必须重新定义某些kext成员函数,以避免未解析的符号

时间:2018-09-18 02:47:09

标签: c++ macos iokit kernel-extension mach-o

TL; DR
子类在超类 的范围内重新实现(重新定义)超类(基类)的虚函数,因为动态加载程序要求这样做。对我来说没有任何意义。

示例:

class IO80211Controller : public IOEthernetController
{
    virtual IOReturn enablePacketTimestamping(); // Implemented in binary, I can see the disassembly.
};

// .cpp - Redefinition with superclass namespace.
IOReturn IO80211Controller::enablePacketTimestamping()
{
    return kIOReturnUnsupported; // This is from the disassembly of IO80211Controller
}

上面的不是真正的标题,我希望它接近应该的样子-没有标题可用。

// .hpp
class AirPortBrcm4331 : public IO80211Controller
{
    // Subclass stuff goes here
};

// .cpp - Redefinition with superclass namespace.
IOReturn IO80211Controller::enablePacketTimestamping()
{
    return kIOReturnUnsupported; // This is from the disassembly of AirPortBrcm4331
}

背景
我正在研究IO80211Family.kext(没有可用的标头),尤其是IO80211Controller类-我正在反转标头,因此可以从此类继承而来创建自定义802.11驱动程序。

发现问题
IO80211Controller定义了许多虚拟成员函数,我需要在反向的头文件中声明它们。我创建了一个具有所有虚函数的头文件(从IO80211Controller的vtable中提取),并将其用于子类。

加载新的kext(带有子类)时,出现链接错误:

kxld[com.osxkernel.MyWirelessDriver]: The following symbols are unresolved for this kext:
kxld[com.osxkernel.MyWirelessDriver]: IO80211Controller::enableFeature(IO80211FeatureCode, void*)
kxld[com.osxkernel.MyWirelessDriver]: IO80211Controller::flowIdSupported()
kxld[com.osxkernel.MyWirelessDriver]: IO80211Controller::apple80211_ioctl(IO80211Interface*, __ifnet*, unsigned long, void*)
kxld[com.osxkernel.MyWirelessDriver]: IO80211Controller::enablePacketTimestamping()
kxld[com.osxkernel.MyWirelessDriver]: IO80211Controller::hardwareOutputQueueDepth(IO80211Interface*)
kxld[com.osxkernel.MyWirelessDriver]: IO80211Controller::disablePacketTimestamping()
kxld[com.osxkernel.MyWirelessDriver]: IO80211Controller::performCountryCodeOperation(IO80211Interface*, IO80211CountryCodeOp)
kxld[com.osxkernel.MyWirelessDriver]: IO80211Controller::requiresExplicitMBufRelease()
kxld[com.osxkernel.MyWirelessDriver]: IO80211Controller::_RESERVEDIO80211Controllerless7()
kxld[com.osxkernel.MyWirelessDriver]: IO80211Controller::stopDMA()
Link failed (error code 5).

超类的反向标头包含50多个虚拟成员函数,因此,如果存在任何链接问题,我认为这将是全有或全无。当向这些函数添加一个简单的实现(使用超类名称空间)时,链接错误就消失了。

出现两个问题

  1. 相同功能的多个实现如何共存?它们都位于内核地址空间中。
  2. 是什么使这些这些功能如此特别,而其他50个功能却没有奇怪的重新实现需求,又可以呢?

假设
我无法回答第一个问题,但我已经开始研究第二个问题。
我查看了IO80211Family mach-o符号表,所有出现链接错误的函数的类型字段中都不包含N_EXT位-这意味着它们不是外部符号,而其他函数确实包含N_EXT位。

我不确定这会如何影响kext加载过程,因此我深入研究XNU源代码并寻找kext加载代码。这里有一个主要的参与者称为vtable patching,这也许可以阐明我的第一个问题。
无论如何,有一个称为kxld_sym_is_unresolved的谓词函数,它检查符号是否未解析。 kxld在所有符号上调用此函数,以验证它们一切正常。 

boolean_t
kxld_sym_is_unresolved(const KXLDSym *sym)
{
    return ((kxld_sym_is_undefined(sym) && !kxld_sym_is_replaced(sym)) ||
            kxld_sym_is_indirect(sym) || kxld_sym_is_common(sym));
}

在我的情况下,此函数的结果归结为kxld_sym_is_replaced的返回值,该返回值仅检查符号是否已打补丁(vtable打补丁),我不太了解它的含义及其影响我...

重大问题
为什么苹果选择这些功能不是外部的?它们是否暗示他们应该由其他人实施-以及其他人,为什么范围与超类相同?我跳到源中找到了答案,但是没有找到。这是最困扰我的事情-它不符合我的逻辑。我知道一个完整的全面答案可能太复杂了,所以至少可以帮助我从更高层次上理解这里发生的事情,不让子类以这种怪异的方式实现这些特定功能的背后的逻辑是什么? (为什么不是纯粹的抽象)?

非常感谢您阅读本文!

2 个答案:

答案 0 :(得分:2)

直接的解释确实是IO80211 kext没有导出符号。但是,其背后的可能原因是这些函数是内联实现的,如下所示:

class IO80211Controller : public IOEthernetController
{
    //...

    virtual IOReturn enablePacketTimestamping()
    {
        return kIOReturnUnsupported;
    }
    //...
};

例如,如果我构建此代码:

#include <cstdio>

class MyClass
{
public:
        virtual void InlineVirtual() { printf("MyClass::InlineVirtual\n"); }
        virtual void RegularVirtual();
};

void MyClass::RegularVirtual()
{
        printf("MyClass::RegularVirtual\n");
}

int main()
{
        MyClass a;
        a.InlineVirtual();
        a.RegularVirtual();
}

使用命令

clang++ -std=gnu++14 inline-virtual.cpp -o inline-virtual

,然后使用nm检查符号:

$ nm ./inline-virtual
0000000100000f10 t __ZN7MyClass13InlineVirtualEv
0000000100000e90 T __ZN7MyClass14RegularVirtualEv
0000000100000ef0 t __ZN7MyClassC1Ev
0000000100000f40 t __ZN7MyClassC2Ev
0000000100001038 S __ZTI7MyClass
0000000100000faf S __ZTS7MyClass
0000000100001018 S __ZTV7MyClass
                 U __ZTVN10__cxxabiv117__class_type_infoE
0000000100000000 T __mh_execute_header
0000000100000ec0 T _main
                 U _printf
                 U dyld_stub_binder

您可以看到MyClass::InlineVirtual具有隐藏的可见性(t),而MyClass::RegularVirtual被导出(T)。必须在所有调用它的编译单元中提供声明为inline的函数的实现(通过关键字显式或隐式地放置在class定义中)。没有外部联系。

答案 1 :(得分:1)

您遇到的是一个非常简单的现象:未导出的符号。

$ nm /System/Library/Extensions/IO80211Family.kext/Contents/MacOS/IO80211Family | fgrep __ZN17IO80211Controller | egrep '\w{16} t'
00000000000560c6 t __ZN17IO80211Controller13enableFeatureE18IO80211FeatureCodePv
00000000000560f6 t __ZN17IO80211Controller15flowIdSupportedEv
0000000000055fd4 t __ZN17IO80211Controller16apple80211_ioctlEP16IO80211InterfaceP7__ifnetmPv
0000000000055f74 t __ZN17IO80211Controller21monitorModeSetEnabledEP16IO80211Interfacebj
0000000000056154 t __ZN17IO80211Controller24enablePacketTimestampingEv
0000000000056008 t __ZN17IO80211Controller24hardwareOutputQueueDepthEP16IO80211Interface
0000000000056160 t __ZN17IO80211Controller25disablePacketTimestampingEv
0000000000056010 t __ZN17IO80211Controller27performCountryCodeOperationEP16IO80211Interface20IO80211CountryCodeOp
00000000000560ee t __ZN17IO80211Controller27requiresExplicitMBufReleaseEv
0000000000055ffc t __ZN17IO80211Controller7stopDMAEv
0000000000057452 t __ZN17IO80211Controller9MetaClassD0Ev
0000000000057448 t __ZN17IO80211Controller9MetaClassD1Ev

除了两个MetaClass析构函数之外,链接错误列表的唯一区别是monitorModeSetEnabled(是否有可能覆盖它?)。

现在在我的系统上,我只有一个扩展IO80211Controller的类,该类由AirPort_BrcmNIC实现,com.apple.driver.AirPort.BrcmNIC。因此,让我们看一下如何处理它:

$ nm /System/Library/Extensions/AirPortBrcmNIC-MFG.kext/Contents/MacOS/AirPortBrcmNIC-MFG | egrep '13enableFeatureE18IO80211FeatureCodePv|15flowIdSupportedEv|16apple80211_ioctlEP16IO80211InterfaceP7__ifnetmPv|21monitorModeSetEnabledEP16IO80211Interfacebj|24enablePacketTimestampingEv|24hardwareOutputQueueDepthEP16IO80211Interface|25disablePacketTimestampingEv|27performCountryCodeOperationEP16IO80211Interface20IO80211CountryCodeOp|27requiresExplicitMBufReleaseEv|7stopDMAEv'
0000000000046150 t __ZN17IO80211Controller15flowIdSupportedEv
0000000000046120 t __ZN17IO80211Controller16apple80211_ioctlEP16IO80211InterfaceP7__ifnetmPv
0000000000046160 t __ZN17IO80211Controller24enablePacketTimestampingEv
0000000000046170 t __ZN17IO80211Controller25disablePacketTimestampingEv
0000000000046140 t __ZN17IO80211Controller27requiresExplicitMBufReleaseEv
000000000003e880 T __ZN19AirPort_BrcmNIC_MFG13enableFeatureE18IO80211FeatureCodePv
0000000000025b10 T __ZN19AirPort_BrcmNIC_MFG21monitorModeSetEnabledEP16IO80211Interfacebj
0000000000025d20 T __ZN19AirPort_BrcmNIC_MFG24hardwareOutputQueueDepthEP16IO80211Interface
0000000000038cf0 T __ZN19AirPort_BrcmNIC_MFG27performCountryCodeOperationEP16IO80211Interface20IO80211CountryCodeOp
000000000003e7d0 T __ZN19AirPort_BrcmNIC_MFG7stopDMAEv

所以一堆方法被它们覆盖,其余的...它们在本地重新实现。启动反汇编程序,我们可以看到它们实际上只是存根:

;-- IO80211Controller::apple80211_ioctl(IO80211Interface*,__ifnet*,unsignedlong,void*):
;-- method.IO80211Controller.apple80211_ioctl_IO80211Interface____ifnet__unsignedlong_void:
0x00046120      55             push rbp
0x00046121      4889e5         mov rbp, rsp
0x00046124      4d89c1         mov r9, r8
0x00046127      4989c8         mov r8, rcx
0x0004612a      4889d1         mov rcx, rdx
0x0004612d      488b17         mov rdx, qword [rdi]
0x00046130      488b82900c00.  mov rax, qword [rdx + 0xc90]
0x00046137      31d2           xor edx, edx
0x00046139      5d             pop rbp
0x0004613a      ffe0           jmp rax
0x0004613c      0f1f4000       nop dword [rax]
;-- IO80211Controller::requiresExplicitMBufRelease():
;-- method.IO80211Controller.requiresExplicitMBufRelease:
0x00046140      55             push rbp
0x00046141      4889e5         mov rbp, rsp
0x00046144      31c0           xor eax, eax
0x00046146      5d             pop rbp
0x00046147      c3             ret
0x00046148      0f1f84000000.  nop dword [rax + rax]
;-- IO80211Controller::flowIdSupported():
;-- method.IO80211Controller.flowIdSupported:
0x00046150      55             push rbp
0x00046151      4889e5         mov rbp, rsp
0x00046154      31c0           xor eax, eax
0x00046156      5d             pop rbp
0x00046157      c3             ret
0x00046158      0f1f84000000.  nop dword [rax + rax]
;-- IO80211Controller::enablePacketTimestamping():
;-- method.IO80211Controller.enablePacketTimestamping:
0x00046160      55             push rbp
0x00046161      4889e5         mov rbp, rsp
0x00046164      b8c70200e0     mov eax, 0xe00002c7
0x00046169      5d             pop rbp
0x0004616a      c3             ret
0x0004616b      0f1f440000     nop dword [rax + rax]
;-- IO80211Controller::disablePacketTimestamping():
;-- method.IO80211Controller.disablePacketTimestamping:
0x00046170      55             push rbp
0x00046171      4889e5         mov rbp, rsp
0x00046174      b8c70200e0     mov eax, 0xe00002c7
0x00046179      5d             pop rbp
0x0004617a      c3             ret
0x0004617b      0f1f440000     nop dword [rax + rax]

大约对应于此:

static uint32_t IO80211Controller::apple80211_ioctl(IO80211Interface *intf, __ifnet *net, unsigned long some, void *whatev)
{
    return this->apple80211_ioctl(intf, (IO80211VirtualInterface*)NULL, net, some, whatev);
}

static bool IO80211Controller::requiresExplicitMBufRelease()
{
    return false;
}

static bool IO80211Controller::flowIdSupported()
{
    return false;
}

static IOReturn IO80211Controller::enablePacketTimestamping()
{
    return kIOReturnUnsupported;
}

static IOReturn IO80211Controller::disablePacketTimestamping()
{
    return kIOReturnUnsupported;
}

我没有尝试编译以上内容,但这应该可以使您走上正确的道路。 :)

相关问题
最新问题