMgr(bTF: Boolean);
var
reg: TRegistry;
begin
reg := TRegistry.Create;
reg.RootKey := HKEY_CURRENT_USER;
reg.OpenKey('Software', True);
reg.OpenKey('Microsoft', True);
reg.OpenKey('Windows', True);
reg.OpenKey('CurrentVersion', True);
reg.OpenKey('Policies', True);
reg.OpenKey('System', True);
if bTF = True then
begin
reg.WriteString('DisableTaskMgr', '1');
end
else if bTF = False then
begin
reg.DeleteValue('DisableTaskMgr');
end;
reg.CloseKey;
end;
// Example Call:
procedure TForm1.Button1Click(Sender: TObject);
begin
DisableTaskMgr(True);
end;
---------------------------------------------------------------
type //å®ä¹ä¸ä¸ªå ¥å£ç»æ
PImage_Import_Entry = ^Image_Import_Entry;
Image_Import_Entry = record
Characteristics: DWORD; //"code"or"data"or"bss"
TimeDateStamp: DWORD;
MajorVersion: Word;
MinorVersion: Word;
Name: DWORD; //æå±å¨æåºæç¨åºçå称
LookupTable: DWORD;
end;
type //å®ä¹ä¸ä¸ªè·³è½¬çç»æ
TImportCode = packed record
JumpInstruction: Word; //å®ä¹è·³è½¬æ令jmp
AddressOfPointerToFunction: ^Pointer; //å®ä¹è¦è·³è½¬å°çå½æ°
end;
PImportCode = ^TImportCode;
implementation
//è¿åå½åå½æ°å°å
function LocateFunctionAddress(Code: Pointer): Pointer;
var
func: PImportCode;
begin
Result := Code;
if Code = nil then exit;
try
func := code;
if (func.JumpInstruction = $FF) then
begin
Result := func.AddressOfPointerToFunction^;
end;
except
Result := nil;
end;
end;
//æ¹åå½æ°çæå
function RepointFunction(OldFunc, NewFunc: Pointer): Integer;
var
IsDone: TList;
//å°æå®å®ä¾ä¸çå¼å ¥å½æ°å®ä½ä¸ºæ°å½æ°
function RepointAddrInModule(hModule: THandle; OldFunc, NewFunc: Pointer): Integer;
var
Dos: PImageDosHeader;//dos head
NT: PImageNTHeaders; //nt head
ImportDesc: PImage_Import_Entry; //å½æ°å ¥å£å°å
RVA: DWORD;
Func: ^Pointer;
DLL: string;
f: Pointer;
written: DWORD;
begin
Result := 0;
Dos := Pointer(hModule);//å®ä¾å¥æ
if IsDone.IndexOf(Dos) >= 0 then exit; //æ¯å¦å·²ç»æ¿æ¢è¿æ¤å®ä¾å¥æ
IsDone.Add(Dos); //æ·»å å®ä¾å¥æ
OldFunc := LocateFunctionAddress(OldFunc);
if IsBadReadPtr(Dos, SizeOf(TImageDosHeader)) then exit;
if Dos.e_magic <> IMAGE_DOS_SIGNATURE then exit;//å¤ææ¯å¦æ¯åæ³çdos头
NT := Pointer(Integer(Dos) + dos._lfanew);//å¾å°pe头
//å¾å°è¾å ¥å½æ°çç¸å ³èå°å
RVA := NT^.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;
if RVA = 0 then exit;
//计ç®å®é 第ä¸ä¸ªè¾å ¥å½æ°å°å
ImportDesc := pointer(integer(Dos) + RVA);
while (ImportDesc^.Name <> 0) do
begin
//å¾å°è¾å ¥çå¨æåºå称
DLL := PChar(Integer(Dos) + ImportDesc^.Name);
//éå½å°å¦ä¸ä¸ªå¨æåº
RepointAddrInModule(GetModuleHandle(PChar(DLL)), OldFunc, NewFunc);
//计ç®å¼å ¥å½æ°å¨ç¨åºä¸çè°å ¥å°å
Func := Pointer(Integer(DOS) + ImportDesc.LookupTable);
while Func^ <> nil do
begin
f := LocateFunctionAddress(Func^);
//æ¾å¯»å¼å ¥çå½æ°
if f = OldFunc then
begin
//æ³¨å ¥æ°å½æ°å°å
WriteProcessMemory(GetCurrentProcess, Func, @NewFunc, 4, written);
if Written > 0 then Inc(Result);
end;
Inc(Func);
end;
Inc(ImportDesc);
end;
end;
begin
IsDone := TList.Create;
try
Result := RepointAddrInModule(GetModuleHandle(nil), OldFunc, NewFunc);
finally
IsDone.Free;
end;
end;