libelf, elftoolchain

Это просто набор инструментов, но в них надо тоже основательно так разбираться, изучать структуру ELF. Неужели нету простой программы аналога LordPE?

Перехвати какую-нибудь функцию с LD_PRELOAD. Тут давеча пример кода кидали.

HTE пойдет? Пишут, что он это умеет.
И еще есть какой-то Beye

http://habrahabr.ru/post/199090/ нашел на хабре, действительно мощный приём, который сильно упрощает инжект. Спасибо! Но ради интереса все же еще попытаюсь как-то всунуть в сам файл, чтобы без всяких дополнительных программ.

Beye вообще header только просматривать может. HTE почти то что нужно, можно редактировать заголовок, но кнопочки «Добавить сегмент\секцию» там нету конечно, только редактирование существующего. Хотелось бы конечно из коробки, как LordPE :) Ну да ладно, попытаюсь кое что вручную добавить и слепить с помощью HTE.

Годная статья

А вот и решение

Все оказалось намного проще objcopy myprog myprog_new --add-section my_sect=sectionfile

не вирус ли ты часом под онтопик удумал?

боже упаси, расширение функционала xD

Но разве это не работает только для динамических символов?

Перехватить-то можно что угодно.

В смысле хоть что-то да будет линковаться

Если есть готовый shared object, как перехватить функции, которых нет в таблице динамических символов?

Не слишком хорошо в этом разбираюсь, но может перехватить какую-нибудь функцию, которая есть в таблице и из нее инжектнуть код куда нужно?

Я тоже не разбираюсь, в этом-то и проблема.

Перехватывать то, что вызывают эти функции. Не факт, что в самом начале конечно.

У меня есть бумажная книга Крис Касперски - Компьютерные вирусы изнутри и снаружи. Может найдешь ее. Там есть глава про elf.

Вплоть до libc, что ли? А если перехват нужно выполнить до исполнения функции?

Upd. Все таки решение не так просто как казалось. Добавить секцию и выставить на нее флажки кода, записи, чтения, выполнения еще не решает задачи. Нужно еще как-то подгрузить ее в сегмент. Там есть оффсет и размер сегмента загрузки, но после него сразу идут другие сегменты. А вот тут уже задача, как это все совместить чтобы все не съехало и прочее. В общем, ломаю голову дальше, если получится сделать, отпишусь о результате.

Вот набор небольших программ для работы с ELF, которые могут оказаться полезными:

http://www.muppetlabs.com/~breadbox/software/elfkickers.html

Я думаю для тебя наибольший интрес имеют objres и infect.

Всё с исходниками, их не очень много. Результат твоих успехов узнать интресно ;-)

infect takes advantage of the fact that most ELF executables are laid out with a significant chunk of unused padding bytes immediately following the executable segment. infect simply extends the size of the executable segment to include enough extra bytes to hold the new code, and then changes the executable's entry point.

Прочитал об infect. В переводе это в общем значит, что после сектора, который загружается в оперативную память, есть обычно где-то до 4кб неиспользуемых данных мусора, но они не загружаются в оперативную память, а программка расширяет размер сектора загрузки, чтобы захватить вот это место, предварительно прописав себя туда. И меняет точку вхождения программы на вот это место со своей копией. Интересная штуковина в общем) Конечно не то что искал, но если 4кб мало, то в эти 4кб данных уже можно втеснить даже чтение данных с конца самого файла программы и инжект для исполнения)

Ну дык - замечательно же! 4кб это до фига, особенно если делать на асме. Отпишись только об успехах или если чего интресного найдёшь. Очень интересно узнать, чем всё закончиться.

objcopy --add-section

Или полностью автоматизированное решение.

Нету. Был eresi, но давно издох

Оно вроде бы "ожило". Похоже, именно то, что я искал. Спасибо анону постом выше.