Я ввожу вызов mprotect
в отслеживаемый процесс:
static int inject_mprotect(pid_t child, void *addr, size_t len, int prot)
{
// Machine code:
// int $0x80 (system call)
// int3 (trap)
char code[] = {0xcd,0x80,0xcc,0};
char orig_code[3];
struct user_regs_struct regs;
struct user_regs_struct orig_regs;
// Take a copy of current state
__check_ptrace(PTRACE_GETREGS, child, NULL, &orig_regs);
getdata(child, INSTRUCTION_POINTER(regs), orig_code, 3);
// Inject the code, update registers
putdata(child, INSTRUCTION_POINTER(regs), code, 3);
__check_ptrace(PTRACE_GETREGS, child, NULL, ®s);
XAX_REGISTER(regs) = MPROTECT_SYSCALL;
MPROTECT_ARG_START(regs) = (unsigned long)addr;
MPROTECT_ARG_LEN(regs) = len;
MPROTECT_ARG_PROT(regs) = prot;
__check_ptrace(PTRACE_SETREGS, child, NULL, ®s);
// Snip
Однако вызов терпит неудачу, возвращая -14 (EFAULT
). Я просмотрел исходный код mprotect
(ядро 3.13) и не понимаю, почему мой системный вызов возвращает это.
Если я отследю свой введенный вызов и распечатаю регистры, я увижу следующее:
SIGTRAP: eip: 0x34646ef8d4, syscall 10, rc = -38
PARENT 10 MPROTECT(start: 0x00007f45b9611000, len: 4096, prot: 0)
EIP: 0x00000034646ef8d4 AX: 0xffffffffffffffda BX: 0x0000000000000005 CX: 0xffffffffffffffff
DX: 0x0000000000000000 DI: 0x00007f45b9611000 BP: 0x00007fffcb93bc20 SI: 0x0000000000001000
R8: 0x0000000000000000 R9: 0x0000000000000000 R10: 0x0000000000000000
SIGTRAP: eip: 0x34646ef8d4, syscall 10, rc = -14 Bad address (trap after system call exit)
Чтобы проверить формат системного вызова, я добавил вызов mprotect
дочернему элементу и выгрузил его аргументы и регистры:
SIGTRAP: eip: 0x34646ef927, syscall 10, rc = -38
CHILD 10 MPROTECT(start: 0x00007f45b9611000, len: 4096, prot: 0)
EIP: 0x00000034646ef927 AX: 0xffffffffffffffda BX: 0x0000000000000005 CX: 0xffffffffffffffff
DX: 0x0000000000000000 DI: 0x00007f45b9611000 BP: 0x00007fffcb93bc20 SI: 0x0000000000001000
R8: 0x000000000000004e R9: 0x746f72706d206c6c R10: 0x00007fffcb93b9a0
SIGTRAP (child return): eip: 0x34646ef927, syscall 10, rc = 0
Звонок от ребенка проходит успешно. Итак, учитывая, что я делаю тот же системный вызов (10) с теми же аргументами, почему введенный вызов завершается ошибкой с EFAULT
, в то время как вызов от дочернего элемента выполняется успешно?
Единственная разница между вызовами — некоторый мусор в regs.r8
, regs.r9
и regs.r10
, однако основанный на эта таблица системных вызовов на X86_64 Я не думаю, что содержимое этих регистров повлияет на системный вызов.
int 0x80
— это 32-битный синтаксис) - person Phillip   schedule 02.06.2014int 0x80
противsyscall
! - person Chiggs   schedule 02.06.2014