我需要在Linux中反汇编/proc/kcore
文件,并且需要获得一些特殊指令的虚拟地址,以便稍后将kprobes
放在上面。根据this document的描述,/proc/kcore
是物理内存的镜像,但是在this question中,有人回答说这是内核的虚拟内存(正是我在寻找的东西)。
当我使用objdump
工具进行反汇编时,它以类似于f7c0b000
的地址开头,但是udis86以0x0开头(和完全不同的指令)。当我尝试grep
一些特定的指令时,假设mov 0xf7c1d60c,%edx
,我得到了:
objdump
f7c0b022 mov 0xf7c1d60c,%edx
udis86
290ec02a mov 0xf7c1d60c,%edx
看来
udis86
和objdump
之间的偏移量始终是0xbffff000
。为什么这么奇怪的抵消?如何获得特定指令的虚拟地址?在我读过的地方,该内核静态映射到虚拟地址0xc0000000 + 0x100000。如果/proc/kcore
确实是物理图像,仅将0x100000添加到objdump
返回的地址是否正确,我将获得虚拟地址? 最佳答案
objdump
可以理解ELF
格式的文件(例如/proc/kcore
)。它能够提取文件的可执行部分,而忽略不可执行的内容(例如.note
部分)。
您可以使用ELF
标志查看可执行的-h
的结构,例如:
# objdump -h /proc/kcore
/proc/kcore: file format elf64-x86-64
Sections:
Idx Name Size VMA LMA File off Algn
0 note0 00001944 0000000000000000 0000000000000000 000002a8 2**0
CONTENTS, READONLY
1 .reg/0 000000d8 0000000000000000 0000000000000000 0000032c 2**2
CONTENTS
2 .reg 000000d8 0000000000000000 0000000000000000 0000032c 2**2
CONTENTS
3 load1 00800000 ffffffffff600000 0000000000000000 7fffff602000 2**12
CONTENTS, ALLOC, LOAD, CODE
(...)
看来
udcli
中的udis86
工具可能从文件开头开始反汇编事物,这表明您的输出可能会从一堆无关的输出开始,这取决于您确定执行从何处开始。更新
这是验证。我们使用this answer从/proc/kcore中提取第一个
load
部分,如下所示:# dd if=/proc/kcore of=mysection bs=1 skip=$[0x7fffff602000] count=$[0x00800000]
现在,如果我们使用
udcli
进行查看:# udcli mysection
0000000000000000 48 dec eax
0000000000000001 c7c060000000 mov eax, 0x60
0000000000000007 0f05 syscall
0000000000000009 c3 ret
000000000000000a cc int3
000000000000000b cc int3
我们看到它看起来与
objdump -d /proc/kcore
的输出几乎相同:# objdump -d /proc/kcore
/proc/kcore: file format elf64-x86-64
Disassembly of section load1:
ffffffffff600000 <load1>:
ffffffffff600000: 48 c7 c0 60 00 00 00 mov $0x60,%rax
ffffffffff600007: 0f 05 syscall
ffffffffff600009: c3 retq
ffffffffff60000a: cc int3
ffffffffff60000b: cc int3
关于linux - 拆卸/proc/kcore时,objdump和udis86产生不同的输出,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/10463764/