如何在syscall中停止时获取正确的orig_eax值?

时间:2012-06-29 20:49:23

标签: linux debugging system-calls ptrace

我正在使用ptrace(PTRACE_ATTACH ...)附加一个进程,而它在一个系统调用(如nanosleep())中。我可以使用PTRACE_GETREGS来获取寄存器内容,并且eip位于预期的位置(在__kernel_vsyscall中)。但是,eax和orig_eax寄存器具有意外的内容:eax通常包含-516,orig_eax通常为0。

这是我使用的测试程序(取自http://www.linuxjournal.com/article/6210并稍加修改):

    #include <stdlib.h>
    #include <stdio.h>
    #include <sys/ptrace.h>
    #include <sys/types.h>
    #include <sys/wait.h>
    #include <unistd.h>
    #include <sys/user.h>

    int main(int argc, char *argv[])
    {
        pid_t traced_process;
        struct user_regs_struct regs;
        long ins;
        if(argc != 2) {
            printf("Usage: %s <pid to be traced>\n",
                   argv[0]);
            exit(1);
        }
        traced_process = atoi(argv[1]);
        ptrace(PTRACE_ATTACH, traced_process,
               NULL, NULL);
        wait(NULL);
        ptrace(PTRACE_GETREGS, traced_process,
               NULL, &regs);
        printf("eax: %lx (%d); orig_eax: %lx\n",
               regs.eax, (int)regs.eax, regs.orig_eax);
        ins = ptrace(PTRACE_PEEKTEXT, traced_process,
                     regs.eip, NULL);
        printf("EIP: %lx Instruction executed: %lx\n",
               regs.eip, ins);
        ptrace(PTRACE_DETACH, traced_process,
               NULL, NULL);
        return 0;
    }

附加到在另一个终端中运行的“sleep 10000”命令时的输出:

    eax: fffffdfc (-516); orig_eax: 0
    EIP: b7711424 Instruction executed: c3595a5d

eax的价值是什么意思?为什么orig_eax不包含原始的系统调用号(如162)?在这种情况下,我如何实际获得系统呼叫号码?

另外,为什么gdb正确显示“print $ orig_eax”的“162”?

顺便说一下。这是在Ubuntu 12.04上,内核为3.2.0:

  • uname -a:“Linux edgebox 3.2.0-24-generic-pae#37-Ubuntu SMP Wed Apr 25 10:47:59 UTC 2012 i686 athlon i386 GNU / Linux”
  • / proc / cpuinfo:“AMD Athlon(tm)II Neo K345双核处理器”
  • file which sleep:“/ bin / sleep:ELF 32位LSB可执行文件,Intel 80386,版本1(SYSV),动态链接(使用共享库),用于GNU / Linux 2.6.24,BuildID [ sha1] = 0x0965431bde4d183eaa2fa3e3989098ce46b92129,剥离“。

所以这是一个32位PAE内核和64位CPU上的32位Ubuntu安装。

3 个答案:

答案 0 :(得分:1)

当您附加到流程时,会向流程发送一个信号,该流程会中断正在进行的任何系统调用。如果发生这种情况,大多数系统调用只返回-EINTR,并期望用户空间代码在需要时重新启动它们。还有其他系统调用可以自动重启,但这是一个更大的话题。

在某些系统调用的情况下,其中nanosleep()为1,该进程已经在指定时间的一部分睡眠,因此不是从头开始重新启动,而是只想在剩余时间内休眠。为了实现这一点,每个线程都有一个&#34;重启块&#34;在内核空间。当系统调用中断时,它会填充重启块,并返回-516(ERESTART_RESTARTBLOCK)。内核专门处理这个返回代码:它在系统调用之前将pc重新编号并将系统调用号更改为&#34; restart_syscall&#34; (在您的架构上为0)。当重新启动进程时,它显然会调用restart_syscall,它使用重启块来确定要做什么。

此重新启动通常对用户不可见,但ptrace是发现它的一种方法。但是我不知道GDB设法为orig_eax获得正确的值。

答案 1 :(得分:0)

  

这是在Ubuntu 12.04上,内核为3.2.0

这不能唯一标识您的系统。什么处理器?

我的水晶球告诉我,你正在调用的sleep是一个64位程序,而你的跟踪器程序则没有。反之亦然。

答案 2 :(得分:0)

当ptrace(PTRACE_ATTACH)停止休眠过程时,跟踪器进程可以获取寄存器(user_regs_struct)信息。系统呼叫号码为162,即 sys_nanosleep ,eax = -516表示此中断系统呼叫的返回值。

相关问题
最新问题