如何在Linux上调用Python中的内联机器代码？

Question

我正在尝试从Linux上的纯Python代码调用内联机器代码。为此，我将代码嵌入字节文字

中

code = b"\x55\x89\xe5\x5d\xc3"

然后通过ctypes调用mprotect()以允许执行包含代码的页面。最后，我尝试使用ctypes来调用代码。这是我的完整代码：

#!/usr/bin/python3

from ctypes import *

# Initialise ctypes prototype for mprotect().
# According to the manpage:
#     int mprotect(const void *addr, size_t len, int prot);
libc = CDLL("libc.so.6")
mprotect = libc.mprotect
mprotect.restype = c_int
mprotect.argtypes = [c_void_p, c_size_t, c_int]

# PROT_xxxx constants
# Output of gcc -E -dM -x c /usr/include/sys/mman.h | grep PROT_
#     #define PROT_NONE 0x0
#     #define PROT_READ 0x1
#     #define PROT_WRITE 0x2
#     #define PROT_EXEC 0x4
#     #define PROT_GROWSDOWN 0x01000000
#     #define PROT_GROWSUP 0x02000000
PROT_NONE = 0x0
PROT_READ = 0x1
PROT_WRITE = 0x2
PROT_EXEC = 0x4

# Machine code of an empty C function, generated with gcc
# Disassembly:
#     55        push   %ebp
#     89 e5     mov    %esp,%ebp
#     5d        pop    %ebp
#     c3        ret
code = b"\x55\x89\xe5\x5d\xc3"

# Get the address of the code
addr = addressof(c_char_p(code))

# Get the start of the page containing the code and set the permissions
pagesize = 0x1000
pagestart = addr & ~(pagesize - 1)
if mprotect(pagestart, pagesize, PROT_READ|PROT_WRITE|PROT_EXEC):
    raise RuntimeError("Failed to set permissions using mprotect()")

# Generate ctypes function object from code
functype = CFUNCTYPE(None)
f = functype(addr)

# Call the function
print("Calling f()")
f()

此代码段落在最后一行。

1. 为什么我会遇到段错误？ mprotect()调用成功，因此我应该被允许在页面中执行代码。

2. 有没有办法修复代码？我真的可以用纯Python和当前进程调用机器代码吗？

（还有一些评论：我并没有真正努力实现目标 - 我正在努力了解事情是如何运作的。我还试图在2*pagesize而不是pagesize中使用mprotect() {1}}调用以排除我的5个字节的代码落在页面边界上的情况 - 无论如何这应该是不可能的。我使用Python 3.1.3进行测试。我的机器是32位i386盒子。我知道一种可能的解决方案是从纯Python代码创建一个ELF共享对象并通过ctypes加载它，但这不是我正在寻找的答案：）

编辑：以下C版代码正常运行：

#include <sys/mman.h>

char code[] = "\x55\x89\xe5\x5d\xc3";
const int pagesize = 0x1000;

int main()
{
    mprotect((int)code & ~(pagesize - 1), pagesize,
             PROT_READ|PROT_WRITE|PROT_EXEC);
    ((void(*)())code)();
}

编辑2 ：我在代码中发现了错误。这条线

addr = addressof(c_char_p(code))

首先创建一个指向char*实例bytes开头的ctypes code。应用于此指针的addressof()不会返回此指针指向的地址，而是返回指针本身的地址。

我设法找到实际获取代码开头地址的最简单方法是

addr = addressof(cast(c_char_p(code), POINTER(c_char)).contents)

更简单的解决方案的提示将不胜感激：）

修复此行会使上面的代码“正常工作”（意味着它不执行任何操作而不是segfaulting ...）。

Answer 1

我对此进行了快速调试，结果显示指向code的指针 没有正确构建，并在某处内部ctypes正在改变 在将函数指针传递给调用它的ffi_call()之前的事情 代码。

这是ffi_call_unix64()（我在64位）中保存函数指针的行 进入%r11：

57   movq    %r8, %r11               /* Save a copy of the target fn.

当我执行你的代码时，这里是之前加载到%r11的值 它试图打电话：

(gdb) x/5b $r11
0x7ffff7f186d0: -108    24      -122    0       0

这是构造指针并调用函数的修复：

raw = b"\x55\x89\xe5\x5d\xc3"
code = create_string_buffer(raw)
addr = addressof(code)

现在当我运行它时，我看到该地址和函数的正确字节 执行得很好：

(gdb) x/5b $r11
0x7ffff7f186d0: 0x55    0x89    0xe5    0x5d    0xc3

Answer 2

您可能需要flush the instruction cache。

无论如何，unclear（无论如何）mprotect（）会自动执行此操作。

[更新]

当然，如果我阅读cacheflush（）的文档，我会看到它只适用于MIPS（根据手册页）。

假设这是x86，您可能必须调用WBINVD（或CLFLUSH）指令。

一般来说，自修改代码需要刷新i-cache，但据我所知，没有远程可移植的方法。

Answer 3

我建议您首先尝试使用C语言编写代码，然后转换为ctypes。如果你只是想从Python执行汇编，那么还有类似CorePy的东西。