linux社区爱心援助Linux认证系列教程业界动态站务新闻公司招聘建议留言网址大全LPI专题CISCO专题
设为首页
加入收藏
管理团队
JSP  
JAVA  
PERL  
 您的位置:首页 > article > Linux开发区 > 内核研究 >
栏目导栏
资料搜索
热门文章
·linux-2.6内核升级文档
·Linux源代码的注释
·linux2.6内核编译方法详述
·Linux操作系统内核编译详解
·Linux内核结构详解
·Linux配置与编译内核
·定时器
·Linux内核升级全攻略
·FC5(Fedora Core5)下编译内核总
·Ubuntu 6.06 dapper 内核编译初
·Linux 内核编译详解
·Linux内核管理基础知识概述
·Linux2.4升级到2.6内核升级指南
·第八章 设备驱动
·如何编译linux内核
最新文章
·Linux内核bootsplash功能的实现
·Linux内核2.6.25全新发布加入众
·Debian Linux系统编译内核标准
·Linux2.4内核和2.6内核对Initr
·2.6.24内核编译 initrd-2.6.24
·Qtopia应用程序与Linux内核数据
·Linux 2.6内核中sysfs文件系统
·Linux2.6内核驱动移植参考
·Andrew Morton:Linux内核的执法
·Fedora 8 Linux系统的内核配置
·Kernel中的irq.c函数
·Linux核心出现权限扩张及记忆体
·Linux 2.6本地权限提升漏洞
·结合Linux系统内核源码理解SYN
·关于Linux 内核中五个主要子系
Google
 
Linux2.6内核模块获取sys call table地址
[ 作者:  加入时间:2007-10-31 18:07:06  来自:Linux联盟收集整理 ]
 

本文主要介绍在Linux 2.6版的内核中实现基地址修改的方法。所有代码我都在基于2.6.19版内核的Fedora Core 6上进行了测试。

Linux 2.6版的内核出于安全的考虑没有将系统调用列表基地址的符号sys_call_table导出,但要对系统调用进行替换,却必须要获取该地址,于是就有了这篇文章。

我在这里采用的基本思路是这样的,因为系统调用都是通过0x80中断来进行的,故可以通过查找0x80中断的处理程序来获得sys_call_table的地址。其基本步骤是,首先获取中断描述符表的地址,再从中查找0x80中断的服务例程,再搜索该例程的内存空间,以从其中获取sys_call_table的地址。其代码如下:

#include

#include

// 中断描述符表寄存器结构

struct {

unsigned short limit;

unsigned int base;

} __attribute__((packed)) idtr;

// 中断描述符表结构

struct {

unsigned short off1;

unsigned short sel;

unsigned char none, flags;

unsigned short off2;

} __attribute__((packed)) idt;

// 查找sys_call_table的地址

void disp_sys_call_table(void)

{

unsigned int sys_call_off;

unsigned int sys_call_table;

char* p;

int i;

// 获取中断描述符表寄存器的地址

asm("sidt %0":"=m"(idtr));

printk("addr of idtr: %x\n", &idtr);

// 获取0x80中断处理程序的地址

memcpy(&idt, idtr.base+8*0x80, sizeof(idt));

sys_call_off=((idt.off2<<16)|idt.off1);

printk("addr of idt 0x80: %x\n", sys_call_off);

// 从0x80中断服务例程中搜索sys_call_table的地址

p=sys_call_off;

for (i=0; i<100; i++)

{

if (p=='\xff' && p[i+1]=='\x14' && p[i+2]=='\x85')

{

sys_call_table=*(unsigned int*)(p+i+3);

printk("addr of sys_call_table: %x\n", sys_call_table);

return ;

}

}

}

// 模块载入时被调用

static int __init init_get_sys_call_table(void)

{

disp_sys_call_table();

return 0;

}

module_init(init_get_sys_call_table);

// 模块卸载时被调用

static void __exit exit_get_sys_call_table(void)

{

}

module_exit(exit_get_sys_call_table);

// 模块信息

MODULE_LICENSE("GPL2.0");

MODULE_AUTHOR("Xizhi Zhu");

在编译并载入该模块后,可以通过dmesg命令看到如下的输出:

addr of idtr: d0af4680

addr of idt 0x80: c0103e04

addr of sys_call_table: c03094c0

可见,上面的程序能够获取sys_call_table的地址。

在上面的代码中,最复杂的应该就是从0x80中断的服务例程中搜索sys_call_table的一段了,现解释如下。

首先,我们使用命令“gdb -q /usr/src/kernels/2.6.19/vmlinux”来反编译内核,再使用“disass system_call”和“disass syscall_call”两条gdb命令来查看内核的汇编代码,其结果如下:

(gdb) disass system_call

Dump of assembler code for function system_call:

0xc0103e04 : push %eax

0xc0103e05 : cld

0xc0103e06 : push %es

0xc0103e07 : push %ds

0xc0103e08 : push %eax

0xc0103e09 : push %ebp

0xc0103e0a : push %edi

0xc0103e0b : push %esi

0xc0103e0c : push %edx

0xc0103e0d : push %ecx

0xc0103e0e : push %ebx

0xc0103e0f : mov $0x7b,%edx

0xc0103e14 : movl %edx,%ds

0xc0103e16 : movl %edx,%es

0xc0103e18 : mov $0xfffff000,%ebp

0xc0103e1d : and %esp,%ebp

0xc0103e1f : testl $0x100,0x30(%esp)

0xc0103e27 : je 0xc0103e2d

0xc0103e29 : orl $0x10,0x8(%ebp)

End of assembler dump.

(gdb) disass syscall_call

Dump of assembler code for function syscall_call:

0xc0103e44 : call *0xc03094c0(,%eax,4)

0xc0103e4b : mov %eax,0x18(%esp)

End of assembler dump.

其中,system_call是0x80中断的服务例程的入口,而syscall_call是调用指定系统调用的部分。在得到的反汇编代码中可以看到,地址0xc03094c0就是我们需要搜索的sys_call_table的地址。

p.s. 如果不考虑可移植性,我们当然可以直接使用这个地址进行操作。但是,为了获取更好的兼容性,我们应该通过对代码段进行搜索来查找该值。

通过进一步的反汇编,我们可以发现,从system_call开始,到syscall_call结束的汇编代码如下:

0xc0103e04 : push %eax

0xc0103e05 : cld

0xc0103e06 : push %es

0xc0103e07 : push %ds

0xc0103e08 : push %eax

0xc0103e09 : push %ebp

0xc0103e0a : push %edi

0xc0103e0b : push %esi

0xc0103e0c : push %edx

0xc0103e0d : push %ecx

0xc0103e0e : push %ebx

0xc0103e0f : mov $0x7b,%edx

0xc0103e14 : movl %edx,%ds

0xc0103e16 : movl %edx,%es

0xc0103e18 : mov $0xfffff000,%ebp

0xc0103e1d : and %esp,%ebp

0xc0103e1f : testl $0x100,0x30(%esp)

0xc0103e27 : je 0xc0103e2d

0xc0103e29 : orl $0x10,0x8(%ebp)

0xc0103e2d : testw $0x1c1,0x8(%ebp)

0xc0103e33 : jne 0xc0103ef8

0xc0103e39 : cmp $0x140,%eax

0xc0103e3e : jae 0xc0103f6b

0xc0103e44 : call *0xc03094c0(,%eax,4)

0xc0103e4b : mov %eax,0x18(%esp)

我们不用关心这段代码具体执行了什么操作,值得我们注意的只有一点,就是从 system_call开始,直到正式发生系统调用时才出现了第一个call语句。我们可以利用这一点来进行搜索。再通过“x/xw (syscall_call)”命令来查看call语句的指令码为0xc03094c08514ff。这样,我们就可以利用程序中给出的代码进行查找了。

至此,我们已经成功的获得了sys_call_table地址,就可以像在以前内核版本中那样对其进行操作了。

getscTable()是在内存中查找sys_call_table地址的函数。每一个系统调用都是通过int 0x80中断进入核心,中断描述符表把中断服务程序和中断向量对应起来。对于系统调用来说,操作系统会调用system_call中断服务程序。system_call函数在系统调用表中根据系统调用号找到并调用相应的系统调用服务例程。idtr寄存器指向中断描述符表的起始地址,用sidt[asm ("sidt %0" : "=m" (idtr));]指令得到中断描述符表起始地址,从这条指令中得到的指针可以获得int 0x80中断服描述符所在位置,然后计算出system_call函数的地址。反编译一下system_call函数可以看到在system_call函数内,是用call sys_call_table指令来调用系统调用函数的。因此,只要找到system_call里的call sys_call_table(,eax,4)指令的机器指令就可以获得系统调用表的入口地址了。

Linux联盟收集整理 ,转贴请标明原始链接,如有任何疑问欢迎来本站Linux论坛讨论
评论】【加入收藏夹】【 】【打印】【关闭
※ 相关链接
 ·Linux2.6内核epoll 网络编程  (2007-06-01 10:18:27)
 ·内核操作 Linux2.6内核驱动移植参考  (2007-04-27 10:08:26)
 ·将驱动及应用软件移植到Linux2.6内核  (2007-03-01 12:34:19)
 ·linux2.6内核启动传递命令行分析  (2007-02-01 11:27:54)
 ·基于Linux2.6内核ACL功能体验之旅  (2006-12-14 11:10:24)
 ·编写简单的Linux2.6内核模块  (2006-10-29 12:12:27)
 ·linux2.6内核编译方法详述  (2006-08-09 11:15:14)
 ·Linux2.6内核的嵌入式系统应用  (2006-07-18 19:18:07)
 ·Linux2.6内核驱动移植  (2006-07-07 13:11:07)
 ·巧用Linux2.6内核新功能配置文件ACL  (2005-11-24 20:43:20)
© CopyRight 2006-2009 xxlinux.com.Inc All Rights Reserved
Powered by xxlinux.com