尝试使用 ptrace 调用用户函数时出现问题 - nanosleep 导致崩溃

Problem trying to call user function using ptrace - nanosleep causes crash

我正在做一个项目,我需要让一个 运行 程序按需执行一个函数。为此,我正在使用 ptrace。我知道这是可能的,因为 GDB 做到了。

现在我正在使用在以下位置找到的代码的改编版本:https://github.com/eklitzke/ptrace-call-userspace 此程序显示如何在目标程序中调用 fprintf。

当调用的函数使用nanosleep()时出现我面对的程序。如果在跟踪器调用的函数内调用 nanosleep(),则跟踪器会崩溃并发出 SIGSEGV,但只有在睡眠结束后才会发生。如果该函数被 tracee 本身正常调用,则一切正常。

我断定问题与函数的调用方式有关,可能与被跟踪者的堆栈或寄存器值有关。例如,在进入函数时,我已经检查过堆栈是 16 字节对齐的。

跟踪器的代码出现在上面的 github 中(不同之处在于被调用的函数,我也删除了参数)

tracee 的代码是一个简单的虚拟进程,每秒打印它的 PID。

被调用函数的代码:

#include <stdio.h>
#include <time.h>

void hello()
{
    struct timespec tim1;
    tim1.tv_sec = 1;
    tim1.tv_nsec = 0;
    struct timespec tim2;
    nanosleep(&tim1, &tim2);    
    puts("Hello World!!!");
}

被跟踪程序崩溃时回溯如下:

#0  0xfffffffffffffff7 in ?? ()
#1  0x00007effb0e6e6e0 in hello () at hello.c:10
#2  0x00007effb195c005 in ?? ()
#3  0x00007effb1435cc4 in __sleep (seconds=0) at ../sysdeps/unix/sysv/linux/sleep.c:137
#4  0x00000000004005de in main ()

转储内核的寄存器值:

rax            0xfffffffffffffff7       -9
rbx            0x7ffc858a0e40   140722548903488
rcx            0x7effb1435e12   139636655742482
rdx            0x7ffc858a0df8   140722548903416
rsi            0x7ffc858a0df8   140722548903416
rdi            0x7ffc858a0e08   140722548903432
rbp            0x7ffc858a0e18   0x7ffc858a0e18
rsp            0x7ffc858a0df0   0x7ffc858a0df0
r8             0xffffffffffffffff       -1
r9             0x0      0
r10            0x7ffc858a0860   140722548901984
r11            0x246    582
r12            0x7ffc858a0ec0   140722548903616
r13            0x7ffc858a1100   140722548904192
r14            0x0      0
r15            0x0      0
rip            0xfffffffffffffff7       0xfffffffffffffff7
eflags         0x10246  [ PF ZF IF RF ]
cs             0x33     51
ss             0x2b     43
ds             0x0      0
es             0x0      0
fs             0x0      0
gs             0x0      0

跟踪器的输出:

./call_hello -p 17611
their %rip           0x7effb1435e10
allocated memory at  0x7effb195c000
executing jump to mmap region
successfully jumped to mmap area
their lib            0x7effb0e6e000
their func           0x7effb0e6e000
Adding rel32 to new_text[0]Adding func_delta to new_text[1-4]Adding TRAP to new_text[5]inserting code/data into the mmap area at 0x7effb195c000
setting the registers of the remote process
continuing execution
PTRACE_CONT unexpectedly got status Unknown signal 2943

如果我删除对 nanosleep 的调用,一切都会按预期工作 - "Hello World!!!" 会打印出来。正如我之前所说,分段错误仅在请求的 1 秒睡眠后发生。我不知道 nanosleep 如何导致指令指针保持 0xfffffffffffffff7。 关于我应该研究什么以解决这个问题的任何建议或想法?提前致谢!

我正在 CentOS Linux 7.6.1810 版上进行测试。

问题如下:

你的 call-hello 程序写了两条指令

syscall
call %rax

%rip 寄存器(指令指针)的当前值指向的内存。由于您的目标程序在其主循环中有对 nanosleep() 的(隐式)调用,因此 %rip 几乎总是指向系统调用的 return 地址(libc 中的某处)。此时,系统调用执行mmap(),然后跳转到return值(新映射的space)。

但稍后,在您的 hello() 函数中,您再次 调用 nanosleep()。在return地址,仍然是上面的注入代码!执行了一些随机系统调用(取决于 %rax 的内容),失败并显示错误代码 -9 (EBADFD),现在在 %rax 中为 0xfffffffffffffff7。然后,call %rax 跳到那里,杀死你的进程。

所以,最好的解决办法是找一个地方,你可以在不覆盖其他代码的情况下注入并执行这 4 个字节的代码。或者,你可以恢复继续执行hello()之前的原始代码,并在hello()执行结束后(陷阱之后)再次放入,例如像这样:

// update the mmap area
printf("inserting code/data into the mmap area at %p\n", mmap_memory);
if (poke_text(pid, mmap_memory, new_text, NULL, sizeof(new_text))) {
  goto fail;
}

- if (poke_text(pid, rip, new_word, NULL, sizeof(new_word))) {
+ if (poke_text(pid, rip, old_word, NULL, sizeof(old_word))) {
  goto fail;
}

不过,稍后您必须重新安装系统调用代码才能使 munmap() 调用发生,例如此处:

if (ptrace(PTRACE_SETREGS, pid, NULL, &newregs)) {
  perror("PTRACE_SETREGS");
  goto fail;
}

+ if (poke_text(pid, rip, new_word, NULL, sizeof(new_word))) {
+   goto fail;
+ }

new_word[0] = 0xff; // JMP %rax
new_word[1] = 0xe0; // JMP %rax

现在它应该可以正常工作了。