2

Linuxでファイルを逆アセンブルする必要があり、後で配置する/proc/kcoreためにいくつかの特別な命令の仮想アドレスを取得する必要があります。このドキュメントkprobesによると、物理メモリのイメージですが、この質問では、誰かがそれがカーネルの仮想メモリ(まさに私が探しているもの)であると答えました。 /proc/kcore

ツールを使用objdumpして分解すると、アドレスは。のようf7c0b000になりますが、udis86は0x0(およびまったく異なる命令)で始まります。grep特定の指示をしようとすると、たとえばmov 0xf7c1d60c,%edx、次のようになります。

objdump

f7c0b022 mov    0xf7c1d60c,%edx

udis86

290ec02a mov    0xf7c1d60c,%edx

udis86との間のオフセットのように見えますが、objdump常に0xbffff000です。なぜそんなに奇妙なオフセット?特定の命令の仮想アドレスを取得するにはどうすればよいですか?私が読んだどこかで、そのカーネルは仮想アドレス0xc0000000+0x100000に静的にマッピングされています。が本当に物理的なイメージである場合/proc/kcore、によって返されるアドレスに0x100000を追加するだけで正しいのobjdumpでしょうか?仮想アドレスを取得しますか?

4

1 に答える 1

3

objdumpELFフォーマット ファイル ( など) を認識します/proc/kcore。実行可能でないコンテンツ (セクションなど) を無視して、ファイルの実行可能セクションを抽出できます.note

次の例のように、フラグELFを使用して実行可能ファイルの構造を確認できます。-h

# objdump -h /proc/kcore
/proc/kcore:     file format elf64-x86-64

Sections:
Idx Name          Size      VMA               LMA               File off  Algn
  0 note0         00001944  0000000000000000  0000000000000000  000002a8  2**0
                  CONTENTS, READONLY
  1 .reg/0        000000d8  0000000000000000  0000000000000000  0000032c  2**2
                  CONTENTS
  2 .reg          000000d8  0000000000000000  0000000000000000  0000032c  2**2
                  CONTENTS
  3 load1         00800000  ffffffffff600000  0000000000000000  7fffff602000  2**12
                  CONTENTS, ALLOC, LOAD, CODE
(...)

udcliのツールはおそらくファイルの先頭から逆アセンブルを開始するように見えudis86ます。これは、出力がおそらく無関係な出力の束で始まることを示唆しており、実行の開始場所を把握するのはあなた次第です。

アップデート

では検証です。この回答を使用して、次loadのように /proc/kcore から最初のセクションを抽出します。

# dd if=/proc/kcore of=mysection bs=1 skip=$[0x7fffff602000] count=$[0x00800000]

そして今、それを次のように表示するとudcli:

# udcli mysection
0000000000000000 48               dec eax                 
0000000000000001 c7c060000000     mov eax, 0x60           
0000000000000007 0f05             syscall                 
0000000000000009 c3               ret                     
000000000000000a cc               int3                    
000000000000000b cc               int3

の出力とほぼ同じに見えることがわかりますobjdump -d /proc/kcore

# objdump -d /proc/kcore
/proc/kcore:     file format elf64-x86-64


Disassembly of section load1:

ffffffffff600000 <load1>:
ffffffffff600000:       48 c7 c0 60 00 00 00    mov    $0x60,%rax
ffffffffff600007:       0f 05                   syscall 
ffffffffff600009:       c3                      retq   
ffffffffff60000a:       cc                      int3   
ffffffffff60000b:       cc                      int3
于 2012-05-07T17:57:29.633 に答える