标准kernel的源码是公开的,但很多手机、IoT设备的kernel有定制化开发,比如把一些加解密处理放进kernel,用户态通过ioctl()调用内核态代码。没有改动后的源码,要想搞清楚这些定制化开发在干什么,只能对之进行逆向工程。
☆ 原始问题
标准kernel的源码是公开的,但很多手机、IoT设备的kernel有定制化开发,比如把一些加解密处理放进kernel,用户态通过ioctl()调用内核态代码。没有改动后的源码,要想搞清楚这些定制化开发在干什么,只能对之进行逆向工程。
如果拥有运行中Linux的root shell,可以”cat /proc/kallsyms”,这个结果在针对kernel进行逆向工程时大有用处。
有时由于各种原因,需要通过kernel image直接静态析取/proc/kallsyms的内容,也就是离线生成/proc/kallsyms结果。
与arr[3]、__ksymtab section、__ksymtab_gpl section、__ksymtab_unused section相比,/proc/kallsyms提供的信息是前者的超集。一般来说,前者包含导出函数,后者包含的T符号不一定是导出符号。
从kernel image静态析取还原Module.symvers是另一个技术点,此处不展开。
☆ 基本原理
内核源码中kallsyms_lookup_name()用于获取指定符号名的地址,涉及5个全局变量:
kallsyms_addresses[]
每个元素是一个地址(或者说指针),是相应符号名的地址。
kallsyms_num_syms
kallsyms_addresses[]的元素个数。
kallsyms_names[]
kallsyms_addresses[i]是地址,kallsyms_names[i]是符号名,i值一致,i取值范围是[0,kallsyms_num_syms),左闭右开区间。
kallsyms_names[]不是普通意义上的数组,每个元素是形如”xx yy yy yy yy”的字节流,其中xx指明后面yy的字节数,每个yy都是kallsyms_token_index[]的下标。
kallsyms_names[i]只是形象化表述,实际编程中无法使用kallsyms_names[i]直接定位第i个符号名。内核源码中用kallsyms_expand_symbol()处理
kallsyms_names[]的单个元素。
kallsyms_token_index[256]
这个数组只有256个元素,每个元素是”unsigned short int”,元素值是在kallsyms_token_table[]中的偏移量(不是下标)。
kallsyms_token_table[256]
kallsyms_token_table[]不是普通意义上的数组,它的每个元素都是ASCIZ串,所谓token。kallsyms_token_table[]就是一个buf[],只不过其中存放了256个ASCIZ串(token)。kallsyms_token_table[]中有很多单字节token。
kallsyms_token_table[i]只是形象化表述,实际编程中无法使用
kallsyms_token_table[i]直接定位第i个token,只能用
kallsyms_token_table+kallsyms_token_index[i]定位第i个token。
/proc/kallsyms展现的信息靠上述5个全局变量来维护。整个原理是复用token。
kallsyms_names[i]不直接保存ASCIZ串或其指针,而是将符号名(ASCIZ串)切割成若干个token,kallsyms_names[i]保存的数据可以定位这些token,将这些token拼接后还原出原始ASCIZ串。kallsyms_names[i]对应的原始ASCIZ串也不直接是符号名,而是”单字节类型字符+符号名”,所以kallsyms_expand_symbol()中有个变量skipped_first。
图解上述5个全局变量的关系:
kallsyms_addresses[i] <=> kallsyms_names[i] (i值一致) xx aa bb cd dd ... kallsyms_token_table+kallsyms_token_index[aa] => <token aa> kallsyms_token_table+kallsyms_token_index[bb] => <token bb> kallsyms_token_table+kallsyms_token_index[cc] => <token cc> kallsyms_token_table+kallsyms_token_index[dd] => <token dd> ... <token aa>+<token bb>+<token cc>+<token dd> <token aa>的第1个字符是类型,比如"T"
kallsyms_lookup_name()就是遍历kallsyms_num_syms个kallsyms_names[i],如果找到指定符号名(用strcmp比较),用相应的索引i去取kallsyms_addresses[i]。如果没找到指定符号名,调用module_kallsyms_lookup_name()接着找定符号名。显然kallsyms_lookup_name()效率很低。
此处实际展示了一种针对符号名的压缩算法,据说能压缩50%,我不太信。
原始符号名被切割成若干token存放,意味着/proc/kallsyms中看到的符号名在Strings中搜不到,如果碰巧搜到,那只是其他同名字符串。
c031b698 T sys_clone c03a8768 T sys_close c03a8c10 T sys_creat c03a9320 T sys_chown c03a945c T sys_chmod c03a947c T sys_chroot c03a9588 T sys_chdir c07555b0 r __ksymtab_sys_close c075cc3b r __kstrtab_sys_close
T并不表示是导出符号,global (external)与export不等价,前者是后者的超集。t表示”local symbol in the text (code) section”。
在Strings中搜不到”sys_chown”、”sys_chmod”,但能搜到”sys_close”,因为sys_close是内核导出函数,在__ksymtab section中有一项:
C07555B0 68 87 3A C0 off_C07555B0 DCD sys_close C07555B4 3B CC 75 C0 DCD aSys_close ; "sys_close"
这一项对应数据结构:
struct kernel_symbol { unsigned int value; // +0x0 函数地址 char *name; // +0x4 函数名 // +0x8 };
☆ 手工定位关键全局变量
原理所涉5个全局变量在/proc/kallsyms中没有对应项,必须用其他手段定位。即使
有,也不能用,原始需求是静态析取与/proc/kallsyms一致的信息。
# grep kallsyms_lookup_name /proc/kallsyms c03722c8 T module_kallsyms_lookup_name c0376058 T kallsyms_lookup_name c0757948 r __ksymtab_kallsyms_lookup_name c075bb9d r __kstrtab_kallsyms_lookup_name
__ksymtab_kallsyms_lookup_name表示kallsyms_lookup_name()是内核导出函数,在原始需求下不能直接用0xc0376058定位它。
kallsyms_lookup_name()是内核导出函数,可在Strings中搜到函数名字,比如:
C075BB9D 6B 61 6C 6C+aKallsyms_lookup_n DCB "kallsyms_lookup_name",0
在IDA中搜”9d bb 75 c0″,即上面这个地址(little-endian序),其中有一处对应struct kernel_symbol的name字段:
C0757948 58 60 37 C0 DCD kallsyms_lookup_name C075794C 9D BB 75 C0 DCD aKallsyms_lookup_n ; "kallsyms_lookup_name"
据此可以定位kallsyms_lookup_name():
C0376058 kallsyms_lookup_name
0xc0757948位于[__start___ksymtab_gpl,__stop___ksymtab_gpl),即位于”__ksymtab_gpl section”中。
对照相应版本内核源码逆向分析kallsyms_lookup_name()定位另一个非导出函数:
C0375408 kallsyms_expand_symbol
分析kallsyms_lookup_name()、kallsyms_expand_symbol()即可定位原理所涉5个全局变量。
/proc/kallsyms中有kallsyms_expand_symbol,但现在是假设没有/proc/kallsyms可
用。
上面是普适方案,具体到某个全局变量,可能有其他定位手段。
# head -5 /proc/kallsyms c0008000 T stext c0008000 T _sinittext c0008000 T _stext c0008000 T __init_begin c000804c t __create_page_tables
通过/proc/kallsyms返回的符号是按其地址升序显示的,因此kallsyms_addresses[]的前2个元素对应字节流”00 80 00 c0 00 80 00 c0″,在IDA中搜它,即可定位:
C06B2920 00 80 00 C0 kallsyms_addresses DCD 0xC0008000 C06B2924 00 80 00 C0 DCD loc_C0008000
0xc06b2920即kallsyms_addresses[],其中一个交叉引用指向kallsyms_lookup_name()。
kallsyms_num_syms紧挨在kallsyms_addresses[]之后,这是一个鸡生蛋、蛋生鸡的问题,只能反向验证对kallsyms_num_syms的定位。当然也可以进行某种启发式定位,但那还不如直接逆向kallsyms_lookup_name()。
kallsyms_names[]在kallsyms_num_syms后面。查看”r__kstrtab_s”或”r__ksymtab_s”所在区域,这是kallsyms_token_table[256]
所在。
本例中它们的位置关系是:
/* * 前3个变量算是挨着 * * IDA有时会自动为kallsyms_addresses[]识别元素个数,不要信它的 * * 0xc06b2920+0x6250*4=0xc06cb260 */ C06B2920 00 80 00 C0 kallsyms_addresses DCD 0xC0008000 C06CB260 50 62 00 00 kallsyms_num_syms DCD 0x6250 C06CB270 04 kallsyms_names DCB 4 C070DEC0 69 6C 00 kallsyms_token_table DCB "il",0 /* * 0xc070e240+256*2=0xc070e440 */ C070E240 00 00 kallsyms_token_index DCW 0
☆ 手工定位符号”stext”
# head -1 /proc/kallsyms c0008000 T stext
符号”stext”的地址保存在kallsyms_addresses[0],尝试手工定位符号”stext”。
符号”stext”在kallsyms_addresses[]中的索引值是0,意味着kallsyms_names[0]对应字符串”stext”。
访问kallsyms_names[0]:
C06CB270 04 kallsyms_names DCB 4 C06CB271 BF DCB 0xBF C06CB272 B3 DCB 0xB3 C06CB273 78 DCB 0x78 C06CB274 74 DCB 0x74
原理篇所说的”xx yy yy yy yy”即此处的”04 bf b3 78 74″。
第一个字节4表示后面有4个索引值用于索引kallsyms_token_index[]:
0xc070e240+0xbf*2=0xc070e3be 0xc070e240+0xb3*2=0xc070e3a6 0xc070e240+0x78*2=0xc070e330 0xc070e240+0x74*2=0xc070e328
kallsyms_token_index[i]类型是”unsigned short int”,所以索引值乘以2。
C070E3BE 93 02 DCW 0x293 C070E3A6 67 02 DCW 0x267 C070E330 6F 01 DCW 0x16F C070E328 67 01 DCW 0x167
得到4个偏移量(不是下标)用于kallsyms_token_table[]:
0xc070dec0+0x293=0xc070e153 0xc070dec0+0x267=0xc070e127 0xc070dec0+0x16f=0xc070e02f 0xc070dec0+0x167=0xc070e027
kallsyms_token_table+off类型是ASCIZ串(token)
C070E153 54 73 00 aTs DCB "Ts",0 C070E127 74 65 00 aTe DCB "te",0 C070E02F 78 00 aX DCB "x",0 C070E027 74 00 aT DCB "t",0
第一个ASCIZ串”Ts”,打头的”T”是符号类型,真正的符号名要越过”T”。
图解手工定位符号”stext”的完整过程:
kallsyms_addresses[0] <=> kallsyms_names[0] 04 bf b3 78 74 kallsyms_token_table+kallsyms_token_index[0xbf] => "Ts" kallsyms_token_table+kallsyms_token_index[0xb3] => "te" kallsyms_token_table+kallsyms_token_index[0x78] => "x" kallsyms_token_table+kallsyms_token_index[0x74] => "t" "Tstext" "T" + "stext"
☆ 代码实现
$ vi dump_kallsyms_mini.py -------------------------------------------------------------------------- #! /usr/bin/env python # -*- coding: cp936 -*- import os, sys, struct # ########################################################################## # # # 单字节string转成8位无符号整数 # # ord()实现同样功能 # def stoi8 ( sth ) : return( int( struct.unpack( '=B', sth )[0] ) ) # # end of stoi8 # # # 两字节string转成16位无符号整数 # def stoi16 ( sth ) : return( int( struct.unpack( '=H', sth )[0] ) ) # # end of stoi16 # # # 四字节string转成32位无符号整数 # def stoi32 ( sth ) : return( int( struct.unpack( '=I', sth )[0] ) ) # # end of stoi32 # def read_u8 ( buf, off ) : return( stoi8( buf[off] ) ) # # end of read_u8 # def read_u16 ( buf, off ) : return( stoi16( buf[off:off+2] ) ) # # end of read_u16 # def read_u32 ( buf, off ) : return( stoi32( buf[off:off+4] ) ) # # end of read_u32 # # # 返回ASCIZ串,不包括结尾的NUL字符 # def read_c_str ( buf, off ) : ret = "" while ( '\0' != buf[off] ) : ret += buf[off] off += 1 # # end of while # return( ret ) # # end of read_c_str # # ########################################################################## # # # 这是文件偏移,不是虚拟地址。针对特定kernel image需要自行指定这批值,未做 # 启发式定位。 # kallsyms_addresses = 0x6aa920 kallsyms_num_syms = 0x6250 kallsyms_names = 0x6c3270 kallsyms_token_index = 0x706240 kallsyms_token_table = 0x705ec0 def kallsyms_expand_symbol ( buf, off ) : ret = [ None, None, None ] i = read_u8( buf, off ) off += 1 ret[0] = off + i x = "" for j in xrange( i, 0, -1 ) : k = read_u8( buf, off ) off += 1 l = kallsyms_token_table + read_u16( buf, kallsyms_token_index + k * 2 ) x += read_c_str( buf, l ) # # end of for # ret[1] = x[0] ret[2] = x[1:] return( ret ) # # end of kallsyms_expand_symbol # # # debug模式下额外输出符号名的索引及其文件偏移 # def dumpsymbols ( buf, debug=False ) : off = kallsyms_names for i in xrange( 0, kallsyms_num_syms ) : addr = read_u32( buf, kallsyms_addresses + i * 4 ) x = kallsyms_expand_symbol( buf, off ) if ( debug ) : sys.stdout.write \ ( "%04x %08x %08x %s %s\n" % ( i, off, addr, x[1], x[2] ) ) else : sys.stdout.write \ ( "%08x %s %s\n" % ( addr, x[1], x[2] ) ) off = x[0] # # end of for # # # end of dumpsymbols # # ########################################################################## # if '__main__' == __name__ : try : # # 'nt' == os.name # if 'win32' == sys.platform : #""" from msvcrt import setmode # # stdin/stdout/stderr # setmode( 0, os.O_BINARY ) setmode( 1, os.O_BINARY ) setmode( 2, os.O_BINARY ) #""" argc = len( sys.argv ) if ( argc < 2 ) : sys.stderr.write \ ( 'Usage: ' + os.path.basename( sys.argv[0] ) + ' <kernel> [d]\n' ) raise SystemExit else : with open( sys.argv[1], 'rb' ) as f : kernel = f.read() debug = False if ( argc >= 3 ) : if ( 'd' == sys.argv[2] ) : debug = True dumpsymbols( kernel, debug ) # # end of with # except KeyboardInterrupt : pass
这是Python 2.x的实现,核心代码是kallsyms_expand_symbol()、dumpsymbols(),只处理32位内核,64位内核原理类似,我没64位需求就没处理。
dump_kallsyms_mini.py不是傻瓜式实现,假设使用者能自行定位如下全局变量的文件偏移:
kallsyms_addresses = 0x6aa920 kallsyms_num_syms = 0x6250 kallsyms_names = 0x6c3270 kallsyms_token_index = 0x706240 kallsyms_token_table = 0x705ec0
其中kallsyms_num_syms是元素个数本身,不是变量的偏移(没必要read_u32)。
有人会说启发式定位,我不好那个,除非这种启发式定位手段非常靠谱。在程序中增加并不怎么样的启发式定位,会让程序看起来主次不分,除了能满足小白的需求,实在不符合我的审美。想必用这类程序的人都能手工定位关键全局变量。
$ dump_kallsyms_mini.py kernel > kallsyms_static.txt $ cat /proc/kallsyms > kallsyms_dynamic.txt
kallsyms_static.txt与kallsyms_dynamic.txt的sha1sum完全一样。
$ dump_kallsyms_mini.py kernel d > kallsyms_static_debug.txt
debug模式下额外输出符号名的索引及其文件偏移:
0000 006c3270 c0008000 T stext 0001 006c3275 c0008000 T _sinittext 0002 006c327c c0008000 T _stext 0003 006c3282 c0008000 T __init_begin
此时可以手工查看某个符号名的压缩格式。
如果有KASLR介入,可以先在IDA中使用符号信息,再”Rebase program”。