使用场景咨询

Question

使用场景咨询

Closed this issue 4 months ago · 10 comments

kelpiezqc commented 4 months ago

看了下实现原理，想咨询下pangolin这个逻辑为什么没有应用到java应用上？
有没有这个可能性使用pangolin对jvm native空间进行hook

Answer 1 · 2024-08-20T14:36:01.000Z

java 虚拟机有自带的注入方案，https://github.com/jattach/jattach，jattach 加载 jar 包，jar 加载 so 进行 inline hook。

Answer 2 · 2024-08-20T14:40:37.000Z

jattach还是基于jvmti，对libjava.so/libjvm.so这些文件的内部逻辑没法做hook，容易被针对利用，所以有了这个issue最初的想法

Answer 3 · 2024-08-21T02:15:29.000Z

还有一个疑问，使用这种进程注入的方法对应用性能影响会不会比常规注入手段大很多

Answer 4 · 2024-08-22T02:30:29.000Z

jattach还是基于jvmti，对libjava.so/libjvm.so这些文件的内部逻辑没法做hook，容易被针对利用，所以有了这个issue最初的想法

jattach 加载 jar 包，jar 包加载 native 动态库，hook 操作放在动态库里，一样可以对 libjava.so/libjvm.so 进行操作。

Answer 5 · 2024-08-22T02:30:55.000Z

还有一个疑问，使用这种进程注入的方法对应用性能影响会不会比常规注入手段大很多

都是使用 ptrace，性能差不多

Answer 6 · 2024-08-22T02:49:42.000Z

感谢回复！mandibule的 apihoook还是在对symbol做hook，我能不能理解最终效果是和GOT挟持一样的？

Answer 7 · 2024-08-22T02:58:17.000Z

mandibule 是使用 ptrace 将 elf 注入到进程中，不进行 api hook。

Answer 8 · 2024-08-22T03:03:32.000Z

mandibule 是使用 ptrace 将 elf 注入到进程中，不进行 api hook。

抱歉我想说的apihook是你基于pangolin实现的golang rasp注入流程，有这个问题是希望能摆脱对ptrace的强依赖，如果能用got表挟持实现完全一样的注入效果的话，因为ptrace在一些版本linux上已经被默认不允许在进程内调用。

Answer 9 · 2024-08-22T03:06:08.000Z

mandibule 是使用 ptrace 将 elf 注入到进程中，不进行 api hook。

抱歉我想说的apihook是你基于pangolin实现的golang rasp注入流程，有这个问题是希望能摆脱对ptrace的强依赖，如果能用got表挟持实现完全一样的注入效果的话，因为ptrace在一些版本linux上已经被默认不允许在进程内调用。

apihook 使用的 inline hook，got 表劫持只适用于动态库导出函数，golang 编译完的函数都不适用。

Answer 10 · 2024-08-22T03:08:02.000Z

感谢解疑！