3

mprotectトレースされたプロセスに呼び出しを挿入しています:

static int inject_mprotect(pid_t child, void *addr, size_t len, int prot)
{
    // Machine code:
    //  int $0x80       (system call)
    //  int3            (trap)
    char code[] = {0xcd,0x80,0xcc,0};
    char orig_code[3];
    struct user_regs_struct regs;
    struct user_regs_struct orig_regs;

    // Take a copy of current state
    __check_ptrace(PTRACE_GETREGS, child, NULL, &orig_regs);
    getdata(child, INSTRUCTION_POINTER(regs), orig_code, 3);

    // Inject the code, update registers
    putdata(child, INSTRUCTION_POINTER(regs), code, 3);
    __check_ptrace(PTRACE_GETREGS, child, NULL, &regs);
    XAX_REGISTER(regs) = MPROTECT_SYSCALL;
    MPROTECT_ARG_START(regs) = (unsigned long)addr;
    MPROTECT_ARG_LEN(regs) = len;
    MPROTECT_ARG_PROT(regs) = prot;   
    __check_ptrace(PTRACE_SETREGS, child, NULL, &regs);

    // Snip

ただし、呼び出しは失敗し、-14 ( EFAULT) が返されます。ソース (カーネル 3.13)を調べましたがmprotect、システム コールがこれを返す理由がわかりません。

注入された呼び出しをトレースしてレジスタを出力すると、次のように表示されます。

SIGTRAP: eip: 0x34646ef8d4, syscall 10, rc = -38
PARENT 10 MPROTECT(start: 0x00007f45b9611000, len: 4096, prot: 0)
EIP: 0x00000034646ef8d4 AX: 0xffffffffffffffda  BX: 0x0000000000000005  CX: 0xffffffffffffffff
 DX: 0x0000000000000000 DI: 0x00007f45b9611000  BP: 0x00007fffcb93bc20  SI: 0x0000000000001000
 R8: 0x0000000000000000 R9: 0x0000000000000000  R10: 0x0000000000000000
SIGTRAP: eip: 0x34646ef8d4, syscall 10, rc = -14 Bad address (trap after system call exit)

システム コールの形式を検証するためmprotectに、子プロセスへの呼び出しを追加し、その引数とレジスタをダンプしました。

SIGTRAP: eip: 0x34646ef927, syscall 10, rc = -38
CHILD  10 MPROTECT(start: 0x00007f45b9611000, len: 4096, prot: 0)
EIP: 0x00000034646ef927 AX: 0xffffffffffffffda  BX: 0x0000000000000005  CX: 0xffffffffffffffff
 DX: 0x0000000000000000 DI: 0x00007f45b9611000  BP: 0x00007fffcb93bc20  SI: 0x0000000000001000
 R8: 0x000000000000004e R9: 0x746f72706d206c6c  R10: 0x00007fffcb93b9a0
SIGTRAP (child return): eip: 0x34646ef927, syscall 10, rc = 0

子からの呼び出しは成功します。同じ引数で同じシステム コール (10) を実行してEFAULTいるのに、子からの呼び出しが成功しているのに、注入された呼び出しが失敗するのはなぜですか?

呼び出し間の唯一の違いは、 と のジャンクですがregs.r8regs.r9このシステム コールの表を X86_64regs.r10に基づいていると、これらのレジスタの内容がシステム コールに影響を与えるとは思えません。

4

1 に答える 1

4

問題はこの質問に関連しています: i386 と x86_64 は、システム コールに異なる呼び出し規則を使用します。コード例ではint 0x80、i386 バリアントを使用していますがsyscall_number = 10、 の 64 ビット syscall 番号を使用していますmprotect。32 ビット環境では、syscall 10 は、このリストunlinkよると に対応し、 ( ) を返すことができます。EFAULTBad address

64 ビット プラットフォームでは、32 ビットまたは 64 ビットのバリアントを一貫した方法で使用すると、問題が解決します。

于 2014-06-03T06:21:59.423 に答える