如何在Linux上的Python中调用内联机器代码?

编程问答 2022-04-26

问题描述

| 我正在尝试从Linux上的纯Python代码调用内联的机器代码。为此,我将代码嵌入到字节文本中 
code = b\"\\x55\\x89\\xe5\\x5d\\xc3\"
然后通过
ctypes
调用
mprotect()
以允许执行包含代码页面。最后,我尝试使用ѭ2来调用代码。这是我的完整代码
#!/usr/bin/python3

from ctypes import *

# Initialise ctypes prototype for mprotect().
# According to the manpage:
#     int mprotect(const void *addr,size_t len,int prot);
libc = CDLL(\"libc.so.6\")
mprotect = libc.mprotect
mprotect.restype = c_int
mprotect.argtypes = [c_void_p,c_size_t,c_int]

# PROT_xxxx constants
# Output of gcc -E -dM -x c /usr/include/sys/mman.h | grep PROT_
#     #define PROT_NONE 0x0
#     #define PROT_READ 0x1
#     #define PROT_WRITE 0x2
#     #define PROT_EXEC 0x4
#     #define PROT_GROWSDOWN 0x01000000
#     #define PROT_GROWSUP 0x02000000
PROT_NONE = 0x0
PROT_READ = 0x1
PROT_WRITE = 0x2
PROT_EXEC = 0x4

# Machine code of an empty C function,generated with gcc
# disassembly:
#     55        push   %ebp
#     89 e5     mov    %esp,%ebp
#     5d        pop    %ebp
#     c3        ret
code = b\"\\x55\\x89\\xe5\\x5d\\xc3\"

# Get the address of the code
addr = addressof(c_char_p(code))

# Get the start of the page containing the code and set the permissions
pagesize = 0x1000
pagestart = addr & ~(pagesize - 1)
if mprotect(pagestart,pagesize,PROT_READ|PROT_WRITE|PROT_EXEC):
    raise RuntimeError(\"Failed to set permissions using mprotect()\")

# Generate ctypes function object from code
functype = CFUNCTYPE(None)
f = functype(addr)

# Call the function
print(\"Calling f()\")
f()
代码段出现在最后一行。 为什么会出现段错误
mprotect()
呼叫表示成功,因此应允许我执行页面中的代码。 有没有办法修复代码?我真的可以在当前过程中用纯Python调用机器代码吗? (进一步说明:我并不是在真正地尝试实现目标-我是在试图理解事情的运作方式。我还试图在
mprotect()
调用中使用
2*pagesize
代替
pagesize
,以排除我的5字节的代码落在页面边界上-仍然应该是不可能的。我使用Python 3.1.3进行测试。我的机器是32位i386盒。我知道一种可能的解决方案是从纯文本创建ELF共享对象Python代码并通过
ctypes
加载它,但这不是我正在寻找的答案:) 编辑:以下C版本的代码工作正常: 
#include <sys/mman.h>

char code[] = \"\\x55\\x89\\xe5\\x5d\\xc3\";
const int pagesize = 0x1000;

int main()
{
    mprotect((int)code & ~(pagesize - 1),PROT_READ|PROT_WRITE|PROT_EXEC);
    ((void(*)())code)();
}
编辑2:我在代码中发现错误。线 
addr = addressof(c_char_p(code))
首先创建一个指向
bytes
实例
code
开头的ctypes
char*
。应用于此指针的“ 15”不返回该指针指向的地址,而是返回指针本身的地址。 我设法弄清楚实际获得代码开头地址的最简单方法
addr = addressof(cast(c_char_p(code),POINTER(c_char)).contents)
对于更简单的解决方案的提示将不胜感激:) 修复此行,即可完成上面的代码“工作”(意味着它没有执行任何操作,而不是段隔离...)。     

解决方法

我对此进行了快速调试,结果发现指向
code
的指针是 没有正确构造,并且内部ctype出现故障 将函数指针传递到
ffi_call()
之前,它会调用 码。 这是
ffi_call_unix64()
中的行(我是64位),其中保存了函数指针 
%r11
57   movq    %r8,%r11               /* Save a copy of the target fn.
当我执行您的代码时,以下是before20ѭ中加载的值 它尝试调用: 
(gdb) x/5b $r11
0x7ffff7f186d0: -108    24      -122    0       0
这是构造指针并调用函数的修复程序: 
raw = b\"\\x55\\x89\\xe5\\x5d\\xc3\"
code = create_string_buffer(raw)
addr = addressof(code)
现在,当我运行它时,我会在该地址看到正确的字节,并且该函数 执行良好: 
(gdb) x/5b $r11
0x7ffff7f186d0: 0x55    0x89    0xe5    0x5d    0xc3
    ,您可能必须刷新指令缓存。 尚不清楚(无论如何,对我而言)mprotect()是否自动执行此操作。 [更新] 当然,如果我阅读了cacheflush()文档,就会发现它仅适用于MIPS(根据手册页)。 假设这是x86,则可能必须调用WBINVD(或CLFLUSH)指令。 通常,自修改代码需要刷新i缓存,但据我所知,没有远程可移植的方式可以这样做。     ,我建议您尝试首先使代码在C中工作,然后翻译为
ctypes
。如果您只想能够从Python执行程序集,也可以使用CorePy之类的工具。     
linuxlinuxpython代码代码代码何在内联机器调用调用