一、代碼及實(shí)現(xiàn)

（一）用戶空間源代碼

#include

#include

#include

#include

#include

#include

#include

#include

#include

#define CALLOFF 100 //讀取100字節(jié)

struct {

unsigned short limit;

unsigned int base;

} __attribute__ ((packed)) idtr;  //這個(gè)結(jié)構(gòu)表示IDTR寄存器，這個(gè)寄存器中保存中斷描述符表 的地址

struct {

unsigned short off1;

unsigned short sel;

unsigned char none,flags;

unsigned short off2;

} __attribute__ ((packed)) idt;  //中斷描述符表中的內(nèi)容：中斷門描述符

unsigned int old_readkmem (int fd, void * buf,size_t off,unsigned int size) //用read方式讀取kmem中一定長度內(nèi)容

{

if (lseek64(fd, (unsigned long long)off,SEEK_SET)!=off)

{

perror("fd lseek error");

return 0;

}

if (read(fd, buf,size)!=size)

{

perror("fd read error");

return 0;

}

}

unsigned long readkmem (int fd, void * buf, size_t off, unsigned int size)//用mmap方式從kmem中讀取一定長度內(nèi)容

{

size_t  moff, roff;

size_t   sz = getpagesize();

char * kmap;

unsigned long ret_old = old_readkmem(fd, buf, off, size); //先用老方法讀取,不行再用mmap

if (ret_old != 0)

return ret_old;

moff = ((size_t)(off/sz)) * sz;

roff = off - moff;

kmap = mmap(0, size+sz, PROT_READ, MAP_PRIVATE, fd, moff);

if (kmap == MAP_FAILED)

{

perror("readkmem: mmap");

return 0;

}

memcpy (buf, &kmap[roff], size);

if (munmap(kmap, size) != 0)

{

perror("readkmem: munmap");

return 0;

}

return size;

}

int main (int argc, char **argv)

{

unsigned sys_call_off;

int kmem_fd;  // /dev/kmem文件描述符

unsigned sct;

char sc_asm[CALLOFF],*p;

/* 獲得IDTR寄存器的值 */

asm ("sidt %0" : "=m" (idtr));

printf("idtr base at 0x%X\n",(int)idtr.base);

/* 打開kmem */

kmem_fd = open ("/dev/kmem",O_RDONLY);

if (kmem_fd<0)

{

perror("open");

return 1;

}

/* 從IDT讀出0x80向量 (syscall) */

readkmem (kmem_fd, &idt,idtr.base+8*0x80,sizeof(idt)); //idtr.base+8*0x80 表示80中斷描述符的偏移

sys_call_off = (idt.off2 << 16) | idt.off1;    //idt.off2 表示地址的前16位，得到syscall地址

printf("idt80: flags=%X sel=%X off=%X\n", (unsigned)idt.flags,(unsigned)idt.sel,sys_call_off);

/* 尋找sys_call_table的地址 */

readkmem (kmem_fd, sc_asm,sys_call_off,CALLOFF);

p = (char*)memmem (sc_asm,CALLOFF,"\xff\x14\x85",3); //只要找到鄰近int $0x80入口點(diǎn)system_call的call sys_call_table(,eax,4)指令的機(jī)器指令就可以了,call something(,eax,4)指令的機(jī)器碼是0xff 0x14 0x85，因此搜索這個(gè)字符串。

sct = *(unsigned*)(p+3); //sys_call_table地址就在0xff 0x14 0x85之后

if (p)

{

printf ("sys_call_table at 0x%x, call dispatch at 0x%x\n", sct, p);

}

close(kmem_fd);

return 0;

}

（二）編譯及實(shí)踐

該程序就是用戶空間的普通應(yīng)用程序，編譯之后執(zhí)行即可。我這里同時(shí)列出在虛擬機(jī)上和物理機(jī)上的執(zhí)行結(jié)果，以作對(duì)比。

虛擬機(jī)上的執(zhí)行結(jié)果如下：

idtr base at 0xFFC18000

fd read error: Success

readkmem: mmap: Input/output error

idt80: flags=0 sel=0 off=0

fd read error: Bad address

readkmem: mmap: Input/output error

Segmentation fault

物理機(jī)上的執(zhí)行結(jié)果：

idtr base at 0xC1334000

idt80: flags=EF sel=60 off=C1003CC4

sys_call_table at 0xc124d4e0, call dispatch at 0xbfc2b330

可見，虛擬機(jī)環(huán)境中并沒有正確的獲取到系統(tǒng)調(diào)用表，而物理機(jī)上的程序則正確的執(zhí)行了。為什么虛擬機(jī)上執(zhí)行有問題呢？我會(huì)在第二部分的分析總結(jié)中進(jìn)行解釋。

二、總結(jié)

（一）實(shí)現(xiàn)原理

內(nèi)核態(tài)獲取系統(tǒng)調(diào)用表的實(shí)現(xiàn)原理，請(qǐng)參看本人的博文《Linux下實(shí)現(xiàn)劫持系統(tǒng)調(diào)用的總結(jié)》。用戶態(tài)的實(shí)現(xiàn)原理，從本質(zhì)上應(yīng)該是和內(nèi)核一致的。有區(qū)別的地方就在于，內(nèi)核態(tài)可以直接訪問內(nèi)核地址空間，而用戶態(tài)是不可以的。

因此，用戶態(tài)實(shí)現(xiàn)的時(shí)候就需要解決如何訪問內(nèi)核地址空間的問題。我們同樣可以通過sidt指令獲取到中斷向量表的地址，然后通過讀取/dev/kmem來定位到該地址。對(duì)于文件/dev/kmem，可以通過直接read或者mmap的方式操作即可。接下來的工作就是一步一步的去定位到系統(tǒng)調(diào)用表的地址了。

（二）虛擬機(jī)環(huán)境的問題

我們上面談到在虛擬機(jī)執(zhí)行該程序的時(shí)候出錯(cuò)了，經(jīng)查找，其原因見參考鏈接3，這里列出其解釋：

在大多數(shù)的虛擬機(jī)中將無法順利的讀取IDTR。因?yàn)閘idt指令是一個(gè)特權(quán)指令，將會(huì)產(chǎn)生一個(gè)異常，并被VM所捕獲。這樣可以使VM為每一個(gè)操作系統(tǒng)維持 一個(gè)虛擬的IDTR。因?yàn)閟idt指令沒有被處理，它將會(huì)返回一個(gè)偽造的IDTR地址，通常會(huì)大于0xFFC00000。

我們?cè)谔摂M機(jī)執(zhí)行這個(gè)程序返回的idtr的地址是0xFFC18000，正好印證了該解釋。

以上是對(duì)用戶空間獲取系統(tǒng)調(diào)用表地址的總結(jié)。如有遺漏不妥之處，請(qǐng)大家多多指教。

【編輯推薦】

1. 理解Linux的系統(tǒng)調(diào)用
2. Linux磁盤存儲(chǔ)區(qū)管理原理與技巧
3. Linux磁盤配額管理