Affichage hiérarchique

gruik · (Modification du message : 23-12-2012, 20h35 par gruik.)

un petit code qui ne sert absolument à rien en soit, à part être un peu didactique, sur la façon de simuler un try/except et capter un signal levé avec les fonctions sigsetjmp()/siglongjmp(), sur l'utilisation de la lib officielle de désassemblage sous linux et parfaitement sous-documentée : libopcodes, et sur une instruction assembleur aussi peu connue que peu utile : ud2

miroir du code ici pour plus de kawaïness

Code C :



#include <signal.h>

#include <stdio.h>

#include <setjmp.h>

#include <bfd.h>

#include <dis-asm.h>



static jmp_buf escape;

extern char addr;



void pouet(int sig, siginfo_t *si, void *uc) {

        int ok = 1, c = 0;

        disassemble_info info;



        if ((sig != SIGILL) || (si->si_code != ILL_ILLOPN) || (si->si_addr != &addr)) ok = 0;

        if (ok) {

                INIT_DISASSEMBLE_INFO (info, stderr, fprintf);

                info.buffer = (unsigned char *)&addr;

                info.buffer_length = -1;

                info.buffer_vma = addr;

                fprintf (stderr, "illegal opcode : \"");

                c += (*print_insn_i386) (addr, &info);

                fprintf (stderr, "\" (");

                while (c--) fprintf (stderr, "\\x%02x", (unsigned int)*(&addr+1-c));

                fprintf (stderr, ") found at %p\n", &addr);

        }

        siglongjmp(escape, ok+1);

}



int main (void) {

        struct sigaction sa;

        sa.sa_sigaction = pouet;

        sa.sa_flags = SA_SIGINFO;

        sigfillset(&sa.sa_mask);

        sigaction(SIGILL, &sa, NULL);

        if (sigsetjmp(escape, 1) == 0) {

                asm volatile("addr: ud2");

        }

        return 0;

}

le fonctionnement global est le suivant, on déclare notre structure sa et on lui indique que la fonction de callback pour gerer les interruptions de type SIGILL est pouet(), la fonction sigaction remonte le tout au kernel

on tombe ensuite sur un if qui dépend du retour de sigsetjmp(), cette fonction sert en gros à faire une image de l'état du programme au moment où on invoque la fonction (ça sauvegarde le contexte de pile, l'env et les signaux concrètement)
la fonction retourne 0 si elle est invoquée directement et un nombre non nul si elle revient à travers un siglongjmp(), donc première fois qu'on tombe dessus, on rentre dans le if

là on cherche simplement à exécuter une instruction assembleur inline ud2, cette instruction ne sert qu'à une chose : feindre un opcode invalide, ce qui aura pour effet de lever une exception
notez le trick kawaï du extern char *addr en début de programme et du "addr: ud2" qui nous permet de référencer proprement l'adresse de notre instruction dans le binaire

une exception est donc levée et comme prévu c'est donc pouet() qui la récupère, on vérifie juste qu'elle correspond bien à celle que l'on attendait (signal SIGILL, type ILL_ILLOPN, à l'adresse addr), et le cas échéant on la désassemble et on affiche un kiki rigolo (ou pas mais on s'en fout)

alors vous me direz ça à l'air bien pénible d'utiliser la libopcodes et je vous répondrais qu'effectivement elle est aussi complète (elle permet de désassembler un grand nombre d'architectures) que peu documentée et pénible à utiliser, néanmoins elle a l'avantage d'être présente chez à peu près tout le monde (livrée via binutils, gdb et objdump reposent dessus typiquement) et l'exemple fourni ici pourra donc facilement être compilé et testé Wink

Code BASH :

$ sudo apt-get install binutils-dev

$ gcc -Wall pouet.c -o pouet -lopcodes

$ ./pouet

illegal opcode : "ud2    " (\x0f\x0b) found at 0x456789

enfin, siglongjmp() nous ramène sur notre if (sigsetjmp()) qui cette fois-ci, revenant à travers siglongjmp(), ne sera pas pris et ainsi le programme finira de mourir paisiblement sans les haut-le-coeur qu'eut pu lui occasionner une instruction spécialement vouée à l'empoisonner tel le vitriol dans la gamelle du chien... je m'égare surement.

en espérant que ça en ait intéressé certains parmi vous Big Grin

Kiwazaru · 23-12-2012, 22h46

Useless.

*Ok je sors.*

Dobry · 23-12-2012, 23h15

Je suis pas d'accord, c'est très interessant, et je dois dire que je ne connaissais pas l'existence de plus de la moitié des instructions que tu utilises, je dois dire que je n'ai pas eu le courage de lire la doc sur chaque précisement mais je vais regarder plus en détails dès que j'aurais quelques minutes de libres.

sakiir · 23-12-2012, 23h21

J'aimerais comprendre ... :')

**ark** · 24-12-2012, 01h26

Sympa comme article :)
C'est vrai que le contexte est vraiment inutile, mais ça permet de voir pas mal de trucs, merci !

notfound · 24-12-2012, 01h30

Comme on dit : Inutile donc indispensable.
Ça permet d'apprendre des choses Wink

sakiir · 24-12-2012, 02h45

Comme tes canard ??? :p

notfound · 24-12-2012, 02h55

On touche pas à mon beau canard !

sakiir · 24-12-2012, 11h11

:') ahah

Identifiant Mot de passe
S’enregistrer \| Mot de passe oublié ? Se rappeler