get system call table in x86-64 Linux - 欢迎测试并报BUG

anhongkui

谢谢
看了两个文档，讲cr0寄存器，
主要就是将WP位清为0，这时候可以改写只读的page，即可以修改syscall_table的page
不知道这么理解对不对。

anhongkui

还是amd的讲的清楚一些，intel的太难懂了

caravsapm70

64位下需要修改cr0寄存器的第16位。
楼主的代码找的地址，后32位是正确的，与/boot/System.map中一致。但是前32位就有问题了。

dreamice

原帖由 anhongkui 于 2008-2-19 11:57 发表
还是amd的讲的清楚一些，intel的太难懂了

能提供AMD相关详细手册么？

rtable

这个工作似乎进一步，用户程序能够不通过Socket接口直接从网卡抓包，就有了非纸上的意义。

albcamus

原帖由 caravsapm70 于 2008-12-20 12:18 发表
64位下需要修改cr0寄存器的第16位。
楼主的代码找的地址，后32位是正确的，与/boot/System.map中一致。但是前32位就有问题了。

cr0.WP和32位、64位没什么关系， 都一样。

哪个符号的前32位错了？ sys_call_table还是ia32_sys_call_table？

PS， 这个例子就是当时刚买了一台AMD64的笔记本， 练手的。  真正想知道这两个syscall table的地址，简单的无以复加： 直接读MSR_LSTAR和MSR_CSTAR这两个MSR寄存器就行了。

renyuan000

你少了个这个：最后那行。。。。所以得到的地址与/boot/System.map中的不一致，
We obtain :
        readkmem (sc_asm,sys_call_off,CALLOFF);
        p = (char*)memmem (sc_asm,CALLOFF,"\xff\x14\xc5",3);
        sct = *(unsigned long*)(p+3);
        sct = (sct & 0x00000000ffffffff) | 0xffffffff00000000;

renyuan000

http://developer.amd.com/documentation/guides/Pages/default.aspx