我需要在Linux中反汇编/proc/kcore文件,并且需要获得一些特殊指令的虚拟地址,以便稍后将kprobes放在上面。根据this document的描述,/proc/kcore是物理内存的镜像,但是在this question中,有人回答说这是内核的虚拟内存(正是我在寻找的东西)。

当我使用objdump工具进行反汇编时,它以类似于f7c0b000的地址开头,但是udis86以0x0开头(和完全不同的指令)。当我尝试grep一些特定的指令时,假设mov 0xf7c1d60c,%edx,我得到了:

objdump

f7c0b022 mov    0xf7c1d60c,%edx

udis86
290ec02a mov    0xf7c1d60c,%edx

看来udis86objdump之间的偏移量始终是0xbffff000。为什么这么奇怪的抵消?如何获得特定指令的虚拟地址?在我读过的地方,该内核静态映射到虚拟地址0xc0000000 + 0x100000。如果/proc/kcore确实是物理图像,仅将0x100000添加到objdump返回的地址是否正确,我将获得虚拟地址?

最佳答案

objdump可以理解ELF格式的文件(例如/proc/kcore)。它能够提取文件的可执行部分,而忽略不可执行的内容(例如.note部分)。

您可以使用ELF标志查看可执行的-h的结构,例如:

# objdump -h /proc/kcore
/proc/kcore:     file format elf64-x86-64

Sections:
Idx Name          Size      VMA               LMA               File off  Algn
  0 note0         00001944  0000000000000000  0000000000000000  000002a8  2**0
                  CONTENTS, READONLY
  1 .reg/0        000000d8  0000000000000000  0000000000000000  0000032c  2**2
                  CONTENTS
  2 .reg          000000d8  0000000000000000  0000000000000000  0000032c  2**2
                  CONTENTS
  3 load1         00800000  ffffffffff600000  0000000000000000  7fffff602000  2**12
                  CONTENTS, ALLOC, LOAD, CODE
(...)

看来udcli中的udis86工具可能从文件开头开始反汇编事物,这表明您的输出可能会从一堆无关的输出开始,这取决于您确定执行从何处开始。

更新

这是验证。我们使用this answer从/proc/kcore中提取第一个load部分,如下所示:
# dd if=/proc/kcore of=mysection bs=1 skip=$[0x7fffff602000] count=$[0x00800000]

现在,如果我们使用udcli进行查看:
# udcli mysection
0000000000000000 48               dec eax
0000000000000001 c7c060000000     mov eax, 0x60
0000000000000007 0f05             syscall
0000000000000009 c3               ret
000000000000000a cc               int3
000000000000000b cc               int3

我们看到它看起来与objdump -d /proc/kcore的输出几乎相同:
# objdump -d /proc/kcore
/proc/kcore:     file format elf64-x86-64


Disassembly of section load1:

ffffffffff600000 <load1>:
ffffffffff600000:       48 c7 c0 60 00 00 00    mov    $0x60,%rax
ffffffffff600007:       0f 05                   syscall
ffffffffff600009:       c3                      retq
ffffffffff60000a:       cc                      int3
ffffffffff60000b:       cc                      int3

关于linux - 拆卸/proc/kcore时,objdump和udis86产生不同的输出,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/10463764/

10-13 05:27