17

我正在尝试从 Linux 上的纯 Python 代码调用内联机器代码。为此,我将代码嵌入到字节文字中

code = b"\x55\x89\xe5\x5d\xc3"

然后调用mprotect()viactypes以允许执行包含代码的页面。最后,我尝试使用ctypes来调用代码。这是我的完整代码:

#!/usr/bin/python3

from ctypes import *

# Initialise ctypes prototype for mprotect().
# According to the manpage:
#     int mprotect(const void *addr, size_t len, int prot);
libc = CDLL("libc.so.6")
mprotect = libc.mprotect
mprotect.restype = c_int
mprotect.argtypes = [c_void_p, c_size_t, c_int]

# PROT_xxxx constants
# Output of gcc -E -dM -x c /usr/include/sys/mman.h | grep PROT_
#     #define PROT_NONE 0x0
#     #define PROT_READ 0x1
#     #define PROT_WRITE 0x2
#     #define PROT_EXEC 0x4
#     #define PROT_GROWSDOWN 0x01000000
#     #define PROT_GROWSUP 0x02000000
PROT_NONE = 0x0
PROT_READ = 0x1
PROT_WRITE = 0x2
PROT_EXEC = 0x4

# Machine code of an empty C function, generated with gcc
# Disassembly:
#     55        push   %ebp
#     89 e5     mov    %esp,%ebp
#     5d        pop    %ebp
#     c3        ret
code = b"\x55\x89\xe5\x5d\xc3"

# Get the address of the code
addr = addressof(c_char_p(code))

# Get the start of the page containing the code and set the permissions
pagesize = 0x1000
pagestart = addr & ~(pagesize - 1)
if mprotect(pagestart, pagesize, PROT_READ|PROT_WRITE|PROT_EXEC):
    raise RuntimeError("Failed to set permissions using mprotect()")

# Generate ctypes function object from code
functype = CFUNCTYPE(None)
f = functype(addr)

# Call the function
print("Calling f()")
f()

此代码在最后一行出现段错误。

  1. 为什么会出现段错误?调用表示成功,mprotect()所以我应该被允许在页面中执行代码。

  2. 有没有办法修复代码?我真的可以在纯 Python 和当前进程中调用机器代码吗?

(一些进一步的评论:我并不是真的试图实现一个目标 - 我试图了解事情是如何工作的。我还尝试使用2*pagesize而不是pagesizemprotect()调用中排除我的 5 字节代码落在页面边界——无论如何这应该是不可能的。我使用 Python 3.1.3 进行测试。我的机器是 32 位 i386 机器。我知道一种可能的解决方案是从纯 Python 代码创建一个 ELF 共享对象并加载它via ctypes,但这不是我要找的答案:)

编辑:以下 C 版本的代码工作正常:

#include <sys/mman.h>

char code[] = "\x55\x89\xe5\x5d\xc3";
const int pagesize = 0x1000;

int main()
{
    mprotect((int)code & ~(pagesize - 1), pagesize,
             PROT_READ|PROT_WRITE|PROT_EXEC);
    ((void(*)())code)();
}

编辑 2:我在我的代码中发现了错误。线

addr = addressof(c_char_p(code))

首先创建一个char*指向bytes实例开头的 ctypes codeaddressof()应用于这个指针的不是返回这个指针指向的地址,而是指针本身的地址。

我设法弄清楚实际获取代码开头地址的最简单方法是

addr = addressof(cast(c_char_p(code), POINTER(c_char)).contents)

更简单的解决方案的提示将不胜感激:)

修复这一行会使上面的代码“工作”(意味着它什么都不做,而不是段错误......)。

4

3 回答 3

6

我对此进行了快速调试,结果发现指向的指针code没有正确构造,并且在内部某个地方 ctypes 在传递ffi_call()调用代码的函数指针之前正在修改东西。

这是ffi_call_unix64()函数指针保存到的(我在 64 位)中的行%r11

57   movq    %r8, %r11               /* Save a copy of the target fn.

%r11当我执行您的代码时,这是在尝试调用之前加载的值:

(gdb) x/5b $r11
0x7ffff7f186d0: -108    24      -122    0       0

这是构造指针和调用函数的修复:

raw = b"\x55\x89\xe5\x5d\xc3"
code = create_string_buffer(raw)
addr = addressof(code)

现在,当我运行它时,我在该地址看到了正确的字节,并且函数执行得很好:

(gdb) x/5b $r11
0x7ffff7f186d0: 0x55    0x89    0xe5    0x5d    0xc3
于 2011-05-26T21:24:41.263 回答
3

您可能必须刷新指令缓存

目前尚不清楚(对我来说,无论如何) mprotect() 是否自动执行此操作。

[更新]

当然,如果我阅读了 cacheflush() 的文档,我会发现它只适用于 MIPS(根据手册页)。

假设这是 x86,您可能必须调用 WBINVD(或 CLFLUSH)指令。

一般来说,自修改代码需要刷新 i-cache,但据我所知,没有远程可移植的方法可以这样做。

于 2011-05-26T18:08:30.893 回答
2

我建议您先尝试让您的代码在 C 中运行,然后再转换为ctypes. 如果您只想能够从 Python 执行程序集,还有类似CorePy的东西。

于 2011-05-26T18:15:41.280 回答