【发布时间】:2013-12-19 18:32:03
【问题描述】:
我正在用这段代码替换/挂钩__NR_read sysall(它被编译并作为操作码保存在内核模块的可执行内存中)
push rbp;
mov rbp, rsp;
sub rsp, 64; //8 bytes for rax content + 48 bytes for 6 args + 8 bytes for syscall result
mov [rsp], rax;
mov [rsp - 8], rdi;
mov [rsp - 16], rsi;
mov [rsp - 24], rdx;
mov [rsp - 32], r10;
mov [rsp - 40], r8;
mov [rsp - 48], r9;
mov rax, &atomic_inc;
mov rdi, &iter->counter;
call rax;
mov rax, [rsp];
mov rdi, [rsp - 8];
mov rsi, [rsp - 16];
mov rdx, [rsp - 24];
mov r10, [rsp - 32];
mov r8, [rsp - 40];
mov r9, [rsp - 48];
syscall;
mov [rsp - 56], rax;
mov rax, &iter->fake_syscall_function; //<-- this is inside the kernel module
mov rdi, [rsp - 8];
mov rsi, [rsp - 16];
mov rdx, [rsp - 24];
mov rcx, [rsp - 32];
mov r8, [rsp - 40];
mov r9, [rsp - 48];
call rax;
mov rax, &atomic_dec;
mov rdi, &iter->counter;
call rax;
mov rax, [rsp - 56];
mov rsp, rbp;
pop rbp;
ret;
现在,它假装在做什么:
- 保存系统调用参数
- 使用指向包含 atomit_t 数据的内存的参数调用 atomic_inc
- 调用真正的系统调用
- 保存返回值
- 使用之前保存的参数调用挂钩的系统调用(这用于监视系统调用,也就是调用它的参数)
- 调用 atomic_dec
- 将调用结果返回给真正的系统调用(将其放在 rax 中)
编译操作码并在运行时修补函数的地址(伪造的系统调用、atomic_int 和 atomic_dec)。 在运行时打补丁后,操作码如下所示:
554889e54883ec404889042448897c24f848897424f048895424e84c895424e04c894424d84c894c24d048b860621fa0ffffffff48bf000433250088ffffffd0488b0424488b7c24f8488b7424f0488b5424e84c8b5424e04c8b4424d84c8b4c24d00f0548894424c848b8f0701fa0ffffffff488b7c24f8488b7424f0488b5424e8488b4c24e04c8b4424d84c8b4c24d0ffd048b870621fa0ffffffff48bf000433250088ffffffd0488b4424c84889ec5dc3
我正在使用http://www.onlinedisassembler.com/odaweb/ 检查一切是否正确,但无论如何,我尝试进行这些更改的虚拟机崩溃了。
我的问题是:您能发现我的代码有什么问题吗? (因为我无法提供有关该错误的更多详细信息,因为我自己无法获得这些信息)。
问候
【问题讨论】:
-
尝试用 C 语言编写它,以便在尝试用汇编语言编写它之前考虑你正在尝试做的事情的流程......记住你不能只用代码覆盖内存大小不同。
标签: linux assembly linux-kernel x86-64 kernel-module