拦截64位Linux内核函数：32/64位函数指针的长度？

Question

我正在尝试重新实现旧的巨兽内核拦截（描述于 此 Phrack 问题）。

替换32位函数调用的代码如下：

#define SYSMAPADDR 0x12345678
#define CODESIZE 7
static char acct_code[7] = "\xb8\x00\x00\x00\x00"/*movl $0, %eax*/
"\xff\xe0";/*jmp *%eax*/
*(long*)&acct_code[1] = (long)my_hijacking_function;
// here, use either set_pages_rw or trick CR0 to do this:
memcpy(SYSMAPADDR, acct_code, CODESIZE);

但原始函数的64位地址是0xffffffff12345678（内核位于低内存）。

那么(long)新函数指针是否只适合movl指令的4个\x00字节呢？

顺便说一句，请将其链接到 我可以替换吗带有模块的 Linux 内核函数？ 和 使用模块重写功能Linux内核，上面介绍的hacky方法更加灵活（可以拦截非extern函数=>无需重新编译内核）。

Answer 1

在任何 x86（32 或 64 位）上，无法直接无条件跳转到位移大于 2GB 的地址。

当我不久前编写一个绕行库时，我能想到的重定向程序流（针对 x86-64）的最佳选项包括将目标函数的序言备份 M 字节并覆盖目标函数的序言。序言有两个说明。

我使用 %r11 寄存器而不是累加器。根据 AMD64 ABI 草案 0.99.5，%r11 是一个临时寄存器，不会在函数调用之间保留。

第一条指令 movq $addr, %r11 的作用与它看起来的完全一样：它将指定的地址加载到寄存器中。第二条指令 jmp *%r11 强制无条件间接跳转到 %r11 中存储的地址。

附加到备份指令的末尾应该是另一个无条件间接跳转回原始目标函数的地址，即紧接在被覆盖指令之后的地址。然后，当您想调用原始函数时，可以调用备份函数序言的地址，程序流程照常继续。

请记住，要备份的字节数 M 必须是存储/跳转指令的大小与覆盖指令的其余部分的大小之和。完成此巫术后，您不想留下任何部分说明。

Answer 2

注意：我假设这是针对 x86_64 的。

函数指针是 64 位，并且 movl 指令零扩展到 64 位寄存器，因此您必须重写机器代码。你想要的指令可能是48 B8 (imm64)（即movq ..., %rax），我认为跳转指令可以独自一人，但我对此了解不多。您可能应该将“x86-64”和“Assembly”标签添加到您的问题中。

Answer 3

您可以使用JMP rel32 (0xE9) 操作从当前地址执行32 位相对跳转。这将允许您跳转到 5 个字节的源地址 2GB 以内的任何位置。它还具有不会破坏 %eax 的优点（这对于您的情况可能很重要，也可能不重要）。

也就是说，我建议您查看 kprobes API。这将为您处理运行时修补的所有艰苦工作。它还处理应用于同一功能的多个标记和其他此类麻烦，并且可移植到多个平台。特别是，如果您使用猴子修补方法，则在编译时可能会与标记 API 发生冲突，从而导致崩溃。如果动态可修补代码位于函数的前几个字节（LOCK 前缀等），也会导致崩溃。

您可能还想了解 ftrace 的工作原理 - 取决于内核配置，改为挂钩 ftrace 可能会更快一些。