科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网服务器频道Linux2.6内核模块获取sys call table地址

Linux2.6内核模块获取sys call table地址

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文主要介绍在Linux 2.6版的内核中实现基地址修改的方法。所有代码我都在基于2.6.19版内核的Fedora Core 6上进行了测试。

作者:赛迪网 来源:赛迪网 2007年10月31日

关键字: 内核模块 Linux

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

    在上面的代码中,最复杂的应该就是从0x80中断的服务例程中搜索sys_call_table的一段了,现解释如下。

    首先,我们使用命令“gdb -q /usr/src/kernels/2.6.19/vmlinux”来反编译内核,再使用“disass system_call”和“disass syscall_call”两条gdb命令来查看内核的汇编代码,其结果如下:

(gdb) disass system_call

Dump of assembler code for function system_call:

0xc0103e04 : push %eax

0xc0103e05 : cld

0xc0103e06 : push %es

0xc0103e07 : push %ds

0xc0103e08 : push %eax

0xc0103e09 : push %ebp

0xc0103e0a : push %edi

0xc0103e0b : push %esi

0xc0103e0c : push %edx

0xc0103e0d : push %ecx

0xc0103e0e : push %ebx

0xc0103e0f : mov $0x7b,%edx

0xc0103e14 : movl %edx,%ds

0xc0103e16 : movl %edx,%es

0xc0103e18 : mov $0xfffff000,%ebp

0xc0103e1d : and %esp,%ebp

0xc0103e1f : testl $0x100,0x30(%esp)

0xc0103e27 : je 0xc0103e2d

0xc0103e29 : orl $0x10,0x8(%ebp)

End of assembler dump.

(gdb) disass syscall_call

Dump of assembler code for function syscall_call:

0xc0103e44 : call *0xc03094c0(,%eax,4)

0xc0103e4b : mov %eax,0x18(%esp)

End of assembler dump.

    其中,system_call是0x80中断的服务例程的入口,而syscall_call是调用指定系统调用的部分。在得到的反汇编代码中可以看到,地址0xc03094c0就是我们需要搜索的sys_call_table的地址。

    如果不考虑可移植性,我们当然可以直接使用这个地址进行操作。但是,为了获取更好的兼容性,我们应该通过对代码段进行搜索来查找该值。

    通过进一步的反汇编,我们可以发现,从system_call开始,到syscall_call结束的汇编代码如下:

0xc0103e04 : push %eax

0xc0103e05 : cld

0xc0103e06 : push %es

0xc0103e07 : push %ds

0xc0103e08 : push %eax

0xc0103e09 : push %ebp

0xc0103e0a : push %edi

0xc0103e0b : push %esi

0xc0103e0c : push %edx

0xc0103e0d : push %ecx

0xc0103e0e : push %ebx

0xc0103e0f : mov $0x7b,%edx

0xc0103e14 : movl %edx,%ds

0xc0103e16 : movl %edx,%es

0xc0103e18 : mov $0xfffff000,%ebp

0xc0103e1d : and %esp,%ebp

0xc0103e1f : testl $0x100,0x30(%esp)

0xc0103e27 : je 0xc0103e2d

0xc0103e29 : orl $0x10,0x8(%ebp)

0xc0103e2d : testw $0x1c1,0x8(%ebp)

0xc0103e33 : jne 0xc0103ef8

0xc0103e39 : cmp $0x140,%eax

0xc0103e3e : jae 0xc0103f6b

0xc0103e44 : call *0xc03094c0(,%eax,4)

0xc0103e4b : mov %eax,0x18(%esp)

    我们不用关心这段代码具体执行了什么操作,值得我们注意的只有一点,就是从 system_call开始,直到正式发生系统调用时才出现了第一个call语句。我们可以利用这一点来进行搜索。再通过“x/xw (syscall_call)”命令来查看call语句的指令码为0xc03094c08514ff。这样,我们就可以利用程序中给出的代码进行查找了。

    至此,我们已经成功的获得了sys_call_table地址,就可以像在以前内核版本中那样对其进行操作了。

    getscTable()是在内存中查找sys_call_table地址的函数。每一个系统调用都是通过int 0x80中断进入核心,中断描述符表把中断服务程序和中断向量对应起来。对于系统调用来说,操作系统会调用system_call中断服务程序。system_call函数在系统调用表中根据系统调用号找到并调用相应的系统调用服务例程。idtr寄存器指向中断描述符表的起始地址,用sidt[asm ("sidt %0" : "=m" (idtr));]指令得到中断描述符表起始地址,从这条指令中得到的指针可以获得int 0x80中断服描述符所在位置,然后计算出system_call函数的地址。反编译一下system_call函数可以看到在system_call函数内,是用call sys_call_table指令来调用系统调用函数的。因此,只要找到system_call里的call sys_call_table(,eax,4)指令的机器指令就可以获得系统调用表的入口地址了。

    • 评论
    • 分享微博
    • 分享邮件
    VIP专区
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章

    业界热点:

    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号 京公网安备 11010802021500号