Может ли GDB сделать указатель на функцию, указывающую на другое место?

Этот вопрос заинтриговал меня, поэтому я провел небольшое исследование. То, что вы ищете, это « dll инъекция ». Вы пишете функцию для замены некоторой библиотечной функции, помещаете ее в .so и говорите ld предварительно загрузить вашу dll. Я только что попробовал, и это работало отлично! Я понимаю, что на самом деле это не отвечает на ваш вопрос относительно gdb, но я думаю, что он предлагает эффективный обходной путь.

Для решения только для GDB, см. Мое другое решение.

// -*- compile-command: "gcc -Wall -ggdb -o test test.c"; -*-
// test.c

#include "stdio.h"
#include "stdlib.h"

int main(int argc, char** argv)
{
    //should print a fairly random number...
    printf("Super random number: %d\n", rand());

    return 0;
}

/ -*- compile-command: "gcc -Wall -fPIC -shared my_rand.c -o my_rand.so"; -*-
//my_rand.c

int rand(void)
{
    return 42;
}

скомпилируйте оба файла, затем выполните: LD_PRELOAD="./my_rand.so" ./test

Super random number: 42

У меня есть новое решение, основанное на исходных ограничениях new . (Я не удаляю свой первый ответ, поскольку другие могут посчитать его полезным.)

Я провел кучу исследований, и я думаю, что он будет работать немного сложнее.

1. В вашем .so переименуйте функцию замены rand, например my_rand
2. Скомпилируйте все и загрузите gdb
3. Используйте info functions, чтобы найти адрес rand в таблице символов

4. Используйте dlopen, а затем dlsym, чтобы загрузить функцию в память и получить ее адрес

   call (int) dlopen("my_rand.so", 1) -> -val-

   call (unsigned int) dlsym(-val-, "my_rand") -> my_rand_addr

5. -сложная часть- Найти шестнадцатеричный код инструкции jumpq 0x*my_rand_addr*
6. Используйте set {int}*rand_addr* = *my_rand_addr* для изменения инструкции таблицы символов
7. Continue выполнение: теперь всякий раз, когда вызывается rand, он переходит к my_rand вместо

Это немного сложно и очень приблизительно, но я уверен, что это сработает , Единственное, чего я еще не достиг - это создание кода инструкции jumpq. Все до этого момента работает нормально.

Вы можете использовать нас LD_PRELOAD, если вы заставите предварительно загруженную функцию понимать ситуации, в которых она используется. Вот пример, который будет использовать rand() как обычно, за исключением внутри разветвленного процесса, когда он всегда будет возвращать 42. Я использую подпрограммы dl для загрузки функции стандартной библиотеки rand() в указатель функции для использования угнанным rand().

// -*- compile-command: "gcc -Wall -fPIC -shared my_rand.c -o my_rand.so -ldl"; -*-
//my_rand.c
#include <sys/types.h>
#include <unistd.h>

#include <dlfcn.h>


int pid = 0;
int (*real_rand)(void) = NULL;

void f(void) __attribute__ ((constructor));

void f(void) {
    pid = getpid();
    void* dl = dlopen("libc.so.6", RTLD_LAZY);
    if(dl) {
        real_rand = dlsym(dl, "rand");
    }
}

int rand(void) 
{
    if(pid == getpid() && real_rand)
        return real_rand();
    else
        return 42;
}

//test.c
#include <dlfcn.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
int main(int argc, char** argv)
{

    printf("Super random number: %d\n", rand());
    if(fork()) {
        printf("original process rand: %d\n", rand());

    } else {
        printf("forked process rand: %d\n", rand());
    }

    return 0;
}

jdizzle@pudding:~$ ./test
Super random number: 1804289383
original process rand: 846930886
forked process rand: 846930886

jdizzle@pudding:~$ LD_PRELOAD="/lib/ld-linux.so.2 ./my_rand.so" ./test
Super random number: 1804289383
original process rand: 846930886
forked process rand: 42

Для исполняемых файлов вы можете легко найти адрес, где хранится указатель на функцию, используя objdump. Например:

objdump -R /bin/bash | grep write
00000000006db558 R_X86_64_JUMP_SLOT  fwrite
00000000006db5a0 R_X86_64_JUMP_SLOT  write

Следовательно, 0x6db5a0 является адресом указателя для write. Если вы измените его, вызовы для записи будут перенаправлены на выбранную вами функцию. Загрузка новых библиотек в gdb и получение указателей на функции были рассмотрены в предыдущих статьях. Исполняемый файл и каждая библиотека имеют свои собственные указатели. Замена влияет только на модуль, указатель которого был изменен.

Для библиотек вам нужно найти базовый адрес библиотеки и добавить его к адресу, указанному в objdump. В Linux /proc/<pid>/maps выдает это. Я не знаю, будут ли работать независимые от позиции исполняемые файлы с рандомизацией адресов. maps -информация может быть недоступна в таких случаях.

Я не уверен, как это сделать в работающей программе, но, возможно, LD_PRELOAD будет работать для вас. Если вы установите для этой переменной среды список общих объектов, загрузчик времени выполнения загрузит общий объект в начале процесса и позволит его функциям иметь приоритет над другими.

LD_PRELOAD=path_to_library/asdf.so path/to/prog 

Вы должны сделать это, прежде чем начать процесс, но вам не нужно перестраивать программу.

Некоторые ответы здесь и статья о внедрении кода , на которую вы ссылались в своем ответе, охватывают фрагменты того, что я считаю оптимальным gdb -ориентированным решением, но ни один из них не сводит все это вместе и не охватывает все точки. Кодовое выражение решения немного длинное, поэтому вот краткое изложение важных шагов:

1. Загрузите код для внедрения . Большинство ответов, опубликованных здесь, используют то, что я считаю лучшим подходом - вызов dlopen() в подчиненном процессе для связи в общей библиотеке, содержащей введенный код. В статье, которую вы связали с автором, вместо этого загрузили перемещаемый объектный файл и связали его вручную с подчиненным. Это, откровенно говоря, безумие - перемещаемые объекты не являются «готовыми к работе» и включают перемещения даже для внутренних ссылок. А ручная компоновка утомительна и подвержена ошибкам - гораздо проще позволить реальной работе динамического компоновщика во время выполнения. Это, в первую очередь, означает вовлечение в процесс libdl, но для этого есть много вариантов.
2. Создать объезд . Большинство ответов, опубликованных здесь до сих пор, включали в себя поиск записи PLT для интересующей функции, использование которой для нахождения соответствующей записи GOT, а затем изменение записи GOT для указания на введенную функцию. Это хорошо до некоторой степени, но некоторые функции компоновщика, например, использование dlsym, могут обойти GOT и обеспечить прямой доступ к интересующей функции. Единственный способ быть уверенным в перехвате всех вызовов определенной функции - это переписать начальные инструкции кода этой функции в памяти, чтобы создать «обходной» путь, перенаправляющий выполнение на вашу внедренную функцию.
3. Создать батут (необязательно). Часто при выполнении такого рода инъекций вы захотите вызвать исходную функцию, вызов которой вы перехватываете. Способ сделать это с помощью обхода функции заключается в создании небольшого кода «батут», который включает перезаписанные инструкции исходной функции, а затем переход к оставшейся части оригинала. Это может быть сложно, потому что любые относящиеся к IP инструкции в скопированном наборе необходимо изменить, чтобы учесть их новые адреса.
4. Автоматизировать все это . Эти шаги могут быть утомительными, даже если вы делаете некоторые из простых решений, опубликованных в других ответах. Лучший способ убедиться, что шаги выполняются правильно каждый раз с переменными параметрами (внедрение различных функций и т. Д.), - это автоматизировать их выполнение. Начиная с серии 7.0, в gdb появилась возможность писать новые команды на Python. Эта поддержка может быть использована для реализации решения «под ключ» для внедрения и обхода кода в / в подчиненном процессе.

#include <unistd.h>
#include <stdio.h>

int (*rand__)(void) = NULL;

int
rand(void)
{
    int result = rand__();
    printf("rand invoked! result = %d\n", result);
    return result % 47;
}

(gdb) source detour.py
(gdb) exec-file a
(gdb) set follow-fork-mode child
(gdb) catch exec
Catchpoint 1 (exec)
(gdb) run
Starting program: /home/llasram/ws/detour/a 
a: 1933263113
a: 831502921
[New process 8500]
b: 918844931
process 8500 is executing new program: /home/llasram/ws/detour/b
[Switching to process 8500]

Catchpoint 1 (exec'd /home/llasram/ws/detour/b), 0x00007ffff7ddfaf0 in _start ()
   from /lib64/ld-linux-x86-64.so.2
(gdb) break main
Breakpoint 2 at 0x4005d0: file b.c, line 7.
(gdb) cont
Continuing.

Breakpoint 2, main (argc=1, argv=0x7fffffffdd68) at b.c:7
7       {
(gdb) detour libc.so.6:rand inject2.so:rand inject2.so:rand__
(gdb) cont
Continuing.
rand invoked! result = 392103444
b: 22

Program exited normally.