反汇编

embeddedlwp

1. #include <linux/init.h>
   
2. #include <linux/module.h>
   
3. #include <linux/kernel.h>
   
4. 
   
5. 
   
6. static int __init test_init(void){
   
7.         int *pgd_pa = NULL;
   
8.         __asm__ __volatile__("movl %%cr3, %0":"=r"(pgd_pa));
   
9.         printk("cr3 is %p\n", pgd_pa);
   
10.         return 0;
    
11. }
    
12. 
    
13. static void __exit test_exit(void){
    
14.        
    
15. }
    
16. 
    
17. module_init(test_init);
    
18. module_exit(test_exit);
    
19. 
    
20. MODULE_LICENSE("GPL");
    

复制代码

谁能帮我把这个反汇编注释一下，反汇编出血者。

OwnWaterloo

回复 1# embeddedlwp

其实我并不是专门研究kernel的。只是偶尔会碰上一些讨论恰好与kernel有关，比如这帖。 所以分析中带有许多猜测……

1. module_init/module_exit 应该是宏
C语言是不允许top level中调用函数的

2. module_init与module_exit展开后的代码编译后得到的应该分别是 init_module/cleanup_module
源代码里 __asm__ __volatile__("movl %%cr3, %0":"=r"(pgd_pa)) 是出现在 test_init 里

反汇编得到的
mov %cr3,%eax
mov %eax,0x4(%esp)
在 init_module 里

3. cleanup_module
我不明白空函数 test_exit 经过 module_exit 展开后为什么会产生一个函数调用。
但抛开 test_exit/module_exit与 cleanup_mode 之间的关联，仅仅分析 cleanup_module还是很容易的。
这就是最普通的函数，调用了另一个函数。

push %ebp
mov %esp,%ebp ; 这两句是prologue，会在栈上保存一个完整的调用链。
call 4 ; 这是一个函数调用，操作数fc ff ff ff只是一个桩，重定位节中会记录链接时此4字节应该被修正为什么 —— 即被调用函数
; 只从反汇编是看不出被调用函数的。
; 若想了解究竟调用了哪个函数， 如ls所说，要看 rel 节
pop %ebp ; 与上面的prologue对应，将调用链的末尾出栈
ret ; 返回

4. init_module

4.1 先把 prologue/epilogue 去掉
push %ebp
mov %esp,%ebp
...
leave
ret

余下的代码与 test_init 的对应关系就很清楚了

4.2 sub $0x8,%esp
这8字节将作为 printk 的参数

4.3 __asm__ __volatile__("movl %%cr3, %0":"=r"(pgd_pa));

mov %cr3,%eax

没有为pgd_pa变量分配内存，而是使用eax。
初值 int*pgd_pa=NULL; 被优化，没有先赋值为0，而是直接获取 cr3 的值。

4.4 printk("cr3 is %p\n", pgd_pa);

mov %eax,0x4(%esp) ; 传递pgd_pa的值
movl $0x0,(%esp) ; 传递 "cr3 is %p\n" 的地址
call 15 ; 调用 printk

后面两条指令中的操作数都是桩。
重定位节中会有相应的数据，使得链接器可以在链接时将操作数修正为 "cr3 is %p\n" 的地址 与 printk 的偏移。

4.5 return 0;
xor %eax,%eax

btdm123

有源代码你要反汇编干什么？

davelv

汗，居然是图片。。
第一个函数
//栈帧寄存器ebp保护
//用ebp保存esp，这个是方便操作esp，进行函数内部变量引用
//调用函数入口+4的地方
//恢复ebp
//返回
第二个函数
//栈帧寄存器ebp保护
//用ebp保存esp
//把esp-=8 指向函数第一个参数，在这个函数里有2个4byte的参数
//保存cr3内容到eax
//把eax的数据压入esp+4，也就是后面调用函数的第二个参数
//把数据0压入esp，是后面调用函数的第一个参数
//调用函数入口+15的地方
//清空eax，这里就是把eax返回值，好return 0
//清栈，恢复ebp
//返回

davelv

话说这个汇编和楼主给的程序完全2个东西。
而且这个汇编里面的递归调用是个死循环。

——————————————————
上面说的无效，自己大意了

embeddedlwp

回复 2# btdm123


    经常程序有问题需要反汇编查看，求教mov %eax, 0x4(%esp) 为 mov %eax [0x4+%esp]，这个是把%eax的放到内存中还是堆栈中阿，还有问什么section .exit.test和section .init.test都push %ebp，将%ebp的值压入内核栈中。

embeddedlwp

回复 4# davelv


    兄弟，不可能阿，这个反汇编确实是这个程序的，不过这个是个.ko

davelv

回复 6# embeddedlwp

大概是内联汇编把函数给优化掉了。
esp和ebp基本都是操作栈的，除非你自己没事用它处理堆。

asuka2001

1. %ebp是每个函数被调用时的栈顶。所以每次进去都会先保存上一个函数的%ebp，也就是第一条指令push %ebp;然后把本函数的栈顶保存到%ebp，即第二条指令movl %esp, %ebp。

2. 内核模块因为没有装入内核空间，所以函数地址还未决定，所以call这条指令所调用的地址都是按照函数头的偏移量来的。。。这个我不确定，只是从汇编代码上猜的。

3. pop %ebp就是对应push %ebp的保存与恢复了，接下来就是函数返回ret

4. init_module里相同的部分就不重复了：

sub $0x8, %esp，这个是将%esp减小8，x86的栈向下增长，其实就是栈顶往下移动8字节，栈上就空出8个字节，用于局部变量。
mov %cr3, %eax, 将%cr3特殊寄存器里的值复制到%eax寄存器。
mov %eax, 4(%esp), 4(%esp)代表的是栈顶向上4个字节。栈上空出8个字节，这里是使用[%esp+4, %esp + 8 )这一段保存%eax的值。推测是pgd_pa这个局部变量！
mov $0, (%esp), 将0保存到[%esp, %esp + 4)这一段，感觉这里的$0应该等模块装入内核空间后，会是"cr3 is %p\n"这个字符串的地址，其实这2条指令是在传参。可以推测出下面条call是在调用printk


xor %eax, %eax, xor为异或指令，其实就是将%eax清0，然后ret，返回0

塑料袋

LZ可以看一下这个文件的rel节，应该可以找到重定位这两个call指令，以及那个$0的地方。