C语言_函数hook_LD_PRELOAD原理和示例

LD_PRELOAD 原理与完整示例

LD_PRELOAD 是 Linux 系统提供的一个强大机制，允许用户在程序运行前优先加载自定义共享库，从而改变或增强系统默认函数的行为。以下是其核心原理和完整示例：

一、LD_PRELOAD 工作原理

1. 动态链接基本概念

• 静态链接：编译时将所有依赖库的代码直接嵌入到可执行文件中
• 动态链接：程序运行时由动态链接器（ld-linux.so）加载所需的共享库
• 符号解析：动态链接器在运行时查找并绑定函数符号（如 open、printf）

2. LD_PRELOAD 机制

LD_PRELOAD 是一个环境变量，用于指定一个或多个共享库路径。当程序运行时，动态链接器会优先加载这些库，使其符号（函数、变量）在其他库之前被解析。

符号解析顺序：

1. LD_PRELOAD 指定的库
2. 程序自身链接的库
3. 系统默认库（如 libc.so）

3. Hook 实现原理

通过在 LD_PRELOAD 库中提供与系统函数同名的实现，可以覆盖默认行为。关键步骤：

• 使用 dlsym(RTLD_NEXT, "func_name") 获取原始函数地址
• 在自定义函数中添加额外逻辑，然后调用原始函数

二、完整示例：Hook open 和 close 函数

1. Hook 库代码 (hook_open_close.c)

#define _GNU_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <dlfcn.h>
#include <fcntl.h>
#include <unistd.h>// 定义原始函数指针类型
typedef int (*orig_open_t)(const char *pathname, int flags, mode_t mode);
typedef int (*orig_close_t)(int fd);// 保存原始函数指针
static orig_open_t orig_open = NULL;
static orig_close_t orig_close = NULL;// 初始化函数（库加载时自动执行）
static void __attribute__((constructor)) init_hook(void) {// 获取原始函数地址orig_open = (orig_open_t)dlsym(RTLD_NEXT, "open");orig_close = (orig_close_t)dlsym(RTLD_NEXT, "close");if (!orig_open || !orig_close) {fprintf(stderr, "Failed to resolve original functions: %s\n", dlerror());exit(EXIT_FAILURE);}
}// Hook open 函数
int open(const char *pathname, int flags, ...) {mode_t mode = 0;// 处理可变参数（mode 仅在 O_CREAT 标志存在时需要）if (flags & O_CREAT) {va_list arg;va_start(arg, flags);mode = va_arg(arg, mode_t);va_end(arg);}// 打印日志（Hook 逻辑）fprintf(stderr, "[HOOK] open(\"%s\", 0x%08X, 0%03o)\n", pathname, flags, mode);// 调用原始函数return orig_open(pathname, flags, mode);
}// Hook close 函数
int close(int fd) {// 打印日志（Hook 逻辑）fprintf(stderr, "[HOOK] close(%d)\n", fd);// 调用原始函数return orig_close(fd);
}

2. 测试程序 (test_open_close.c)

#include <stdio.h>
#include <fcntl.h>
#include <unistd.h>int main() {const char* filename = "test.txt";int fd;// 打开文件（如果不存在则创建，允许读写）fd = open(filename, O_CREAT | O_RDWR, 0644);if (fd == -1) {perror("Failed to open file");return 1;}printf("File opened successfully (fd=%d)\n", fd);// 关闭文件if (close(fd) == -1) {perror("Failed to close file");return 1;}printf("File closed successfully.\n");return 0;
}

三、编译与使用步骤

1. 编译命令

# 编译 Hook 库（生成共享库）
gcc -shared -fPIC -o hook_open_close.so hook_open_close.c -ldl# 编译测试程序
gcc -o test_open_close test_open_close.c

2. 正常运行（不使用 Hook）

./test_open_close

输出：

File opened successfully (fd=3)
File closed successfully.

3. 使用 LD_PRELOAD Hook 运行

LD_PRELOAD=./hook_open_close.so ./test_open_close

输出：

[HOOK] open("test.txt", 0x00000102, 0644)
File opened successfully (fd=3)
[HOOK] close(3)
File closed successfully.

四、关键技术点解析

1. 符号解析与 dlsym

• dlsym(RTLD_NEXT, "open")：查找下一个（非当前库）名为 open 的符号
• 必须保存原始函数指针，避免递归调用

2. 线程安全初始化

• __attribute__((constructor))：确保库加载时自动执行初始化
• 多线程环境中需使用 pthread_once 保证初始化只执行一次

3. 可变参数处理

对于 open 这类可变参数函数：

• 使用 <stdarg.h> 中的宏处理可变参数列表
• 仅在需要时（如 O_CREAT 标志）获取 mode 参数