Question

我正在用这个代码块替换/挂钩__NR_read sysall（在内核模块的可执行内存中编译并保存为操作码）

push rbp;
mov rbp, rsp;
sub rsp, 64; //8 bytes for rax content + 48 bytes for 6 args + 8 bytes for syscall result

mov [rsp], rax;
mov [rsp - 8], rdi;
mov [rsp - 16], rsi;
mov [rsp - 24], rdx;
mov [rsp - 32], r10;
mov [rsp - 40], r8;
mov [rsp - 48], r9;

mov rax, &atomic_inc;
mov rdi, &iter->counter;
call rax;

mov rax, [rsp];
mov rdi, [rsp - 8];
mov rsi, [rsp - 16];
mov rdx, [rsp - 24];
mov r10, [rsp - 32];
mov r8, [rsp - 40];
mov r9, [rsp - 48];
syscall;

mov [rsp - 56], rax;

mov rax, &iter->fake_syscall_function; //<-- this is inside the kernel module
mov rdi, [rsp - 8];
mov rsi, [rsp - 16];
mov rdx, [rsp - 24];
mov rcx, [rsp - 32];
mov r8, [rsp - 40];
mov r9, [rsp - 48];
call rax;

mov rax, &atomic_dec;
mov rdi, &iter->counter;
call rax;

mov rax, [rsp - 56];

mov rsp, rbp;
pop rbp;
ret;

现在，这假装做了什么：

保存系统调用参数
使用指向包含atomit_t数据的内存的参数调用atomic_inc
调用真实的系统调用
保存返回的值
使用之前保存的参数调用挂钩的系统调用（这用于监视系统调用，也称为调用它的参数）
调用atomic_dec
将调用结果返回到真实的系统调用（将其置于rax中）

编译操作码，并在运行时修补函数的地址（伪造的系统调用，atomic_int和atomic_dec）。在运行时修补后，操作码如下所示：

554889e54883ec404889042448897c24f848897424f048895424e84c895424e04c894424d84c894c24d048b860621fa0ffffffff48bf000433250088ffffffd0488b0424488b7c24f8488b7424f0488b5424e84c8b5424e04c8b4424d84c8b4c24d00f0548894424c848b8f0701fa0ffffffff488b7c24f8488b7424f0488b5424e8488b4c24e04c8b4424d84c8b4c24d0ffd048b870621fa0ffffffff48bf000433250088ffffffd0488b4424c84889ec5dc3

我正在使用http://www.onlinedisassembler.com/odaweb/检查一切是否正确，但是无论如何，我正在尝试这些更改的虚拟框崩溃。

我的问题是：你能发现我的代码有什么问题吗？（因为我无法提供有关错误的任何进一步细节，因为我自己无法得到这些错误。）

此致

Answer 1

官方发展援助向我显示this：

.data:0x0000005d    4c8b4c24d0  mov    r9,QWORD PTR [rsp-0x30]
.data:0x00000062    0f05    syscall
.data:0x00000064    48894424c8  mov    QWORD PTR [rsp-0x38],rax

那么，什么是SYSCALL ???

可能，您的意思是系统调用处理例程的CALL（例如sys_read）。因此，在这种情况下，它必须是call sys_read ...

通过ASM代码处理系统调用

1 个答案: