背景
最近工作需要hook函数，然后实现自己的逻辑，之前都是使用的frida来直接hook，但是这里发现，挂在frida之后对性能影响较大，可能是数十倍的影响，之前一直都没发现。所以这里必须自己实现一个hook

参考
这里参照了下面几个文章

https://bbs.kanxue.com/thread-272797-1.htm

https://www.cnblogs.com/pwl999/p/15535002.html

https://www.cnblogs.com/iBinary/p/11334793.html

https://toutiao.io/posts/mwpeytt/preview

过程
先是参照第一篇的，直接全盘复制，例子没通。。。我是使用的LD_PRELOAD的方式来加载so的，不会调试，有会的大佬指点一下呀，然后就准备重写了。

所有的hook，大致流程如下：

取出当前hook点的汇编temp

修改为跳转汇编，跳转到一个跳板指令段

在跳板指令中保存现场

跳转到自定义函数

自定义函数执行完后恢复现场

执行temp指令

跳转到原始指令的下一条

针对我的应用场景，不普适，只求快

首先我们需要开辟一个空间，用于自己hook函数后跳转到的自定义函数的存放。

这里有两个方式，frida和常规的都是在自己so中存放这段函数，但是这里有个问题，通常64位的内存分布中，so和原始elf文件的内存空间间隔很远，都要使用一个长跳跳过去。而我这里主要考虑效率问题（我猜会不会跳的短一点有可能对性能影响小），以及后续期望能够通过5字节的一个jmp指令，减少对原指令的破坏，所以需要在原始的elf中找一段不用的函数，来填写我们的自定义函数。这里参考了frida的实现，我们打开一个elf文件，看其中的段分区，可以看到代码段到堆栈分区中间是有一段空白区的，我们只要在这一段分配一块空间供跳板地址存储。

这里通过mmap的方式，在指定的地址分配一块内存：

void init_addr = (void )0xc62000;
char init_addr = (char)mmap(NULL, 4096, PROT_WRITE|PROT_EXEC|PROT_READ, MAP_ANON|MAP_PRIVATE, -1, 0);
如果这里的点不是五个字节的完整汇编呢，即正好一个2+4等情况，需要我们保存超过5个字节的汇编。这里可以使用反汇编工具，读取当前地址的指令，看保存几个合适，这里我就是参照了第一篇文章的使用了capstone，和他的区别就是我这里后续只需要5个字节，对代码的破坏性更小。

//获取目标函数前几条指令的长度,跳转指令是5个字节，所以取大于等于5的长度
int get_asm_len(intptr_t target)
{
csh handle;
cs_insn* insn;
size_t count;
char code[30] = {0};
int rv;

}

这里的汇编中包含call，或者jmp 到相对地址的指令，这里都需要进行特殊处理,我这里是求简单了，当前应用的只需要处理call的，通过之前的get_asm_len如果返回为0来判断需要修改。

//根据当前temp地址重新填写相对地址
int change_asm_code(intptr_t target ,intptr_t temp)
{
csh handle;
cs_insn* insn;
size_t count;
char code[30] = {0};
int rv;

}

保存现场：

这里可以自定义一个pusha和popa,因为本身64位的汇编不支持pusha了，我这里只保存了rdi,rsi,rdx,rcx,rax五个寄存器，前四个通常是调用的前4个参数，第五个是函数返回。如果需要的话，第五六个参数是r8和r9寄存器。本来也准备保存rsp寄存器的，后来发现编译器给我加上了保存rsp的功能，顾暂时不需要了

进行跳转：

这里网上资料主要都是使用了14个字节的跳转方式，这里我用在一级跳板往自定义代码中以及一级跳板跳回原代码，因为这里不需要考虑对源代码的破坏，长一点不要紧，简单最好。。：

68 XX XX XX XX push LowAddress
C7 44 24 04 XX XX XX XX mov qword ptr ss:[rsp + 4],HighAddress
C3
但是我们为了更小的破坏代码，在修改原地址时只使用了五个字节：

e9 XX XX XX XX jmp 相对地址
这里相对地址的计算公式是：相对地址 = 目的 - 源 - 5(指令长度)

所以我们的一级跳板主要包括四个部分：

13个字节保存自定义函数返回地址到rsp中；

14个字节绝对跳转到自定义函数地址；

n个字节保存原始地址的指令；

14个字节跳回原始地址+n的地址；

自定义函数部分走到的坑：

汇编语言风格：

我这里之前主要是通过frida获取寄存器的值来进行其他操作，所以这里需要取寄存器的值，开始使用

__asm("pop rax")的操作时，总是提示我找不到rax，这里是因为汇编风格的问题，我这不知道为什么都是at&t的风格，需要在rax前面加上%即可。其他很多相应的问题都是asm的汇编语言风格问题。

获取寄存器：

不知道什么原因，在网上搜的很多的在汇编和c++之间共享变量的方式都无法使用，报各种奇怪的错，所以我这里寻求帮助后使用了另外一种方式：

register int *r12 asm ("r12");
这里保存寄存器r12当前的值到变量r12中，后续不会随着寄存器的变化继续变化了。

最终代码：

#include<stdio.h>
#include<stdlib.h>
#include<capstone/capstone.h>
#include<unistd.h>
#include<sys/types.h>
#include<dlfcn.h>
#include<sys/mman.h>
#include<string.h>
#include<stdint.h>

//使用mmap来分配一个内存，用于后续的一级跳板
void *tempAddr = (void )0xc62000;
char temp_func;

//获取目标函数前几条指令的长度,跳转指令是5个字节，所以取大于等于5的长度
int get_asm_len(intptr_t target)
{
csh handle;
cs_insn* insn;
size_t count;
char code[30] = {0};
int rv;

}

//根据当前temp地址重新填写相对地址
int change_asm_code(intptr_t target ,intptr_t temp)
{
csh handle;
cs_insn* insn;
size_t count;
char code[30] = {0};
int rv;

}

//替换目标函数的前len个字节，使之跳转到hook函数
void change_bytes(intptr_t addr, const char code[], int len)
{
memcpy((void*)addr, code, len);
}

void func_hook(intptr_t target_addr, void* hook_func)
{

}

//
void test_hook()
{
__asm("push %rdi");
/__asm{
push rdi;
push rsi;
push rdx;
push rcx;
push rax;
}/
printf("everythint is ok\n");
register int *rax asm ("rax");
printf("rax is %lx\n",*rax);

}

//so被加载后会首先执行这里的代码
attribute((constructor))
void load()
{
temp_func = (char*)mmap(tempAddr, 4096, PROT_WRITE|PROT_EXEC|PROT_READ, MAP_ANON|MAP_PRIVATE, -1, 0);
func_hook(0x666666, (void*)test_hook);

}

这里就是粗略的实现了，反正能用。。而且是从内网往回敲的，可能有点错误还，反正就是这么个思路，好多不是很优美，等后续有时间了不断完善可以

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。