Linux 2.6版的內核出于安全的考慮沒有將系統調用列表基地址的符號sys_call_table導出,但要對系統調用進行替換,卻必須要獲取該地址,于是就有了這篇文章。
我在這里采用的基本思路是這樣的,因為系統調用都是通過0x80中斷來進行的,故可以通過查找0x80中斷的處理程序來獲得sys_call_table的地址。其基本步驟是,首先獲取中斷描述符表的地址,再從中查找0x80中斷的服務例程,再搜索該例程的內存空間,以從其中獲取sys_call_table的地址。其代碼如下:
#include
#include
// 中斷描述符表寄存器結構
struct {
unsigned short limit;
unsigned int base;
} __attribute__((packed)) idtr;
// 中斷描述符表結構
struct {
unsigned short off1;
unsigned short sel;
unsigned char none, flags;
unsigned short off2;
} __attribute__((packed)) idt;
// 查找sys_call_table的地址
void disp_sys_call_table(void)
{
unsigned int sys_call_off;
unsigned int sys_call_table;
char* p;
int i;
// 獲取中斷描述符表寄存器的地址
asm("sidt %0":"=m"(idtr));
printk("addr of idtr: %x\n", &idtr);
// 獲取0x80中斷處理程序的地址
memcpy(&idt, idtr.base+8*0x80, sizeof(idt));
sys_call_off=((idt.off2<<16)|idt.off1);
printk("addr of idt 0x80: %x\n", sys_call_off);
// 從0x80中斷服務例程中搜索sys_call_table的地址
p=sys_call_off;
for (i=0; i<100; i++)
{
if (p=='\xff' && p[i+1]=='\x14' && p[i+2]=='\x85')
{
sys_call_table=*(unsigned int*)(p+i+3);
printk("addr of sys_call_table: %x\n", sys_call_table);
return ;
}
}
}
// 模塊載入時被調用
static int __init init_get_sys_call_table(void)
{
disp_sys_call_table();
return 0;
}
module_init(init_get_sys_call_table);
// 模塊卸載時被調用
static void __exit exit_get_sys_call_table(void)
{
}
module_exit(exit_get_sys_call_table);
// 模塊信息
MODULE_LICENSE("GPL2.0");
MODULE_AUTHOR("Xizhi Zhu");
在編譯并載入該模塊后,可以通過dmesg命令看到如下的輸出:
addr of idtr: d0af4680
addr of idt 0x80: c0103e04
addr of sys_call_table: c03094c0
可見,上面的程序能夠獲取sys_call_table的地址。
在上面的代碼中,復雜的應該就是從0x80中斷的服務例程中搜索sys_call_table的一段了,現解釋如下。
首先,我們使用命令“gdb -q /usr/src/kernels/2.6.19/vmlinux”來反編譯內核,再使用“disass system_call”和“disass syscall_call”兩條gdb命令來查看內核的匯編代碼,其結果如下:
(gdb) disass system_call
Dump of assembler code for function system_call:
0xc0103e04 : push %eax
0xc0103e05 : cld
0xc0103e06 : push %es
0xc0103e07 : push %ds
0xc0103e08 : push %eax
0xc0103e09 : push %ebp
0xc0103e0a : push %edi
0xc0103e0b : push %esi
0xc0103e0c : push %edx
0xc0103e0d : push %ecx
0xc0103e0e : push %ebx
0xc0103e0f : mov $0x7b,%edx
0xc0103e14 : movl %edx,%ds
0xc0103e16 : movl %edx,%es
0xc0103e18 : mov $0xfffff000,%ebp
0xc0103e1d : and %esp,%ebp
0xc0103e1f : testl $0x100,0x30(%esp)
0xc0103e27 : je 0xc0103e2d
0xc0103e29 : orl $0x10,0x8(%ebp)
End of assembler dump.
(gdb) disass syscall_call
Dump of assembler code for function syscall_call:
0xc0103e44 : call *0xc03094c0(,%eax,4)
0xc0103e4b : mov %eax,0x18(%esp)
End of assembler dump.
其中,system_call是0x80中斷的服務例程的入口,而syscall_call是調用指定系統調用的部分。在得到的反匯編代碼中可以看到,地址0xc03094c0就是我們需要搜索的sys_call_table的地址。
p.s. 如果不考慮可移植性,我們當然可以直接使用這個地址進行操作。但是,為了獲取更好的兼容性,我們應該通過對代碼段進行搜索來查找該值。
通過進一步的反匯編,我們可以發現,從system_call開始,到syscall_call結束的匯編代碼如下:
0xc0103e04 : push %eax
0xc0103e05 : cld
0xc0103e06 : push %es
0xc0103e07 : push %ds
0xc0103e08 : push %eax
0xc0103e09 : push %ebp
0xc0103e0a : push %edi
0xc0103e0b : push %esi
0xc0103e0c : push %edx
0xc0103e0d : push %ecx
0xc0103e0e : push %ebx
0xc0103e0f : mov $0x7b,%edx
0xc0103e14 : movl %edx,%ds
0xc0103e16 : movl %edx,%es
0xc0103e18 : mov $0xfffff000,%ebp
0xc0103e1d : and %esp,%ebp
0xc0103e1f : testl $0x100,0x30(%esp)
0xc0103e27 : je 0xc0103e2d
0xc0103e29 : orl $0x10,0x8(%ebp)
0xc0103e2d : testw $0x1c1,0x8(%ebp)
0xc0103e33 : jne 0xc0103ef8
0xc0103e39 : cmp $0x140,%eax
0xc0103e3e : jae 0xc0103f6b
0xc0103e44 : call *0xc03094c0(,%eax,4)
0xc0103e4b : mov %eax,0x18(%esp)
我們不用關心這段代碼具體執行了什么操作,值得我們注意的只有一點,就是從 system_call開始,直到正式發生系統調用時才出現了個call語句。我們可以利用這一點來進行搜索。再通過“x/xw (syscall_call)”命令來查看call語句的指令碼為0xc03094c08514ff。這樣,我們就可以利用程序中給出的代碼進行查找了。
至此,我們已經成功的獲得了sys_call_table地址,就可以像在以前內核版本中那樣對其進行操作了。
getscTable()是在內存中查找sys_call_table地址的函數。每一個系統調用都是通過int 0x80中斷進入核心,中斷描述符表把中斷服務程序和中斷向量對應起來。對于系統調用來說,操作系統會調用system_call中斷服務程序。system_call函數在系統調用表中根據系統調用號找到并調用相應的系統調用服務例程。idtr寄存器指向中斷描述符表的起始地址,用sidt[asm ("sidt %0" : "=m" (idtr));]指令得到中斷描述符表起始地址,從這條指令中得到的指針可以獲得int 0x80中斷服描述符所在位置,然后計算出system_call函數的地址。反編譯一下system_call函數可以看到在system_call函數內,是用call sys_call_table指令來調用系統調用函數的。因此,只要找到system_call里的call sys_call_table(,eax,4)指令的機器指令就可以獲得系統調用表的入口地址了。