Hotpatch
Hotpatch 是一个允许正在运行的进程动态加载一个 so 库的 C 库,类似于 Win32 上的 CreateRemoteThread() API。
和其他现有的动态加载方案相比,Hotpatch 的优点是在加载 so 库之后将会恢复原先进程的运行状态。
开发者可以利用 Hotpatch 实现:
- 加载 so 库到一个已经运行的进程中。
- 调用该 so 库中的自定义函数。
- 向该函数传递序列化的参数。
它包含三部分: hotpatch.h 头文件,libhotpatch.so 库和命令行辅助程序 hotpatcher。
目前的局限有:
- 用户只能向拥有权限的进程注入 so 库(当然 root 用户可以向所有进程注入)。
- 目前仅支持 64 位 Linux,32 位支持将在下一个版本中完成。
- 在编译共享库时需要加上连接器参数
-fPIC -nostartfiles。 - 对于一个正在运行进程仅能动态加载一次 so 库文件。
Read More:
- » No related posts
俺秃然想起Quake 2了。
老实说第一条不算局限吧…… = =b 明明是正常安全就应该这样。。。。。。
CreateRemoteThread 。。。。。。现在在windoows上这个函数几乎与后门木马画上了等于号!
是新的内核API吗??
@csslayer: 我觉得第一条算是一种局限,因为这种动态加载往往需要向其他进程注入,这种一般来说都不是自己能拿到权限的,就比如木马这种特殊情况吧。
如论如何都看不出这个库的特别之处。
跟dlopen有什么区别?
更好的支持代码注入吗?
黑白兄,这个翻译是不是有点问题……原文似乎是:“使另外一个正在运行的进程动态加载一个 so 库文件”,而不是“允许正在运行的进程动态加载一个 so 库的 C 库”。
@Iven:
看完 README 之后,个人还是认为这两个是同一个意思滴~
注入没啥意思,有意思的是注入后,在库里面写上 raise (SIGKILL);
加载 so 库之后将会恢复原先进程的运行状态
这个没看懂。。。
如果是合法用途,我想通过主程序自己的命令行参数来更新自己更为靠谱,不要手动输入pid。
也就是说不要通过第三方程序来更新。hotpatch应该将自己作为一个库嵌入主程序。
@kidfruit: 这样的话hotpatch应该助了Linux病毒木马一臂之力,哈哈
tomoyo、selinux这类hips显得越来越必要了。
个人还是认为这两个是同一个意思滴~