在 Linux 中，在进入 sys 调用时，%eax 中的值是多少？ （不是 orig_eax）

Question

当系统调用返回时，我在 %eax 中得到系统调用返回值，但是在输入时我得到 -38，即十六进制的 0xFFFFFFDA。这适用于写/读。这个数字是多少？它可以用来安全地区分入口和出口吗？

Answer 1

系统调用条目上的 eax 中的 -38 显然是 ENOSYS（未实现函数），并由 arch/x86/kernel/entry_32.S 中的 syscall_trace_entry 放置在那里。我想可以安全地假设它总是出现在系统调用入口处，但是它也可以出现在系统调用退出处（如果系统调用返回 ENOSYS）。

就我个人而言，尽管我也看到过一些依赖于 ENOSYS 的代码，但在使用 ptrace 时，我一直只是跟踪系统调用进入还是退出。 （我假设你正在使用 ptrace）我想如果当你附加到它时该进程恰好位于系统调用内部，那么这将不起作用，但我很幸运没有遇到这个问题。

我快速浏览了 strace 源，我猜它也会跟踪状态，因为有一条评论说“我们正在附加到一个已经运行的进程。尝试找出系统调用中进程的状态，以处理第一个活动顺利。”稍后它说“该进程在系统调用过程中处于休眠状态。伪造系统调用进入事件。”。

简而言之，该值不能安全地用于区分进入和退出。也就是说，我不确定手动跟踪它是最好的方法，因为我没有真正得到任何来源肯定会告诉您使用该技术，抱歉。 :)

Answer 2

当你在 eax 中得到 -38 时，我仍然不明白，但是当执行系统调用时，eax 包含一个定义系统调用的数字（在 2.6 内核中，你可以查看 arch/x86/include/asm/unistd_64.h 来查看每次呼叫的号码）。

所以顺序如下：

1. 你的程序
2. 将eax设置为系统调用（取决于调用，还有其他一些寄存器）
3. 初始化系统调用（通过int 0x80）
4. eax中系统调用的结果
5. 再次你的程序

也许你的问题不是这么表述的，但如果你是不编写内核代码/驱动程序，判断您是在系统调用进入之前还是在系统调用退出之后的最简单方法是：当您在代码中时为 TRUE ;-)。进入/退出本身（或多或少）在一条指令中即时发生，因此要么您在系统调用中（然后您就会知道，因为它必须是某些内核代码或阻塞调用），要么您不在系统调用中（几乎每次调试时）你的代码）。