1818IP-服务器技术教程,云服务器评测推荐,服务器系统排错处理,环境搭建,攻击防护等

当前位置:首页 - 运维 - 正文

君子好学,自强不息!

Linux用户空间获取系统调用表地址

2022-11-15 | 运维 | 1818ip | 634°c
A+ A-

一、代码及实现

(一)用户空间源代码

#include

#include

#include

#include

#include

#include

#include

#include

#include

#define CALLOFF 100 //读取100字节

struct {

unsigned short limit;

unsigned int base;

} __attribute__ ((packed)) idtr; //这个结构表示IDTR寄存器,这个寄存器中保存中断描述符表 的地址

struct {

unsigned short off1;

unsigned short sel;

unsigned char none,flags;

unsigned short off2;

} __attribute__ ((packed)) idt; //中断描述符表中的内容:中断门描述符

unsigned int old_readkmem (int fd, void * buf,size_t off,unsigned int size) //用read方式读取kmem中一定长度内容

{

if (lseek64(fd, (unsigned long long)off,SEEK_SET)!=off)

{

perror(“fd lseek error”);

return 0;

}

if (read(fd, buf,size)!=size)

{

perror(“fd read error”);

return 0;

}

}

unsigned long readkmem (int fd, void * buf, size_t off, unsigned int size)//用mmap方式从kmem中读取一定长度内容

{

size_t moff, roff;

size_t sz = getpagesize();

char * kmap;

unsigned long ret_old = old_readkmem(fd, buf, off, size); //先用老方法读取,不行再用mmap

#p#

if (ret_old != 0)

return ret_old;

moff = ((size_t)(off/sz)) * sz;

roff = off – moff;

kmap = mmap(0, size+sz, PROT_READ, MAP_PRIVATE, fd, moff);

if (kmap == MAP_FAILED)

{

perror(“readkmem: mmap”);

return 0;

}

memcpy (buf, &kmap[roff], size);

if (munmap(kmap, size) != 0)

{

perror(“readkmem: munmap”);

return 0;

}

return size;

}

int main (int argc, char **argv)

{

unsigned sys_call_off;

int kmem_fd; // /dev/kmem文件描述符

unsigned sct;

char sc_asm[CALLOFF],*p;

/* 获得IDTR寄存器的值 */

asm (“sidt %0” : “=m” (idtr));

printf(“idtr base at 0x%X\n”,(int)idtr.base);

/* 打开kmem */

kmem_fd = open (“/dev/kmem”,O_RDONLY);

if (kmem_fd

{

perror(“open”);

return 1;

}

/* 从IDT读出0x80向量 (syscall) */

readkmem (kmem_fd, &idt,idtr.base+8*0x80,sizeof(idt)); //idtr.base+8*0x80 表示80中断描述符的偏移

sys_call_off = (idt.off2

printf(“idt80: flags=%X sel=%X off=%X\n”, (unsigned)idt.flags,(unsigned)idt.sel,sys_call_off);

/* 寻找sys_call_table的地址 */

readkmem (kmem_fd, sc_asm,sys_call_off,CALLOFF);

p = (char*)memmem (sc_asm,CALLOFF,”\xff\x14\x85″,3); //只要找到邻近int $0x80入口点system_call的call sys_call_table(,eax,4)指令的机器指令就可以了,call something(,eax,4)指令的机器码是0xff 0x14 0x85,因此搜索这个字符串。

sct = *(unsigned*)(p+3); //sys_call_table地址就在0xff 0x14 0x85之后

if (p)

{

printf (“sys_call_table at 0x%x, call dispatch at 0x%x\n”, sct, p);

}

close(kmem_fd);

return 0;

}

(二)编译及实践

该程序就是用户空间的普通应用程序,编译之后执行即可。我这里同时列出在虚拟机上和物理机上的执行结果,以作对比。

虚拟机上的执行结果如下:

idtr base at 0xFFC18000

fd read error: Success

readkmem: mmap: Input/output error

idt80: flags=0 sel=0 off=0

fd read error: Bad address

readkmem: mmap: Input/output error

Segmentation fault

物理机上的执行结果:

idtr base at 0xC1334000

idt80: flags=EF sel=60 off=C1003CC4

sys_call_table at 0xc124d4e0, call dispatch at 0xbfc2b330

可见,虚拟机环境中并没有正确的获取到系统调用表,而物理机上的程序则正确的执行了。为什么虚拟机上执行有问题呢?我会在第二部分的分析总结中进行解释。

二、总结

(一)实现原理

内核态获取系统调用表的实现原理,请参看本人的博文《Linux下实现劫持系统调用的总结》。用户态的实现原理,从本质上应该是和内核一致的。有区别的地方就在于,内核态可以直接访问内核地址空间,而用户态是不可以的。

因此,用户态实现的时候就需要解决如何访问内核地址空间的问题。我们同样可以通过sidt指令获取到中断向量表的地址,然后通过读取/dev/kmem来定位到该地址。对于文件/dev/kmem,可以通过直接read或者mmap的方式操作即可。接下来的工作就是一步一步的去定位到系统调用表的地址了。

(二)虚拟机环境的问题

我们上面谈到在虚拟机执行该程序的时候出错了,经查找,其原因见

本文来源:1818IP

本文地址:https://www.1818ip.com/post/9587.html

免责声明:本文由用户上传,如有侵权请联系删除!

发表评论

必填

选填

选填

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。